Zgodnie z Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada obowiązek zapewnienia bezpieczeństwa informacji oraz okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Rozporządzenie zawiera wytyczne w zakresie bezpieczeństwa informacji w jednostce samorządowej, zaś wymagany co roczny audyt ma być weryfikacją wdrożonych procedur i rozwiązań zapewniających bezpieczeństwo danych. Audyt powinien zawierać zalecenia i wytyczne zmian oraz modyfikacji infrastruktury, mające zapewnić właściwy poziom bezpieczeństwa danych.
Kogo dotyczy audyt KRI?
Rozporządzenie KRI dotyczy podmiotów publicznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Powinny się dostosować do niego:
- Urzędy Gmin i Miast
- Starostwa Powiatowe
- Powiatowe Urzędy Pracy
- jednostki organizacyjne, np. szkoły, przedszkola, Gminne i Miejskie Ośrodki Pomocy Społecznej GOPS/MOPS, Centra Usług Wspólnych CUW, Powiatowe Centra Pomocy Rodzinie PCPR, biblioteki, ośrodki kultury, spółki miejskie
- podmioty publiczne, np. stowarzyszenia, kluby sportowe, organizacje rządowe, inne instytucje
- sądy
Audyt KRI i audyt RODO
Dla pełnej oceny jednostki audyt KRI powinien być rozszerzony o audyt bezpieczeństwa danych osobowych – wymóg art.24 pkt.1 i art.32 pkt.1 RODO. Połączone audyty KRI i RODO dają pełen obraz zarządzania bezpieczeństwem informacji.
Czy wymóg audytu dotyczy każdego podmiotu publicznego ?
Kierownictwo jednostki ma obowiązek zapewnienia okresowego audytu w zakresie bezpieczeństwa informacji. Z wymogu audytu KRI nie są zwolnione nawet małe podmioty publiczne. Należy jednostkę dostosować do wymogów rozporządzenia i jest za to odpowiedzialne kierownictwo.
Jaki obowiązki nakłada Rozporządzenie Krajowe Ramy Interoperacyjności?
Podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji oraz do weryfikacji dostosowania się do Rozporządzenia. Więcej obowiązków zawiera par.20 pkt.1, 2, 3 i 4.
Jak często i z czego wynika obowiązek przeprowadzenia audytu?
Rozporządzenie w par. 20 ust.2 pkt 14 mówi o obowiązku “zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok”.