sobota, 25 czerwca, 2022

obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji

Home Forum Sektory Samorządy obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji

Oglądasz 15 wpisów - 16 z 30 (wszystkich: 54)
  • Autor
    Wpisy
  • #22862
    j
    Uczestnik

    czy jest obowiązek przeprowadzić zadania audytowe wskazane przez KOmitet Audytu

    #22878
    kules
    Uczestnik

    No to jak ostatecznie, wpisujecie bezpieczeństwo informacji do planu na 2013, czy nie?
    W analizie dla jednej z moich dwóch jednostek ten obszar sam wyszedł na nowy rok, ale w drugiej nie wychodzi i kusi mnie żeby go nie wpisywać, tak jak ustawa o finansach mi nakazuje, bądź co bądź ważniejsza niż sugestia MF na stronce i jakieś chyba nieprzemyślane rozporządzenie informatyczne.

    #22879
    dorotab
    Uczestnik

    Również wciąż się zastanawiam. Ponadto, audyt należy prowadzić zgodnie z normą ISO, tym samym czy nie powinien go przeprowadzić certyfikowany audytor (zgodnie z rozporządzeniem)?
    Mam również pytanie. Jaki systemy teleinformatyczne funkcjonują w starostwach lub jednostkach organizacyjnych powiatu? Mam bowiem problem z ich identyfikacją. Nie liczę ewidencji kierowców i pojazdów czy też SIO. Na ich systemy bezpieczeństwa nie mamy bowiem zbyt wielkiego wpływu.

    #22881
    adela
    Uczestnik

    Nie zawracam sobie tym głowy. Audyty według planu po przeprowadzonej analizie ryzyka. I wszystko. Poza planem, jak z szefem coś uzgodnię.

    #22882
    kules
    Uczestnik

    [QUOTE BY= DorotaB]
    Mam również pytanie. Jaki systemy teleinformatyczne funkcjonują w starostwach lub jednostkach organizacyjnych powiatu? Mam bowiem problem z ich identyfikacją. Nie liczę ewidencji kierowców i pojazdów czy też SIO. Na ich systemy bezpieczeństwa nie mamy bowiem zbyt wielkiego wpływu.[/QUOTE]

    Ano dla przykładu systemy elektronicznego obiegu dokumentów (np. DocFlow), systemy ewidencji geodezyjnej (np. Ewid) itp., zależy co kto sobie wdrożył

    #22883
    dorotab
    Uczestnik

    Zgadzam się, że są to systemu informtyczne, ale informatycy twierdzą, iż w świetle ustawy o informatyzacji (…) za system teleinformatyczny należy uznać taki, z którego dane dostępne są bezpośrednio dla innych organów, a nie funkcjonujące wewnątrz jednostki tak jak np, elektroniczny obieg dokumentów.
    Nie twierdzę, że nie należy badać bezpieczeństwa zawartych tam informacji, ale mam watpliwość czy akurat na podstawie wytycznych do ustawy o informatyzacji (…).

    #22884
    meg
    Uczestnik

    W najczęściej zadawanych pytaniach jest wyjaśnienie kto jest zobowiązany do zapewnienia okresowego audytu. Wg tego wyjaśnienia audytor wewnętrzny obligatoryjnie corocznie powinien objąć ten obszar audytem niezależnie od wyników analizy ryzyka , chyba , że są spełnione warunki określone w par. 20 ust. 3 rozporządzenia.

    Pozdrawiam

    #22885
    kules
    Uczestnik

    Tekst MF w pytaniach, o którym piszesz meg, jest tym samym, który rozpoczął nasz wątek i nie odnosi się do uzasadnionych wątpliwości nas nurtujących. Nie mieli gdzie go przypiąć z aktualności to wrzucili w pytania.

    #22886
    kules
    Uczestnik

    [QUOTE BY= DorotaB] Zgadzam się, że są to systemu informtyczne, ale informatycy twierdzą, iż w świetle ustawy o informatyzacji (…) za system teleinformatyczny należy uznać taki, z którego dane dostępne są bezpośrednio dla innych organów, a nie funkcjonujące wewnątrz jednostki tak jak np, elektroniczny obieg dokumentów.
    [/QUOTE]

    Ewid u nas jest dostępny dla innych organów bezpośrednio. Obieg dokumentów już nie, więc jeśli twoi informatycy mają rację to u nas do badania byłaby tylko ewidencja geodezyjna ewentualnie, bo chyba SIO i to co jest w Komunikacji to nie jest „nasze”.

    #22887
    dorotab
    Uczestnik

    Witam.
    Do prowadzonej u nas ewidencji gruntow i budynków inne organy (gmin) nie mają bezpośredniego dostępu. Na wniosek wydajemy im aktualne bazy, które oni wgrywają w swój system, który jest identyczny jak u nas.
    SIO i systemy komunikacyjne są faktycznie nie „nasze” i uważam, że nie nam badać system ich bezpieczeństwa. Tak więc wątpliwość pozostaje nadal a czasu już niewiele.

    #22903
    tomeks
    Uczestnik

    Witam

    Próbuję ruszyć ten temat. Pomijając fakt, że nie do końca podoba mi się pomysł prowadzenia takiego audytu szczególnie, że w drodze Rozporządzenia określono krąg osób (certyfikaty), które mogą dokonać kontroli w zasadzie w tym samym zakresie. No, ale cóż.

    Pierwszy zgrzyt – co należy uznać za system teleinformatyczny?
    Zgodnie z ustawą o świadczeniu usług drogą elektroniczną (art. 2 ust. 3) jest to:
    zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne.

    Telekomunikacyjne urządzenie końcowe natomiast to – urządzenie telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (art. 2 pkt 43 ustawy prawo telekomunikacyjne).

    Zakończenie sieci – fizyczny punkt, w którym abonent otrzymuje dostęp do publicznej sieci telekomunikacyjnej; w przypadku sieci stosujących komutację lub przekierowywanie, zakończenie sieci identyfikuje się za pomocą konkretnego adresu sieciowego, który może być przypisany do numeru lub nazwy abonenta (art. 2 pkt 52 ustawy prawo telekomunikacyjne).

    Uff… ja to rozumiem tak, że system informatyczny posiadający wyjście „na zewnątrz” do sieci ogólnodostępnej, który wysyła i odbiera poprzez nią dane jest systemem teleinformatycznym. To teraz moje pytanie, czy PŁATNIKa też należy traktować jako system teleinformatyczny?
    Ja pracuję akurat w szpitalu, w którym wdrożono system informatyczny, z którego korzystają lekarze prowadząc dokumentację medyczną, na podstawie którego przygotowywane są raporty wysyłane do NFZ. Poz tym lekarze mogą łączyć się z tym systemem od siebie z domu (oczywiście muszą posiadać stosowne uprawnienia, a połączenia są szyfrowane). Rozumiem, że ten system spełnia przesłanki systemu teleinformatycznego. Proszę o wyprowadzenie mnie z błędu.

    Druga kwestia to standardy 27001, 17799, 27005, 24762. Opierając się na piśmie DA nie rozumiem, czy te standardy mam bezwzględnie brać pod uwagę, wyrywkowo, czy w ogóle się nimi nie przejmować? Skoro mam prowadzić audyt bezpieczeństwa, bo organizacja nie wdrożyła u siebie tych standardów, to w jakim celu miałbym wziąć je jako kryteria oceny? Czy nie jest tak, że wzięcie pod uwagę tych standardów doprowadzi do wydania zaleceń zmierzających do stworzenia systemu zarządzania bezpieczeństwem informacji zgodnego z tymi standardami – co w zasadzie może doprowadzić do wykluczenia przeprowadzenia co roku audytu bezpieczeństwa informacji? Albo jestem przemęczony, albo widzę tu jakiś jeden wielki absurd. No i kwestia skąd wziąć te standardy?
    Proszę o jakąś merytoryczną pomoc 🙄
    Dobranoc 😯

    #22965
    jaga1
    Uczestnik

    Czyli rozumiem, że obowiązek wynikający z nowego rozporządzenia będzie spełniony, jeśli przeprowadzę zadanie doradcze, tak? Czy musi to być zadanie zapewniające? 😯

    #23002
    tomeks
    Uczestnik

    Najprawdopodobniej nasze obawy co do kwestii kto ma przeprowadzić audyt w zakresie bezpieczeństwa informacji pojawiły się również w Ministerstwie Finansów. Szkoda, że dopiero teraz zagadnienie to zostanie poddane dokładniejszej analizie.
    Ja już w zasadzie jestem po. Zadanie miało charakter zarówno czynności zapewniającej jak i doradczej 😐

    #23003
    andrzejm
    Uczestnik

    Tomek S Jeżeli przeprowadziłeś już zadanie w tej kwestii to podziel się garścią uwag, dotyczących przeprowadzenia powyższego zadania. Nie jestem informatykiem i trudno mi zawnioskować na czym się konkretnie skoncentrować. Pewnie że można przeprowadzić zadanie opierając się tylko na aktach prawnych ale chodzi o to że mato dać coś konkretnego i praktycznego jednostce a nie tylko i wyłącznie skoncentrować się na przepisach. Pozdrawiam. ( wziaudytormil na wp).

    #23004
    wojak
    Uczestnik
Oglądasz 15 wpisów - 16 z 30 (wszystkich: 54)
  • Musisz się zalogować by odpowiedzieć w tym temacie.