AUDYT BEZPIECZEŃSTWA INFORMACJI KRI
Celem kontroli jest dokonanie oceny działania systemów teleinformatycznych pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz przestrzegania wymagań zawartych w Krajowych Ramach Interoperacyjności.
Podstawa wykonania audytu:
- 20 ust. 2 pkt 14 rozporządzenia KRI zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Kontrola powinna objąć następujące główne obszary:
- Interoperacyjność – wymianę informacji w postaci elektronicznej, w tym współpracę z innymi systemami/rejestrami informatycznymi i wspomagania świadczenia usług drogą elektroniczną.
- Bezpieczeństwo informacji w systemach teleinformatycznych.
- Dostosowanie dla osób niepełnosprawnych. Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych
W ramach audytu system skupiamy się na 14 punktach kontroli:
- zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
- utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji
- przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko,
- podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia
- bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
- zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji
- zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami
- ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
- zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
- zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
- ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
- zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych,
- bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji
- zapewnienia okresowego audytu wewnętrznego
Korzyści płynące z przeprowadzenia audytu wewnętrznego bezpieczeństwa informacji:
- Obiektywna ocena wdrożonych polityk bezpieczeństwa informacji oraz funkcjonowania systemu zarządzania bezpieczeństwem informacji w podmiocie.
- Zwiększenie świadomości kierownictwa podmiotu na temat ryzyk i podatności związanych z systemem bezpieczeństwa informacji.
- Spełnienie obowiązków wynikających z przepisów prawa.
- Uzyskanie wskazówek i zaleceń dotyczących stosowanych środków technicznych i organizacyjnych w celu ochrony danych i informacji.
- Wzmocnienie systemu ochrony danych osobowych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).
Przygotowanie podmiotu do ewentualnych kontroli ze strony organów uprawnionych do sprawdzania bezpieczeństwa informacji.