Trafiają do nas zapytania z jednostek realizujących zadania publiczne o coroczny audyt związany z bezpieczeństwem Informacji, o którym mówi Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. „w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych”.
Zgodnie z paragrafem 2 ust. 1 ppt. 14) rozporządzenia, kierownictwo podmiotu publicznego zapewnia okresowy audyt wewnętrzny w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok.
Jednak od tej reguły rozporządzenie wprowadza wyjątek zapisany w ust. 3, w którym zapisano, że jeżeli System Zarządzania Bezpieczeństwem Informacji w danej jednostce został zbudowany w oparciu o Polską Normę PN-ISO/IEC 27001, to ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą (PN-ISO/IEC 27001).
Norma PN-ISO/IEC nie narzuca częstotliwości przeprowadzania audytów bezpieczeństwa informacji więc ich częstotliwość powinna wynikać z analizy SZBI w danej jednostce – w tym z analizy ryzyka. Nic nie stoi na przeszkodzie, aby audyty w tym obszarze były przeprowadzane z częstotliwością np. co dwa lata jeżeli można wykazać, że nie ma potrzeby częstszego ich przeprowadzania. Ważne jest natomiast to, aby zapis mówiący o harmonogramie prowadzonych audytów został wprowadzony do lokalnych polityk.
Ten obszar został uregulowany w rozdziale „9.2 Audyt wewnętrzny” normy PN-ISO/IEC 27001, ale należy mieć na uwadze, że mówiąc o audycie wewnętrznym norma nie odnosi się wprost do komórek audytu wewnętrznego działających w strukturach jednostek realizowanych zadania publiczne, w szczególności do zapisów ustawy o finansach publicznych. Mimo kontrowersji dotyczących różnic pomiędzy audytem wewnętrznym w rozumieniu normy, a audytem wewnętrznym w rozumieniu ustawy o finansach publicznych, znaczna część audytorów wewnętrznych przy okazji audytów wynikających z ustawy analizuje (przynajmniej częściowo) Systemy Zarządzania Bezpieczeństwem Informacji.
Wspólne stanowisko MAiC i MF w sprawie realizacji audytu wewnętrznego.
Z czego wynikają zapytania dotyczące audytu KRI?
Każdego roku jednostki publiczne „bombardowane” są zapytaniami w trybie dostępu do informacji publicznej czy m. in. zrealizowały audyt bezpieczeństwa informacji zgodny z rozporządzenie KRI. Mniejsze jednostki pośpiesznie szukają odpowiedzi na to pytanie często nie potrafiąc uzasadnić czemu takiego audytu nie przeprowadziły.
Wnioskodawcy o udzielenie informacji publicznej często też „przemycają” w zapytaniu sugestię, że jest to obowiązek każdej jednostki i nie ma od niego wyjątku. Jest to oczywiste nadinterpretowywanie zapisów rozporządzenia.
Jeżeli System Zarządzania Bezpieczeństwem Informacji został w jednostce publicznej zbudowany w oparciu o Polską Normę PN-ISO/IEC 27001 można wykazać, że jest zupełnie wystarczającym przeprowadzanie audytów bezpieczeństwa informacji rzadziej niż raz na rok.
Przeprowadzanie audytów jest istotnym elementem zarządzania bezpieczeństwem informacji i nie powinno się ich unikać, ale też trzeba rozważyć możliwości finansowe. W małych jednostkach organizacyjnych samorządów lokalnych, koszt profesjonalnego corocznego audytu prowadzonego przez audytora wiodącego jest istotną pozycją w budżecie i wydaje się, że wyjątek wprowadzony w rozporządzeniu KRI w paragrafie 20 ust. 3 naprawdę jest sensowny.