Pakiet dokumentów do wykonania Audytu KRI – podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
Proste to RODO Rola takiego podmiotu nie kończy się tylko i wyłącznie na opracowaniu i wdrożeniu do eksploatacji systemu zarządzania bezpieczeństwem informacji. Obowiązkiem takiego podmiotu jest także monitorować, przeglądać i utrzymywać jak również doskonalić ten system tak, aby zapewniać poufność, dostępność i integralność informacji. Oznacza to, iż realizacja obowiązku opisanego przepisem §20 ust. 1 KRI nie kończy się z momentem wdrożenia do stosowania systemu zarządzania bezpieczeństwem, ona się wówczas zaczyna.