Coraz częściej w zapytaniach do podmiotów publicznych oraz wewnętrznych kontrolach prowadzonych przez jednostki zarządzające pojawia się pytanie o przeprowadzenie audytu KRI. A czym jest wspomniany audyt ?

Zgodnie z Rozporządzeniem Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, czyli tzw. KRI, które weszło w życie w roku 2012, zgodnie z paragrafem 20:

"podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji",

a same podstawowe wymogi tego systemu zostały zawarte w 14 punktach wspomnianego paragrafu. (http://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20170002247/O/D20172247.pdf)

Punkt ostatni dotyczący Systemu Zarządzania Bezpieczeństwem Informacji brzmi:

"14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok".

Także, jeśli jesteś podmiotem publicznym to miałeś 3 lata od wejście w życie Rozporządzenia, aby dostosować się do tych wymogów i stworzyć system ochrony informacji oraz co roku musisz dokonywać wspomnianego powyżej audytu wewnętrznego.

Wewnętrznego nie oznacza, że jest to audyt wykonywany przez osobę z organizacji. Audytor musi być osobą niezależną i posiadać odpowiednią wiedzę, a sam audyt nie służy kontroli tylko ma na celu usprawniać system. Więcej piszę tutaj https://www.trust.net.pl/post/audyt-czy-czas-si%C4%99-pakowa%C4%87

Mijają lata i przychodzi rok 2019. NIK publikuje raport: Zarządzanie bezpieczeństwem informacji w jednostkach samorządu terytorialnego. https://www.nik.gov.pl/kontrole/P/18/006/

W swoim raporcie Najwyższa Izba Kontroli podaje, że ponad 70% badanych urzędów jednostek samorządu terytorialnego jest ocenionych negatywnie, a ocena pozytywna dosłownie brzmi: "Pozytywna, mimo stwierdzonych nieprawidłowości".

Co robić jak żyć ?

Dziś jednym z częstszych błędów popełnianych przez jednostki, jest brak świadomości, że jeśli zajęły się w roku 2018 RODO, to mają i KRI.

Niestety tak nie jest. RODO to dane osobowe, a KRI to informacja. RODO nie chroni informacji o przetargach, projektach, budżecie i wielu innych cennych informacjach.

Zresztą sam NIK, pięknie pokazał to w swoim raporcie.

źródło: https://www.nik.gov.pl/kontrole/P/18/006/

I wiem jakie pytanie urodziło się teraz w głowie, jeśli jesteś osobą odpowiedzialną w jakiejkolwiek instytucji publicznej.

Jeśli chcesz uzyskać na nie odpowiedź, zapraszam do kontaktu https://www.trust.net.pl/kontakt