Audyt zgodny z KRI

Audyt KRI – czym jest?

Audyt KRI jest jednym z wymogów rozporządzenia Rady Ministrów z dnia 12.04.2012 r. w sprawie Krajowych Ram Interoperacyjności.
Ważnym obowiązkiem podmiotów objętych KRI jest przeprowadzenie audytu, którego celem jest weryfikacja bezpieczeństwa danych. Audyt należy wykonać przynajmniej raz w roku i może być przeprowadzony wewnętrznie lub z pomocą zewnętrznej firmy.
Audyt wewnętrzny przeprowadzany przez osoby nie posiadające wymaganych kwalifikacji lub osoby powiązane z codzienną pracą jednostki może być jednak nieobiektywny lub nieprawidłowy. Może to prowadzić do incydentów związanych z bezpieczeństwem informacji lub ochroną danych. Incydentów możemy uniknąć przy dokładnej weryfikacji zabezpieczeń prowadzonej przez fachowy zespół audytorów zewnętrznych.

Przebieg audytu

Przedmiotem audytu „krajowych ram” jest weryfikacja bezpieczeństwa informacji i systemów informatycznych. Wbrew pozorom zakres tego audytu jest bardzo szeroki, gdyż §20 ust. 3 Rozporządzenia stanowi, że system zarządzania bezpieczeństwem informacji w jednostce publicznej jest zgodny z KRI jeśli został opracowany na podstawie Polskiej Normy PN-ISO 27001, a ustanowione zabezpieczenia, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą.
W praktyce oznacza to, że audyt powinien objąć swoim zakresem normy ISO 27002, ISO 27005 oraz ISO 22301.

Każdy audyt KRI zakończony jest sporządzeniem raportu, przedstawiającego poziom spełnienia wymogów w formie graficznej, opis badanych obszarów oraz listę zaleceń.