Audyt zgodności z KRI Szczecin, Gorzów, Koszalin

Spis treści
Toggle

Audyt zgodności z KRI – czym jest?
Kwalifikacje do przeprowadzenia audytu zgodności z KRI:
Audyt zgodności z KRI – sprawdź przepisy!
Uzyskaj bezpłatną wycenę w ciągu 48h!

Audyt zgodności z KRI – czym jest?

Audyt zgodności z KRI – czyli Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t. j. Dz. U. z 2017 r. poz. 2247) dotyczy wyłącznie instytucji publicznych.

Wymogiem rozporządzenia KRI jest konieczność wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji. Wymogi, które powinien spełniać SZBI zostały sprecyzowane dosyć klarownie w § 20 tego rozporządzenia. Obowiązkiem określonym w § 20 ust. 2 p. 14 jest przeprowadzenie audytu zgodności KRI co najmniej raz w roku!

Kwalifikacje do przeprowadzenia audytu zgodności z KRI:

ukończone studia podyplomowe ABI / IOD,
certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji wg normy EN ISO/IEC 27001:2017 wydanym przez polską jednostkę certyfikującą TÜV NORD POLSKA z akredytacją Polskiego Centrum Akredytacji (PCA),
doświadczenie praktyczne w administracji publicznej oraz teoretyczne (absolwent Wydziału Prawa i Administracji US),
więcej w zakładce „o mnie”.

Audyt zgodności z KRI – sprawdź przepisy!

Treść § 20 KRI dotycząca audytu KRI

Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:
- zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia.
- utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.
- przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy.
- podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji.
- bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4.
- zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
  1. zagrożenia bezpieczeństwa informacji.
  2. skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna.
  3. stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.
- zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
  1. monitorowanie dostępu do informacji,
  2. czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
  3. zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
- ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
- zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
- zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji.
- ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych.
- zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
  1. dbałości o aktualizację oprogramowania,
  2. minimalizowaniu ryzyka utraty informacji w wyniku awarii.
  3. ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
  4. stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
  5. zapewnieniu bezpieczeństwa plików systemowych.
  6. redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
  7. niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
  8. kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.
- bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.
- zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:
- PN-ISO/IEC 27002 – w odniesieniu do ustanawiania zabezpieczeń.
- PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem.
- PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.
Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia.

Audyt zgodności z RODO

Analiza ryzyka

Uzyskaj bezpłatną wycenę w ciągu 48h!

* Informujemy, iż Administratorem danych osobowych przesłanych w formularzu kontaktu jest: Bartosz Biegus, prowadzący działalność gospodarczą pod nazwą: "IODO Bartosz Biegus" z siedzibą: ul. Cystersów 2a/3, 74-106 Kołbacz. Podanie przez Panią/Pana danych osobowych jest dobrowolne. Może Pani/Pan w każdym momencie cofnąć zgodę na komunikację elektroniczną lub telefoniczną, a cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania danych dokonanego wcześniej. Szczegółowa klauzula informacyjna dostępna jest w zakładce RODO.

* Pani/Pana dane osobowe będą przetwarzane na podstawie art. 6, ust. 1, lit. b RODO ponieważ jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Przetwarzanie będzie trwało do czasu zakończenia negocjacji w sytuacji gdy umowa nie zostanie zawarta, a w sytuacji gdy umowa zostanie zawarta przetwarzanie tych danych będzie niezbędne na czas realizacji Umowy, a po ustaniu Umowy przez czas niezbędny dla celów dochodzenia roszczeń prawnych lub obrony przed takimi roszczeniami.

* - pole wymagane

Tagi : audyt KRI Szczecin audyt KRI zachodniopomorskie audyt KRI Gorzów audyt KRI Koszalin pozycjonowanie stron audyt KRI Stargard audyt KRI Stargard audyt KRI Gryfino

Audyt zgodności z KRI

Spis treści Toggle Audyt zgodności z KRI – czym jest?Kwalifikacje do przeprowadzenia audytu zgodności z KRI:Audyt zgodności z KRI – sprawdź przepisy!Uzyskaj bezpłatną wycenę w ciągu 48h!