Obowiązkowy audyt bezpieczeństwa informacji - Kogo dotyczy?

09/05/2024

★★★★★Rating: 4.5 (8140 votes)

W dzisiejszym cyfrowym świecie, bezpieczeństwo informacji stało się kluczowym aspektem funkcjonowania każdej organizacji, a w szczególności podmiotów publicznych. Wiele osób zadaje sobie pytanie, czy audyt bezpieczeństwa informacji jest obowiązkowy. Odpowiedź na to pytanie znajdziemy w przepisach prawa, a konkretnie w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności.

Ile kosztuje audyt bezpieczeństwa informacji? — Podstawowy audyt informatyczny – wstępna ocena stanu kluczowych elementów infrastruktury IT – kosztuje od 689 – 798 zł. Audyt oprogramowania i sprzętu komputerowego, cena: 72 – 147 zł (za komputer). Audyt elementów związanych z ochroną danych osobowych, cena: 1780 – 5120 zł.

Spis treści

Czy audyt bezpieczeństwa informacji jest obowiązkowy zgodnie z KRI?
Kogo dotyczy audyt KRI? Lista podmiotów
Audyt KRI a audyt RODO – kompleksowe podejście do bezpieczeństwa
Czy małe podmioty publiczne są zwolnione z audytu KRI?
Jakie obowiązki nakłada Rozporządzenie Krajowe Ramy Interoperacyjności?
Jak często należy przeprowadzać audyt KRI i z czego to wynika?
Krótko o audycie bezpieczeństwa ruchu drogowego (BRD)
- Definicje audytu bezpieczeństwa ruchu drogowego
- Kiedy należy wykonać audyt BRD?
Podsumowanie
Pytania i odpowiedzi (FAQ)

Czy audyt bezpieczeństwa informacji jest obowiązkowy zgodnie z KRI?

Tak, zgodnie z wyżej wymienionym Rozporządzeniem Rady Ministrów, audyt bezpieczeństwa informacji jest obowiązkowy dla określonych podmiotów. Rozporządzenie to, znane jako Krajowe Ramy Interoperacyjności (KRI), nakłada na podmioty publiczne obowiązek zapewnienia bezpieczeństwa informacji oraz przeprowadzania okresowych audytów w tym zakresie. Co istotne, audyt ten powinien być przeprowadzany nie rzadziej niż raz na rok.

Celem audytu KRI jest weryfikacja wdrożonych procedur i rozwiązań, które mają na celu zapewnienie bezpieczeństwa danych przetwarzanych przez jednostki sektora publicznego. Audyt powinien nie tylko ocenić aktualny stan bezpieczeństwa, ale również zawierać zalecenia i wytyczne dotyczące ewentualnych zmian i modyfikacji infrastruktury, które mają na celu podniesienie poziomu ochrony danych.

Kogo dotyczy audyt KRI? Lista podmiotów

Rozporządzenie KRI skierowane jest do podmiotów publicznych, które przetwarzają rejestry publiczne w postaci teleinformatycznej. Oznacza to, że obowiązek audytu bezpieczeństwa informacji dotyczy szerokiego spektrum organizacji. Poniżej przedstawiamy listę przykładowych podmiotów, których dotyczy Rozporządzenie KRI:

Urzędy Gmin i Miast
Starostwa Powiatowe
Powiatowe Urzędy Pracy
Jednostki organizacyjne, takie jak: szkoły, przedszkola, Gminne i Miejskie Ośrodki Pomocy Społecznej (GOPS/MOPS), Centra Usług Wspólnych (CUW), Powiatowe Centra Pomocy Rodzinie (PCPR), biblioteki, ośrodki kultury, spółki miejskie
Inne podmioty publiczne, np. stowarzyszenia, kluby sportowe, organizacje rządowe, inne instytucje
Wodociągi, spółki wodno-kanalizacyjne
Szpitale i inne podmioty medyczne
Instytucje rządowe, np. RDOŚ, Wody Polskie, Sanepid, KOWR, ARiMR, PIP
Sądy

Jak widać, lista jest bardzo obszerna i obejmuje większość jednostek sektora publicznego. Ważne jest, aby każda organizacja z tej listy upewniła się, czy podlega pod przepisy Rozporządzenia KRI i wdrożyła odpowiednie procedury oraz przeprowadzała regularne audyty.

Audyt KRI a audyt RODO – kompleksowe podejście do bezpieczeństwa

Warto zaznaczyć, że dla pełnej oceny bezpieczeństwa jednostki, audyt KRI powinien być rozszerzony o audyt bezpieczeństwa danych osobowych, wynikający z wymogów RODO (Rozporządzenie Ogólne o Ochronie Danych). Połączenie audytów KRI i RODO daje kompleksowy obraz zarządzania bezpieczeństwem informacji w organizacji. Artykuł 24 pkt. 1 i art. 32 pkt. 1 RODO nakładają na administratorów danych osobowych obowiązki związane z bezpieczeństwem przetwarzania danych, co idealnie komplementuje wymogi KRI.

Czy małe podmioty publiczne są zwolnione z audytu KRI?

Odpowiedź jest jednoznaczna: nie, małe podmioty publiczne nie są zwolnione z obowiązku audytu KRI. Rozporządzenie nie przewiduje wyjątków ze względu na wielkość jednostki. Kierownictwo każdej jednostki publicznej ma obowiązek zapewnienia okresowego audytu bezpieczeństwa informacji. Dostosowanie się do wymogów Rozporządzenia KRI jest odpowiedzialnością kierownictwa danej jednostki.

Jakie obowiązki nakłada Rozporządzenie Krajowe Ramy Interoperacyjności?

Rozporządzenie KRI nakłada na podmioty realizujące zadania publiczne szereg obowiązków w zakresie bezpieczeństwa informacji. Do najważniejszych z nich należą:

Opracowanie i ustanowienie systemu bezpieczeństwa informacji – każda jednostka musi posiadać udokumentowany system zarządzania bezpieczeństwem informacji.
Wdrożenie i eksploatowanie systemu bezpieczeństwa informacji – system musi być nie tylko opracowany, ale realnie wdrożony i stosowany w codziennej praktyce.
Monitorowanie i przeglądanie systemu bezpieczeństwa informacji – system musi być regularnie monitorowany i przeglądany pod kątem skuteczności i aktualności.
Utrzymanie i doskonalenie systemu bezpieczeństwa informacji – bezpieczeństwo informacji to proces ciągły, system musi być stale ulepszany i dostosowywany do zmieniających się zagrożeń.
Zapewnienie poufności, dostępności i integralności informacji – system bezpieczeństwa informacji ma na celu ochronę tych trzech kluczowych aspektów informacji.
Przeprowadzanie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Szczegółowe obowiązki zostały opisane w paragrafie 20 pkt. 1, 2, 3 i 4 Rozporządzenia KRI. Warto dokładnie zapoznać się z tymi przepisami, aby w pełni zrozumieć zakres obowiązków.

Jakie są normy ISO dotyczące audytu wewnętrznego? — Norma ISO 9001 definiuje audyt wewnętrzny jako „systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów z audytu i ich obiektywnej oceny w celu ustalenia stopnia spełnienia kryteriów audytu”.

Jak często należy przeprowadzać audyt KRI i z czego to wynika?

Obowiązek przeprowadzania audytu wynika bezpośrednio z Rozporządzenia KRI, a konkretnie z paragrafu 20 ust. 2 pkt 14, który wyraźnie mówi o obowiązku „zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok”. Częstotliwość audytu – minimum raz na rok – jest więc jasno określona w przepisach prawa.

Krótko o audycie bezpieczeństwa ruchu drogowego (BRD)

Oprócz audytu bezpieczeństwa informacji, w kontekście bezpieczeństwa funkcjonuje również audyt bezpieczeństwa ruchu drogowego (BRD). Choć dotyczy on innego obszaru, warto krótko wspomnieć o jego istocie.

Koncepcja audytu BRD narodziła się w Wielkiej Brytanii w latach 80-tych, a jej celem było zmniejszenie liczby wypadków drogowych. Obecnie audyty BRD są prowadzone w wielu krajach na świecie, w tym również w Polsce.

Definicje audytu bezpieczeństwa ruchu drogowego

Istnieje kilka definicji audytu BRD, ale wszystkie sprowadzają się do tego samego:

Formalne sprawdzenie drogi lub projektu drogi pod kątem bezpieczeństwa ruchu przez wykwalifikowanego inżyniera.
Systematyczne działania kontrolne w trakcie przygotowania i realizacji projektów drogowych w celu minimalizacji ryzyka wypadków.
Procedura sprawdzania planów i projektów z wykorzystaniem wiedzy z zakresu bezpieczeństwa ruchu, przeprowadzana przez niezależnego audytora.

Kiedy należy wykonać audyt BRD?

W Polsce, zgodnie z przepisami, audyt bezpieczeństwa ruchu drogowego jest obowiązkowy w określonych sytuacjach. Zarządca drogi znajdującej się w sieci TENT-T (Transeuropejska Sieć Transportowa) jest zobowiązany do przeprowadzenia audytu BRD:

Przed wydaniem decyzji o pozwoleniu na budowę lub zgłoszeniem przebudowy drogi.
Przed oddaniem drogi do użytkowania.

Do wniosku o pozwolenie na budowę oraz do zawiadomienia o zakończeniu budowy należy dołączyć oświadczenie o przeprowadzeniu audytu BRD.

Podsumowanie

Podsumowując, audyt bezpieczeństwa informacji jest obowiązkowy dla szerokiej grupy podmiotów publicznych w Polsce, co wynika z Rozporządzenia Krajowe Ramy Interoperacyjności. Należy go przeprowadzać nie rzadziej niż raz na rok. Równolegle, w obszarze infrastruktury drogowej funkcjonuje audyt bezpieczeństwa ruchu drogowego (BRD), który ma na celu poprawę bezpieczeństwa na drogach. Oba rodzaje audytów, choć dotyczą różnych dziedzin, łączy wspólny cel – zwiększenie bezpieczeństwa i minimalizacja ryzyka w swoich obszarach.

Pytania i odpowiedzi (FAQ)

Czy audyt bezpieczeństwa informacji jest obowiązkowy dla wszystkich podmiotów publicznych?: Tak, dla większości podmiotów publicznych przetwarzających rejestry publiczne w postaci teleinformatycznej.
Jak często trzeba przeprowadzać audyt KRI?: Nie rzadziej niż raz na rok.
Czy małe jednostki publiczne są zwolnione z audytu KRI?: Nie, rozmiar jednostki nie ma znaczenia, obowiązek dotyczy wszystkich podmiotów objętych Rozporządzeniem KRI.
Co obejmuje audyt KRI?: Weryfikację wdrożonych procedur i rozwiązań zapewniających bezpieczeństwo informacji oraz zalecenia dotyczące poprawy bezpieczeństwa.
Czy audyt BRD jest obowiązkowy dla każdej budowy drogi?: Nie, obowiązek dotyczy dróg znajdujących się w sieci TENT-T przed wydaniem pozwolenia na budowę i przed oddaniem drogi do użytkowania.

Jeśli chcesz poznać inne artykuły podobne do Obowiązkowy audyt bezpieczeństwa informacji - Kogo dotyczy?, możesz odwiedzić kategorię Audyt.