REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Audyt wewnętrzny bezpieczeństwa informacji

Longin Mażewski
Audyt wewnętrzny bezpieczeństwa informacji
Audyt wewnętrzny bezpieczeństwa informacji
ShutterStock

REKLAMA

REKLAMA

Są już wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym. Nowe obowiązki w tym zakresie dotyczą m.in. jednostek samorządu terytorialnego.

Obowiązek zapewnienia okresowego (lecz nie rzadziej niż raz na rok) audytu wewnętrznego w zakresie bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym wprowadził § 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej: rozporządzenie w sprawie systemów teleinformatycznych). Przepis ten wszedł w życie 31 maja 2012 r., ale długo nie był przestrzegany przez większość podmiotów publicznych z uwagi na niejasne sformułowanie powodujące wątpliwości w zakresie jego stosowania. Dopiero 26 kwietnia 2013 r. (aktualizacja z 9 maja 2013 r.) zostało opublikowane na stronach internetowych Ministerstwa Finansów (MF) wspólne stanowisko w tej sprawie resortu finansów oraz Ministerstwa Cyfryzacji i Administracji (MAC) zawierające m.in. wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym przez komórkę audytu wewnętrznego. 

REKLAMA

Obowiązki podmiotów publicznych 

REKLAMA

W § 20 rozporządzenia w sprawie systemów teleinformatycznych określono wymagania dotyczące systemów teleinformatycznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Zgodnie z tym przepisem, podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak: 

● autentyczność (właściwość polegająca na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane),
● rozliczalność (właściwość systemu pozwalająca przypisać określone działania do osoby fizycznej lub procesu oraz umiejscowić je w czasie),
● niezaprzeczalność (brak możliwości zanegowania swojego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie),
● niezawodność (właściwość oznaczająca spójne, zamierzone zachowanie i skutki). 

Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności poprzez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych.
Systemy teleinformatyczne podmiotów realizujących zadania publiczne, funkcjonujące w dniu wejścia w życie rozporządzenia w sprawie systemów teleinformatycznych na podstawie wcześniej obowiązujących przepisów, należy dostosować do jego wymagań nie później niż w dniu ich pierwszej istotnej modernizacji.

Zobacz także: Audyt wewnętrzny w jednostkach sektora finansów publicznych - samoocena

Dalszy ciąg materiału pod wideo

Wytyczne dotyczące audytu wewnętrznego 

REKLAMA

Aby ułatwić podmiotom publicznym realizację nałożonych na nie zadań, Departament Informatyzacji MAC i Departament Audytu Sektora Finansów Publicznych MF przygotowały wspólne stanowisko dotyczące zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji. W dokumencie stwierdzono, że intencją autorów rozporządzenia w sprawie systemów teleinformatycznych było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. Zgodnie z § 20 ust. 3, obowiązek ten może być realizowany w jeden z dwóch sposobów: 

1) w podmiotach, w których system zarządzania bezpieczeństwa informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 270001, wymagania określone w § 20 ust. 1 i 2 uznaje się za spełnione – w takich podmiotach nie ma konieczności dokonywania dodatkowych audytów wewnętrznych, gdyż audytowanie jest jednym z już funkcjonujących elementów systemu zarządzania bezpieczeństwa informacji określonym w normach,
2) jednostki, które nie opracowały i nie wdrożyły systemu bezpieczeństwa informacji, opierając się na Polskiej Normie PN-ISO/IEC270001, są zobowiązane do zapewnienia okresowego audytu wewnętrznego w tym zakresie, nie rzadziej niż raz w roku. 

Użycie w treści rozporządzenia w sprawie systemów teleinformatycznych sformułowania „audyt wewnętrzny” nie miało, zdaniem autorów, na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym na podstawie przepisów ustawy z 27 sierpnia 2009 r. o finansach publicznych. W związku z tym decyzja o tym, komu zostanie powierzone zadanie prowadzenia audytu wewnętrznego bezpieczeństwa systemów teleinformatycznych, spoczywa na kierowniku jednostki. Przy wyborze osób lub komórek organizacyjnych prowadzących audyt bezpieczeństwa informacji, kierownik jednostki powinien kierować się odpowiednimi kwalifikacjami, znajomością metodyki audytu w zakresie bezpieczeństwa informacji oraz niezależnością od audytowanego obszaru.

Zadaj pytanie: Forum

Audyt systemu bezpieczeństwa informacji może być przeprowadzony z wykorzystaniem dwóch zestawów kryteriów:
1) zawartych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych,
2) określonych w normie PN-ISO/IEC 27001. 

Powierzenie nowych zadań komórce audytu 

W opinii obu resortów, MAC i MF, nie należy automatycznie przypisywać zadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego, gdyż punktem odniesienia dla omawianych przepisów był System Zarządzania Bezpieczeństwem Informacji, a nie przepisy ustawy o finansach publicznych dotyczące audytu wewnętrznego. Jednak w przypadku powierzenia prowadzenia audytu wewnętrznego w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego w MF opracowano wytyczne dotyczące jego prowadzenia. Przewidują one, że przede wszystkim przypisanie tego zadania powinno odbyć się w sposób formalny poprzez odpowiednie uzupełnienie karty audytu lub innego dokumentu wewnętrznego opisującego cel, zakres i uprawnienia audytu wewnętrznego w jednostce poprzez jednoznaczne wskazanie komórki audytu wewnętrznego jako odpowiedzialnej za realizację tego zadania. W opinii MF, audyt taki powinien być prowadzony w formie zadania zapewniającego, z uwzględnieniem wymogów określonych w rozporządzeniu Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego. Powinno się to odbywać poprzez: 

● umieszczenie tego zadania w rocznym planie audytu wewnętrznego,
● opracowanie programu zadania audytowego,
● prezentowanie, uzgadnianie i komunikowanie wyników zadania w formie sprawozdania. 

Kierownik jednostki powinien także brać pod uwagę fakt, że powierzenie prowadzenia corocznego audytu wewnętrznego w zakresie bezpieczeństwa informacji może oznaczać ograniczenie realizacji zadań zapewniających w innych obszarach ryzyka. Ponadto kierownik jednostki powinien brać pod uwagę, czy pracownicy komórki audytu wewnętrznego posiadają odpowiednie kwalifikacje, doświadczenie i znajomość metodyki prowadzenia audytu w obszarze bezpieczeństwa informacji. W przypadku stwierdzenia braku odpowiedniej wiedzy i doświadczenia należy rozważyć skorzystanie z pomocy ekspertów wewnętrznych lub zewnętrznych.

Polecamy serwis: Audyt i kontrola

Podstawy prawne
● Ustawa z 27 sierpnia 2009 r. o finansach publicznych (Dz.U. nr 157, poz. 1240; ost. zm. Dz.U. z 2012 r. poz. 1548)
● Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526)
● Rozporządzenie Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U. nr 21, poz. 108)

Autopromocja

REKLAMA

Źródło: Poradnik Rachunkowości Budżetowej

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Sektor publiczny
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Jak stosować rozporządzenie o pracach domowych? Co jest jasne? Co budzi wątpliwości? [min B. Nowacka, 1 kwietnia 2024 r.]

    Wątpliwości dotyczą trzech definicji wykorzystanych w rozporządzeniu - nauczyciela i uczniowie nie mają wskazówek jak je rozumieć i stosować.

    Rozbijanie garnka na plecach i chłostanie rózgą. Znasz te stare kaszubskie zwyczaje wielkanocne?

    Jak kiedyś obchodzono Wielkanoc na Kaszubach? Czym był tzw. Płaczëbóg? Co jadano na świąteczne śniadanie? 

    Znasz te wielkanocne zwyczaje z Górnego Śląska? Jeden z nich jest na krajowej liście niematerialnego dziedzictwa kulturowego

    Jakie zwyczaje wielkanocne panują na Górnym Śląsku? Niektóre z nich znane są tylko w jednej miejscowości. Słyszeliście o paleniu żuru, kulaniu jaj czy bramie z wydmuszek? 

    Dentysta na NFZ 2024 – jakie zabiegi? Jeszcze w tym roku więcej świadczeń gwarantowanych! [projekt rozporządzenia]

    Chyba większość osób leczy w Polsce zęby prywatnie, ale trzeba wiedzieć, że można to zrobić również w ramach ubezpieczenia zdrowotnego, czyli – jak to się mówi potocznie „na NFZ”. Lista takich refundowanych świadczeń stomatologicznych jest całkiem długa. Trzeba tylko znaleźć dentystę (stomatologa), który ma podpisaną umowę z NFZ na udzielanie świadczeń stomatologicznych. Przedstawiamy listę świadczeń gwarantowanych (refundowanych przez NFZ) z zakresu leczenia stomatologicznego obowiązujących teraz, a także informujemy o projekcie rozporządzenia, które ma wydłużyć listę tych świadczeń - najprawdopodobniej jeszcze w 2024 roku.

    REKLAMA

    Bilety na EURO 2024 dla kibiców z Polski - sprzedaż od 28 marca. Gdzie można kupić? Jakie ceny?

    W dniu 28 marca 2024 r. o godzinie 14.00 rozpocznie się sprzedaż biletów dla kibiców reprezentacji Polski na turniej finałowy piłkarskich mistrzostw Europy Euro 2024. Sprzedaż potrwa do 8 kwietnia i prowadzona jest wyłącznie przez UEFA. Będzie dostępna na portalu euro2024.com.

    Rusza program "Aktywna Szkoła" 2024

    Rusza program "Aktywna Szkoła" 2024 - informuje Ministerstwo Sportu i Turystyki. Wnioski samorządy przygotują we współpracy ze szkołami. Program ma na celu aktywizację społeczności wokół obiektów sportowych, które były dotychczas niedostępne.

    Rząd: Dyplom MBA z Collegium Humanum nie pozwoli zasiąść w radzie nadzorczej spółki Skarbu Państwa

    Centrum Informacyjne Rządu poinformowało 27 marca 2024 r., że w procesie opiniowania kandydatów do rad nadzorczych dyplomy MBA uzyskane w Collegium Humanum nie będą uznawane przez Radę ds. spółek z udziałem Skarbu Państwa i państwowych osób prawnych.

    Prof. Szukalski: Łódź i Poznań już są na etapie demograficznego zjazdu

    Prof. Piotr Szukalski, demograf z Uniwersytetu Łódzkiego w rozmowie z PAP o kondycji polskich miast i ich przyszłości demograficznej. 

    REKLAMA

    Wielkanoc 2024. Ile wolnego mają uczniowie na święta? Kiedy kolejne dni wolne?

    Wolne na święta. Wielkanocna przerwa w nauce zacznie się już od czwartku 28 marca. Uczniowie do zajęć wrócą 3 kwietnia. Kiedy będą następne dni wolne? 

    MEN: Powstał zespół ds. praw i obowiązków ucznia. Zespół będzie pracował nad powołaniem ogólnopolskiego rzecznika praw ucznia

    W Ministerstwie Edukacji Narodowej powołano zespół ekspercki ds. praw i obowiązków ucznia. Zespół będzie pracował nad zmianami ustawowymi dotyczącymi praw ucznia, a także powołania rzecznika praw ucznia.

    REKLAMA