wtorek, 11 maja, 2021

Odpowiedz na: obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji

Home Forum Sektory Samorządy obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji Odpowiedz na: obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji

#22903
tomeks
Uczestnik

Witam

Próbuję ruszyć ten temat. Pomijając fakt, że nie do końca podoba mi się pomysł prowadzenia takiego audytu szczególnie, że w drodze Rozporządzenia określono krąg osób (certyfikaty), które mogą dokonać kontroli w zasadzie w tym samym zakresie. No, ale cóż.

Pierwszy zgrzyt – co należy uznać za system teleinformatyczny?
Zgodnie z ustawą o świadczeniu usług drogą elektroniczną (art. 2 ust. 3) jest to:
zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne.

Telekomunikacyjne urządzenie końcowe natomiast to – urządzenie telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (art. 2 pkt 43 ustawy prawo telekomunikacyjne).

Zakończenie sieci – fizyczny punkt, w którym abonent otrzymuje dostęp do publicznej sieci telekomunikacyjnej; w przypadku sieci stosujących komutację lub przekierowywanie, zakończenie sieci identyfikuje się za pomocą konkretnego adresu sieciowego, który może być przypisany do numeru lub nazwy abonenta (art. 2 pkt 52 ustawy prawo telekomunikacyjne).

Uff… ja to rozumiem tak, że system informatyczny posiadający wyjście „na zewnątrz” do sieci ogólnodostępnej, który wysyła i odbiera poprzez nią dane jest systemem teleinformatycznym. To teraz moje pytanie, czy PŁATNIKa też należy traktować jako system teleinformatyczny?
Ja pracuję akurat w szpitalu, w którym wdrożono system informatyczny, z którego korzystają lekarze prowadząc dokumentację medyczną, na podstawie którego przygotowywane są raporty wysyłane do NFZ. Poz tym lekarze mogą łączyć się z tym systemem od siebie z domu (oczywiście muszą posiadać stosowne uprawnienia, a połączenia są szyfrowane). Rozumiem, że ten system spełnia przesłanki systemu teleinformatycznego. Proszę o wyprowadzenie mnie z błędu.

Druga kwestia to standardy 27001, 17799, 27005, 24762. Opierając się na piśmie DA nie rozumiem, czy te standardy mam bezwzględnie brać pod uwagę, wyrywkowo, czy w ogóle się nimi nie przejmować? Skoro mam prowadzić audyt bezpieczeństwa, bo organizacja nie wdrożyła u siebie tych standardów, to w jakim celu miałbym wziąć je jako kryteria oceny? Czy nie jest tak, że wzięcie pod uwagę tych standardów doprowadzi do wydania zaleceń zmierzających do stworzenia systemu zarządzania bezpieczeństwem informacji zgodnego z tymi standardami – co w zasadzie może doprowadzić do wykluczenia przeprowadzenia co roku audytu bezpieczeństwa informacji? Albo jestem przemęczony, albo widzę tu jakiś jeden wielki absurd. No i kwestia skąd wziąć te standardy?
Proszę o jakąś merytoryczną pomoc 🙄
Dobranoc 😯