Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Podobne dokumenty
Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Krzysztof Świtała WPiA UKSW

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Zdrowe podejście do informacji

PRELEGENT Przemek Frańczak Członek SIODO

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Marcin Soczko. Agenda

Krajowe Ramy Interoperacyjności - sprawna (?) komunikacja prawnotechnologiczna. informacyjnym

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r.

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Wprowadzenie. Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy. Akty prawne dot.

Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r.

Samoocena w systemie kontroli zarządczej z perspektywy audytora wewnętrznego

Zasady i tryb przeprowadzania audytu wewnętrznego w Politechnice Warszawskiej

Zarządzenie nr 3055 /2017 Prezydenta Miasta Płocka z dnia 01 marca 2017 r.

1. Postanowienia ogólne

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38

Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Koncepcja oceny kontroli zarządczej w jednostce samorządu. ElŜbieta Paliga Kierownik Biura Audytu Wewnętrznego - Urząd Miejski w Dąbrowie Górniczej

Promotor: dr inż. Krzysztof Różanowski

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

1. 1. Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Z 2013 r. Poz. 885, z późn. zm.).

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

KARTA AUDYTU WEWNĘTRZNEGO

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Wykorzystanie norm w projektowaniu i utrzymywaniu systemów informatycznych służących do przetwarzania danych osobowych. Biuro Generalnego Inspektora

Karta Audytu Wewnętrznego

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Banku Spółdzielczym w Brodnicy

Czy wszystko jest jasne??? Janusz Czauderna Tel

Karta audytu Uniwersytetu Śląskiego

Warszawa, 2 września 2013 r.

Normalizacja dla bezpieczeństwa informacyjnego

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Krajowe Ramy Interoperacyjności obowiązkowe wyzwanie dla JST w

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

I. Postanowienia ogólne.

SKZ System Kontroli Zarządczej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Celami kontroli jest:

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego

KARTA AUDYTU WEWNĘTRZNEGO 1 POSTANOWIENIA OGÓLNE

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 14 października 2010 roku

Jak sobie radzić z ryzykiem w szkole

KARTA AUDYTU WEWNĘTRZNEGO

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W MIEDŹNEJ

WYSTĄPIENIE POKONTROLNE

Standardy kontroli zarządczej

Zarządzenie Rektora Politechniki Gdańskiej nr 36/2012 z 14 listopada 2012 r.

Szkolenie otwarte 2016 r.

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Warszawa, dnia 12 maja 2016 r. Poz. 20

KARTA AUDYTU WEWNĘTRZNEGO

Karta audytu wewnętrznego w Uniwersytecie Mikołaja Kopernika w Toruniu

Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO. 2. Adres Jednostki Bielsk Podlaski, Kopernika 1

Zarządzenie Nr 167/2017 Prezydenta Miasta Kalisza z dnia 20 marca 2017 r.

ROZDZIAŁ I POSTANOWIENIA OGÓLNE

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A.

PROCEDURA KONTROLI ZARZĄDZCZEJ. Szkoły Podstawowej w Ligocie Małej

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Kontrola zarządcza w szkołach i placówkach oświatowych. Ewa Halska, Andrzej Jasiński, OSKKO

KARTA AUDYTU WEWNĘTRZNEGO

ZARZĄDZENIE Nr 26 / 2011 WÓJTA GMINY GROMNIK. z dnia 29 kwietnia 2011 roku

KONTROLA ZARZĄDCZA w jednostkach sektora finansów publicznych. Prowadzący: Artur Przyszło

Karta audytu Uniwersytetu Śląskiego w Katowicach

K A R T A. Audytu Wewnętrznego w Uniwersytecie Śląskim w Katowicach. Rozdział I. Postanowienia ogólne

KARTA AUDYTU WEWNĘTRZNEGO

Zarządzenie Nr 88/2016 Prezydenta Miasta Kalisza z dnia 10 lutego 2016 r.

Transkrypt:

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz. 885, z późn. zm.). Rozporządzenie Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz. U. Nr 21, poz. 108) Standardy audytu wewnętrznego dla jednostek sektora finansów publicznych - Komunikat Nr 4 Ministra Finansów z dnia 20 maja 2011 r. (Dz. Urz. MF Nr 5, poz. 23) obecnie Komunikat Nr 2 Ministra Finansów z dnia 17 czerwca 2013 r. (Dz. Urz. MF poz. 15).

Art. 273. uofp 1. Minister Finansów określi, w formie komunikatu, i ogłosił w Dzienniku Urzędowym Ministra Finansów standardy audytu wewnętrznego dla jednostek sektora finansów publicznych, zgodne z powszechnie uznawanymi standardami audytu wewnętrznego. 2. Audytor wewnętrzny, prowadząc audyt wewnętrzny, kieruje się wskazówkami zawartymi w standardach audytu wewnętrznego, o których mowa w ust. 1 uofp.

Uregulowania prawne Art. 68 uofp 1. Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Uregulowania prawne Art. 272 uofp Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. Ocena ta dotyczy w szczególności adekwatności, skuteczności i efektywności kontroli zarządczej. Zatem w powiązaniu z przepisem art. 68 uofp ocena audytu wewnętrznego kontroli zarządczej w jednostkach sektora finansów publicznych ma pokazać, czy ogół działań podejmowanych dla zapewnienia realizacji celów i zadań realizowany jest w sposób zgodny z prawem (ww. adekwatność), efektywny, oszczędny i terminowy (ww. skuteczność?).

Należy wdrożyć skuteczną kontrolę zarządczą zgodną z międzynarodowymi standardami w tym zakresie, jak np. COSO, INTOSAI, Komisja Europejska. Można się posłużyć metodyką COBIT wykazując jednocześnie racjonalny stosunek do ryzyka i rzeczywiście zamierzając uporządkować środowisko IT w danej instytucji publicznej. Kontrolę zarządczą można wzmocnić poprzez audyt wewnętrzny - niezależny i obiektywny, który ma na celu wspieranie ministra kierującego działem administracji lub kierownika jednostki w realizacji celów i zadań poprzez systematyczną ocenę kontroli zarządczej i doradztwo.

COBIT - metodyką kontroli zarządczej uzupełniającą inne standardy takiej kontroli o uporządkowany zbiór wskazówek dotyczących informatyki. Główną jej zasada zakłada, że jednostka chcąc sobie zapewnić informacje potrzebne jej do osiągnięcia celów nie powinna, ale musi inwestować w zasoby IT, którymi należy zarządzać i je kontrolować za pomocą usystematyzowanego zbioru procesów. Uwzględniając ogólne wymagania dotyczące jakości, powiernictwa i bezpieczeństwa zdefiniowano siedem kryteriów, które muszą spełniać informacje: efektywność (effectiveness), wydajność (efficiency), poufność (confidentiality), integralność (integrity) dostępność (availability), zgodność (compliance), rzetelność (reliability).

Uregulowania prawne Ustawa z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne ( t.j. Dz. U. z 2013r. poz.235 z póź. zm.). Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności oraz minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz dla systemów teleinformatycznych (Dz. U. z 2012 r. poz.526). Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych (Dz. U. z 2010r., Nr 177, poz.1195). Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz. U. z 2002r., Nr 101.poz.926 z późn. zm.). Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004r., Nr 100, poz.1024). Uregulowania wewnętrzne. Norma - PN - ISO/IEC 27001, PN ISO/IEC 17799, PN ISO/IEC 20000, PN ISO/IEC 27005, PN ISO/IEC 24762.

Dostępność Właściwość określająca, że zasób systemu teleinformatycznego jest dostępny i użyteczny. Integralność Właściwość polegająca na zapewnieniu ze zasób systemu nie został zmodyfikowany w sposób nieuprawniony.

Poufność Właściwość zapewniająca, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom fizycznym.

Rozliczalność Właściwość pozwalająca przypisać określone działanie (związane z informacją) do osoby fizycznej lub procesu oraz umiejscowić je w czasie.

15. 1. Systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne projektuje się, wdraża oraz eksploatuje z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk. 2. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne ma na celu dostarczanie tych usług na deklarowanym poziomie dostępności i odbywa się w oparciu o udokumentowane procedury. 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeśli projektowanie, wdrażanie, eksploatowanie, monitorowanie, przeglądanie, utrzymanie i udoskonalanie zarządzania usługą podmiotu realizującego zadanie publiczne odbywają się z uwzględnieniem Polskich Norm: PN- ISO/IEC 20000-1 i PN-ISO/IEC 20000-2.

Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 20. 1. ( ) ( ) 13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PNISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.

W polskim systemie prawnym w sektorze publicznym za datę graniczną należy (...) przyjąć 31 maj 2012 r., kiedy to weszło w życie Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie KRI, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r., poz. 526). Ww. rozporządzenie zostało wydane na podstawie delegacji zawartej w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne (Ustawa z dnia 17 lutego 2005 r. o informatyzacji podmiotów realizujących zadania publiczne, Dz.U. Nr 64, poz. 565 z późn. zm.)

Co możemy sprawdzić bez specjalistycznej wiedzy Procedury wewnętrzne/zgodność Umowy/Licencje Inwentaryzacja/Sprzęt Konta w systemach

Powołanie rzeczoznawcy Aktualizacje oprogramowania na stacjach roboczych i na serwerach Testy penetracyjne sieci/ustawienia parametrów Przegląd logów systemowych /Konta administratorskie Procesy usługowe i interaktywne Struktura (topologia), wydajność sieci Ustawienia dostępów z zewnątrz

I etap przygotowanie do audytu 1. Sporządzenie rocznego planu audytu wewnętrznego. 2. Powołanie rzeczoznawcy do audytu wewnętrznego. II etap Przeprowadzanie audytu wewnętrznego 1. Podsumowanie wstępne 2. Program zadania audytowego 3. Arkusze ustaleń 4. Sprawozdanie z audytu 5. Uzgodnione działania III etap Omówienie wyników audytu z Prezydentem Miasta

Program zadania audytowego analiza ryzyka przykładowe załączniki Zał. nr 1 i 2

Na co zwrócić uwagę Ochronę informacji, czy dostosowana do wymagań rozporządzenia Krajowych Ram Interoperacyjności, Sprawną i bezpieczną wymianę informacji w postaci elektronicznej pomiędzy podmiotami publicznymi w zakresie niezbędnym do efektywnego świadczenia usług publicznych poprzez zapewnienie interoperacyjności sieci wewnętrznych Jednostki oraz sieci publicznej, zgodnie z minimalnymi wymaganiami dla systemów teleinformatycznych w zakresie sposobu zapewnienia bezpieczeństwa przy wymianie informacji, System zarządzania bezpieczeństwem informacji - zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność,

Na co zwrócić uwagę Przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz na podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy, Proces bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób. Współpraca z Wydziałem Informatyki w zakresie aktualizacji serwera autoryzacji użytkowników, Podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość, W umowach serwisowych podpisanych ze stronami trzecimi sprawdzić zapisy gwarantujące odpowiedni poziom bezpieczeństwa informacji,

Na co zwrócić uwagę Zasady zapewniajcie minimalizację wystąpienia ryzyka kradzieży urządzeń mobilnych jak i informacji w nich zawartych, Procedury dot. minimalnych wymagań bezpieczeństwa jakie musi spełnić komputer podłączany do sieci wewnętrznej Jednostki, Procedury kontroli instalacji oprogramowania w eksploatowanych systemach. Zasada pracy na kontach o ograniczonych uprawnieniach dostępu na wszystkich komputerach pracujących w sieci wewnętrznej Jednostki. Zasada prowadzenia rejestru odstępstw wraz z uzasadnieniem oraz wdrożyć dodatkowe zabezpieczenia, Kontrolę zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych.

Na co zwrócić uwagę Ochrony informacji niejawnych Wyznaczenie inspektora bezpieczeństwa teleinformatycznego. Zgodnie z ustawą z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych inspektor bezpieczeństwa teleinformatycznego powinien być pracownikiem pionu ochrony.

Na co zwrócić uwagę Pion informatyczny Informacje na temat prowadzonej inwentaryzacji sprzętu komputerowego i oprogramowania z jego rodzajem i konfiguracją, System monitorowania dostępu do informacji. W oparciu o wdrożony system regularnie prowadzić działania zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, Umowy serwisowe podpisane ze stronami trzecimi zapisy gwarantujące odpowiedni poziom bezpieczeństwa informacji, Aktualizacja oprogramowania.

Podsumowanie: W opinii Ministerstwa Finansów audyt w zakresie bezpieczeństwa informacji powinien być prowadzony w formie zadań zapewniających. W przypadku, gdy zespół audytu wewnętrznego nie będzie posiadał kompetencji do objęcia badaniem ww. obszaru, należy rozważyć skorzystanie z pomocy ekspertów z wewnątrz lub z zewnątrz jednostki.

Podsumowanie: I. Zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji Przepis 20 rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, zwanego dalej rozporządzeniem, określa ciążące na kierownictwie podmiotu publicznego obowiązki związane z systemem zarządzania bezpieczeństwem informacji. Jednym z nich jest wskazany w 20 ust. 2 pkt 14 rozporządzenia obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Podsumowanie: 1. W podmiotach, w których system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, wymagania określone w 20 ust. 1 i 2 rozporządzenia uznaje się za spełnione. W takich podmiotach ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm, związanych z tą normą. 2. Jednostki, które nie wdrożyły systemu zarządzania bezpieczeństwem informacji, zgodnie z normami wskazanymi w 20 ust. 3 rozporządzenia, są zobowiązane, zgodnie z 20 ust. 2 pkt 14 rozporządzenia, do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok.

Podsumowanie:,,Kontrolę realizacji projektów informatycznych o publicznym zastosowaniu należy przeprowadzać dopiero wówczas, gdy jest się wyposażonym w zbiór najlepszych praktyk ITIL, najnowszą wersję Cobit 4.1, normy ISO/IEC 20000 (jedyna oficjalna norma w obszarze zarządzania usługami informatycznymi) i 27001 (norma międzynarodowa określająca wymogi dotyczące systemów zarządzania bezpieczeństwem informacji) i np. w metodykę zarządzania projektami PRINCE2 ze względu na jej światowy rodowód w sektorze publicznym. Można również zamówić audyt IT jako usługę zewnętrzną u profesjonalnego audytora IT posiadającego doświadczenie zawodowe poparte certyfikatami (CISA, CISM, CGEIT, CRISC) oraz potrafiącego zarządzać ryzykiem w projektach informatycznych. Są to fundamentalne podstawy dla dobrze wydatkowanych pieniędzy na audyt IT. Audyt informatyczny powinien pełnić skuteczną i wiarygodną rolę diagnostyczną a także usprawniającą i doradczą dla kontrolowanej jednostki. Dzięki niezależnej i profesjonalnej formie takiego badania, przeprowadzonego zgodnie z najlepszymi praktykami można bowiem potwierdzić skuteczność, efektywność i wiarygodność funkcjonowania obszaru IT kontrolowanego podmiotu. op. cit. dr Anna KACZOROWSKA, Katedra Informatyki, Wydział Zarządzania,, AUDYT I KONTROLE SYSTEMÓW TELEINFORMATYCZNYCH ORAZ PROJEKTÓW IT W SEKTORZE ADMINISTRACJI PUBLICZNEJ

Podsumowanie: Decyzja co do tego, kto ma prowadzić audyt wewnętrzny bezpieczeństwa informacji, spoczywa na kierowniku jednostki.

Dąbrowa Górnicza www.idabrowa.pl Dziękuję za uwagę Elżbieta Paliga - Urząd Miejski w Dąbrowie Górniczej epaliga@dabrowa-gornicza.pl