REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Audyt wewnętrzny bezpieczeństwa informacji

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Longin Mażewski
Audyt wewnętrzny bezpieczeństwa informacji
Audyt wewnętrzny bezpieczeństwa informacji
ShutterStock

REKLAMA

REKLAMA

Są już wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym. Nowe obowiązki w tym zakresie dotyczą m.in. jednostek samorządu terytorialnego.

Obowiązek zapewnienia okresowego (lecz nie rzadziej niż raz na rok) audytu wewnętrznego w zakresie bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym wprowadził § 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej: rozporządzenie w sprawie systemów teleinformatycznych). Przepis ten wszedł w życie 31 maja 2012 r., ale długo nie był przestrzegany przez większość podmiotów publicznych z uwagi na niejasne sformułowanie powodujące wątpliwości w zakresie jego stosowania. Dopiero 26 kwietnia 2013 r. (aktualizacja z 9 maja 2013 r.) zostało opublikowane na stronach internetowych Ministerstwa Finansów (MF) wspólne stanowisko w tej sprawie resortu finansów oraz Ministerstwa Cyfryzacji i Administracji (MAC) zawierające m.in. wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym przez komórkę audytu wewnętrznego. 

REKLAMA

Obowiązki podmiotów publicznych 

REKLAMA

W § 20 rozporządzenia w sprawie systemów teleinformatycznych określono wymagania dotyczące systemów teleinformatycznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Zgodnie z tym przepisem, podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak: 

● autentyczność (właściwość polegająca na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane),
● rozliczalność (właściwość systemu pozwalająca przypisać określone działania do osoby fizycznej lub procesu oraz umiejscowić je w czasie),
● niezaprzeczalność (brak możliwości zanegowania swojego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie),
● niezawodność (właściwość oznaczająca spójne, zamierzone zachowanie i skutki). 

Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności poprzez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych.
Systemy teleinformatyczne podmiotów realizujących zadania publiczne, funkcjonujące w dniu wejścia w życie rozporządzenia w sprawie systemów teleinformatycznych na podstawie wcześniej obowiązujących przepisów, należy dostosować do jego wymagań nie później niż w dniu ich pierwszej istotnej modernizacji.

Zobacz także: Audyt wewnętrzny w jednostkach sektora finansów publicznych - samoocena

Dalszy ciąg materiału pod wideo

Wytyczne dotyczące audytu wewnętrznego 

REKLAMA

Aby ułatwić podmiotom publicznym realizację nałożonych na nie zadań, Departament Informatyzacji MAC i Departament Audytu Sektora Finansów Publicznych MF przygotowały wspólne stanowisko dotyczące zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji. W dokumencie stwierdzono, że intencją autorów rozporządzenia w sprawie systemów teleinformatycznych było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. Zgodnie z § 20 ust. 3, obowiązek ten może być realizowany w jeden z dwóch sposobów: 

1) w podmiotach, w których system zarządzania bezpieczeństwa informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 270001, wymagania określone w § 20 ust. 1 i 2 uznaje się za spełnione – w takich podmiotach nie ma konieczności dokonywania dodatkowych audytów wewnętrznych, gdyż audytowanie jest jednym z już funkcjonujących elementów systemu zarządzania bezpieczeństwa informacji określonym w normach,
2) jednostki, które nie opracowały i nie wdrożyły systemu bezpieczeństwa informacji, opierając się na Polskiej Normie PN-ISO/IEC270001, są zobowiązane do zapewnienia okresowego audytu wewnętrznego w tym zakresie, nie rzadziej niż raz w roku. 

Użycie w treści rozporządzenia w sprawie systemów teleinformatycznych sformułowania „audyt wewnętrzny” nie miało, zdaniem autorów, na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym na podstawie przepisów ustawy z 27 sierpnia 2009 r. o finansach publicznych. W związku z tym decyzja o tym, komu zostanie powierzone zadanie prowadzenia audytu wewnętrznego bezpieczeństwa systemów teleinformatycznych, spoczywa na kierowniku jednostki. Przy wyborze osób lub komórek organizacyjnych prowadzących audyt bezpieczeństwa informacji, kierownik jednostki powinien kierować się odpowiednimi kwalifikacjami, znajomością metodyki audytu w zakresie bezpieczeństwa informacji oraz niezależnością od audytowanego obszaru.

Zadaj pytanie: Forum

Audyt systemu bezpieczeństwa informacji może być przeprowadzony z wykorzystaniem dwóch zestawów kryteriów:
1) zawartych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych,
2) określonych w normie PN-ISO/IEC 27001. 

Powierzenie nowych zadań komórce audytu 

W opinii obu resortów, MAC i MF, nie należy automatycznie przypisywać zadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego, gdyż punktem odniesienia dla omawianych przepisów był System Zarządzania Bezpieczeństwem Informacji, a nie przepisy ustawy o finansach publicznych dotyczące audytu wewnętrznego. Jednak w przypadku powierzenia prowadzenia audytu wewnętrznego w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego w MF opracowano wytyczne dotyczące jego prowadzenia. Przewidują one, że przede wszystkim przypisanie tego zadania powinno odbyć się w sposób formalny poprzez odpowiednie uzupełnienie karty audytu lub innego dokumentu wewnętrznego opisującego cel, zakres i uprawnienia audytu wewnętrznego w jednostce poprzez jednoznaczne wskazanie komórki audytu wewnętrznego jako odpowiedzialnej za realizację tego zadania. W opinii MF, audyt taki powinien być prowadzony w formie zadania zapewniającego, z uwzględnieniem wymogów określonych w rozporządzeniu Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego. Powinno się to odbywać poprzez: 

● umieszczenie tego zadania w rocznym planie audytu wewnętrznego,
● opracowanie programu zadania audytowego,
● prezentowanie, uzgadnianie i komunikowanie wyników zadania w formie sprawozdania. 

Kierownik jednostki powinien także brać pod uwagę fakt, że powierzenie prowadzenia corocznego audytu wewnętrznego w zakresie bezpieczeństwa informacji może oznaczać ograniczenie realizacji zadań zapewniających w innych obszarach ryzyka. Ponadto kierownik jednostki powinien brać pod uwagę, czy pracownicy komórki audytu wewnętrznego posiadają odpowiednie kwalifikacje, doświadczenie i znajomość metodyki prowadzenia audytu w obszarze bezpieczeństwa informacji. W przypadku stwierdzenia braku odpowiedniej wiedzy i doświadczenia należy rozważyć skorzystanie z pomocy ekspertów wewnętrznych lub zewnętrznych.

Polecamy serwis: Audyt i kontrola

Podstawy prawne
● Ustawa z 27 sierpnia 2009 r. o finansach publicznych (Dz.U. nr 157, poz. 1240; ost. zm. Dz.U. z 2012 r. poz. 1548)
● Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526)
● Rozporządzenie Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U. nr 21, poz. 108)

Zapisz się na newsletter
Śledź na bieżąco nowe inicjatywy, projekty i ważne decyzje, które wpływają na Twoje życie codzienne. Zapisz się na nasz newsletter samorządowy.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: Poradnik Rachunkowości Budżetowej

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Sektor publiczny
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Odwołanie od decyzji administracyjnej. Najważniejsze informacje

Wiele życiowych spraw załatwianych jest decyzją administracyjną. Może to być np. zameldowanie na pobyt stały lub czasowy, przyznanie lub odmowa zasiłku rodzinnego, cofnięcie świadczeń z MOPS, przyjęcie lub nieprzyjęcie dziecka do przedszkola albo szkoły, określenie wysokości podatku od nieruchomości, pozwolenie na budowę, zajęcie pasa drogowego, zasiłków z tytułu choroby i macierzyństwa, świadczeń z ubezpieczeń społecznych.

Coraz więcej Polaków regularnie podróżuje koleją. Dokąd i jak często jeździmy pociągiem?

Kolej w Polsce przeżywa rozkwit – w ubiegłym roku odnotowano rekordową liczbę przejazdów. Aż 45% Polaków deklaruje sympatię do tego środka transportu, szczególnie młodzi (16–24 lata) i mieszkańcy Pomorza, którzy podróżują średnio 33 razy rocznie. Jaka jest najczęściej uczęszczana trasa? W jakie dni Polacy najczęściej kupują bilety? Jaki rodzaj pociągu preferują?

Renta wdowia. 320 tys. osób już otrzymało świadczenia. Sprawdź, czy też możesz dostać

Już 320 tys. osób otrzymało świadczenia w ramach renty wdowiej z ZUS. Wnioski nadal można składać. Zakład Ubezpieczeń Społecznych poinformował, że dzięki rencie wdowiej świadczeniobiorcy zyskają średnio 358,27 zł.

Próg zaostrzony z 50 proc. do 25 proc. Nowe przepisy MEN zmieniają wszystko w szkołach

Istotne zmiany przepisów dla uczniów zakłada nowy projekt Ministerstwa Edukacji Narodowej, który został już skierowany do konsultacji. Będą surowsze zasady w szkołach. Projekt zakłada m.in., że uczeń nie będzie klasyfikowany z jednego, kilku albo wszystkich przedmiotów, gdy przekroczy próg 25 proc. nieobecności nieusprawiedliwionej.

REKLAMA

Od marzeń do nauki – po co naprawdę Sławosz Uznański – Wiśniewski poleciał w kosmos?

Śledzimy media społecznościowe, zdjęcia Ziemi z orbity i codzienne relacje Sławosza Uznańskiego-Wiśniewskiego z Międzynarodowej Stacji Kosmicznej. Ale za tą medialną euforią kryje się znacznie więcej niż symboliczny gest. Co z tego lotu wynika dla Polski? Jakie są realne, wymierne korzyści dla gospodarki, nauki i przemysłu?

Pensje w samorządach z wyrównaniem. Czy również dla byłych pracowników?

Nowelizacja rozporządzenia w sprawie wynagradzania pracowników samorządowych zaczęła obowiązywać od 14 czerwca 2025 r. Nowe stawki wynagrodzeń będą należne pracownikom z wyrównaniem od 1 marca 2025 r.

Stacje hydrologiczne odnotowują rekordy dobowego opadu deszczu. Ulewy w całym kraju

Aż jedenaście stacji hydrologicznych zanotowało opad dobowy wyższy niż dotychczasowa maksymalna suma dobowa - wynika z danych Instytutu Meteorologii i Gospodarki Wodnej. Dwukrotnie wyższy poziom odnotowano na trzech stacjach, na jednej - trzykrotnie wyższy.

„Jak mogliśmy do tego dopuścić?” – dramatyczny stan zdrowia dzieci w jednym z najbogatszych krajów

W ostatnich latach znacznie pogorszył się stan zdrowia dzieci w jednym z najbogatszych krajów świata. Z najnowszego raportu wynika, że najmłodsi chorują i umierają tam częściej niż ich rówieśnicy w innych wysoko rozwiniętych państwach. Główne przyczyny to wypadki, przemoc i choroby cywilizacyjne, ale nie tylko.

REKLAMA

Patrz na skład! Ogólnopolska kampania o świadomej suplementacji

Jak często poświęcamy chwilę, by sprawdzić skład na etykiecie? Kampania „Patrz na skład” zachęca do zastanowienia się nad naszymi codziennymi decyzjami i promuje świadome podejście do suplementacji.

Segregacja odpadów to za mało. Ekspert: "Najlepsze śmieci to te, które nigdy nie powstały"

Dlaczego recykling nie wystarczy? Jakie błędy popełniamy w gospodarowaniu bioodpadami? I co musi się zmienić, by Polska była gotowa na gospodarkę obiegu zamkniętego? O tym wszystkim opowiada Michał Paca – ekspert ds. gospodarki odpadami i zrównoważonego rozwoju.

REKLAMA