Baza wiedzy

Od maja 2012 roku, wszystkie podmioty publiczne przetwarzające informacje w systemie teleinformatycznym mają obowiązek okresowego przeprowadzania audytu wewnętrznego, który skupi się na sprawdzeniu bezpieczeństwa informacji. Audyt powinien być wykonany przynajmniej raz w roku, zgodnie z zasadami wprowadzonymi przez §20 ust. 2 pkt 14 rozporządzenia w sprawie systemów teleinformatycznych. Audyt może być równoznaczny z audytem wewnętrznym na potrzeby ISO 27001.

 

W 2013 roku resort finansów oraz Ministerstwo Cyfryzacji i Administracji opublikowały aktualizację do rozporządzenia, wprowadzając m.in. wytyczne dotyczące przebiegu audytów. Jak powinien wyglądać audyt wewnętrzny bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym?

 

Schemat audytu bezpieczeństwa informacji

Jedną z pierwszych kwestii, jaką należy rozważyć mając obowiązek wprowadzenia wewnętrznych audytów bezpieczeństwa informacji jest przydzielenie zadania audytowego do odpowiednich osób bądź komórek organizacyjnych. Audyty wewnętrzne sprawdzające bezpieczeństwo informacji przetwarzanych w systemie teleinformatycznym nie muszą być wykonywane przez wewnętrzne komórki audytu wewnętrznego, zajmujące się standardowo audytami w innych obszarach działalności firmy.

 

Zadanie wykonania audytów jest powierzane odpowiedniej osobie przez kierownika jednostki, przy czym osoba lub komórka organizacyjna, dla której zleca się wykonywanie audytów powinna posiadać odpowiednie do tego kwalifikacje, znać metodykę audytu w zakresie bezpieczeństwa informacji oraz być komórką niezależną od audytowanego obszaru.

 

Jeśli kierownik jednostki zdecyduje, by obowiązek audytu wewnętrznego pod kątem bezpieczeństwa informacji zlecić komórce audytu wewnętrznego powołanej zgodnie z wymogami ustawy o finansach publicznych, audyt ten powinien być prowadzony zgodnie z odrębnymi wytycznymi przedstawionymi przez Ministerstwo Finansów.

 

Jak podaje Ministerstwo Finansów, audyt wewnętrzny bezpieczeństwa informacji zlecony wewnętrznej komórce audytowej powinien być prowadzony w formie zadania zapewniającego, z uwzględnieniem wymogów określonych w rozporządzeniu Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego.

 

Zadanie związane z wykonaniem audytu powinno być wpisane do rocznego planu audytów wewnętrznych, z opracowaniem programu zadania audytowego oraz zaprezentowaniem i uzgodnieniem wyników zadania w formie sprawozdania z audytu. Audyt nie może zaburzać komórce audytowej innych obowiązków audytowych wewnątrz firmy i ograniczać ich skuteczności w eliminowaniu zagrożeń, jakie mogłyby zostać wykryte podczas audytów.

 

Należy pamiętać, że komórka audytu wewnętrznego działająca w jednostce może nie posiadać odpowiednich uprawnień do prowadzenia audytów bezpieczeństwa informacji i w sytuacji takiej zadanie to nie powinno być takiej komórce zlecane. Metodyka prowadzenia audytu wewnętrznego w zakresie bezpieczeństwa informacji jest nieco inna, niż audyty w innych obszarach organizacji.

 

W przypadku braku wykwalifikowanej i doświadczonej kadry wewnętrznej zdolnej przeprowadzić audyt bezpieczeństwa informacji zgodnie z wszystkimi wymogami rozporządzenia, konieczne może być skorzystanie z pomocy ekspertów wewnętrznych lub zewnętrznych.

 

Obowiązkowy audyt wewnętrzny – kto powinien go wykonać?

§ 20 rozporządzenia w sprawie systemów teleinformatycznych informuje m.in. o wymaganiach dotyczących systemów teleinformatycznych, w których przetwarzane są rejestry publiczne. Wymagania te narzucają, by wszystkie podmioty realizujące zadania publiczne opracowały, wdrożyły, eksploatowały, monitorowały i doskonaliły swój system bezpieczeństwa informacji, gwarantując zachowanie zasad poufności, dostępności i integralności informacji. Jednym z ważniejszych elementów zarządzania bezpieczeństwem informacji jest świadomość zagrożeń, o których podmioty uzyskują często informację podczas audytu wewnętrznego, a także tworzenie warunków, które umożliwiają zapewnienie bezpieczeństwa i eliminowanie tychże zagrożeń.

 

Na podstawie rozporządzenia w sprawie systemów teleinformatycznych oraz wystosowanego później wspólnego stanowiska Departamentu Informatyzacji Ministerstwa Cyfryzacji i Administracji i Departamentu Audytu Sektora Finansów Publicznych Ministerstwa Finansów wnioskować można, że audyt wewnętrzny bezpieczeństwa informacji powinien być wykonywany przynajmniej raz w roku.

 

Dla podmiotów, które posiadają certyfikat zgodności z normą ISO 27001, audyty wewnętrzne są jednym z działań wpisanych w system zarządzania zgodny z normą, dlatego też audyty wewnętrzne wymagane obowiązkiem rozporządzenia będą pokrywały się z audytami ISO. O konieczności prowadzenia cyklicznych audytów wewnętrznych muszą pamiętać zatem przede wszystkim podmioty, które nie posiadają certyfikatu ISO, ale są zobowiązane do wykonywania audytu wewnętrznego bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym zgodnie z rozporządzeniem.