Wybrane zagadnienia dotyczące KRI
Wybrane zagadnienia dotyczące KIR – wybrane zagadnienia dotyczące tematyki stosowania w praktyce przepisów Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych [Dz.U. 2012 poz. 526].
Do kiedy obowiązuje Rozporządzenie KRI?
Ustawodawca określił, iż Rozporządzenie KRI, wydane na podstawie zmienionego art. 18 Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne, obowiązywać będzie przez okres 60 miesięcy od dnia wejścia w życie przepisów Ustawy o dostępności cyfrowej stron internetowych i aplikacji mobilnych podmiotów publicznych. Innymi Rozporządzenie KRI nadal obowiązuje do dnia 23 maja 2024r.
Kto możę wykonać samodzielnie Audyt KRI?
Użycie w Rozporządzeniu KRI sformułowania „audyt wewnętrzny” nie miało na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym w jednostkach sektora finansów publicznych na mocy przepisów Działu VI ustawy o finansach publicznych. Ustawodawca nie określił sposobu, trybu, rodzaju audytu, ani też osób czy komórek organizacyjnych, którym należałoby powierzyć prowadzenie ww. audytu. Zatem decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu. Co więcej, w przywoływanej wspólnej opinii MAIC oraz MF nie należy automatycznie przypisywać zadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego
Czy podmioty medyczne muszą wykonać Audy KRI?
Reasumując zatem podmiot wykonujący działalność leczniczą, jako przedsiębiorca prowadzący działalność w formie spółki prawa handlowego będący niepublicznym zakładem opieki zdrowotnej, udzielający świadczeń opieki zdrowotnej w ramach finansowania na podstawie umowy z Narodowym Funduszem Zdrowia, zobowiązany jest do stosowania przepisów Ustawy o informatyzacji oraz Rozporządzenia KRI. Oznacza to, iż kierownictwo takiego podmiotu medycznego zobowiązane jest do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok, chyba, ze opracują system zarządzania bezpieczeństwem informacji na podstawie PN-ISO/IEC 27001 oraz ustanowienie zabezpieczeń, zarządzanie ryzykiem i audytowanie realizowane będzie na podstawie wskazanych w przepisie Polskich Norm.
Raport NIK w sprawie Rozporządzenia KRI.
Wstęp do Raportu z kontroli NIK brzmi następująco ... cyt.: "(...)Odpowiedzialność za zarządzanie podmiotem leczniczym niebędącym przedsiębiorcą ponosi kierownik. Podejmuje decyzje w sprawach kadrowych i odpowiada za zatrudnianie na poszczególnych stanowiskach pracy osób z wymaganymi kwalifikacjami. Decyduje również o wprowadzaniu nowych rozwiązań usprawniających pracę personelu medycznego.(...)".
Zalecenia Ministrstwa Zdrowia w sprawie Audytu KRI
Komunikat MZ w sprawie obowiązkowej dokumentacji SZBI cyt.: "Wszystkie SPZOZ oraz spółki muszą wdrożyć systemy zarządzania bezpieczeństwem informacji (SZBI), w tym procedury wykonywania i testowania kopi zapasowych (§ 20, Krajowe Ramy Interoperacyjności (KRI) z dnia 12 kwietnia 2012 r.). Audyt KRI powinien się odbywać nie rzadziej niż raz w roku. .”
Audyt KRI jako element SZBI zalecenia KPRM
Zalecenia Kancelarii Prezesa Rady Ministrów w sprawie Audytu bezpieczeństwa informacji KRI cyt." Należy zauważyć, że system zarządzania bezpieczeństwem informacji nie może być kompletny bez zapewnienia audytu wewnętrznego, zarówno według wymagań rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie krajowych ram interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych14 jak i wymagań normy PN-ISO/IEC 27001.".
Jakie dokumenty przygotować na Audyt KRI?
Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. Rola takiego podmiotu nie kończy się tylko i wyłącznie na opracowaniu i wdrożeniu do eksploatacji systemu zarządzania bezpieczeństwem informacji. Obowiązkiem takiego podmiotu jest także monitorować, przeglądać i utrzymywać jak również doskonalić ten system tak, aby zapewniać poufność, dostępność i integralność informacji. Oznacza to, iż realizacja obowiązku opisanego przepisem §20 ust. 1 KRI nie kończy się z momentem wdrożenia do stosowania systemu zarządzania bezpieczeństwem, ona się wówczas zaczyna.
Rozporządzenie KRI informacje podstawowe
Zagadnienia związane z tematem utrzymania i eksploatacji systemu bezpieczeństwa informacji opisane zostały w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
Jaki jest zakres Audytu KRI?
Wyniki kontroli organów (tj. Najwyższa Izba Kontroli, właściwy wojewoda lub organ administracji rządowej) wskazują, że obszar szeroko rozumianej teleinformatyki w podmiotach publicznych często nie spełnia restrykcji narzuconych przez ustawodawcę. Wiele podmiotów nie wdrożyło systemu zarządzania bezpieczeństwem informacji, a polityki bezpieczeństwa odnoszą się jedynie do danych osobowych.