Audyt wewnętrzny zlecony w obszarze bezpieczeństwa teleinformatycznego w jednostkach administracji rządowej

Audyt wewnętrzny zlecony w obszarze bezpieczeństwa teleinformatycznego w jednostkach administracji rządowej zrealizowany został przez Ministerstwo Finansów na podstawie ustawy o finansach publicznych przy współpracy Ministerstwa Administracji i Cyfryzacji w terminie od 16 września do 22 października 2013 r. Audytem objęto ponad 300 jednostek sektora finansów publicznych, w tym szereg jednostek, które do audytu przystąpiły dobrowolnie. Audyt przeprowadzony został na polecenie Prezesa Rady Ministrów. W badaniu wzięły udział ministerstwa, urzędy centralne, urzędy wojewódzkie oraz jednostki podległe i nadzorowane, zarządzające istotnymi dla Państwa systemami teleinformatycznymi.

Tematem audytu było zarządzanie bezpieczeństwem systemów teleinformatycznych w wybranych urzędach administracji rządowej.

Celem audytu było zebranie informacji nt. działań jednostek administracji rządowej w zakresie zapewnienia bezpieczeństwa wybranych systemów teleinformatycznych, zidentyfikowanie zagrożeń i słabych punktów w zarządzaniu bezpieczeństwem tych systemów. Objęte audytem były jawne systemy teleinformatyczne jednostek.

Audyt wewnętrzny zlecony, przeprowadzony został w formie czynności doradczych, które miały polegać na zgromadzeniu przez audytorów wewnętrznych informacji w ww. obszarach poprzez zebranie odpowiedzi na pytania zawarte w trzech rodzajach ankiet:

• ankieta nr 1 dotyczyła ogólnych zagadnień, związanych z polityką bezpieczeństwa informacji,
• ankieta nr 2 dotyczyła systemów teleinformatycznych funkcjonujących w jednostce,
• ankieta nr 3 dotyczyła szczegółowych informacji nt. wybranych systemów  teleinformatycznych funkcjonujących w jednostce.

Główne wnioski:

• politykę bezpieczeństwa informatycznego posiadała jedynie połowa jednostek,
• procedurę rejestracji i nadawania uprawnień posiadała zaledwie 1/3 jednostek, nieco mniej prowadzi regularne przeglądy nadawanych uprawnień,
• zdecydowana większość jednostek nie prowadzi regularnych szkoleń z zakresu bezpieczeństwa informatycznego.

Wiele jednostek nie jest odpowiednio zabezpieczonych, istnieją poważne luki w procedurach i umiejętnościach, które należy wypełniać.

Czytaj więcej...

• Powierzenie przetwarzania danych a audyt wewnętrzny

• Najwyższa Izba Kontroli o bezpieczeństwie informacji w jednostkach realizujących zadania publiczne

• Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw (dane osobowe)

• Czy CUW może powołać inspektora ochrony danych dla wielu jednostek organizacyjnych gminy

• Zasady współpracy audytora wewnętrznego i inspektora ochrony danych przy realizacji zadań w jednostce sektora finansów publicznych

• Audyt wewnętrzny (wspólne stanowisko MAiC i MF)