obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji
Home › Forum › Sektory › Samorządy › obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji
- This topic has 53 odpowiedzi, 24 odpowiedzi, and was last updated 9 years, 6 months temu by mariusz31.
-
AutorWpisy
-
8 grudnia, 2013 o 8:00 pm #22862jUczestnik
czy jest obowiązek przeprowadzić zadania audytowe wskazane przez KOmitet Audytu
19 grudnia, 2013 o 10:50 pm #22878kulesUczestnikNo to jak ostatecznie, wpisujecie bezpieczeństwo informacji do planu na 2013, czy nie?
W analizie dla jednej z moich dwóch jednostek ten obszar sam wyszedł na nowy rok, ale w drugiej nie wychodzi i kusi mnie żeby go nie wpisywać, tak jak ustawa o finansach mi nakazuje, bądź co bądź ważniejsza niż sugestia MF na stronce i jakieś chyba nieprzemyślane rozporządzenie informatyczne.20 grudnia, 2013 o 8:17 am #22879dorotabUczestnikRównież wciąż się zastanawiam. Ponadto, audyt należy prowadzić zgodnie z normą ISO, tym samym czy nie powinien go przeprowadzić certyfikowany audytor (zgodnie z rozporządzeniem)?
Mam również pytanie. Jaki systemy teleinformatyczne funkcjonują w starostwach lub jednostkach organizacyjnych powiatu? Mam bowiem problem z ich identyfikacją. Nie liczę ewidencji kierowców i pojazdów czy też SIO. Na ich systemy bezpieczeństwa nie mamy bowiem zbyt wielkiego wpływu.20 grudnia, 2013 o 10:09 am #22881adelaUczestnikNie zawracam sobie tym głowy. Audyty według planu po przeprowadzonej analizie ryzyka. I wszystko. Poza planem, jak z szefem coś uzgodnię.
20 grudnia, 2013 o 12:32 pm #22882kulesUczestnik[QUOTE BY= DorotaB]
Mam również pytanie. Jaki systemy teleinformatyczne funkcjonują w starostwach lub jednostkach organizacyjnych powiatu? Mam bowiem problem z ich identyfikacją. Nie liczę ewidencji kierowców i pojazdów czy też SIO. Na ich systemy bezpieczeństwa nie mamy bowiem zbyt wielkiego wpływu.[/QUOTE]Ano dla przykładu systemy elektronicznego obiegu dokumentów (np. DocFlow), systemy ewidencji geodezyjnej (np. Ewid) itp., zależy co kto sobie wdrożył
20 grudnia, 2013 o 12:59 pm #22883dorotabUczestnikZgadzam się, że są to systemu informtyczne, ale informatycy twierdzą, iż w świetle ustawy o informatyzacji (…) za system teleinformatyczny należy uznać taki, z którego dane dostępne są bezpośrednio dla innych organów, a nie funkcjonujące wewnątrz jednostki tak jak np, elektroniczny obieg dokumentów.
Nie twierdzę, że nie należy badać bezpieczeństwa zawartych tam informacji, ale mam watpliwość czy akurat na podstawie wytycznych do ustawy o informatyzacji (…).21 grudnia, 2013 o 2:26 pm #22884megUczestnikW najczęściej zadawanych pytaniach jest wyjaśnienie kto jest zobowiązany do zapewnienia okresowego audytu. Wg tego wyjaśnienia audytor wewnętrzny obligatoryjnie corocznie powinien objąć ten obszar audytem niezależnie od wyników analizy ryzyka , chyba , że są spełnione warunki określone w par. 20 ust. 3 rozporządzenia.
Pozdrawiam
27 grudnia, 2013 o 8:12 am #22885kulesUczestnikTekst MF w pytaniach, o którym piszesz meg, jest tym samym, który rozpoczął nasz wątek i nie odnosi się do uzasadnionych wątpliwości nas nurtujących. Nie mieli gdzie go przypiąć z aktualności to wrzucili w pytania.
27 grudnia, 2013 o 8:19 am #22886kulesUczestnik[QUOTE BY= DorotaB] Zgadzam się, że są to systemu informtyczne, ale informatycy twierdzą, iż w świetle ustawy o informatyzacji (…) za system teleinformatyczny należy uznać taki, z którego dane dostępne są bezpośrednio dla innych organów, a nie funkcjonujące wewnątrz jednostki tak jak np, elektroniczny obieg dokumentów.
[/QUOTE]Ewid u nas jest dostępny dla innych organów bezpośrednio. Obieg dokumentów już nie, więc jeśli twoi informatycy mają rację to u nas do badania byłaby tylko ewidencja geodezyjna ewentualnie, bo chyba SIO i to co jest w Komunikacji to nie jest „nasze”.
27 grudnia, 2013 o 9:09 am #22887dorotabUczestnikWitam.
Do prowadzonej u nas ewidencji gruntow i budynków inne organy (gmin) nie mają bezpośredniego dostępu. Na wniosek wydajemy im aktualne bazy, które oni wgrywają w swój system, który jest identyczny jak u nas.
SIO i systemy komunikacyjne są faktycznie nie „nasze” i uważam, że nie nam badać system ich bezpieczeństwa. Tak więc wątpliwość pozostaje nadal a czasu już niewiele.10 stycznia, 2014 o 10:01 pm #22903tomeksUczestnikWitam
Próbuję ruszyć ten temat. Pomijając fakt, że nie do końca podoba mi się pomysł prowadzenia takiego audytu szczególnie, że w drodze Rozporządzenia określono krąg osób (certyfikaty), które mogą dokonać kontroli w zasadzie w tym samym zakresie. No, ale cóż.
Pierwszy zgrzyt – co należy uznać za system teleinformatyczny?
Zgodnie z ustawą o świadczeniu usług drogą elektroniczną (art. 2 ust. 3) jest to:
zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne.Telekomunikacyjne urządzenie końcowe natomiast to – urządzenie telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (art. 2 pkt 43 ustawy prawo telekomunikacyjne).
Zakończenie sieci – fizyczny punkt, w którym abonent otrzymuje dostęp do publicznej sieci telekomunikacyjnej; w przypadku sieci stosujących komutację lub przekierowywanie, zakończenie sieci identyfikuje się za pomocą konkretnego adresu sieciowego, który może być przypisany do numeru lub nazwy abonenta (art. 2 pkt 52 ustawy prawo telekomunikacyjne).
Uff… ja to rozumiem tak, że system informatyczny posiadający wyjście „na zewnątrz” do sieci ogólnodostępnej, który wysyła i odbiera poprzez nią dane jest systemem teleinformatycznym. To teraz moje pytanie, czy PŁATNIKa też należy traktować jako system teleinformatyczny?
Ja pracuję akurat w szpitalu, w którym wdrożono system informatyczny, z którego korzystają lekarze prowadząc dokumentację medyczną, na podstawie którego przygotowywane są raporty wysyłane do NFZ. Poz tym lekarze mogą łączyć się z tym systemem od siebie z domu (oczywiście muszą posiadać stosowne uprawnienia, a połączenia są szyfrowane). Rozumiem, że ten system spełnia przesłanki systemu teleinformatycznego. Proszę o wyprowadzenie mnie z błędu.Druga kwestia to standardy 27001, 17799, 27005, 24762. Opierając się na piśmie DA nie rozumiem, czy te standardy mam bezwzględnie brać pod uwagę, wyrywkowo, czy w ogóle się nimi nie przejmować? Skoro mam prowadzić audyt bezpieczeństwa, bo organizacja nie wdrożyła u siebie tych standardów, to w jakim celu miałbym wziąć je jako kryteria oceny? Czy nie jest tak, że wzięcie pod uwagę tych standardów doprowadzi do wydania zaleceń zmierzających do stworzenia systemu zarządzania bezpieczeństwem informacji zgodnego z tymi standardami – co w zasadzie może doprowadzić do wykluczenia przeprowadzenia co roku audytu bezpieczeństwa informacji? Albo jestem przemęczony, albo widzę tu jakiś jeden wielki absurd. No i kwestia skąd wziąć te standardy?
Proszę o jakąś merytoryczną pomoc 🙄
Dobranoc 😯4 lutego, 2014 o 12:24 pm #22965jaga1UczestnikCzyli rozumiem, że obowiązek wynikający z nowego rozporządzenia będzie spełniony, jeśli przeprowadzę zadanie doradcze, tak? Czy musi to być zadanie zapewniające? 😯
19 lutego, 2014 o 8:15 am #23002tomeksUczestnikNajprawdopodobniej nasze obawy co do kwestii kto ma przeprowadzić audyt w zakresie bezpieczeństwa informacji pojawiły się również w Ministerstwie Finansów. Szkoda, że dopiero teraz zagadnienie to zostanie poddane dokładniejszej analizie.
Ja już w zasadzie jestem po. Zadanie miało charakter zarówno czynności zapewniającej jak i doradczej 😐19 lutego, 2014 o 8:56 am #23003andrzejmUczestnikTomek S Jeżeli przeprowadziłeś już zadanie w tej kwestii to podziel się garścią uwag, dotyczących przeprowadzenia powyższego zadania. Nie jestem informatykiem i trudno mi zawnioskować na czym się konkretnie skoncentrować. Pewnie że można przeprowadzić zadanie opierając się tylko na aktach prawnych ale chodzi o to że mato dać coś konkretnego i praktycznego jednostce a nie tylko i wyłącznie skoncentrować się na przepisach. Pozdrawiam. ( wziaudytormil na wp).
21 lutego, 2014 o 8:40 pm #23004wojakUczestnik -
AutorWpisy
- Musisz się zalogować by odpowiedzieć w tym temacie.