Jak wygląda audyt wewnętrzny KRI w praktyce?
Audyt wewnętrzny KRI, przeprowadzany jest przez niezależnego audytora, który posiada wiedzę z zakresu bezpieczeństwa informacji. Sprawdzeniu w trakcie czynności audytowych, podlega wywiązanie się z wymogów, określonych w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej jako rozporządzenie).
Audyt ten oprócz sprawdzenia realizacji obowiązków, narzuconych przez ww. rozporządzenie, ma na celu dostarczenie kierownictwu jednostki audytowanej należytej i obiektywnej oceny działania badanego obszaru. W efekcie, ma on doprowadzić do udoskonalenia systemu zarządzania bezpieczeństwem informacji oraz zwiększenia ich bezpieczeństwa w przyszłości.
Stosowane podczas audytu narzędzia i techniki to m.in. przekazanie formularzy samooceny dla jednostki, przegląd posiadanej dokumentacji, odnoszącej się do bezpieczeństwa informacji, w tym dokumentacji z zakresu ochrony danych osobowych, przeprowadzenie wywiadu z kierownictwem oraz zadawanie pytań audytowych innym osobom, które zaangażowane są w proces przetwarzania informacji, a także obserwacje audytora. Wszystkie te działania, mają na celu pozyskanie przez audytora informacji o stanie bezpieczeństwa, które na dalszych etapach, będą podlegały skrupulatnej weryfikacji. Jednym z istotniejszych elementów audytu jest przegląd zabezpieczeń, zastosowanych przez jednostkę. Mowa tutaj również o zabezpieczeniach, przyjętych w systemach informatycznych, dlatego też podczas czynności audytowych, audytor dokonuje ich przeglądu oraz konsultuje swoje spostrzeżenia z informatykiem jednostki. Przez cały czas trwania czynności sprawdzających, audytor dokumentuje działania oraz zdarzenia, które wpływają na jego końcową ocenę. W razie potrzeby, tworzone są również dowody audytowe. Polegają one np. na wykonaniu zdjęć, które po audycie, razem z pozostałą dokumentacją, przekazywane są kierownictwu.
Czynności audytowe, kończą się przekazaniem całości sporządzonej dokumentacji (ankiet, dowodów audytowych i in.) w tym raportu, zawierającego kompleksowe informacje o poziomie bezpieczeństwa informacji w jednostce oraz o stopniu w jakim wymogi rozporządzenia, zostały spełnione. W zależności od wielkości jednostki audytowanej, audyt ten może trwać od jednego do nawet kilkunastu dni.
Odnosząc się do wykonywanych przez nas audytów wewnętrznych KRI, można wyszczególnić następujące etapy działania:
-
przeprowadzenie narady otwierającej
-
przekazanie samooceny kierownictwu jednostki audytowanej
-
przystąpienie do realizacji audytu w jednostce
-
przekazanie dokumentacji, szczegółowe omówienie zawartych w niej wniosków
-
przeprowadzenie narady zamykającej
W przypadku problemów z wykonaniem audytu KRI w Państwa jednostce, zachęcamy do skorzystania z naszej usługi Audyt KRI
Anita Kałużna
Inspektor Ochrony Danych