Są dwa sposoby realizacji okresowego audytu bezpieczeństwa informacji

W związku z licznymi pytaniami oraz problemami interpretacyjnymi dotyczącymi zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, o którym mowa w par. 20 ust. 2 pkt 14 rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych departament informatyzacji Ministerstwa Administracji i Cyfryzacji (MAiC) oraz departament audytu sektora finansów publicznych Ministerstwa Finansów (MF) opracowały wspólne stanowisko w powyższym zakresie. Prezentuje ono dwa sposoby wywiązania się z obowiązku zapewnienia okresowego audytu w zakresie bezpieczeństwa informacji.

W opinii Ministerstwa Finansów oraz Ministerstwa Administracji i Cyfryzacji nie należy automatycznie przypisywać zadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego. Punktem odniesienia dla ustanowienia niniejszych przepisów był dla projektodawcy System Zarządzania Bezpieczeństwem Informacji w oparciu o normę PN-ISO/IEC 27001 nie zaś Dział VI ustawy o finansach publicznych.

Ponadto departament audytu opracował wytyczne dotyczące prowadzenia audytu w zakresie bezpieczeństwa informacji w przypadku powierzenia tego zadania komórce audytu wewnętrznego. W ocenie departamentu jest to optymalny sposób realizacji tego zadania, jednakże ostateczna decyzja w tym zakresie należy do kierownika jednostki i audytora wewnętrznego.

Poinformowano także, że podmiotem właściwym w zakresie udzielania odpowiedzi na pytania związane z interpretacją przepisów ustawy z 17 lutego 2005 r. o informatyzacji podmiotów realizujących zadania publiczne (Dz.U. nr 64, poz. 565 z późn. zm.) oraz omawianego rozporządzenia, w tym na pytania związane z obszarem bezpieczeństwa informacji, zakresem audytu wewnętrznego oraz kryteriami, jakie należy stosować przy ocenie tego obszaru, jest departament informatyzacji Ministerstwa Administracji i Cyfryzacji. Natomiast w zakresie udzielania odpowiedzi na pytania dotyczące interpretacji przepisów ustawy o finansach publicznych oraz aktów wykonawczych do tej ustawy w zakresie audytu wewnętrznego właściwym jest departament audytu sektora finansów publicznych Ministerstwa Finansów.

WAŻNE

Decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu

WAŻNE

Nie należy automatycznie przypisywać zadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego

Wspólne stanowisko

Przepis par. 20 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. poz. 526; dalej: rozporządzenie) określa ciążące na kierownictwie podmiotu publicznego obowiązki związane z systemem zarządzania bezpieczeństwem informacji. Jednym z nich jest wskazany w par. 20 ust. 2 pkt 14 rozporządzenia obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Intencją projektodawcy było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. Uwzględniając przepis par. 20 ust. 3 rozporządzenia, należy stwierdzić, iż powyższe zobowiązanie powinno być wykonywane na jeden z dwóch sposobów.

W podmiotach, w których system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, wymagania określone w par. 20 ust. 1 i 2 rozporządzenia uznaje się za spełnione. W takich podmiotach ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm, związanych z tą normą. W konsekwencji przywołanej regulacji nie ma konieczności dokonywania dodatkowych/odrębnych audytów wewnętrznych, audytowanie jest bowiem jednym z już funkcjonujących elementów systemu zarządzania bezpieczeństwem informacji opisanym w normach.

Jednostki, które nie wdrożyły systemu zarządzania bezpieczeństwem informacji, zgodnie z normami wskazanymi w par. 20 ust. 3 rozporządzenia są zobowiązane, zgodnie z par. 20 ust. 2 pkt 14 rozporządzenia, do zapewnienia okresowego audytu wewnętrznego w zakresie informacji bezpieczeństwa informacji nie rzadziej niż raz na rok. Użycie w rozporządzeniu sformułowania "audyt wewnętrzny" nie miało na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym w jednostkach sektora finansów publicznych na mocy przepisów działu VI ustawy z 27 sierpnia 2009 r. o finansach publicznych (Dz.U. nr 157, poz. 1240 z późn. zm.), zwanymi dalej komórkami audytu wewnętrznego. Jak wyżej wskazano, ustawodawca nie określił sposobu, trybu, rodzaju audytu ani też osób czy komórek organizacyjnych, którym należałoby powierzyć prowadzenie ww. audytu. Zatem decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu.

Kryteriami, jakimi należy się kierować przy wyborze osób/komórek organizacyjnych prowadzących audyt w zakresie bezpieczeństwa informacji, są: odpowiednie kwalifikacje, doświadczenie, znajomość metodyki audytu w zakresie bezpieczeństwa informacji, a także niezależność od obszaru audytowanego. W razie wątpliwości, przy wyborze osób/komórek organizacyjnych prowadzących ww. audyt można brać pod uwagę wymogi wskazane w normach wymienionych w par. 20 ust. 3 rozporządzenia. Upraszczając interpretację przedmiotowej regulacji, audyt systemu bezpieczeństwa informacji może być przeprowadzony w oparciu o dwa zestawy kryteriów. Po pierwsze, jest to 14 kryteriów zawartych w par. 20 ust. 2 rozporządzenia lub jako drugi wariant audyt zgodności z normą PN-ISO/IEC 27001.

Wytyczne, gdy zadania realizuje komórka

Jeśli w jednostce zostanie podjęta decyzja o powierzeniu realizacji audytu wewnętrznego w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego, wówczas przypisanie tego zadania powinno się odbyć w sposób formalny poprzez odpowiednie uzupełnienie karty audytu lub innych dokumentów wewnętrznych określających cel, zakres i uprawnienia audytu wewnętrznego w jednostce o zapisy jednoznacznie wskazujące komórkę audytu jako odpowiedzialną za realizację tego zadania.

W opinii Ministerstwa Finansów audyt w zakresie bezpieczeństwa informacji powinien być prowadzony w formie zadań zapewniających.

Realizacja audytu bezpieczeństwa informacji jako zadania zapewniającego następowałaby z uwzględnieniem wymogów określonych w ustawie z 27 sierpnia o finansach publicznych (Dz.U. nr 157, poz. 1240 z późn. zm.), rozporządzeniu w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U. nr 21, poz. 108) oraz w standardach audytu wewnętrznego dla jednostek sektora finansów publicznych (komunikat nr 4 ministra finansów z 20 maja 2011 r., Dz.Urz. Min.Fin. nr 5, poz. 23). Wymogi te dotyczą w szczególności:

- rocznego planowania audytu wewnętrznego, co oznaczałoby konieczność umieszczania tego zadania w planie audytu (w przypadku gdy zadanie to nie wynikałoby wprost z przeprowadzonej analizy ryzyka, podstawą do uwzględnienia zadania w obszarze bezpieczeństwa informacji w planie audytu może być par. 7 ust. 1 pkt 3 rozporządzenia w sprawie przeprowadzania i dokumentowania audytu wewnętrznego),

- przygotowania programu zadania audytowego,

- prezentowania, uzgadniania i komunikowania wyników zadania w formie sprawozdania.

Kierownik jednostki, podejmując decyzję o powierzeniu komórce audytu wewnętrznego realizacji audytu wewnętrznego, w zakresie bezpieczeństwa informacji powinien brać pod uwagę, że wyznaczenie stałego obszaru ryzyka do corocznego przeprowadzania zadań zapewniających może wpływać na ograniczenie realizacji zadań zapewniających w innych obszarach ryzyka, z uwagi na zasoby komórki audytu wewnętrznego. Kwestia ta nabierze szczególnego znaczenia w przypadku prowadzenia audytu wewnętrznego przez audytora wewnętrznego zatrudnionego na niepełny etat (lub też usługodawcę niezatrudnionego w jednostce w przypadku braku skonkretyzowania liczby zadań, które będą realizowane w jednostce). W skrajnych przypadkach audytor wewnętrzny będzie realizował zadania zapewniające tylko w obszarze bezpieczeństwa informacji. Istotnym elementem będzie tu bezpośrednia komunikacja pomiędzy audytorem wewnętrznym a kierownikiem jednostki dotycząca liczby i zakresu pozostałych zadań zapewniających.

Kierownik jednostki, podejmując decyzję o powierzeniu komórce audytu wewnętrznego realizacji audytu wewnętrznego w zakresie bezpieczeństwa informacji, powinien brać pod uwagę, czy pracownicy komórki audytu wewnętrznego posiadają odpowiednie kwalifikacje, doświadczenie oraz znajomość metodyki prowadzenia audytu w obszarze bezpieczeństwa informacji. W przypadku gdy zespół audytu wewnętrznego nie będzie posiadał kompetencji do objęcia badaniem ww. obszaru, należy rozważyć skorzystanie z pomocy ekspertów z wewnątrz lub z zewnątrz jednostki.

Źródło: www.mf.gov.pl

Magdalena Sobczak

magdalena.sobczak@infor.pl

Podstawa prawna

Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. poz. 526).