Case studyRODO

Audyt wewnętrzny zlecony w obszarze bezpieczeństwa teleinformatycznego w jednostkach administracji rządowej

Audyt wewnętrzny zlecony w obszarze bezpieczeństwa teleinformatycznego w jednostkach administracji rządowej zrealizowany został przez Ministerstwo Finansów na podstawie ustawy o finansach publicznych przy współpracy Ministerstwa Administracji i Cyfryzacji w terminie od 16 września do 22 października 2013 r. Audytem objęto ponad 300 jednostek sektora finansów publicznych, w tym szereg jednostek, które do audytu przystąpiły dobrowolnie. Audyt przeprowadzony został na polecenie Prezesa Rady Ministrów. W badaniu wzięły udział ministerstwa, urzędy centralne, urzędy wojewódzkie oraz jednostki podległe i nadzorowane, zarządzające istotnymi dla Państwa systemami teleinformatycznymi.

Tematem audytu było zarządzanie bezpieczeństwem systemów teleinformatycznych w wybranych urzędach administracji rządowej.

Celem audytu było zebranie informacji nt. działań jednostek administracji rządowej w zakresie zapewnienia bezpieczeństwa wybranych systemów teleinformatycznych, zidentyfikowanie zagrożeń i słabych punktów w zarządzaniu bezpieczeństwem tych systemów. Objęte audytem były jawne systemy teleinformatyczne jednostek.

Audyt wewnętrzny zlecony, przeprowadzony został w formie czynności doradczych, które miały polegać na zgromadzeniu przez audytorów wewnętrznych informacji w ww. obszarach poprzez zebranie odpowiedzi na pytania zawarte w trzech rodzajach ankiet:

  • ankieta nr 1 dotyczyła ogólnych zagadnień, związanych z polityką bezpieczeństwa informacji,
  • ankieta nr 2 dotyczyła systemów teleinformatycznych funkcjonujących w jednostce,
  • ankieta nr 3 dotyczyła szczegółowych informacji nt. wybranych systemów  teleinformatycznych funkcjonujących w jednostce.

 

Główne wnioski:

  • politykę bezpieczeństwa informatycznego posiadała jedynie połowa jednostek,
  • procedurę rejestracji i nadawania uprawnień posiadała zaledwie 1/3 jednostek, nieco mniej prowadzi regularne przeglądy nadawanych uprawnień,
  • zdecydowana większość jednostek nie prowadzi regularnych szkoleń z zakresu bezpieczeństwa informatycznego.

 

Wiele jednostek nie jest odpowiednio zabezpieczonych, istnieją poważne luki w procedurach i umiejętnościach, które należy wypełniać.