Audyt Krajowych Ram Interoperacyjności (KRI) polega na kompleksowym sprawdzeniu systemów informatycznych i struktury organizacyjnej w urzędach administracji publicznej. Głównym celem badania jest uzyskanie pewności, że wszystkie obszary działania podmiotu są zgodne z określonymi standardami i wymogami interoperacyjności.
Badanie KRI umożliwia znalezienie obszarów wymagających poprawy, a także ułatwia sprawną wymianę informacji pomiędzy różnymi instytucjami. Audyt umożliwia zidentyfikowanie ewentualnych problemów, wprowadzenie poprawek, a także wsparcie rozwoju technologicznego kontrolowanego podmiotu. Wszystkie te działania mają na celu zapewnienie przejrzystości, efektywności i dostępności usług publicznych dla obywateli i firm.
Kogo dotyczy rozporządzenie KRI?
Krajowe Ramy Interoperacyjności to zbiór przepisów, które obejmują podmioty publiczne, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Regularne audyty KRI powinny przeprowadzać:
- urzędy miast i gmin,
- jednostki organizacyjne jak np. przedszkola i szkoły, biblioteki, ośrodki kultury, MOPS/GOPS, spółki miejskie,
- starostwa powiatowe, PUP,
- podmioty publiczne, m.in. kluby sportowe, organizacje rządowe, stowarzyszenia.
Zgodnie z Rozporządzeniem o KRI audyt wewnętrzny w zakresie bezpieczeństwa informacji powinien być przeprowadzany nie rzadziej niż raz na rok.
Czy każdy podmiot publiczny ma obowiązek przeprowadzenia audytu?
Każdy podmiot publiczny ma obowiązek przeprowadzenia audytu KRI. Osoby zarządzające jednostką są zobowiązane do zapewnienia audytu wewnętrznego, który powinien obejmować w szczególności obszar bezpieczeństwa informacji. Badanie powinno być przeprowadzone nawet w małych jednostkach publicznych.
Zakres audytu KRI
Audytor weryfikuje, w jaki sposób funkcjonuje obszar bezpieczeństwa informacji w jednostce. Chodzi przede wszystkim o działania techniczne i organizacyjne, których celem jest zmniejszenie ryzyka utraty poufności, dostępności lub integralności danych. W trakcie badania identyfikuje się luki i błędy, które następnie opisywane są w raporcie wraz z zaleceniami. Dzięki temu zarządzający jednostką mają kompleksowe informacje o statusie bezpieczeństwa, a jednocześnie wiedzą, jakie obszary należy usprawnić.
Kto powinien być obecny w trakcie audytu? Jakie informacje należy przygotować?
W trakcie audytu powinien być obecny kierownik jednostki, który ma dostęp do kluczowych zasobów i wewnętrznej wiedzy. Ponadto pomocny jest także informatyk lub specjalista obsługujący podmiot, który dysponuje wiedzą techniczną. Tego rodzaju informacje są niezbędne, aby udzielić odpowiedzi na pytania dotyczące stosowanych zabezpieczeń przez organizację.
Nieprawidłowości w audytowanej jednostce. Co dalej?
Audyt KRI może wykryć różnego rodzaju nieprawidłowości. Zadaniem kierujących placówką jest skorygowanie ich przed kolejnym badaniem. Obowiązujące przepisy dotyczące Krajowych Ram Interoperacyjności (KRI) nakładają obowiązek corocznego przeprowadzania badania bezpieczeństwa informacji.
Audyt pomaga w zidentyfikowaniu ewentualnych błędów i luk, które mogą wpływać na działanie jednostki, a jednocześnie spełnia wymóg prawny. Badanie to ważny element, który umożliwia wywiązanie się z zasady rozliczalności zgodnie z założeniami RODO. Administrator danych musi mieć możliwość udowodnienia, że podjął wszystkie możliwe działania, aby zapewnić skuteczną ochronę danych osobowych m.in. przed kradzieżą, utratą czy nieuprawnioną modyfikacją.
Raport z audytu KRI
Podsumowanie audytu KRI znaleźć można w raporcie końcowym. Znajdują się w nim skatalogowane obszary, które były skontrolowane, opisuje czynniki wpływające nas pełnienie określonych wymogów i dokonuje oceny ich realizacji.
Skala ocen w audycie KRI:
- wymagania spełnione,
- wymagania spełnione częściowo,
- wymagania niespełnione.
Raport zawiera podsumowanie, w którym wskazane są obszary, które nie spełniają ustalonych kryteriów zgodności. Ponadto audytor zamieszcza zalecenia, co do dalszych działań, których celem jest wyeliminowanie błędów i poprawa bezpieczeństwa danych w jednostce.
Więcej informacji o audycie znaleźć można u specjalistów EDUODO.
Artykuł sponsorowany
