REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Sektor publiczny » Finanse » Audyt i kontrola » Audyt wewnętrzny bezpieczeństwa informacji

Audyt wewnętrzny bezpieczeństwa informacji

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
13 sierpnia 2013, 11:25
Longin Mażewski
Audyt wewnętrzny bezpieczeństwa informacji
Audyt wewnętrzny bezpieczeństwa informacji
ShutterStock

REKLAMA

REKLAMA

Są już wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym. Nowe obowiązki w tym zakresie dotyczą m.in. jednostek samorządu terytorialnego.

Obowiązek zapewnienia okresowego (lecz nie rzadziej niż raz na rok) audytu wewnętrznego w zakresie bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym wprowadził § 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej: rozporządzenie w sprawie systemów teleinformatycznych). Przepis ten wszedł w życie 31 maja 2012 r., ale długo nie był przestrzegany przez większość podmiotów publicznych z uwagi na niejasne sformułowanie powodujące wątpliwości w zakresie jego stosowania. Dopiero 26 kwietnia 2013 r. (aktualizacja z 9 maja 2013 r.) zostało opublikowane na stronach internetowych Ministerstwa Finansów (MF) wspólne stanowisko w tej sprawie resortu finansów oraz Ministerstwa Cyfryzacji i Administracji (MAC) zawierające m.in. wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym przez komórkę audytu wewnętrznego. 

REKLAMA

Obowiązki podmiotów publicznych 

REKLAMA

W § 20 rozporządzenia w sprawie systemów teleinformatycznych określono wymagania dotyczące systemów teleinformatycznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Zgodnie z tym przepisem, podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak: 

● autentyczność (właściwość polegająca na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane),
● rozliczalność (właściwość systemu pozwalająca przypisać określone działania do osoby fizycznej lub procesu oraz umiejscowić je w czasie),
● niezaprzeczalność (brak możliwości zanegowania swojego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie),
● niezawodność (właściwość oznaczająca spójne, zamierzone zachowanie i skutki). 

Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności poprzez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych.
Systemy teleinformatyczne podmiotów realizujących zadania publiczne, funkcjonujące w dniu wejścia w życie rozporządzenia w sprawie systemów teleinformatycznych na podstawie wcześniej obowiązujących przepisów, należy dostosować do jego wymagań nie później niż w dniu ich pierwszej istotnej modernizacji.

Zobacz także: Audyt wewnętrzny w jednostkach sektora finansów publicznych - samoocena

Dalszy ciąg materiału pod wideo

Wytyczne dotyczące audytu wewnętrznego 

REKLAMA

Aby ułatwić podmiotom publicznym realizację nałożonych na nie zadań, Departament Informatyzacji MAC i Departament Audytu Sektora Finansów Publicznych MF przygotowały wspólne stanowisko dotyczące zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji. W dokumencie stwierdzono, że intencją autorów rozporządzenia w sprawie systemów teleinformatycznych było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. Zgodnie z § 20 ust. 3, obowiązek ten może być realizowany w jeden z dwóch sposobów: 

1) w podmiotach, w których system zarządzania bezpieczeństwa informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 270001, wymagania określone w § 20 ust. 1 i 2 uznaje się za spełnione – w takich podmiotach nie ma konieczności dokonywania dodatkowych audytów wewnętrznych, gdyż audytowanie jest jednym z już funkcjonujących elementów systemu zarządzania bezpieczeństwa informacji określonym w normach,
2) jednostki, które nie opracowały i nie wdrożyły systemu bezpieczeństwa informacji, opierając się na Polskiej Normie PN-ISO/IEC270001, są zobowiązane do zapewnienia okresowego audytu wewnętrznego w tym zakresie, nie rzadziej niż raz w roku. 

Użycie w treści rozporządzenia w sprawie systemów teleinformatycznych sformułowania „audyt wewnętrzny” nie miało, zdaniem autorów, na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym na podstawie przepisów ustawy z 27 sierpnia 2009 r. o finansach publicznych. W związku z tym decyzja o tym, komu zostanie powierzone zadanie prowadzenia audytu wewnętrznego bezpieczeństwa systemów teleinformatycznych, spoczywa na kierowniku jednostki. Przy wyborze osób lub komórek organizacyjnych prowadzących audyt bezpieczeństwa informacji, kierownik jednostki powinien kierować się odpowiednimi kwalifikacjami, znajomością metodyki audytu w zakresie bezpieczeństwa informacji oraz niezależnością od audytowanego obszaru.

Zadaj pytanie: Forum

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie
Autopromocja

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie

Sprawdź

Audyt systemu bezpieczeństwa informacji może być przeprowadzony z wykorzystaniem dwóch zestawów kryteriów:
1) zawartych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych,
2) określonych w normie PN-ISO/IEC 27001. 

Powierzenie nowych zadań komórce audytu 

W opinii obu resortów, MAC i MF, nie należy automatycznie przypisywać zadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego, gdyż punktem odniesienia dla omawianych przepisów był System Zarządzania Bezpieczeństwem Informacji, a nie przepisy ustawy o finansach publicznych dotyczące audytu wewnętrznego. Jednak w przypadku powierzenia prowadzenia audytu wewnętrznego w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego w MF opracowano wytyczne dotyczące jego prowadzenia. Przewidują one, że przede wszystkim przypisanie tego zadania powinno odbyć się w sposób formalny poprzez odpowiednie uzupełnienie karty audytu lub innego dokumentu wewnętrznego opisującego cel, zakres i uprawnienia audytu wewnętrznego w jednostce poprzez jednoznaczne wskazanie komórki audytu wewnętrznego jako odpowiedzialnej za realizację tego zadania. W opinii MF, audyt taki powinien być prowadzony w formie zadania zapewniającego, z uwzględnieniem wymogów określonych w rozporządzeniu Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego. Powinno się to odbywać poprzez: 

● umieszczenie tego zadania w rocznym planie audytu wewnętrznego,
● opracowanie programu zadania audytowego,
● prezentowanie, uzgadnianie i komunikowanie wyników zadania w formie sprawozdania. 

Kierownik jednostki powinien także brać pod uwagę fakt, że powierzenie prowadzenia corocznego audytu wewnętrznego w zakresie bezpieczeństwa informacji może oznaczać ograniczenie realizacji zadań zapewniających w innych obszarach ryzyka. Ponadto kierownik jednostki powinien brać pod uwagę, czy pracownicy komórki audytu wewnętrznego posiadają odpowiednie kwalifikacje, doświadczenie i znajomość metodyki prowadzenia audytu w obszarze bezpieczeństwa informacji. W przypadku stwierdzenia braku odpowiedniej wiedzy i doświadczenia należy rozważyć skorzystanie z pomocy ekspertów wewnętrznych lub zewnętrznych.

Polecamy serwis: Audyt i kontrola

Podstawy prawne
● Ustawa z 27 sierpnia 2009 r. o finansach publicznych (Dz.U. nr 157, poz. 1240; ost. zm. Dz.U. z 2012 r. poz. 1548)
● Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526)
● Rozporządzenie Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U. nr 21, poz. 108)

Autopromocja

REKLAMA

Źródło: Poradnik Rachunkowości Budżetowej
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Sektor publiczny
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Będą pieniądze na budowę i przystosowanie schronów. Nawet 6 mld zł rocznie
19 lis 2024

Szef MSWiA Tomasz Siemoniak poinformował, że ok. 6 mld zł rocznie będzie przeznaczonych na budowę i przystosowanie schronów w samorządach. Niebawem na ten cel zostanie przekazanych 0,15 pkt proc. PKB.
Znów rekord odprawionych pasażerów z Lotniska Chopina. Dokąd latamy najczęściej?
19 lis 2024

W ciągu 10 miesięcy Lotnisko Chopina odprawiło ponad 18 mln pasażerów. Tylko w październiku Okęcie odprawiło blisko 1,9 mln podróżnych. Najwięcej osób podróżowało w niedzielę, 6 października – 68 tys. 883.
Rośnie liczba ubezpieczonych cudzoziemców. Na koniec października było ich 1 mln 191 tys. [Dane ZUS]
19 lis 2024

Zakład Ubezpieczeń Społecznych poinformował o wzroście liczby ubezpieczonych cudzoziemców. Jak wynika z najnowszych danych ZUS, na koniec października 2024 r. do ubezpieczeń społecznych w ZUS było zgłoszonych 1 mln 191 tys. cudzoziemców.
MEN: Jest 27 000 nauczycieli religii. 45% poradzi sobie z ograniczeniem godzin religii z 2 do 1 tygodniowo [Wykaz]
17 lis 2024

MEN podał informacje o liczbie katechetów w Polsce (w tym liczbę katechetów mających uprawnienia do nauki innego przedmiotu). Przeszło 27 000 nauczycieli wiąże swoje zajęcia zawodowe z nauczaniem religii. I taka jest liczba osób, które z niepokojem czekają na ostateczny kształt lekcji religii. Czy min. Barbarze Nowackiej uda się redukcja liczby godzin religii z 2 do 1 tygodniowo? Czy za drugą godzinę odbywającą się np. w salkach katechetycznych rząd wypłaci wynagrodzenia katechetom? Na ogólną liczbą 27 000 katechetów uczyć innego przedmiotu niż religia może 12 304 nauczycieli. 

REKLAMA

W Sejmie: Dla krwiodawców nie 2 a 3 dni wolne od pracy. Państwo przejmuje koszt wynagrodzeń [Przykład]
20 lis 2024

W Sejmie propozycja: Nowy dzień wolny. I to państwo płaci za trzy dni wolnego od pracy dla krwiodawców. Od razu trzeba ocenić szansę na nowelizację przepisów na zerową, ale zobaczmy jak wyglądałyby przepisie po zmianie. I które trzeba zmienić. Może się kiedyś uda?
Szkoły nauczą dzieci odróżniania prawdy od manipulacji. Zmiany w systemie edukacyjnym w celu lepszego wykorzystania narzędzi cyfrowych
15 lis 2024

Do 2035 r. Polska ma zdrożyć jeden z kamieni milowych KPO - Politykę Cyfrowej Transformacji Edukacji. Chodzi m.in. o przemodelowanie kształcenia tak, by uczyć dzieci odróżniania prawdy od manipulacji, weryfikowania źródeł i korzystania z nich, a także mądrego używania narzędzi sztucznej inteligencji.
Będzie zmiana zasad sporządzania sprawozdań budżetowych. Projekt rozporządzenia w sprawie sprawozdawczości budżetowej
14 lis 2024

Projektowane nowe rozporządzenie w sprawie sprawozdawczości budżetowej ma dostosować obecne zasady sporządzania sprawozdań do nowej ustawy o dochodach jednostek samorządu terytorialnego. Projekt zawiera m.in. nowe wzory i instrukcje sporządzania sprawozdań składanych przez JST.
Młodzieżowe Słowo Roku 2024. Znamy finałową dwudziestkę plebiscytu
13 lis 2024

Na liście 20 słów w plebiscycie na Młodzieżowe Słowo Roku 2024 znalazły się m.in. "aura", "skibidi", "yapping", "czemó" i "womp womp". Organizatorem plebiscytu jest Wydawnictwo Naukowe PWN.

REKLAMA

Młodzieżowe Słowo Roku 2024: finałowa 20-ka. Co znaczą te słowa? Można już głosować
15 lis 2024

Pierwszy etap dziewiątego plebiscytu PWN – Młodzieżowe Słowo Roku – jest już za nami! Dzięki zaangażowaniu głosujących do plebiscytowej bazy trafiło tysiące ciekawych słów i wyrażeń, spośród których Jury wyłoniło finałową dwudziestkę. Teraz czas na kolejną rundę – można już głosować na swoje ulubione słowo! Organizator plebiscytu, Wydawnictwo Naukowe PWN, czeka na głosy tylko do 30 listopada. Już niebawem przekonamy się, które słowo zostanie tym SZCZEGÓLNYM dla współczesnej, młodzieżowej polszczyzny.

Rolnicy protestują przeciwko umowie UE-Mercosur: obawy o zalew taniej żywności z Ameryki Południowej
13 lis 2024

Europejscy rolnicy głośno sprzeciwiają się umowie handlowej UE-Mercosur, która ma być podpisana podczas nadchodzącego szczytu G20. Obawiają się, że tani import z Ameryki Południowej zagrozi ich konkurencyjności. Rolnicy podkreślają, że tamtejsze produkty nie spełniają unijnych standardów zrównoważonego rozwoju, co obniża koszty produkcji.

REKLAMA