Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski



Podobne dokumenty
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Krzysztof Świtała WPiA UKSW

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Zdrowe podejście do informacji

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

PRELEGENT Przemek Frańczak Członek SIODO

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Warszawa, 2 września 2013 r.

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Społeczeństwo informacyjne Rola normalizacji. Jerzy Krawiec Warszawa,

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMINIE OLECKO KWESTIONARIUSZ SAMOOCENY

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

KWESTIONARIUSZ SAMOOCENY AUDYTU WEWNETRZNEGO ZA ROK

Wprowadzenie. Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy. Akty prawne dot.

Wykorzystanie norm w projektowaniu i utrzymywaniu systemów informatycznych służących do przetwarzania danych osobowych. Biuro Generalnego Inspektora

Marcin Soczko. Agenda

Zakres aktualizacji PBI w świetle nowelizacji przepisów UODO obowiązujących w organizacji

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?

Normalizacja dla bezpieczeństwa informacyjnego

Bezpieczeństwo informacji. jak i co chronimy

SPRAWOZDANIE Z WYKONANIA PLANU AUDYTU WEWNĘTRZNEGO ZA ROK 2015

PLAN AUDYTU WEWNĘTRZNEGO NA ROK 2014

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Szkolenie otwarte 2016 r.

WYSTĄPIENIE POKONTROLNE

Warszawa, dnia 12 maja 2016 r. Poz. 20

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

AW Jawor 2016 r.

Promotor: dr inż. Krzysztof Różanowski

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Kryteria oceny Systemu Kontroli Zarządczej

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Zarządzenie Nr Or.I Burmistrza Gogolina z dnia 11 stycznia 2016r.

Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r.

Dawid Królica Extreme Networks. Usługi Informatyczne jak dobry obszar do budowy CUW Infrastruktura usługowa

Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku

Współpraca audytu wewnętrznego z audytem jakości przy realizacji zadania dotyczącego obszaru bezpieczeństwa informacji

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

ZARZĄDZENIE Nr 58/2014 Starosty Bielskiego z dnia 23 grudnia 2014 r.

Warszawa, 17 marca 2014 r.

Załącznik Nr 3 do Zarządzenia Nr 84 z dnia 15 listopada 2010 roku KWESTIONARIUSZ SAMOOCENY

Zarządzenie wewnętrzne Nr 1 / 2011

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Krajowe Ramy Interoperacyjności obowiązkowe wyzwanie dla JST w

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

KARTA AUDYTU WEWNĘTRZNEGO

SZCZEGÓŁOWY HARMONOGRAM KURSU

METODY I PROCEDURY AUDYTU WEWNĘTRZNEGO W JEDNOSTKACH SEKTORA FINANSÓW PUBLICZNYCH

Kwestionariusz samooceny kontroli zarządczej

ZARZĄDZENIE Starosty Bielskiego

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Karta audytu Uniwersytetu Śląskiego

ZARZĄDZENIE Nr 22/2018 Starosty Bielskiego z dnia 24 maja 2018 r.

KARTA AUDYTU WEWNĘTRZNEGO

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ

Standardy kontroli zarządczej

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Regulamin audytu wewnętrznego

Regulamin audytu wewnętrznego

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Karta Audytu Wewnętrznego Urząd Gminy i Miasta w Miechowie

PROCEDURA P- VI-06. Audyt wewnętrzny w Urzędzie Miasta Szczecin

1. Postanowienia ogólne

Zarządzenie nr 3055 /2017 Prezydenta Miasta Płocka z dnia 01 marca 2017 r.

Wymagania prawne dla oprogramowania w świetle przepisów prawa. Marzena Kwaczyńska Dorota Szczęsnowicz-Kocięcka

Poz. 9 ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia 5 kwietnia 2016 r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PLAN AUDYTU WEWNĘTRZNEGO NA ROK 2016

ZARZĄDZENIE NR 21/2015 BURMISTRZA MIASTA WĄGROWCA z dnia 02 lutego 2015 r. w sprawie wprowadzenia Księgi Procedur Audytu Wewnętrznego

Zarządzenie Rektora Politechniki Gdańskiej nr 36/2012 z 14 listopada 2012 r.

Krajowe Ramy Interoperacyjności - sprawna (?) komunikacja prawnotechnologiczna. informacyjnym

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Standaryzacja Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)

Komunikowanie wyników audytu

PLAN AUDYTU WEWNĘTRZNEGO NA ROK 2015

PLAN AUDYTU NA ROK 2010

Nazwa obszaru (nazwa obszaru z kolumny 2 w tabeli 2) (w etatach) Zarządzanie Instytucją. Kultura i ochrona. dziedzictwa narodowego

Planowana liczba audytorów wewnętrznych przeprowadzających zadanie. (w etatach) Realizacja zadań. Gospodarka mieniem 4 audytorów 100

Transkrypt:

bezpieczeństwa informacji w jednostce Marcin Dublaszewski

Rola audytu w systemie bezpieczeństwa informacji Dobrowolność? Obowiązek?

Dobrowolność Audyt obszaru bezpieczeństwa wynikać może ze standardowej analizy ryzyka i/lub wskazania potrzeby przez kierownika jednostki.

Obowiązek Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych

20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:

14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą,

Nie jest jasne czy twórca Rozporządzenia miał na myśli audyt wewnętrzny w rozumieniu UoFP czy SZJ. Nie jest jasne jak z obowiązku mają wywiązać się jednostki nie zatrudniające / zlecające audytu wewnętrznego.

Wsparcie kierownika jednostki przez komórkę audytu wewnętrznego: Zadanie zapewniające Czynności doradcze

Przykładowe obszary dla zadań zapewniających Rzetelność wykazu zasobów IT jednostki Zasadność przydzielania dostępu do zasobów informatycznych jednostki Bezpieczeństwo fizyczne

Przykładowe słabości Brak rzetelnej inwentaryzacji sprzętu IT Brak wiedzy co do miejsca przechowywania laptopów Brak wiedzy w zakresie zbiorów danych przechowywanych na jednostkach sprzętu

Przykładowe słabości cd. Brak kontroli nad przyznawaniem dostępu do danych wrażliwych (dane kadrowe rodzina, dochody współmałżonków) Brak kontroli nad ruchem pracowników zewnętrznych w obszarach chronionych

Przykładowe obszary dla czynności doradczych: Analiza procedur przyznawania dostępu do zasobów, rozrysowanie, identyfikacja słabych punktów

Przykładowe obszary dla czynności doradczych cd.: Udział w zespole tworzącym procedury systemu bezpieczeństwa. Wskazanie kierunków i obszarów wymagających.

Przykładowe efekty czynności doradczych: Zidentyfikowanie luki w postaci braku procedury cofania uprawnień, Wskazanie kolejności działań wymaganych dla zapewnienia minimalnych wymogów bezpieczeństwa.

Zamówienia o wartości nieprzekraczającej 30 tys. euro ocena audytora wewnętrznego Dziękuję za uwagę Marcin Dublaszewski T: 501 582 886 E: m.dublaszewski@op.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres