W ramach programu Cyfrowa Gmina można dokonać zakupów towarów oraz usług w zdefiniowanych obszarach. Trzy obszary są zdefiniowane jako fakultatywne, ale ostatni obszar 4 Cyberbezpieczeństwo jest obligatoryjny. Oznacza to, że przystępując do programu gmina będą musiały dokonać oceny (diagnozy) cyberbezpieczeństwa.
O co chodzi w tej diagnozie?
Ocena (diagnoza) cyberbezpieczeństwa przypomina audyt bezpieczeństwa informacji zgodnie z Rozporządzeniem KRI, ustawą o KSC oraz normą ISO 27001. Nie jest to jedynie kwestia wypełnienia tabeli odpowiednimi wartościami gdyż osoba prowadząca diagnozę powinna tak naprawdę zbadać czy w jednostce funkcjonuje System Zarządzania Bezpieczeństwem Informacji oraz zweryfikować czy jest on zorganizowany zgodnie z obowiązującym prawem oraz standardami międzynarodowymi.
Ocena zgodności cyberbezpieczeństwa musi uwzględniać:
- Zapisy rozporządzenia o Krajowych Ramach Interoperacyjności rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych,
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa,
- Standard COBIT oraz normę PN-ISO/IEC 27001.
Poniżej znajduje się fragment arkusza diagnozy.
![](https://www.open-audit.eu/wp-content/uploads/2021/11/ocena_zgodnosci_1.png)
Kto może przeprowadzić diagnozę?
Diagnozę Cyberbezpieczeństwa może przeprowadzić osoba posiadająca odpowiednie uprawnienia. Dobrą praktyką jest to, aby osoba przeprowadzająca ocenę posiadała co najmniej pięcioletnie doświadczenie w przeprowadzaniu audytów bezpieczeństwa informacji. Lista dopuszczonych uprawnień zawarta jest w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. „w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu”.
Zobacz przykładową kalkulację realizacji usługi „Diagnoza cyberbezpieczeństwa”