Audyt bezpieczeństwa informacji

.

Każdy podmiot zarówno publiczny i prywatny powinien cyklicznie przeprowadzić audyt  bezpieczeństwa informacji, często zwany również jako audyt cyberbezpieczeństwa.

Cel audytu bezpieczeństwa informacji

Każdy podmiot zarówno publiczny i prywatny powinien cyklicznie przeprowadzić audyt  bezpieczeństwa informacji, często zwany również jako audyt cyberbezpieczeństwa.

Bezpieczeństwo informacji. Wymaganiami prawne

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) – RODO
  2. Ustawa z dnia 18 maja 2018 r. o ochronie danych osobowych (Dz.U.2019.1781)
  3. PN-EN ISO/IEC 27000:2020-07 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Przegląd i terminologia
  4. PN-EN ISO/IEC 27001:2017-06 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania
  5. PN-EN ISO/IEC 27002:2023 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Zabezpieczanie informacji
  6. PN-EN ISO 22301:2020-4 Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania
  7. PN-ISO 31000:2018-08 Zarządzanie ryzykiem – Wytyczne
  8. PN-ISO/IEC 29151:2019-01 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady ochrony informacji o identyfikowalnych osobach
  9. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (w skrócie UoKSC)
  10. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (w skrócie KRI)

Audyt KRI - kogo dotyczy rozporządzenie?

Zgodnie z Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada obowiązek zapewnienia bezpieczeństwa informacji oraz okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Rozporządzenie zawiera wytyczne w zakresie bezpieczeństwa informacji w jednostce samorządowej, zaś wymagany co roczny audyt ma być weryfikacją wdrożonych procedur i rozwiązań zapewniających bezpieczeństwo danych. Audyt powinien zawierać zalecenia i wytyczne zmian oraz modyfikacji infrastruktury, mające zapewnić właściwy poziom bezpieczeństwa danych.

Kogo dotyczy audyt KRI?

Rozporządzenie KRI dotyczy podmiotów publicznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Powinny się dostosować do niego:

  • Urzędy Gmin i Miast
  • Starostwa Powiatowe
  • Powiatowe Urzędy Pracy
  • jednostki organizacyjne, np. szkoły, przedszkola, Gminne i Miejskie Ośrodki Pomocy Społecznej GOPS/MOPS, Centra Usług Wspólnych CUW, Powiatowe Centra Pomocy Rodzinie PCPR, biblioteki, ośrodki kultury, spółki miejskie
  • podmioty publiczne, np. stowarzyszenia, kluby sportowe, organizacje rządowe, inne instytucje
  • sądy

Audyt KRI i audyt RODO

Dla pełnej oceny jednostki audyt KRI powinien być rozszerzony o audyt bezpieczeństwa danych osobowych – wymóg art.24 pkt.1 i art.32 pkt.1 RODO. Połączone audyty KRI i RODO dają pełen obraz zarządzania bezpieczeństwem informacji.

Czy wymóg audytu dotyczy każdego podmiotu publicznego ?

Kierownictwo jednostki ma obowiązek zapewnienia okresowego audytu w zakresie bezpieczeństwa informacji. Z wymogu audytu KRI nie są zwolnione nawet małe podmioty publiczne. Należy jednostkę dostosować do wymogów rozporządzenia i jest za to odpowiedzialne kierownictwo.

Jaki obowiązki nakłada Rozporządzenie Krajowe Ramy Interoperacyjności?

Podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji oraz do weryfikacji dostosowania się do Rozporządzenia. Więcej obowiązków zawiera par.20 pkt.1, 2, 3 i 4.

Jak często i z czego wynika obowiązek przeprowadzenia audytu?

Rozporządzenie w par. 20 ust.2 pkt 14 mówi o obowiązku “zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok”.

Główne aspekty dotyczące audytu bezpieczeństwa informacji

Aspekty prawne

W Polsce istnieje wiele przepisów prawnych (wyżej wymienionych) dotyczących ochrony danych osobowych i bezpieczeństwa informacji, w tym ogólne rozporządzenie o ochronie danych osobowych (RODO) oraz ustawa o ochronie danych osobowych. Audyt powinien uwzględniać te wymagania i oceniać zgodność z nimi.

Częstotliwość

Audyt bezpieczeństwa informacji powinien być przeprowadzany regularnie, zgodnie z rekomendacjami i najlepszymi praktykami. Częstotliwość audytu może zależeć od wielu czynników, takich jak wielkość organizacji, rodzaj danych przetwarzanych oraz zmieniające się ryzyka i zagrożenia.

Kto może przeprowadzić audyt?

Pewne zakresy i miejsca audytu wymagają specjalnych uprawnień, które są określane odrębnymi przepisami (np. dla szpitali jest określona również minimalna ilość dwóch osób).

Najczęstszymi wymaganymi uprawnienia są : Audytorzy Wiodący Systemu Zarządzania Bezpieczeństwem Informacji wg normy PN-EN ISO/IEC 27001 Audytorzy Wiodący Systemu Zarządzania Ciągłością Działania wg ISO 22301.

Doering & Partnerzy je posiada – zobacz poniżej komu już pomogliśmy?

Zakres audytu i programy bezpieczeństwa

Zakres audytu bezpieczeństwa informacji powinien być dostosowany do specyfiki jednostki, jej infrastruktury informatycznej oraz rodzaju i wrażliwości przechowywanych danych. Audyt może obejmować ocenę zabezpieczeń fizycznych, kontroli dostępu, zarządzania hasłami, zabezpieczeń sieciowych, procedur zarządzania incydentami i wiele innych obszarów.

Program „Cyfrowa Gmina” i „Cyfrowy Powiat” posiadał własny zakres audytu.

Program “Cyberbezpieczny Samorząd” posiada własne wymagania oraz Ankietę Dojrzałości Cyberbezpieczeństwa JST. Szczegóły tutaj.

Innym programem było wsparcie podmiotów medycznych, szpitali. W ramach Zarządzenia nr 68/2022/BBIICD Prezesa Narodowego Funduszu Zdrowia z dnia 20 maja 2022 r. w sprawie finansowania w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców. Taki audyt powinien jest przeprowadzany w oparciu o

  • Ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
  • Przepisy o Krajowym Systemie Cyberbezpieczeństwa.
  • Standardy Krajowych Ram Interoperacyjności (KRI).
  • Wymagania normatywne PN-EN ISO/IEC 27001:2017-06.
  • Wymagania normatywne PN-EN ISO 22301:2020-04.
  • Wewnętrzna dokumentacja obowiązująca w podmiocie.
  • Ankieta weryfikacji pod kątem dojrzałości cyberbezpieczeństwa.

Audyt bezpieczeństwa u wyznaczonego operatora kluczowego

Skontaktujmy się z profesjonalistami zanim rozpoczniemy poszukiwanie wymagań, zakresu i terminu audytu. Nasi audytorzy w dziedzinie bezpieczeństwa informacji udzielą porady i wskażą minimalne wymagania, pomogą w przygotowaniu stosownej dokumentacji i doborze odpowiedniej infrastruktury IT chroniącej audytowany podmiot.

Zobacz komu dotychczas pomogliśmy?

Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina”UG Ryńskkujawsko-pomorskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina”UM Redapomorskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina” i szkolenie wszystkich pracowników z cyberbezpieczeństwaUM Janowiec Wielkopolskikujawsko-pomorskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina”UG Brzuzekujawsko-pomorskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina”UG Raciążekkujawsko-pomorskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina”UM Rumiapomorskie
Audyt cyberbezpieczeństwa w ramach Zarządzenia Prezesa NFZ i KRISzpital Powiatowy w Węgorzewiewarmińsko-mazurskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina”UG Orchowowielkopolskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina”UG Świnice Warckiełódzkie
Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina”UM Wrześniawielkopolskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina”UM Kowalewo Pomorskiekujawsko-pomorskie
Audyt cyberbezpieczeństwa w ramach Zarządzenia Prezesa NFZ i KRI, w tym analiza poprawności dokumentacji i przygotowanie dokumentacji oraz szkoleniaWojewódzki Szpital Zespolony w Kaliszuwielkopolskie
Audyt cyberbezpieczeństwa w ramach Zarządzenia Prezesa NFZ i KRI, w tym analiza poprawności dokumentacji i przygotowanie dokumentacji oraz szkoleniaSzpital Powiatowy w Chełmniekujawsko-pomorskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina”UG Stegnapomorskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowa Gmina”UM Słupcawielkopolskie
Audyt cyberbezpieczeństwa w ramach Zarządzenia Prezesa NFZ i KRI, w tym analiza poprawności dokumentacji i przygotowanie dokumentacji oraz szkoleniaSzpital Powiatowy w Piszuwarmińsko-mazurskie
Audyt cyberbezpieczeństwa w ramach Zarządzenia Prezesa NFZ i KRI, w tym analiza poprawności dokumentacji i przygotowanie dokumentacji oraz szkoleniaSzpital Powiatowy w Kolewielkopolskie
Audyt cyberbezpieczeństwa w ramach Zarządzenia Prezesa NFZ i KRI, w tym analiza poprawności dokumentacji i przygotowanie dokumentacji oraz szkoleniaSzpital Powiatowy we Wrześniwielkopolskie
Audyt cyberbezpieczeństwa w ramach Zarządzenia Prezesa NFZ i KRI, w tym analiza poprawności dokumentacji i przygotowanie dokumentacji oraz szkoleniaSzpital Powiatowy w Czarnkowiewielkopolskie
Audyt cyberbezpieczeństwa w ramach Zarządzenia Prezesa NFZ i KRI, w tym analiza poprawności dokumentacji i przygotowanie dokumentacji oraz szkoleniaSzpital im. Józefa Babińskiego Specjalistyczny Psychiatryczny Zakład Opieki Zdrowotnej w Łodziłódzkie
Audyt cyberbezpieczeństwa w ramach Zarządzenia Prezesa NFZ i KRI, w tym analiza poprawności dokumentacji i przygotowanie dokumentacji oraz szkoleniaSzpital Powiatowy w Rypiniekujawsko-pomorskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowy Powiat”Powiat Grajewopodlaskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowy Powiat”Powiat Człuchówpomorskie
Audyt cyberbezpieczeństwa zgodnie z KSC i KRIUG Grzegorzewwielkopolskie
Audyt cyberbezpieczeństwa w ramach „Cyfrowy Powiat”Powiat Iławawarmińsko-mazurskie
Skip to content