REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Audyt wewnętrzny bezpieczeństwa informacji

Longin Mażewski
Audyt wewnętrzny bezpieczeństwa informacji
Audyt wewnętrzny bezpieczeństwa informacji
ShutterStock

REKLAMA

REKLAMA

Są już wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym. Nowe obowiązki w tym zakresie dotyczą m.in. jednostek samorządu terytorialnego.

Obowiązek zapewnienia okresowego (lecz nie rzadziej niż raz na rok) audytu wewnętrznego w zakresie bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym wprowadził § 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej: rozporządzenie w sprawie systemów teleinformatycznych). Przepis ten wszedł w życie 31 maja 2012 r., ale długo nie był przestrzegany przez większość podmiotów publicznych z uwagi na niejasne sformułowanie powodujące wątpliwości w zakresie jego stosowania. Dopiero 26 kwietnia 2013 r. (aktualizacja z 9 maja 2013 r.) zostało opublikowane na stronach internetowych Ministerstwa Finansów (MF) wspólne stanowisko w tej sprawie resortu finansów oraz Ministerstwa Cyfryzacji i Administracji (MAC) zawierające m.in. wytyczne dotyczące prowadzenia audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym przez komórkę audytu wewnętrznego. 

REKLAMA

Obowiązki podmiotów publicznych 

REKLAMA

W § 20 rozporządzenia w sprawie systemów teleinformatycznych określono wymagania dotyczące systemów teleinformatycznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Zgodnie z tym przepisem, podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak: 

● autentyczność (właściwość polegająca na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane),
● rozliczalność (właściwość systemu pozwalająca przypisać określone działania do osoby fizycznej lub procesu oraz umiejscowić je w czasie),
● niezaprzeczalność (brak możliwości zanegowania swojego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie),
● niezawodność (właściwość oznaczająca spójne, zamierzone zachowanie i skutki). 

Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności poprzez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych.
Systemy teleinformatyczne podmiotów realizujących zadania publiczne, funkcjonujące w dniu wejścia w życie rozporządzenia w sprawie systemów teleinformatycznych na podstawie wcześniej obowiązujących przepisów, należy dostosować do jego wymagań nie później niż w dniu ich pierwszej istotnej modernizacji.

Zobacz także: Audyt wewnętrzny w jednostkach sektora finansów publicznych - samoocena

Dalszy ciąg materiału pod wideo

Wytyczne dotyczące audytu wewnętrznego 

REKLAMA

Aby ułatwić podmiotom publicznym realizację nałożonych na nie zadań, Departament Informatyzacji MAC i Departament Audytu Sektora Finansów Publicznych MF przygotowały wspólne stanowisko dotyczące zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji. W dokumencie stwierdzono, że intencją autorów rozporządzenia w sprawie systemów teleinformatycznych było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. Zgodnie z § 20 ust. 3, obowiązek ten może być realizowany w jeden z dwóch sposobów: 

1) w podmiotach, w których system zarządzania bezpieczeństwa informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 270001, wymagania określone w § 20 ust. 1 i 2 uznaje się za spełnione – w takich podmiotach nie ma konieczności dokonywania dodatkowych audytów wewnętrznych, gdyż audytowanie jest jednym z już funkcjonujących elementów systemu zarządzania bezpieczeństwa informacji określonym w normach,
2) jednostki, które nie opracowały i nie wdrożyły systemu bezpieczeństwa informacji, opierając się na Polskiej Normie PN-ISO/IEC270001, są zobowiązane do zapewnienia okresowego audytu wewnętrznego w tym zakresie, nie rzadziej niż raz w roku. 

Użycie w treści rozporządzenia w sprawie systemów teleinformatycznych sformułowania „audyt wewnętrzny” nie miało, zdaniem autorów, na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym na podstawie przepisów ustawy z 27 sierpnia 2009 r. o finansach publicznych. W związku z tym decyzja o tym, komu zostanie powierzone zadanie prowadzenia audytu wewnętrznego bezpieczeństwa systemów teleinformatycznych, spoczywa na kierowniku jednostki. Przy wyborze osób lub komórek organizacyjnych prowadzących audyt bezpieczeństwa informacji, kierownik jednostki powinien kierować się odpowiednimi kwalifikacjami, znajomością metodyki audytu w zakresie bezpieczeństwa informacji oraz niezależnością od audytowanego obszaru.

Zadaj pytanie: Forum

Audyt systemu bezpieczeństwa informacji może być przeprowadzony z wykorzystaniem dwóch zestawów kryteriów:
1) zawartych w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych,
2) określonych w normie PN-ISO/IEC 27001. 

Powierzenie nowych zadań komórce audytu 

W opinii obu resortów, MAC i MF, nie należy automatycznie przypisywać zadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego, gdyż punktem odniesienia dla omawianych przepisów był System Zarządzania Bezpieczeństwem Informacji, a nie przepisy ustawy o finansach publicznych dotyczące audytu wewnętrznego. Jednak w przypadku powierzenia prowadzenia audytu wewnętrznego w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego w MF opracowano wytyczne dotyczące jego prowadzenia. Przewidują one, że przede wszystkim przypisanie tego zadania powinno odbyć się w sposób formalny poprzez odpowiednie uzupełnienie karty audytu lub innego dokumentu wewnętrznego opisującego cel, zakres i uprawnienia audytu wewnętrznego w jednostce poprzez jednoznaczne wskazanie komórki audytu wewnętrznego jako odpowiedzialnej za realizację tego zadania. W opinii MF, audyt taki powinien być prowadzony w formie zadania zapewniającego, z uwzględnieniem wymogów określonych w rozporządzeniu Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego. Powinno się to odbywać poprzez: 

● umieszczenie tego zadania w rocznym planie audytu wewnętrznego,
● opracowanie programu zadania audytowego,
● prezentowanie, uzgadnianie i komunikowanie wyników zadania w formie sprawozdania. 

Kierownik jednostki powinien także brać pod uwagę fakt, że powierzenie prowadzenia corocznego audytu wewnętrznego w zakresie bezpieczeństwa informacji może oznaczać ograniczenie realizacji zadań zapewniających w innych obszarach ryzyka. Ponadto kierownik jednostki powinien brać pod uwagę, czy pracownicy komórki audytu wewnętrznego posiadają odpowiednie kwalifikacje, doświadczenie i znajomość metodyki prowadzenia audytu w obszarze bezpieczeństwa informacji. W przypadku stwierdzenia braku odpowiedniej wiedzy i doświadczenia należy rozważyć skorzystanie z pomocy ekspertów wewnętrznych lub zewnętrznych.

Polecamy serwis: Audyt i kontrola

Podstawy prawne
● Ustawa z 27 sierpnia 2009 r. o finansach publicznych (Dz.U. nr 157, poz. 1240; ost. zm. Dz.U. z 2012 r. poz. 1548)
● Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526)
● Rozporządzenie Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U. nr 21, poz. 108)

Autopromocja

REKLAMA

Źródło: Poradnik Rachunkowości Budżetowej
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie - zapraszamy do subskrybcji naszego newslettera
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Sektor publiczny
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Ustawa o dostępności w produktach i usługach od 28 czerwca 2025 roku

    Ustawa o zapewnieniu dostępności w produktach i usługach dla osób z niepełnosprawnościami i ze szczególnymi potrzebami ma wejść w życie dnia 28 czerwca 2025 roku. O jakie produkty i usługi chodzi ustawodawcy wdrażającemu unijną dyrektywę zwaną "Europejskim Aktem o Dostępności” (EAA)?

    Ekoschematy 2024 - rozporządzenie wprowadza zmiany od 15 marca

    Ekoschematy 2024 - oświadczenie zastąpi zdjęcia geotagowane. Jest projekt rozporządzenia dotyczącego zmian w dopłatach dla rolników w ramach ekoschematów. Zmiany wejdą w życie 15 marca 2024 roku.

    Co to jest transport sanitarny? Dla kogo jest bezpłatny?

    Pacjent, który nie może się samodzielnie poruszać, a chce udać się do przychodni lub szpitala, może skorzystać z transportu sanitarnego. Jak to się odbywa?

    Podwyżki o 30%-33% z kłopotem dla nauczycieli. Samorządy chcą pieniędzy na dodatki. MEN wyda interpretację?

    Samorządowcy pytają ministerstwo edukacji o zasady wypłaty wyrównań dla nauczycieli. Czy min. edukacji Barbara Nowacka wyjaśni zasady postępowania?

    REKLAMA

    Wywiad Ukrainy: Rosja nasila operację dezinformacyjną Majdan-3; punkt kulminacyjny w marcu-maju 2024 roku

    Rosja nasila operację informacyjną Majdan-3 w celu wywołania konfliktów wewnętrznych w Ukrainie oraz krajach ją popierających, by następnie uderzyć i pokonać wojska ukraińskie na wschodzie – ostrzegł prezydencki komitet ds. wywiadu w Kijowie.

    Znasz portal Diety NFZ? Korzysta z niego już prawie 870 tys. osób

    Portal diety.nfz.gov.pl to baza bezpłatnych przepisów na zdrowe i proste w przygotowaniu dania do samodzielnego przygotowania. Narodowy Fundusz Zdrowia podał, że z planów żywieniowych korzysta już blisko 870 tys. osób. 

    Min. rolnictwa Cz. Siekierski: Różne, nieracjonalne wymogi Zielonego Ładu muszą zostać wycofane

    Minister rolnictwa i rozwoju wsi Czesław Siekierski w dniu 27 lutego 2024 r. w czasie posiedzenia unijnej Rady ds. Rolnictwa i Rybołówstwa (AGRIFISH), powiedział: – Różne, nieracjonalne wymogi Zielonego Ładu muszą zostać wycofane. Komisja Europejska musi zrozumieć protestujących rolników. Rolnicy mówią: nic o nas, bez nas. List przewodniczącego Norberta Linsa pokazuje, że Parlament Europejski też oczekuje szybkich działań.

    Doradca Prezydenta RP: kontrolę nad polskim szkolnictwem obejmie bezpośrednio UE

    Profesor Andrzej Waśko, doradca prezydenta RP, przewodniczący Rady ds. Rodziny, Edukacji i Wychowania, odnosząc się do "Europejskiego obszaru edukacji" podkreślił, że polityka oświatowa, która dotąd była powierzona kompetencji rządów krajowych, stanie się częścią polityki unijnej. Zwrócił uwagę, że kontrole nad polskim szkolnictwem obejmie bezpośrednio UE.

    REKLAMA

    Min. Siekierski: KE narzuciła nieracjonalne wymogi Zielonego Ładu; musimy zrozumieć protesty rolników. 27 lutego posiedzenie unijnej rady ministrów w Brukseli. 29 lutego rozmowy z rolnikami w Ministerstwie

    Komisja Europejska narzuciła zbyt duże, nieracjonalne, kosztowne wymogi Zielonego Ładu, które miały służyć środowisku, przeciwdziałać zmianom klimatu, a w rzeczywistości doprowadziły do bankructwa wielu gospodarstw - oświadczył w 26 lutego 2024 r. na konferencji prasowej w Brukseli minister rolnictwa RP Czesław Siekierski. Wcześniej tego samego dnia, jeszcze będąc w Polsce w czasie konferencji prasowej kierownictwa Ministerstwa Rolnictwa i Rozwoju Wsi, minister Siekierski powiedział: Musimy zrozumieć protesty rolników i o to będę zabiegał na jutrzejszym posiedzeniu unijnej rady ministrów w Brukseli.

    KPO 2024. Polska nie dostanie wszystkich pieniędzy? Ekspert: 43 inwestycje i ich refinansowanie zagrożone. Konieczna rewizja polskiego KPO

    Zdaniem Łukasza Kościjańczuka, eksperta firmy doradczej CRIDO, ok. 43 inwestycji w ramach Krajowego Planu Odbudowy (z 56 zaplanowanych) może nie zostać zrealizowanych do 31 sierpnia 2026 r, co oznacza, że Polska nie otrzyma refinansowania z UE. Dlatego niezbędna jest rewizja KPO, która - jak oszacował ekspert - może objąć nawet połowę planowanych przedsięwzięć.

    REKLAMA