Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Podobne dokumenty
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

PRELEGENT Przemek Frańczak Członek SIODO

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Jak sobie radzić z ryzykiem w szkole

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Marcin Soczko. Agenda

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Krzysztof Świtała WPiA UKSW

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Zdrowe podejście do informacji

Umowa nr.. zawarta r. w Warszawie pomiędzy: Ministerstwem Kultury i Dziedzictwa Narodowego reprezentowanym przez MKiDN, zwanego dalej

Zarządzenie nr 1/2017 Dyrektora Przedszkola nr 20 w Rybniku z dnia 17 stycznia 2017 roku

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Koncepcja oceny kontroli zarządczej w jednostce samorządu. ElŜbieta Paliga Kierownik Biura Audytu Wewnętrznego - Urząd Miejski w Dąbrowie Górniczej

1. 1. Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Z 2013 r. Poz. 885, z późn. zm.).

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ

Przedszkole Nr 30 - Śródmieście

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Samoocena w systemie kontroli zarządczej z perspektywy audytora wewnętrznego

Standardy kontroli zarządczej

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Zarządzanie finansami publicznymi narzędzia zarządzania finansami publicznymi oraz efektywne sposoby wydatkowania środków publicznych. Marzec 2010 r.

Zarządzenie nr 2/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 12 czerwca 2015 roku

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Zarządzenie Nr 1152/2014 Prezydenta Miasta Sopotu z dnia 24 stycznia 2014 r.

Zarządzenie nr 8/2015 Dyrektora Zespołu Szkół nr 2 w Rybniku z dnia 11 czerwca 2015 roku

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Nowa ustawa o finansach publicznych istotnie ograniczyła liczbę jednostek, które obligatoryjnie będą musiały przeprowadzać audyt wewnętrzny.

Wykorzystanie norm w projektowaniu i utrzymywaniu systemów informatycznych służących do przetwarzania danych osobowych. Biuro Generalnego Inspektora

Kontrola zarządcza w szkołach i placówkach oświatowych. Ewa Halska, Andrzej Jasiński, OSKKO

WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Karta audytu Uniwersytetu Śląskiego w Katowicach

ZARZĄDZENIE NR 15/2017 BURMISTRZA KARCZEWA z dnia 25 stycznia 2017 r.

PROCEDURA KONTROLI ZARZĄDZCZEJ. Szkoły Podstawowej w Ligocie Małej

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

ZARZĄDZENIE Nr 52/14 BURMISTRZA SZYDŁOWCA z dnia 12 maja 2014 roku

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Czy wszystko jest jasne??? Janusz Czauderna Tel

Zarządzenie Nr 167/2017 Prezydenta Miasta Kalisza z dnia 20 marca 2017 r.

Oświadczenie o stanie kontroli zarządczej. Rektor Akademii im. Jana Długosza w Częstochowie. 1) za rok 2017 (rok, za który składane jest oświadczenie)

KONTROLA ZARZĄDCZA w jednostkach sektora finansów publicznych. Prowadzący: Artur Przyszło

Z A R Z Ą D Z E N I E Nr 3/2011

Warszawa, dnia 12 grudnia 2013 r.

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

KARTA AUDYTU WEWNĘTRZNEGO

Zarządzenie Nr 1697/2011. Prezydenta Miasta Radomia

I. Postanowienia ogólne.

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

KARTA AUDYTU WEWNĘTRZNEGO

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Zarządzenie nr 28/2014 z dnia 21 października 2014 roku Dyrektora Młodzieżowego Ośrodka Wychowawczego w Jaworku

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

Zarządzenie Nr 88/2016 Prezydenta Miasta Kalisza z dnia 10 lutego 2016 r.

ZARZĄDZENIE NR 21/2015 BURMISTRZA MIASTA WĄGROWCA z dnia 02 lutego 2015 r. w sprawie wprowadzenia Księgi Procedur Audytu Wewnętrznego

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

ZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r.

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Zarządzenie Nr Or.I Burmistrza Gogolina z dnia 11 stycznia 2016r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Polityka kontroli zarządczej w Bibliotece Publicznej im. Jana Pawła II w Dzielnicy Rembertów m.st. Warszawy

ZARZĄDZENIE Nr 26 / 2011 WÓJTA GMINY GROMNIK. z dnia 29 kwietnia 2011 roku

Zarządzenie nr 3055 /2017 Prezydenta Miasta Płocka z dnia 01 marca 2017 r.

ZARZĄDZENIE Nr 21/11 MARSZAŁKA WOJEWÓDZTWA ZACHODNIOPOMORSKIEGO z dnia 10 marca 2011 r.

Standardy kontroli zarządczej

Procedura Systemu Zarządzania Jakością wg PN-EN ISO 9001:2009 Kontrola zarządcza w jednostkach organizacyjnych Gminy Wólka poziom II

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r.

ZARZĄDZENIE NR 85/2011 WÓJTA GMINY KOBYLNICA z dnia 29 kwietnia 2011 roku

ZARZĄDZENIE NR 19/2011/2012 DYREKTORA PRZEDSZKOLA KRÓLA Maciusia I w Komornikach z dnia w sprawie przyjęcia regulaminu kontroli zarządczej

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

KARTA AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO

Zarządzenie Nr 349/2015 Prezydenta Miasta Kalisza z dnia 11 sierpnia 2015 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

ZARZĄDZENIE Nr 13/2018. STAROSTY NOWODWORSKIEGO z dnia 16 marca 2018 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU

Departament Audytu Wewnętrznego i Certyfikacji

OŚWIADCZENIE O STANIE KONTROLI ZARZĄDCZEJ DYREKTORA SZKOŁY PODSTAWOWEJ NR 10 W BYDGOSZCZY ZA ROK 2012

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

ZARZĄDZENIE NR 214/B/10 BURMISTRZA STRZEGOMIA. z dnia 3 września 2010 r.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Zarządzenie Nr 508 / 2016 Prezydenta Miasta Kalisza z dnia 9 września 2016 r.

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Transkrypt:

Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny

Audyt wewnętrzny

Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. 2. Ocena, o której mowa w ust. 1, dotyczy w szczególności adekwatności, skuteczności i efektywności kontroli zarządczej w dziale administracji rządowej lub jednostce.

Definicja kontroli zarządczej Art. 68. 1. Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy. 2. Celem kontroli zarządczej jest zapewnienie w szczególności: 1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi; 2) skuteczności i efektywności działania; 3) wiarygodności sprawozdań; 4) ochrony zasobów; 5) przestrzegania i promowania zasad etycznego postępowania; 6) efektywności i skuteczności przepływu informacji; 7) zarządzania ryzykiem.

Obowiązek prowadzenia audytu o o Art. 274.3. Audyt wewnętrzny prowadzi się w jednostkach samorządu terytorialnego, jeżeli ujęta w uchwale budżetowej jednostki samorządu terytorialnego kwota dochodów i przychodów lub kwota wydatków i rozchodów przekroczyła wysokość 40 000 tys. zł. 4. Audyt wewnętrzny prowadzi się również w jednostkach sektora finansów publicznych, których kierownicy podejmą decyzję o prowadzeniu audytu wewnętrznego.

Obowiązek prowadzenia audytu o o Art. 275. Audyt wewnętrzny prowadzi: 1) audytor wewnętrzny zatrudniony w jednostce albo 2) usługodawca niezatrudniony w jednostce, zwany dalej usługodawcą. Art. 278.3 W jednostkach samorządu terytorialnego audyt wewnętrzny może być prowadzony przez usługodawcę, jeżeli ujęta w uchwale budżetowej jednostki samorządu terytorialnego kwota dochodów i przychodów oraz kwota wydatków i rozchodów jest niższa niż 100 000 tys. zł.

Obowiązek prowadzenia audytu o Art. 276. W jednostce samorządu terytorialnego zadania przypisane kierownikowi jednostki związane z audytem wewnętrznym wykonują odpowiednio: wójt, burmistrz, prezydent miasta, przewodniczący zarządu jednostki samorządu terytorialnego.

Audyt własnymi słowami o ŚWIADOMOŚĆ o SPRAWCZOŚĆ o DYSTANS

Po co mi audytor? o o o o o Ocena działalności jednostki (zadania zapewniające). Czynności doradcze (projekty procedur wewnętrznych, projektowanie systemów). Szkolenia (audyt wewnętrzny, kontrola zarządcza, zarządzanie ryzykiem, motywacja, zarządzanie czasem). Udział w zespołach. Głos doradczy podczas narad.

Audyt procesu zarządzania bezpieczeństwem informacji

Przepisy o Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. (Dz.U. z 2012 r., poz. 526) w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Audyt w zakresie bezpieczeństwa informacji o Zgodnie z 20 ust. 1 Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

Audyt w zakresie bezpieczeństwa informacji o Zgodnie z 20 ust. 2 pkt 14 Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Audyt w zakresie bezpieczeństwa informacji o Zgodnie z 20 ust. 2 Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;

Audyt w zakresie bezpieczeństwa informacji 3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; 4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;

Audyt w zakresie bezpieczeństwa informacji 5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4; 6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;

Audyt w zakresie bezpieczeństwa informacji 7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: a) monitorowanie dostępu do informacji, b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji; 8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

Audyt w zakresie bezpieczeństwa informacji 9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; 10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; 11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

Audyt w zakresie bezpieczeństwa informacji 12) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: a) dbałości o aktualizację oprogramowania, b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, e) zapewnieniu bezpieczeństwa plików systemowych,

Audyt w zakresie bezpieczeństwa informacji f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;

Audyt w zakresie bezpieczeństwa informacji 13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Audyty w zakresie bezpieczeństwa informacji w W-MUW o Czynności doradcze w zakresie dostosowania /aktualizacji procedur wewnętrznych dotyczących bezpieczeństwa informacji obowiązujących w Urzędzie do wymagań wynikających z przepisów prawa.

Audyty w zakresie bezpieczeństwa informacji w W-MUW o Ocena procesu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych w Warmińsko-Mazurskim Urzędzie Wojewódzkim w Olsztynie. (obszar badania: nadawanie uprawnień).

Audyty w zakresie bezpieczeństwa informacji w W-MUW o Ocena procesu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych w Warmińsko-Mazurskim Urzędzie Wojewódzkim w Olsztynie. (obszar badania: przeprowadzanie analizy ryzyka).

Audyty w zakresie bezpieczeństwa informacji w W-MUW o Ocena procesu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych w Warmińsko-Mazurskim Urzędzie Wojewódzkim w Olsztynie (obszar badania: zgłaszanie incydentów naruszenia bezpieczeństwa).

Audyty w zakresie bezpieczeństwa informacji w W-MUW o Ocena procesu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych w zakresie inwentaryzacji sprzętu i oprogramowania.

Zalecenia o Zalecenie: Dokonanie przeglądu zadań/czynności realizowanych przez pracowników na stanowiskach pracy pod kątem udzielonych uprawnień dostępu do danych osobowych i w razie konieczności podjęcie działań zmierzających do wydania/zmiany/odwołania stosownych upoważnień/uprawnień dostępu do tych danych.

Zalecenia o Zalecenie: Zgodne z przepisami prawa opracowanie oraz uzupełnienie i uporządkowanie dokumentacji związanej z przetwarzaniem danych osobowych, w szczególności ewidencji osób upoważnionych do przetwarzania danych osobowych, wykazu zbiorów danych osobowych wraz ze wskazaniem programów/systemów zastosowanych do przetwarzania tych danych, rejestru danych osobowych przetwarzanych przez administratora danych.

Zalecenia o Zalecenie: Dokonanie przeglądu udzielonych pracownikom uprawnień dostępu do systemów teleinformatycznych w szczególności, w których przetwarzane są zbiory danych osobowych pod kątem faktycznego posiadania przez tych pracowników upoważnień/uprawnień dostępu do tych danych. Podjęcie stosownych działań w wyniku dokonania przeglądu.

Zalecenia o Zalecenie: Organizowanie cyklicznych szkoleń z zakresu bezpieczeństwa informacji/danych, w tym ochrony danych osobowych, w którym będą uczestniczyli wszyscy pracownicy Urzędu. W szkoleniu należy uwzględnić tematykę związaną z przetwarzaniem danych w systemach informatycznych/teleinformatycznych.

Dziękuję za uwagę Anna Słowińska audytor wewnętrzny 89 5232 492 509 723 206 anna.slowinska@uw.olsztyn.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres