REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Audyt wewnętrzny bezpieczeństwa informacji

Longin Mażewski
Audyt wewnętrzny bezpieczeństwa informacji
Audyt wewnętrzny bezpieczeństwa informacji
Shutterstock

REKLAMA

REKLAMA

Są już wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym. Nowe obowiązki w tym zakresie dotyczą m.in. jednostek samorządu terytorialnego.

Obowiązek zapewnienia okresowego (lecz nie rzadziej niż raz na rok) audytu wewnętrznego w zakresie bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym wprowadził § 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej: rozporządzenie w sprawie systemów teleinformatycznych). Przepis ten wszedł w życie 31 maja 2012 r., ale długo nie był przestrzegany przez większość podmiotów publicznych z uwagi na niejasne sformułowanie powodujące wątpliwości w zakresie jego stosowania. Dopiero 26 kwietnia 2013 r. (aktualizacja z 9 maja 2013 r.) zostało opublikowane na stronach internetowych Ministerstwa Finansów (MF) wspólne stanowisko w tej sprawie resortu finansów oraz Ministerstwa Cyfryzacji i Administracji (MAC) zawierające m.in. wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym przez komórkę audytu wewnętrznego. 

REKLAMA

REKLAMA

Obowiązki podmiotów publicznych 

W § 20 rozporządzenia w sprawie systemów teleinformatycznych określono wymagania dotyczące systemów teleinformatycznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Zgodnie z tym przepisem, podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak: 

● autentyczność (właściwość polegająca na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane),
● rozliczalność (właściwość systemu pozwalająca przypisać określone działania do osoby fizycznej lub procesu oraz umiejscowić je w czasie),
● niezaprzeczalność (brak możliwości zanegowania swojego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie),
● niezawodność (właściwość oznaczająca spójne, zamierzone zachowanie i skutki). 

Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności poprzez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych.
Systemy teleinformatyczne podmiotów realizujących zadania publiczne, funkcjonujące w dniu wejścia w życie rozporządzenia w sprawie systemów teleinformatycznych na podstawie wcześniej obowiązujących przepisów, należy dostosować do jego wymagań nie później niż w dniu ich pierwszej istotnej modernizacji.

REKLAMA

Zobacz także: Audyt wewnętrzny w jednostkach sektora finansów publicznych - samoocena

Dalszy ciąg materiału pod wideo

Wytyczne dotyczące audytu wewnętrznego 

Aby ułatwić podmiotom publicznym realizację nałożonych na nie zadań, Departament Informatyzacji MAC i Departament Audytu Sektora Finansów Publicznych MF przygotowały wspólne stanowisko dotyczące zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji. W dokumencie stwierdzono, że intencją autorów rozporządzenia w sprawie systemów teleinformatycznych było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. Zgodnie z § 20 ust. 3, obowiązek ten może być realizowany w jeden z dwóch sposobów: 

1) w podmiotach, w których system zarządzania bezpieczeństwa informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 270001, wymagania określone w § 20 ust. 1 i 2 uznaje się za spełnione – w takich podmiotach nie ma konieczności dokonywania dodatkowych audytów wewnętrznych, gdyż audytowanie jest jednym z już funkcjonujących elementów systemu zarządzania bezpieczeństwa informacji określonym w normach,
2) jednostki, które nie opracowały i nie wdrożyły systemu bezpieczeństwa informacji, opierając się na Polskiej Normie PN-ISO/IEC270001, są zobowiązane do zapewnienia okresowego audytu wewnętrznego w tym zakresie, nie rzadziej niż raz w roku. 

Użycie w treści rozporządzenia w sprawie systemów teleinformatycznych sformułowania „audyt wewnętrzny” nie miało, zdaniem autorów, na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym na podstawie przepisów ustawy z 27 sierpnia 2009 r. o finansach publicznych. W związku z tym decyzja o tym, komu zostanie powierzone zadanie prowadzenia audytu wewnętrznego bezpieczeństwa systemów teleinformatycznych, spoczywa na kierowniku jednostki. Przy wyborze osób lub komórek organizacyjnych prowadzących audyt bezpieczeństwa informacji, kierownik jednostki powinien kierować się odpowiednimi kwalifikacjami, znajomością metodyki audytu w zakresie bezpieczeństwa informacji oraz niezależnością od audytowanego obszaru.

Zadaj pytanie: Forum

Audyt systemu bezpieczeństwa informacji może być przeprowadzony z wykorzystaniem dwóch zestawów kryteriów:
1) zawartych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych,
2) określonych w normie PN-ISO/IEC 27001. 

Powierzenie nowych zadań komórce audytu 

W opinii obu resortów, MAC i MF, nie należy automatycznie przypisywać zadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego, gdyż punktem odniesienia dla omawianych przepisów był System Zarządzania Bezpieczeństwem Informacji, a nie przepisy ustawy o finansach publicznych dotyczące audytu wewnętrznego. Jednak w przypadku powierzenia prowadzenia audytu wewnętrznego w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego w MF opracowano wytyczne dotyczące jego prowadzenia. Przewidują one, że przede wszystkim przypisanie tego zadania powinno odbyć się w sposób formalny poprzez odpowiednie uzupełnienie karty audytu lub innego dokumentu wewnętrznego opisującego cel, zakres i uprawnienia audytu wewnętrznego w jednostce poprzez jednoznaczne wskazanie komórki audytu wewnętrznego jako odpowiedzialnej za realizację tego zadania. W opinii MF, audyt taki powinien być prowadzony w formie zadania zapewniającego, z uwzględnieniem wymogów określonych w rozporządzeniu Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego. Powinno się to odbywać poprzez: 

● umieszczenie tego zadania w rocznym planie audytu wewnętrznego,
● opracowanie programu zadania audytowego,
● prezentowanie, uzgadnianie i komunikowanie wyników zadania w formie sprawozdania. 

Kierownik jednostki powinien także brać pod uwagę fakt, że powierzenie prowadzenia corocznego audytu wewnętrznego w zakresie bezpieczeństwa informacji może oznaczać ograniczenie realizacji zadań zapewniających w innych obszarach ryzyka. Ponadto kierownik jednostki powinien brać pod uwagę, czy pracownicy komórki audytu wewnętrznego posiadają odpowiednie kwalifikacje, doświadczenie i znajomość metodyki prowadzenia audytu w obszarze bezpieczeństwa informacji. W przypadku stwierdzenia braku odpowiedniej wiedzy i doświadczenia należy rozważyć skorzystanie z pomocy ekspertów wewnętrznych lub zewnętrznych.

Polecamy serwis: Audyt i kontrola

Podstawy prawne
● Ustawa z 27 sierpnia 2009 r. o finansach publicznych (Dz.U. nr 157, poz. 1240; ost. zm. Dz.U. z 2012 r. poz. 1548)
● Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526)
● Rozporządzenie Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U. nr 21, poz. 108)

Źródło: Poradnik Rachunkowości Budżetowej

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Sektor publiczny
Susza w Polsce. Upały powodują niedobory wody w gminach

Wróciły upały, a wraz z nimi problemy gmin z niedoborami wody. Normą stały się zakazy podlewania ogródków i apele o oszczędzanie wody. Samorządy apelują o dodatkowe środki na budowę nowych ujęć.

Polska ma ogromny problem z szambami. Miliony ton ścieków mogą trafiać do ziemi zamiast do oczyszczalni

W Polsce działa około 2,5 mln szamb i przydomowych oczyszczalni ścieków, ale znaczna część nieczystości zamiast do oczyszczalni trafia do środowiska. Eksperci alarmują, że rocznie może chodzić nawet o 200 mln m³ ścieków, które zanieczyszczają glebę, wody gruntowe, rzeki, a ostatecznie Morze Bałtyckie. Skala problemu jest ogromna – to objętość odpowiadająca niemal jednej trzeciej największego jeziora w Polsce.

Kondycja polskich samorządów. Co pokazuje najnowszy wskaźnik WARS? [Gość INFOR.PL]

Nie chodzi o restauracje w pociągach, ale o Wskaźnik Aktywności Rozwoju Samorządu (WARS) – narzędzie, które pokazuje, jak polscy samorządowcy oceniają przyszłość swoich gmin, miast, powiatów i województw. Najnowszy odczyt wskazuje, że choć samorządy nadal wierzą w swoją rolę i chcą rozwijać lokalne usługi, to poziom optymizmu wyraźnie spadł.

Dofinansowanie do przydomowej oczyszczalni ścieków 2026. Można dostać pieniądze, ale nie każdy skorzysta

Właściciele domów bez dostępu do kanalizacji szukają sposobów na obniżenie kosztów budowy przydomowej oczyszczalni ścieków. W 2026 roku dostępne są różne formy wsparcia, ale nie ma jednej ogólnopolskiej dotacji 8000 zł dla wszystkich gospodarstw domowych. Pieniądze można jednak otrzymać w ramach programów samorządowych oraz wybranych instrumentów finansowania inwestycji wodno-kanalizacyjnych.

REKLAMA

Czy strażak OSP musi mieć prawo jazdy kat. C, żeby prowadzić pojazdy ratowniczo-gaśnicze

Kto może prowadzić pojazdy uprzywilejowane? Posłowie w interpelacji zapytali o umożliwienie kierowcom OSP kierowania pojazdami uprzywilejowanymi o dopuszczalnej masie całkowitej do 5 ton na podstawie prawa jazdy kategorii B. Jaka jest odpowiedź MSWiA? Kto może finansować szkolenia kierowców?

Prof. Modzelewski: III RP kończy się - widać to w trwonionych pieniądzach publicznych i nieefektywnym fiskalizmie. Jaka powinna być Czwarta Rzeczypospolita?

Absurdalny i nieefektywny fiskalizm i trwonienie publicznych pieniędzy to najważniejsze symptomy końca epoki III Rzeczypospolitej – pisze prof. dr hab. Witold Modzelewski. Zdaniem Profesora czasy III RP dobiegają końca i czas pomyśleć o Czwartej Rzeczypospolitej rządzonej w interesie jej obywateli oraz dla dobra publicznego. Bo na obecną wersję ustroju po prostu nas już nie stać.

Droższe nawozy uderzają w rolników. Polska otrzyma ponad 850 mln zł wsparcia, ale europosłowie oceniają, że to może nie wystarczyć

Eskalacja napięć geopolitycznych na Bliskim Wschodzie, wzrost cen gazu oraz problemy z dostępnością surowców przełożyły się na gwałtowny wzrost kosztów produkcji nawozów. Dla wielu gospodarstw rolnych w Europie oznacza to dodatkową presję finansową i konieczność ograniczania wydatków. Unia Europejska zdecydowała się uruchomić specjalny mechanizm pomocy dla rolników dotkniętych skutkami wzrostu cen. Polska ma otrzymać z tego tytułu ponad 66 mln euro, a po wykorzystaniu krajowego współfinansowania całkowita pula wsparcia może przekroczyć 850 mln zł.

Miliony na tenis w Zachodniopomorskiem. Remonty ruszą w czterech miastach

Szczecin otrzymał 9,3 mln zł z programu Tenisowe Orły na modernizację największych miejskich kortów. Dzięki rządowemu wsparciu remontowane będą też obiekty w Koszalinie, Świnoujściu i Dziwnowie. Umowy na dofinansowanie przekazał we wtorek wiceminister sportu Piotr Borys.

REKLAMA

Zakaz telefonów w szkole - kto sfinansuje zakup dodatkowych szafek do przechowywania sprzętu

Sposób egzekwowania planowanego zakazu korzystania z telefonów komórkowych w szkołach ma pozostawać w gestii poszczególnych placówek. Oznacza to, że szkoły nie będą zobowiązane do zakupu specjalnych szafek, depozytów czy innych rozwiązań służących przechowywaniu telefonów, jeżeli uznają, że nie jest to konieczne.

12 nowych miast w Polsce od 2027 roku. Rząd ujawnił listę miejscowości i planowane zmiany granic

Już od 1 stycznia 2027 roku dwanaście polskich wsi może uzyskać prawa miejskie. Rząd opublikował założenia projektu rozporządzenia, które przewidują również zmiany granic gmin i miast oraz zmianę nazwy jednej z gmin. Decyzje dotyczą miejscowości w aż dziewięciu województwach.

Zapisz się na newsletter
Śledź na bieżąco nowe inicjatywy, projekty i ważne decyzje, które wpływają na Twoje życie codzienne. Zapisz się na nasz newsletter samorządowy.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA