obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji
Home › Forum › Sektory › Samorządy › obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji
- This topic has 53 odpowiedzi, 24 odpowiedzi, and was last updated 7 years, 8 months temu by
mariusz31.
-
AutorWpisy
-
8 grudnia, 2013 o 8:00 pm #22862
j
Uczestnikczy jest obowiązek przeprowadzić zadania audytowe wskazane przez KOmitet Audytu
19 grudnia, 2013 o 10:50 pm #22878kules
UczestnikNo to jak ostatecznie, wpisujecie bezpieczeństwo informacji do planu na 2013, czy nie?
W analizie dla jednej z moich dwóch jednostek ten obszar sam wyszedł na nowy rok, ale w drugiej nie wychodzi i kusi mnie żeby go nie wpisywać, tak jak ustawa o finansach mi nakazuje, bądź co bądź ważniejsza niż sugestia MF na stronce i jakieś chyba nieprzemyślane rozporządzenie informatyczne.20 grudnia, 2013 o 8:17 am #22879dorotab
UczestnikRównież wciąż się zastanawiam. Ponadto, audyt należy prowadzić zgodnie z normą ISO, tym samym czy nie powinien go przeprowadzić certyfikowany audytor (zgodnie z rozporządzeniem)?
Mam również pytanie. Jaki systemy teleinformatyczne funkcjonują w starostwach lub jednostkach organizacyjnych powiatu? Mam bowiem problem z ich identyfikacją. Nie liczę ewidencji kierowców i pojazdów czy też SIO. Na ich systemy bezpieczeństwa nie mamy bowiem zbyt wielkiego wpływu.20 grudnia, 2013 o 10:09 am #22881adela
UczestnikNie zawracam sobie tym głowy. Audyty według planu po przeprowadzonej analizie ryzyka. I wszystko. Poza planem, jak z szefem coś uzgodnię.
20 grudnia, 2013 o 12:32 pm #22882kules
Uczestnik[QUOTE BY= DorotaB]
Mam również pytanie. Jaki systemy teleinformatyczne funkcjonują w starostwach lub jednostkach organizacyjnych powiatu? Mam bowiem problem z ich identyfikacją. Nie liczę ewidencji kierowców i pojazdów czy też SIO. Na ich systemy bezpieczeństwa nie mamy bowiem zbyt wielkiego wpływu.[/QUOTE]Ano dla przykładu systemy elektronicznego obiegu dokumentów (np. DocFlow), systemy ewidencji geodezyjnej (np. Ewid) itp., zależy co kto sobie wdrożył
20 grudnia, 2013 o 12:59 pm #22883dorotab
UczestnikZgadzam się, że są to systemu informtyczne, ale informatycy twierdzą, iż w świetle ustawy o informatyzacji (…) za system teleinformatyczny należy uznać taki, z którego dane dostępne są bezpośrednio dla innych organów, a nie funkcjonujące wewnątrz jednostki tak jak np, elektroniczny obieg dokumentów.
Nie twierdzę, że nie należy badać bezpieczeństwa zawartych tam informacji, ale mam watpliwość czy akurat na podstawie wytycznych do ustawy o informatyzacji (…).21 grudnia, 2013 o 2:26 pm #22884meg
UczestnikW najczęściej zadawanych pytaniach jest wyjaśnienie kto jest zobowiązany do zapewnienia okresowego audytu. Wg tego wyjaśnienia audytor wewnętrzny obligatoryjnie corocznie powinien objąć ten obszar audytem niezależnie od wyników analizy ryzyka , chyba , że są spełnione warunki określone w par. 20 ust. 3 rozporządzenia.
Pozdrawiam
27 grudnia, 2013 o 8:12 am #22885kules
UczestnikTekst MF w pytaniach, o którym piszesz meg, jest tym samym, który rozpoczął nasz wątek i nie odnosi się do uzasadnionych wątpliwości nas nurtujących. Nie mieli gdzie go przypiąć z aktualności to wrzucili w pytania.
27 grudnia, 2013 o 8:19 am #22886kules
Uczestnik[QUOTE BY= DorotaB] Zgadzam się, że są to systemu informtyczne, ale informatycy twierdzą, iż w świetle ustawy o informatyzacji (…) za system teleinformatyczny należy uznać taki, z którego dane dostępne są bezpośrednio dla innych organów, a nie funkcjonujące wewnątrz jednostki tak jak np, elektroniczny obieg dokumentów.
[/QUOTE]Ewid u nas jest dostępny dla innych organów bezpośrednio. Obieg dokumentów już nie, więc jeśli twoi informatycy mają rację to u nas do badania byłaby tylko ewidencja geodezyjna ewentualnie, bo chyba SIO i to co jest w Komunikacji to nie jest „nasze”.
27 grudnia, 2013 o 9:09 am #22887dorotab
UczestnikWitam.
Do prowadzonej u nas ewidencji gruntow i budynków inne organy (gmin) nie mają bezpośredniego dostępu. Na wniosek wydajemy im aktualne bazy, które oni wgrywają w swój system, który jest identyczny jak u nas.
SIO i systemy komunikacyjne są faktycznie nie „nasze” i uważam, że nie nam badać system ich bezpieczeństwa. Tak więc wątpliwość pozostaje nadal a czasu już niewiele.10 stycznia, 2014 o 10:01 pm #22903tomeks
UczestnikWitam
Próbuję ruszyć ten temat. Pomijając fakt, że nie do końca podoba mi się pomysł prowadzenia takiego audytu szczególnie, że w drodze Rozporządzenia określono krąg osób (certyfikaty), które mogą dokonać kontroli w zasadzie w tym samym zakresie. No, ale cóż.
Pierwszy zgrzyt – co należy uznać za system teleinformatyczny?
Zgodnie z ustawą o świadczeniu usług drogą elektroniczną (art. 2 ust. 3) jest to:
zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne.Telekomunikacyjne urządzenie końcowe natomiast to – urządzenie telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (art. 2 pkt 43 ustawy prawo telekomunikacyjne).
Zakończenie sieci – fizyczny punkt, w którym abonent otrzymuje dostęp do publicznej sieci telekomunikacyjnej; w przypadku sieci stosujących komutację lub przekierowywanie, zakończenie sieci identyfikuje się za pomocą konkretnego adresu sieciowego, który może być przypisany do numeru lub nazwy abonenta (art. 2 pkt 52 ustawy prawo telekomunikacyjne).
Uff… ja to rozumiem tak, że system informatyczny posiadający wyjście „na zewnątrz” do sieci ogólnodostępnej, który wysyła i odbiera poprzez nią dane jest systemem teleinformatycznym. To teraz moje pytanie, czy PŁATNIKa też należy traktować jako system teleinformatyczny?
Ja pracuję akurat w szpitalu, w którym wdrożono system informatyczny, z którego korzystają lekarze prowadząc dokumentację medyczną, na podstawie którego przygotowywane są raporty wysyłane do NFZ. Poz tym lekarze mogą łączyć się z tym systemem od siebie z domu (oczywiście muszą posiadać stosowne uprawnienia, a połączenia są szyfrowane). Rozumiem, że ten system spełnia przesłanki systemu teleinformatycznego. Proszę o wyprowadzenie mnie z błędu.Druga kwestia to standardy 27001, 17799, 27005, 24762. Opierając się na piśmie DA nie rozumiem, czy te standardy mam bezwzględnie brać pod uwagę, wyrywkowo, czy w ogóle się nimi nie przejmować? Skoro mam prowadzić audyt bezpieczeństwa, bo organizacja nie wdrożyła u siebie tych standardów, to w jakim celu miałbym wziąć je jako kryteria oceny? Czy nie jest tak, że wzięcie pod uwagę tych standardów doprowadzi do wydania zaleceń zmierzających do stworzenia systemu zarządzania bezpieczeństwem informacji zgodnego z tymi standardami – co w zasadzie może doprowadzić do wykluczenia przeprowadzenia co roku audytu bezpieczeństwa informacji? Albo jestem przemęczony, albo widzę tu jakiś jeden wielki absurd. No i kwestia skąd wziąć te standardy?
Proszę o jakąś merytoryczną pomoc 🙄
Dobranoc 😯4 lutego, 2014 o 12:24 pm #22965jaga1
UczestnikCzyli rozumiem, że obowiązek wynikający z nowego rozporządzenia będzie spełniony, jeśli przeprowadzę zadanie doradcze, tak? Czy musi to być zadanie zapewniające? 😯
19 lutego, 2014 o 8:15 am #23002tomeks
UczestnikNajprawdopodobniej nasze obawy co do kwestii kto ma przeprowadzić audyt w zakresie bezpieczeństwa informacji pojawiły się również w Ministerstwie Finansów. Szkoda, że dopiero teraz zagadnienie to zostanie poddane dokładniejszej analizie.
Ja już w zasadzie jestem po. Zadanie miało charakter zarówno czynności zapewniającej jak i doradczej 😐19 lutego, 2014 o 8:56 am #23003andrzejm
UczestnikTomek S Jeżeli przeprowadziłeś już zadanie w tej kwestii to podziel się garścią uwag, dotyczących przeprowadzenia powyższego zadania. Nie jestem informatykiem i trudno mi zawnioskować na czym się konkretnie skoncentrować. Pewnie że można przeprowadzić zadanie opierając się tylko na aktach prawnych ale chodzi o to że mato dać coś konkretnego i praktycznego jednostce a nie tylko i wyłącznie skoncentrować się na przepisach. Pozdrawiam. ( wziaudytormil na wp).
21 lutego, 2014 o 8:40 pm #23004wojak
Uczestnik -
AutorWpisy
- Musisz się zalogować by odpowiedzieć w tym temacie.