Artykuł: Jak wygląda audyt wewnętrzny KRI w praktyce?

Jak wygląda audyt wewnętrzny KRI w praktyce?

Posted on przez skadmin

Jak wygląda audyt wewnętrzny KRI w praktyce?

Audyt wewnętrzny KRI, przeprowadzany jest przez niezależnego audytora, który posiada wiedzę z zakresu bezpieczeństwa informacji. Sprawdzeniu w trakcie czynności audytowych, podlega wywiązanie się z wymogów, określonych w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej jako rozporządzenie).

Audyt ten oprócz sprawdzenia realizacji obowiązków, narzuconych przez ww. rozporządzenie, ma na celu dostarczenie kierownictwu jednostki audytowanej należytej i obiektywnej oceny działania badanego obszaru. W efekcie, ma on doprowadzić do udoskonalenia systemu zarządzania bezpieczeństwem informacji oraz zwiększenia ich bezpieczeństwa w przyszłości.

Stosowane podczas audytu narzędzia i techniki to m.in. przekazanie formularzy samooceny dla jednostki, przegląd posiadanej dokumentacji, odnoszącej się do bezpieczeństwa informacji, w tym dokumentacji z zakresu ochrony danych osobowych, przeprowadzenie wywiadu z kierownictwem oraz zadawanie pytań audytowych innym osobom, które zaangażowane są w proces przetwarzania informacji, a także obserwacje audytora. Wszystkie te działania, mają na celu pozyskanie przez audytora informacji o stanie bezpieczeństwa, które na dalszych etapach, będą podlegały skrupulatnej weryfikacji. Jednym z istotniejszych elementów audytu jest przegląd zabezpieczeń, zastosowanych przez jednostkę. Mowa tutaj również o zabezpieczeniach, przyjętych w systemach informatycznych, dlatego też podczas czynności audytowych, audytor dokonuje ich przeglądu oraz konsultuje swoje spostrzeżenia z informatykiem jednostki. Przez cały czas trwania czynności sprawdzających, audytor dokumentuje działania oraz zdarzenia, które wpływają na jego końcową ocenę. W razie potrzeby, tworzone są również dowody audytowe. Polegają one np. na wykonaniu zdjęć, które po audycie, razem z pozostałą dokumentacją, przekazywane są kierownictwu.

Czynności audytowe, kończą się przekazaniem całości sporządzonej dokumentacji (ankiet, dowodów audytowych i in.) w tym raportu, zawierającego kompleksowe informacje o poziomie bezpieczeństwa informacji w jednostce oraz o stopniu w jakim wymogi rozporządzenia, zostały spełnione. W zależności od wielkości jednostki audytowanej, audyt ten może trwać od jednego do nawet kilkunastu dni.

Odnosząc się do wykonywanych przez nas audytów wewnętrznych KRI, można wyszczególnić następujące etapy działania:

  • przeprowadzenie narady otwierającej

  • przekazanie samooceny kierownictwu jednostki audytowanej

  • przystąpienie do realizacji audytu w jednostce

  • przekazanie dokumentacji, szczegółowe omówienie zawartych w niej wniosków

  • przeprowadzenie narady zamykającej

W przypadku problemów z wykonaniem audytu KRI w Państwa jednostce, zachęcamy do skorzystania z naszej usługi  Audyt KRI

Anita Kałużna
Inspektor Ochrony Danych