Kto może wykonać Audyt KRI
Kto może wykonać Audyt KRI – w związku z licznymi pytaniami, jakie kierują Państwo do nas w trakcie Warsztatów Audyt KRI, przedstawiamy Państwu Wspólne Stanowisko Ministerstwa Administracji i Cyfryzacji oraz Ministerstwa Finansów, dotyczące kwestii warunków realizacji Audytu Wewnętrznego Bezpieczeństwa Informacji KRI.
Obowiązki podmiotów publicznych realizujących zadania publiczne ...
Innymi słowy obowiązkiem każdego podmiotu realizującego zadania publiczne jest:
- opracowanie
- ustanowienia
- wdrożenie
- eksploatacja
- monitorowanie
- przeglądanie
- utrzymanie
- doskonalenie
systemu zarządzania bezpieczeństwem informacji zapewniającego:
- poufność
- dostępność
- integralność
informacji z uwzględnieniem takich atrybutów,jak:
- autentyczność
- rozliczalność
- niezaprzeczalność
- niezawodność.
Obowiązek zapewnienia wykonania wewnętrznego audytu bezpieczeństwa informacji
Kto może wykonać Audyt KRI ...
Sposób realizacji obowiązku wykonania Audytu KRI ...
- PN-ISO/IEC 27002 – w odniesieniu do ustanawiania zabezpieczeń;
- PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem;
- PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania”.
Problem realizacji audytu przez komórkę audytu wewnętrznego
Kto może wykonać audyt KRI ...
Reasumując zatem to do kierownictwa podmiotu publicznego realizującego zadania publiczne należeć będzie decyzja o tym, kto będzie realizował, wykonywał zadania w ramach wewnętrznbego audytu bezpieczeństwa informacji (Audyt KRI), czy będzie to personel komórki audytów wewnętrznych, czy też będzie to osoba spoza tego grona. Naturalnie na realizatora tego zadania można również podmiot zewnętrzny.
Kwalifikacje osoby do realizacji Audyty KRI ...
Kryteriami, jakimi należy się kierować przy wyborze osób/komórek organizacyjnych prowadzących audyt w zakresie bezpieczeństwa informacji są: odpowiednie kwalifikacje, doświadczenie, znajomość metodyki audytu w zakresie bezpieczeństwa informacji, a także niezależność od obszaru audytowanego.
Audyt KRI a Kontrola ...
Należy także dostrzec różnicę, jakie ustawodawca określił w zakresie podstaw prawnych, jak i w zakresie wymagań kwalifikacyjnych, które muszą być spełnione do realizacji poszczególnych zadań audytowych – w ramach czynności realizowanych podczas audytu wewnętrznego bezpieczeństwa informacji , i zadań kontrolnych – w ramach prowadzonych postępowań kontrolnych, czyli różnice dotyczące:
- osób, jakie uprawnione są do przeprowadzenia audytu wewnętrznego bezpieczeństwa informacji (Audyt KRI), na podstawie § 20 ust. 1 w zw. z ust. 2 pkt 14 Rozporządzenia KRI
- osób, jakie uprawnione są do prowadzenia postępowania kontrolnego, na podstawie art. 25 Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. W tym przypadku Ustawodawca zdecydował się na wprowadzenie określonych prawem kryteriów, które muszą spełniać kontrolerzy realizujący zadania kontrolne.Wymagania te określone zostały w treści m.in. art. 28 Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz wydanym na podstawie art. 28 ust. 3 ww .Ustawy Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych. Innymi słowy, aby dana osoba mogła realizować zadania w ramach postępowania kontrolnego musi spełniać ww. kryteria formalnoprawne – w odniesieniu natomiast do osoby realizującej zadania w ramach audytu wewnętrznego bezpieczeństwa informacji, takich wymogów ustawodawca nie wprowadził, oczywiście adekwatny poziom wiedzy, i doświadczenia, musi iść za wyborem danej osoby, na realizatora Audytu KRI, o czym wspominałem powyżej wskazując proponowane kryteria wyboru.
Dokumentacja KRI + nagranie VIDEO szkolenia ...
Szkolenie w formie nagrania VIDEO
Materiały źródłowe
Audyt bezpieczeństwa informacji – Wspólne stanowisko Ministerstwa Administracji i Cyfryzacji oraz Ministerstwa Finansów [Dostęp: 08.12.2022r., godz.: 10:50]