Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 roku zostało poświęcone Krajowym Ramom Interoperacyjności. Potocznie stosuje się do nich skrót KRI. W rozporządzeniu tym zostały określone minimalne wymagania dla systemów teleinformatycznych, rejestrów publicznych oraz wymiany informacji, które mają postać elektroniczną.
Czym jest audyt KRI?
Audyt jest kontrolą przeprowadzaną przez niezależnych ekspertów. W przypadku audytu KRI są to eksperci od bezpieczeństwa systemów IT. Audyt wykonują eksperci z zewnątrz, dlatego tego wyniki zawsze są bezstronne i miarodajne. Znalezienie dzisiaj firmy, której specjalnością jest audyt KRI nie jest trudne. Zadania audytowe z tego zakresu najlepiej jest zlecić specjalistom, którzy otrzymali certyfikat audytora wiodącego. Oczywiście zatrudnianie zewnętrznych specjalistów nie jest konieczne. Każda organizacja może audyt KRI wykonać także samodzielnie. Niezależnie od tego, kto będzie audyt KRI wykonywał ma on tylko jeden cel: wskazanie ewentualnych nieprawidłowości w systemie informatycznym. Znając te nieprawidłowości będzie można je usunąć i dostosować system IT tak, aby spełniał minimalne wymagania, które zostały określone we wspomnianym we wstępie rozporządzeniu. Na audyt KRI składa się wiele czynności, w tym między innymi inwentaryzacja sprzętu i oprogramowania, które służy do przetwarzania informacji.
Jak często należy wykonywać audyt KRI?
Wykonywanie audytu KRI jest jednym z obowiązków, które spoczywają na podmiotach realizujących zadania publiczne. Rozporządzenie Rady Ministrów z 12 kwietnia 2012 roku odnoszące się do KRI zaleca, aby audyt ten wykonywany był przynajmniej raz w roku. Podmioty, które zdecydują się na samodzielne wykonanie audytu KRI muszą sprawdzić posługując się listą audytową, czy stosowane systemy bezpieczeństwa informacji spełniają wymogi, które zostały określone we wspomnianym wyżej rozporządzeniu. Wykonywanie audytu KRI przynajmniej raz w roku jest wskazane między innymi dlatego, że wdrożenie systemu zarządzania bezpieczeństwem informacji zajmuje od jednego do trzech miesięcy. Jednostki, które muszą wykonywać audyt KRI to wszystkie podmioty rządowe oraz samorządowe.
Coroczne audyty bezpieczeństwa KRI są jednym z obowiązków spoczywających na jednostkach administracji publicznej. Obowiązek ten wynika z rozporządzenia Rady Ministrów z dnia 12 kwietnia 20102 roku. Rozporządzenie to określa też minimalne wymagania dotyczące bezpieczeństwa, które muszą spełnić zarówno już istniejące, jak i nowe systemy IT wykorzystywane w jednostkach publicznych.
Monika Zygmunt - Jakuć (Inspektor Ochrony Danych)