Warszawa, 2 września 2013 r.



Podobne dokumenty
AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Zarządzenie Nr Or.I Burmistrza Gogolina z dnia 11 stycznia 2016r.

II. Organizacja audytu wewnętrznego w AM

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Zarządzenie Nr 157 Prezydenta Miasta Olsztyn z dnia 13 czerwca 2011r.

ROZPORZĄDZENIE MINISTRA FINANSÓW. z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

z dnia 2015 r. w sprawie przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego

Polityka Ochrony Cyberprzestrzeni RP

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Zarządzenie Nr BO Burmistrza Ozimka z dnia r.

Wymagania prawne dla oprogramowania w świetle przepisów prawa. Marzena Kwaczyńska Dorota Szczęsnowicz-Kocięcka

SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU AUDYTU DLA DZIAŁÓW ADMINISTRACJI RZĄDOWEJ, KTÓRYMI KIERUJE MINISTER INFRASTRUKTURY

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Krzysztof Świtała WPiA UKSW

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r.

DOKUMENTY I PROGRAMY SKŁADAJĄCE SIĘ NA SYSTEM KONTROLI ZARZADCZEJ W

Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r.

ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU. z dnia 28 grudnia 2015 r.

PODRĘCZNIK AUDYTU WEWNĘTRZNEGO

Szczegółowe wytyczne w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r.

Warszawa, dnia 12 maja 2016 r. Poz. 20

Współpraca administracji rządowej i samorządowej w zakresie cyfryzacji usług publicznych

Zarządzenie Nr 5/2009 Starosty Bocheńskiego z dnia 2 lutego 2009 roku

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

ROZPORZĄDZENIE MINISTRA FINANSÓW. z dnia 24 czerwca 2006 r.

Szkolenie otwarte 2016 r.

ZARZĄDZENIE NR 36/2016 BURMISTRZA KSIĄŻA WLKP. z dnia 22 marca 2016 r.

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

MINISTERSTWO SPRAW WEWNĘTRZNYCH i ADMINISTRACJI DEPARTAMENT SYSTEMÓW INFORMATYCZNYCH ADMINISTRACJI PUBLICZNEJ

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA. 1. Celem przeprowadzania audytu wewnętrznego jest usprawnianie funkcjonowania NFZ.

Ankieta dotycząca usługodawcy niezatrudnionego w jednostce

Rozdział 1. Postanowienia ogólne

I. Ogólne cele i zasady audytu wewnętrznego

Opis systemu kontroli wewnętrznej w mbanku S.A.

DZIENNIK URZĘDOWY KOMENDY GŁÓWNEJ STRAŻY GRANICZNEJ

METODY I PROCEDURY AUDYTU WEWNĘTRZNEGO W JEDNOSTKACH SEKTORA FINANSÓW PUBLICZNYCH

Zarządzenie Rektora Politechniki Gdańskiej nr 36/2012 z 14 listopada 2012 r.

Instrukcja Audytu Wewnętrznego

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Zarządzenie Nr R-22/2004 Rektora Politechniki Lubelskiej w Lublinie z dnia 23 czerwca 2004 roku

PLAN AUDYTU NA ROK 2010

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

PLAN AUDYTU WEWNĘTRZNEGO NA ROK 2012 w Biurze Rzecznika Praw Obywatelskich

Polityka kontroli zarządczej w Bibliotece Publicznej im. Jana Pawła II w Dzielnicy Rembertów m.st. Warszawy

DOKUMENTOWANIE CZYNNOŚCI AUDYTORSKICH PROCEDURA P3

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO. 2. Adres Jednostki Bielsk Podlaski, Kopernika 1

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Przedszkole Nr 30 - Śródmieście

SPRAWOZDANIE Z WYKONANIA PLANU AUDYTU ZA ROK 2013

Regulamin audytu wewnętrznego

ZARZĄDZENIE NR 21/2015 BURMISTRZA MIASTA WĄGROWCA z dnia 02 lutego 2015 r. w sprawie wprowadzenia Księgi Procedur Audytu Wewnętrznego

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMINIE OLECKO KWESTIONARIUSZ SAMOOCENY

Procedura aktualizowania Mapy aktywności organizacji pozarządowych Starostwa Powiatowego w Wołominie.

Opis Przedmiotu Zamówienia

KARTA AUDYTU WEWNĘTRZNEGO

ZARZĄDZENIE NR 19/2019 STAROSTY SIEDLECKIEGO. z dnia 4 kwietnia 2019 r.

ABI I OCHRONA DANYCH OSOBOWYCH ORAZ INFORMACJI W ADMINISTRACJI PUBLICZNEJ

ZARZĄDZENIE NR 67/2018 WÓJTA GMINY ŁUBNIANY. z dnia 9 lipca 2018 r. w sprawie wprowadzenia Karty Audytu Wewnętrznego

Regulacje prawne. Artur Sierszeń

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

ZASADY PROGRAMU CERTYFIKAT CHRONIMY DANE OSOBOWE

Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 14 października 2010 roku

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Promotor: dr inż. Krzysztof Różanowski

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

Procedury audytu wewnętrznego Urzędu Miasta Józefowa

Zarządzenie Nr 16/2017 Burmistrza Miasta Czeladź. z dnia 23 stycznia 2017 roku

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Zarządzenie Nr OR OR Burmistrza Gminy i Miasta Lwówek Śląski z dnia 30 lipca 2012r.

Zarządzenie nr 3055 /2017 Prezydenta Miasta Płocka z dnia 01 marca 2017 r.

Regulamin audytu wewnętrznego

Poz. 9 ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia 5 kwietnia 2016 r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

Procedury Audytu Wewnętrznego Gminy Stalowa Wola

Książka Procedur Audytu Wewnętrznego Urzędu Miejskiego w Nowym Mieście Lubawskim oraz jednostek organizacyjnych Gminy Miejskiej Nowe Miasto Lubawskie

1. Powitanie uczestników spotkania 2. Prezentacja podejścia do samooceny w ramach kontroli zarządczej na podstawie wyników badania ankietowego

SPRAWOZDANIE Z WYKONANIA PLANU AUDYTU ZA ROK 2008

Wprowadzenie. Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy. Akty prawne dot.

Bezpieczeństwo informacji dylematy związane z realizacją obowiązku prowadzenia audytu wewnętrznego

S P R A W O Z D A N I E Z WYKONANIA PLANU AUDYTU ZA ROK

Warsztaty dla ABI i ADO (2-dniowe) tworzenie, wdrażanie i nadzór nad systemem ochrony danych osobowych

KARTA AUDYTU WEWNĘTRZNEGO

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

z dnia 2018 r. w sprawie współpracy podmiotów leczniczych prowadzących leczenie lub rehabilitację Przeciwdziałania Narkomanii;

HARMONOGRAM SZKOLENIA

K A R T A. Audytu Wewnętrznego w Uniwersytecie Śląskim w Katowicach. Rozdział I. Postanowienia ogólne

Transkrypt:

Założenia merytoryczne i organizacyjne do audytu wewnętrznego zleconego w zakresie zarządzania bezpieczeństwem systemów teleinformatycznych w wybranych urzędach administracji rządowej Warszawa, 2 września 2013 r.

1. Temat audytu: Zarządzanie bezpieczeństwem systemów teleinformatycznych w wybranych urzędach administracji rządowej. 2. Cel audytu Zebranie informacji nt. działań jednostek administracji rządowej w zakresie zapewnienia bezpieczeństwa wybranych systemów teleinformatycznych 1. Zidentyfikowanie zagrożeń i słabych punktów w zarządzaniu bezpieczeństwem tych systemów. 3. Forma zadania zleconego Czynności doradcze. 4. Czas trwania audytu 16 września 22 października br. 5. Zakres przedmiotowy audytu zleconego 5.1. Obszary audytu W ramach audytu zleconego zostaną zebrane informacje z jednostek w dwóch obszarach: a) polityka bezpieczeństwa teleinformatycznego, w tym zarządzanie incydentami bezpieczeństwa IT, b) zarządzanie zasobami informatycznymi i organizacyjnymi składającymi się na system zabezpieczenia wybranych systemów teleinformatycznych. 5.2. Systemy teleinformatyczne objęte zadaniem 1. W zakresie polityki bezpieczeństwa teleinformatycznego - wszystkie systemy teleinformatyczne funkcjonujące w jednostce. 2. W zakresie zarządzania zasobami informatycznymi i organizacyjnymi: a) duże systemy teleinformatyczne świadczące usługi przez Internet, dla ponad 1000 użytkowników w skali miesiąca (dotyczy także anonimowych użytkowników), b) systemy teleinformatyczne funkcjonujące w jednostce i świadczące usługi w zakresie: elektronicznego obiegu dokumentów, poczty elektronicznej, w tym usługi komunikacji natychmiastowej (IM - instant messaging), obsługi finansowej, obsługi kadrowej, portali, stron internetowych jednostki. Zadaniem nie są objęte systemy teleinformatyczne, które przetwarzają informacje niejawne w rozumieniu ustawy o ochronie informacji niejawnych 2. 1 W rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz. U. z 2013 r. poz. 235) 2

5.3. Dokumenty objęte zadaniem Dokumentacja funkcjonująca w jednostce w ramach systemu zarządzania bezpieczeństwem informacji, wewnętrzne akty prawne (w tym procedury) oraz dokumenty wytworzone przez jednostkę dotyczące zabezpieczenia systemów teleinformatycznych. 5.4. Okres objęty audytem: Od dnia 1 listopada 2011 r. do dnia 16 września 2013 r. 6. Techniki audytu zleconego Niniejszy audyt wewnętrzny zlecony prowadzony jest w formie czynności doradczych, które mają polegać na zgromadzeniu przez audytorów wewnętrznych informacji w ww. obszarach poprzez zebranie odpowiedzi na pytania zawarte w trzech rodzajach ankiet: a) ankieta nr 1 dotyczy ogólnych zagadnień związanych z polityką bezpieczeństwa informacji, b) ankieta nr 2 dotyczy systemów teleinformatycznych funkcjonujących w jednostce, c) ankieta nr 3 dotyczy szczegółowych informacji nt. wybranych systemów teleinformatycznych funkcjonujących w jednostce. Ankiety zostaną przesłane 10 września br. wyłącznie w wersji elektronicznej. Ankiety nr 1 i nr 2 wypełnia audytor wewnętrzny/usługodawca samodzielnie lub we współpracy z osobami, które w jednostce są odpowiedzialne za bezpieczeństwo systemów teleinformatycznych. W ramach gromadzenia informacji niezbędnych do wypełnienia ankiety można stosować następujące techniki: a) wywiady, b) kwestionariusze, c) analiza dokumentacji. Ankietę nr 3 należy wypełnić oddzielnie dla każdego systemu teleinformatycznego przynależącego do jednej z kategorii wymienionych w pkt 5.2.2. Kierownik komórki audytu wewnętrznego/usługodawca przekazuje ankiety w wersji elektronicznej do wypełnienia administratorom poszczególnych systemów objętych badaniem lub innym osobom, które odpowiadają za funkcjonowanie danych systemów w jednostce. Odpowiedzi na pytania zawarte w ankietach przedstawiają ocenę osoby wypełniającej ankietę. Jeżeli administratorzy systemów/osoby wypełniające ankiety będą chcieli dołączyć wyjaśnienia czy zgłosić komentarze, powinni to zrobić w oddzielnym dokumencie z odniesieniem do pytania, którego wyjaśnienia lub komentarze dotyczą. Audytorzy wewnętrzni są zobowiązani do prowadzenia dokumentacji bieżącej zadania audytowego, w sposób zapewniający potwierdzenie informacji przekazanych w ankietach. Ankiety należy wypełniać w wersji elektronicznej, następnie wydrukować i podpisać. 7. Tryb prowadzenia zadania zleconego Audyt zlecony należy formalnie rozpocząć poprzez powiadomienie właściwych komórek audytowanych oraz naradą otwierającą, na której należy przedstawić cel, zakres przedmiotowy oraz ramy czasowe zadania audytowego. Po wypełnieniu ankiet nr 1 i 2 oraz zebraniu ankiet nr 3 kierownik komórki audytu 2 ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych Dz. U. Nr 182, poz. 1228. 3

wewnętrznego/usługodawca sporządza Podsumowanie audytu zleconego (w wersji elektronicznej i papierowej) na które składają się: a) wypełnione ankiety, b) ewentualne wyjaśnienia i komentarze osób wypełniających ankiety, c) opinie lub wnioski z audytu zleconego dotyczące usprawnienia funkcjonowania jednostki, jeżeli takie opinie lub wnioski zostaną sformułowane przez audytorów w wyniku przeprowadzenia niniejszego zadania audytowego. Następnie kierownik komórki audytu wewnętrznego/usługodawca przekazuje do kierownika jednostki Podsumowanie audytu zleconego, który przesyła ww. dokument w terminie do dnia 22 października br. do Ministerstwa Finansów: a) w wersji elektronicznej na adres: koordynacjaaw@mofnet.gov.pl, b) w wersji papierowej na adres: Ministerstwo Finansów Departament Audytu Sektora Finansów Publicznych ul. Świętokrzyska 12 00-916 Warszawa z dopiskiem: Podsumowanie audytu zleconego nazwa jednostki". 8. Akty prawne i inne dokumenty stanowiące odniesienie dla audytorów wewnętrznych: a) ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne, b) rozporządzenie w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych 3, c) Polityka Ochrony Cyberprzestrzeni 4, d) rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych 5 w zakresie odpowiadającym celom audytu, e) Wytyczne Ministra Administracji i Cyfryzacji w zakresie ochrony portali informacyjnych administracji publicznej 6, f) Raporty i zalecenia CERT.GOV.PL 7. 3 rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. poz. 526) 4 http://mac.bip.gov.pl/fobjects/download/5399/polityka-ochrony-cyberprzestrzeni-rp-uchwala-ze-zmianami-pdf.html 5 rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) 6 http://www.cert.gov.pl/portal/cer/9/514/wytyczne_w_zakresie_ochrony_portali_informacyjnych_administracji_publicznej_w pro.html 7 http://www.cert.gov.pl/portal/cer/6/publikacje.html 4

Dodatkowe dokumenty, które mogą stanowić uzupełnienie informacji zawartych ww. przepisach oraz innych ogólnodostępnych dokumentach. a) Polska Norma PN-ISO/IEC 27001, b) PN-ISO/IEC 17799 (w odniesieniu do ustanawiania zabezpieczeń), c) PN-ISO/IEC 27005 (w odniesieniu do zarządzania ryzykiem), d) PN-ISO/IEC 24762 (w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania). 9. Dane kontaktowe: Wszelkie pytania związane z audytem zleconym należy przesyłać wyłączenie w wersji elektronicznej na adres: koordynacjaaw@mofnet.gov.pl. W tytule prosimy podać Audyt zlecony pytanie. 5

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres