REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Audyt wewnętrzny bezpieczeństwa informacji

Longin Mażewski
Audyt wewnętrzny bezpieczeństwa informacji
Audyt wewnętrzny bezpieczeństwa informacji
ShutterStock

REKLAMA

REKLAMA

Są już wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym. Nowe obowiązki w tym zakresie dotyczą m.in. jednostek samorządu terytorialnego.

Obowiązek zapewnienia okresowego (lecz nie rzadziej niż raz na rok) audytu wewnętrznego w zakresie bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym wprowadził § 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej: rozporządzenie w sprawie systemów teleinformatycznych). Przepis ten wszedł w życie 31 maja 2012 r., ale długo nie był przestrzegany przez większość podmiotów publicznych z uwagi na niejasne sformułowanie powodujące wątpliwości w zakresie jego stosowania. Dopiero 26 kwietnia 2013 r. (aktualizacja z 9 maja 2013 r.) zostało opublikowane na stronach internetowych Ministerstwa Finansów (MF) wspólne stanowisko w tej sprawie resortu finansów oraz Ministerstwa Cyfryzacji i Administracji (MAC) zawierające m.in. wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym przez komórkę audytu wewnętrznego. 

REKLAMA

Obowiązki podmiotów publicznych 

REKLAMA

W § 20 rozporządzenia w sprawie systemów teleinformatycznych określono wymagania dotyczące systemów teleinformatycznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Zgodnie z tym przepisem, podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak: 

● autentyczność (właściwość polegająca na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane),
● rozliczalność (właściwość systemu pozwalająca przypisać określone działania do osoby fizycznej lub procesu oraz umiejscowić je w czasie),
● niezaprzeczalność (brak możliwości zanegowania swojego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie),
● niezawodność (właściwość oznaczająca spójne, zamierzone zachowanie i skutki). 

Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności poprzez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych.
Systemy teleinformatyczne podmiotów realizujących zadania publiczne, funkcjonujące w dniu wejścia w życie rozporządzenia w sprawie systemów teleinformatycznych na podstawie wcześniej obowiązujących przepisów, należy dostosować do jego wymagań nie później niż w dniu ich pierwszej istotnej modernizacji.

Zobacz także: Audyt wewnętrzny w jednostkach sektora finansów publicznych - samoocena

Dalszy ciąg materiału pod wideo

Wytyczne dotyczące audytu wewnętrznego 

REKLAMA

Aby ułatwić podmiotom publicznym realizację nałożonych na nie zadań, Departament Informatyzacji MAC i Departament Audytu Sektora Finansów Publicznych MF przygotowały wspólne stanowisko dotyczące zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji. W dokumencie stwierdzono, że intencją autorów rozporządzenia w sprawie systemów teleinformatycznych było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. Zgodnie z § 20 ust. 3, obowiązek ten może być realizowany w jeden z dwóch sposobów: 

1) w podmiotach, w których system zarządzania bezpieczeństwa informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 270001, wymagania określone w § 20 ust. 1 i 2 uznaje się za spełnione – w takich podmiotach nie ma konieczności dokonywania dodatkowych audytów wewnętrznych, gdyż audytowanie jest jednym z już funkcjonujących elementów systemu zarządzania bezpieczeństwa informacji określonym w normach,
2) jednostki, które nie opracowały i nie wdrożyły systemu bezpieczeństwa informacji, opierając się na Polskiej Normie PN-ISO/IEC270001, są zobowiązane do zapewnienia okresowego audytu wewnętrznego w tym zakresie, nie rzadziej niż raz w roku. 

Użycie w treści rozporządzenia w sprawie systemów teleinformatycznych sformułowania „audyt wewnętrzny” nie miało, zdaniem autorów, na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym na podstawie przepisów ustawy z 27 sierpnia 2009 r. o finansach publicznych. W związku z tym decyzja o tym, komu zostanie powierzone zadanie prowadzenia audytu wewnętrznego bezpieczeństwa systemów teleinformatycznych, spoczywa na kierowniku jednostki. Przy wyborze osób lub komórek organizacyjnych prowadzących audyt bezpieczeństwa informacji, kierownik jednostki powinien kierować się odpowiednimi kwalifikacjami, znajomością metodyki audytu w zakresie bezpieczeństwa informacji oraz niezależnością od audytowanego obszaru.

Zadaj pytanie: Forum

Audyt systemu bezpieczeństwa informacji może być przeprowadzony z wykorzystaniem dwóch zestawów kryteriów:
1) zawartych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych,
2) określonych w normie PN-ISO/IEC 27001. 

Powierzenie nowych zadań komórce audytu 

W opinii obu resortów, MAC i MF, nie należy automatycznie przypisywać zadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego, gdyż punktem odniesienia dla omawianych przepisów był System Zarządzania Bezpieczeństwem Informacji, a nie przepisy ustawy o finansach publicznych dotyczące audytu wewnętrznego. Jednak w przypadku powierzenia prowadzenia audytu wewnętrznego w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego w MF opracowano wytyczne dotyczące jego prowadzenia. Przewidują one, że przede wszystkim przypisanie tego zadania powinno odbyć się w sposób formalny poprzez odpowiednie uzupełnienie karty audytu lub innego dokumentu wewnętrznego opisującego cel, zakres i uprawnienia audytu wewnętrznego w jednostce poprzez jednoznaczne wskazanie komórki audytu wewnętrznego jako odpowiedzialnej za realizację tego zadania. W opinii MF, audyt taki powinien być prowadzony w formie zadania zapewniającego, z uwzględnieniem wymogów określonych w rozporządzeniu Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego. Powinno się to odbywać poprzez: 

● umieszczenie tego zadania w rocznym planie audytu wewnętrznego,
● opracowanie programu zadania audytowego,
● prezentowanie, uzgadnianie i komunikowanie wyników zadania w formie sprawozdania. 

Kierownik jednostki powinien także brać pod uwagę fakt, że powierzenie prowadzenia corocznego audytu wewnętrznego w zakresie bezpieczeństwa informacji może oznaczać ograniczenie realizacji zadań zapewniających w innych obszarach ryzyka. Ponadto kierownik jednostki powinien brać pod uwagę, czy pracownicy komórki audytu wewnętrznego posiadają odpowiednie kwalifikacje, doświadczenie i znajomość metodyki prowadzenia audytu w obszarze bezpieczeństwa informacji. W przypadku stwierdzenia braku odpowiedniej wiedzy i doświadczenia należy rozważyć skorzystanie z pomocy ekspertów wewnętrznych lub zewnętrznych.

Polecamy serwis: Audyt i kontrola

Podstawy prawne
● Ustawa z 27 sierpnia 2009 r. o finansach publicznych (Dz.U. nr 157, poz. 1240; ost. zm. Dz.U. z 2012 r. poz. 1548)
● Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526)
● Rozporządzenie Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U. nr 21, poz. 108)

Autopromocja

REKLAMA

Źródło: Poradnik Rachunkowości Budżetowej
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie - zapraszamy do subskrybcji naszego newslettera
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Sektor publiczny
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    43 900 zł dla mieszkańców bloków, 375 000 zł dla wspólnot w programie "Ciepłe mieszkanie 2". Ogrzewanie elektryczne, pompy ciepła, kotły, termodernizacja, fotowoltaika [od 29 września 2023 r.]

    29 września rusza program "Ciepłe mieszkanie". Mieszkańcy bloków mogą otrzymać od 16 500 zł do 43 900 zł dla mieszkańców bloków, 375 000 zł dla wspólnot mieszkaniowych. Wartość całego programu to 1,75 mld zł.

    Dzień bez Samochodu. Sprawdź, kiedy i gdzie komunikacja zbiorowa będzie za darmo!

    W piątek 22 września jest Dzień bez Samochodu. Tego dnia wiele miast oferuje podróżowanie za darmo środkami komunikacji zbiorowej. W niektórych skorzystać z akcji będą mogli tylko kierowcy, którzy pozostawią samochody czy motocykle na parkingu, w innych - wszyscy mieszkańcy czy goście. 

    Kolejne zrabowane przez Niemców dzieła sztuki wracają do Polski. Gliński: w Niemczech można zostać właścicielem rzeczy skradzionej po 30 latach

    Odzyskaliśmy straty wojenne: grafikę "Dama z wachlarzem" oraz litografię "Królewska Huta" - poinformował minister kultury Piotr Gliński 20 września 2023 r. podczas uroczystości przekazania do macierzystych zbiorów odzyskanych dzieł, która odbyła się w siedzibie resortu kultury. Polska nadal poszukuje ogromnej liczby różnych dzieł sztuki i obiektów muzealnych zaginionych zarówno w czasie wojny, jak i w II poł. XX wieku.

    400% pensji: Kolejni pracownicy mają taką nagrodę jubileuszową. Podwyższona o 100% odprawa emerytalna

    Nowe świadczenie - w postaci 400% pensji jako nagroda jubileuszowa - przeznaczone jest dla pracowników zatrudnionych w państwowych jednostkach budżetowych resortu spraw wewnętrznych i administracji. 

    REKLAMA

    Jesień 2023. Kiedy wypada kalendarzowa i astronomiczna jesień?

    Jesień 2023. Chociaż pogoda jeszcze mocno letnia, to nie da się ukryć, że już za moment przyjdzie jesień. Kiedy przypada pierwszy dzień kalendarzowej i astronomicznej jesieni? Kiedy jest równonoc jesienna? 

    Kto chce 4-dniowego tygodnia w szkołach i skróconych lekcji?

    Czy Polacy chcą telefonów w szkołach? Co sądzą o pomyśle na skrócone lekcje i 4-dniowy tydzień szkoły? Czy preferują naukę zdalną lub hybrydową zamiast tradycyjnej? 

    Nagroda specjalna dla nauczyciela 1125 zł brutto: 766,4 zł czy 892 zł netto? Jak to obliczyć?

    Wiadomo, że tegoroczna nagroda dla nauczyciela wynosi 1125 zł brutto. Nagroda jest powszechnie postrzegana jako zastępstwo podwyżek dla nauczycieli. Jak obliczyć wartość nagrody netto i ocenić, czy rzeczywiście zastępuje podwyżkę?

    P. Czarnek przyzna stypendia. Jedno 17 000 zł. Sprawdź, kto dostanie [Wnioski do 25 października 2023 r.]

    840 stypendiów za znaczące osiągnięcia naukowe lub artystyczne związane ze studiami lub znaczące osiągnięcia sportowe przyzna Minister Edukacji i Nauki w roku akademickim 2023/2024.

    REKLAMA

    Znamy nazwisko nowego selekcjonera piłkarskiej reprezentacji Polski!

    Piłkarze mają nowego trenera! Michał Probierz został selekcjonerem piłkarskiej reprezentacji Polski - ogłosił prezes PZPN Cezary Kulesza.

    Profesor zarządzania z Uniwersytetu Yale: Polska i jej przywódcy mieli rację co do Rosji - eksperci się mylili

    Polska i jej odważni przywódcy słusznie ostrzegali świat przed uzależnieniem od rosyjskich surowców i są wzorem do naśladowania dla krajów Europy Środkowo-Wschodniej – ocenił wykładowca zarządzania z Uniwersytetu Yale prof. Jeffrey Sonnenfeld na łamach miesięcznika „Wszystko Co Najważniejsze”, podkreślając sukces wizji śp. prof. Lecha Kaczyńskiego w sprawie suwerenności energetycznej. Redukcję zależności o rosyjskiego gazu do 0 nazywa "cudem gospodarczym, jakiego dokonała Polska".

    REKLAMA