Odpowiedz na: obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji
Home › Forum › Sektory › Samorządy › obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji › Odpowiedz na: obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji
tomeksWitam
Próbuję ruszyć ten temat. Pomijając fakt, że nie do końca podoba mi się pomysł prowadzenia takiego audytu szczególnie, że w drodze Rozporządzenia określono krąg osób (certyfikaty), które mogą dokonać kontroli w zasadzie w tym samym zakresie. No, ale cóż.
Pierwszy zgrzyt – co należy uznać za system teleinformatyczny?
Zgodnie z ustawą o świadczeniu usług drogą elektroniczną (art. 2 ust. 3) jest to:
zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne.
Telekomunikacyjne urządzenie końcowe natomiast to – urządzenie telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (art. 2 pkt 43 ustawy prawo telekomunikacyjne).
Zakończenie sieci – fizyczny punkt, w którym abonent otrzymuje dostęp do publicznej sieci telekomunikacyjnej; w przypadku sieci stosujących komutację lub przekierowywanie, zakończenie sieci identyfikuje się za pomocą konkretnego adresu sieciowego, który może być przypisany do numeru lub nazwy abonenta (art. 2 pkt 52 ustawy prawo telekomunikacyjne).
Uff… ja to rozumiem tak, że system informatyczny posiadający wyjście „na zewnątrz” do sieci ogólnodostępnej, który wysyła i odbiera poprzez nią dane jest systemem teleinformatycznym. To teraz moje pytanie, czy PŁATNIKa też należy traktować jako system teleinformatyczny?
Ja pracuję akurat w szpitalu, w którym wdrożono system informatyczny, z którego korzystają lekarze prowadząc dokumentację medyczną, na podstawie którego przygotowywane są raporty wysyłane do NFZ. Poz tym lekarze mogą łączyć się z tym systemem od siebie z domu (oczywiście muszą posiadać stosowne uprawnienia, a połączenia są szyfrowane). Rozumiem, że ten system spełnia przesłanki systemu teleinformatycznego. Proszę o wyprowadzenie mnie z błędu.
Druga kwestia to standardy 27001, 17799, 27005, 24762. Opierając się na piśmie DA nie rozumiem, czy te standardy mam bezwzględnie brać pod uwagę, wyrywkowo, czy w ogóle się nimi nie przejmować? Skoro mam prowadzić audyt bezpieczeństwa, bo organizacja nie wdrożyła u siebie tych standardów, to w jakim celu miałbym wziąć je jako kryteria oceny? Czy nie jest tak, że wzięcie pod uwagę tych standardów doprowadzi do wydania zaleceń zmierzających do stworzenia systemu zarządzania bezpieczeństwem informacji zgodnego z tymi standardami – co w zasadzie może doprowadzić do wykluczenia przeprowadzenia co roku audytu bezpieczeństwa informacji? Albo jestem przemęczony, albo widzę tu jakiś jeden wielki absurd. No i kwestia skąd wziąć te standardy?
Proszę o jakąś merytoryczną pomoc 🙄
Dobranoc 😯
