Pn-Pt 09:00 - 17:00
+48 601 397 826
Augustów, ul. Jonkajtysa 4

AUDYT KRI

AUDYT BEZPIECZEŃSTWA INFORMACJI KRI

Celem kontroli jest dokonanie oceny działania systemów teleinformatycznych pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz przestrzegania wymagań zawartych w Krajowych Ramach Interoperacyjności.

Podstawa wykonania audytu:

  • 20 ust. 2 pkt 14 rozporządzenia KRI zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Kontrola powinna objąć następujące główne obszary:

  • Interoperacyjność – wymianę informacji w postaci elektronicznej, w tym współpracę z innymi systemami/rejestrami informatycznymi i wspomagania świadczenia usług drogą elektroniczną.
  • Bezpieczeństwo informacji w systemach teleinformatycznych.
  • Dostosowanie dla osób niepełnosprawnych. Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych

W ramach audytu system skupiamy się na 14 punktach kontroli:

  1. zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
  2. utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji
  3. przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko,
  4. podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia
  5. bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
  6. zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji
  7. zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami
  8. ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
  9. zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
  10. zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
  11. ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
  12. zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych,
  13. bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji
  14. zapewnienia okresowego audytu wewnętrznego

Korzyści płynące z przeprowadzenia audytu wewnętrznego bezpieczeństwa informacji:

  • Obiektywna ocena wdrożonych polityk bezpieczeństwa informacji oraz funkcjonowania systemu zarządzania bezpieczeństwem informacji w podmiocie.
  • Zwiększenie świadomości kierownictwa podmiotu na temat ryzyk i podatności związanych z systemem bezpieczeństwa informacji.
  • Spełnienie obowiązków wynikających z przepisów prawa.
  • Uzyskanie wskazówek i zaleceń dotyczących stosowanych środków technicznych i organizacyjnych w celu ochrony danych i informacji.
  • Wzmocnienie systemu ochrony danych osobowych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).

Przygotowanie podmiotu do ewentualnych kontroli ze strony organów uprawnionych do sprawdzania bezpieczeństwa informacji.