obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji
Home › Forum › Sektory › Samorządy › obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji
- This topic has 53 odpowiedzi, 24 odpowiedzi, and was last updated 9 years, 5 months temu by mariusz31.
-
AutorWpisy
-
5 grudnia, 2013 o 11:29 am #22844agarUczestnik
Departament Audytu Sektora Finansów Publicznych poinformował o obowiązku realizacji zadania audytowego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok ❓
5 grudnia, 2013 o 12:34 pm #22845lczarnyUczestnikNo to mamy kukułcze jajo… 😆 🙄
A jakieś wytyczne może? 👿
5 grudnia, 2013 o 2:09 pm #22847elaUczestnik[QUOTE BY= AGAR] … nie rzadziej niż raz na rok ❓ [/QUOTE]
to hit
a dokladnie zapis z przywołanego w informacji rozporządzenia:
par. 20 ust. 2 pkt.14) zapewnienia okresowego audytu wewnetrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz do roku.czyli jak plan a.w. jest na dany rok to słowo okresowe tu mi nie pasuje, przecież wzorcowy cykl audytu to 5 lat, i odnosząc się do tego cyklu juz lepiej by chyba było nie rzadziej niż raz na dwa / trzy lata
??5 grudnia, 2013 o 2:29 pm #22848scypionUczestnik[QUOTE BY= lczarny] A jakieś wytyczne może? 👿 [/QUOTE]
Jasne, że są. Paragraf 20 ust. 3. Normy PN-ISO/IEC 17799, 27005, 24762 😉
6 grudnia, 2013 o 9:09 am #22851zajevistyUczestnikWitam,
Skoro rozporządzenie weszło w życie w 2012 r., to jeszcze w tym roku powinno sie przynajmniej raz taki audyt przeprowadzić 😕
Dacie radę?
zaj6 grudnia, 2013 o 10:54 am #22852dorotabUczestnikWitam.
Nie jestem do końca przekonana, czy to chodzi o nas jako audytorów wewnętrznych czy też może o Audytora systemu zarządzania bezpieczeństwem informacji we Normy …, o którym mowa w rozporządzeniu MSWiA z 10.09.2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych. Zapewne powie ktoś, że nic nie stoi na przeszkodzie zdobyciu takiego certyfikatu.6 grudnia, 2013 o 11:12 am #22853lczarnyUczestnikTo może trzeba uderzyć do MF o jakieś wyjaśnienia w tym temacie?
Ale z drugiej strony skoro to od nich wyszło to przypomnienie to chyba coś na rzeczy jest.
6 grudnia, 2013 o 1:08 pm #22854dorotabUczestnikNie mówię, że nie ma ale wątpliwość się zrodziła.
6 grudnia, 2013 o 1:56 pm #22855kulesUczestnikInformacja z MF, jej końcówka, jest dziwną z lekka, bo to takie masło maślane. Piszą, że: Nie musisz wprowadzać tego tematu do planu i audytować, jeśli zostaną spełnione warunki określone w § 20 ust. 3 ww. rozporządzenia, czyli jeśli audytowanie odbywa się na postawie PN. Coś mi tu nie gra. Albo informacja jest niedokładna, albo rzeczywiście audyt, o którym mowa w par. 20 robić powinien ABI, czy ten certyfikowany ktoś wg. norm, a my powinniśmy to zaudytować tylko jeśli nikt taki tego nie robi lub robi nie według wytycznych.
Nic tylko wypadałoby poczytać te normy pod kątem tekstów o audytowaniu i czy wskazują kto to ma robić.Jak się nie wyjaśni to wpisze ten obszar do planu, co mi tam, już raz ten temat robiłem, a jak się w trakcie roku okaże że nie trzeba to najwyżej zmienię plan i dam inne zadanie z analizy ryzyka. Tylko jak inni mundrzy ministrowie się zorientują to będzie wysyp rozporządzeń z obligatoryjnymi tematami i w co nie jednej jednostce etatów nie wystarczy żeby to opędzić, a analiza ryzyka będzie pro forma bez wpływu na tematy w planie
6 grudnia, 2013 o 2:07 pm #22856betixUczestnikNiezależnie od wyników analizy ryzka, więc również w przypadku gdy poziom ryzyka będzie niski, to należy mimo to prowadzić audyt w tym zakresie…? Chyba tak.
6 grudnia, 2013 o 10:39 pm #22857wojakUczestnik7 grudnia, 2013 o 7:39 am #22858dorotabUczestnikWitam. Zastanowiła mnie jeszcze jedna rzecz. Zgodnie z art. 2 ust. 1 pkt 2 ustawę o informatyzacji … stosuje się również do jednostek budżetowych. Zakładając, iż obowiązek o którym dyskutujemy ciąży na nas a nie audytorach posiadających stosowny certyfikat, aby wypełnić wytyczne MF audyt należałoby przeprowadzić we wszystkich jednostkach organizacyjnych + urząd. 😯
7 grudnia, 2013 o 1:11 pm #22859kulesUczestnikNa to samo wpadłem wczoraj pod wieczór, u mnie to by było 25 audytów obowiązkowych co roku, a robię 4 i więcej uczciwie się nie da.
7 grudnia, 2013 o 1:57 pm #22860wacekserviceUczestnik[QUOTE BY= Wojak] Finanse publiczne stały się jak zwykły burdel, pardon – dom publiczny.[/QUOTE]
Kolega dał mi kiedyś wykład:
„Pamiętaj, burdel to jet takie miejsce, gdzie pod względem finansów panuje porządek, a klienci mogę otrzymywać zadowolenie”.nie ta definicja.
A już poważniej, może nie wieszajmy sobie tabliczek tam, gdzie sami pracujemy?7 grudnia, 2013 o 3:14 pm #22861cpsUczestnikRozp.niezgodne z Ustawą o FP. Tam jest wyraznie napisane kto może zlecac zadania poza planem.
.
No może jszcze STandard 1110 i 111oA. i nie bede rozwijał.Standardy sa tez na stronie MF i tez tego Departamentu,który nas tak ładnie ubiera w zadania a potem poprosi o odpowiedż na temat cyklu audytu
Koniec .Kropka -
AutorWpisy
- Musisz się zalogować by odpowiedzieć w tym temacie.