obowiązek prowadzenia audytu wewnetzrnego w zakresie bezpieczeństwa informacji

[mk]

nie wyobrażam sobie sytuacji aby system nie miał swojej dokumentacji – tu kłaniają się wszytskie przepisy w zakresie informatyzacji ochrony danych itp.
I właśnie od tych dokumentów zależy czy dane „ustrojstwo” potraktujemy jako system czy tylko jako pomoc w wykonywaniu codziennych czynności w pracy Pani Krysi czy Mariana 😀

Zakładając hipotetyczną sytuację że system nie jest opisamy przy niekorzystnym wyniku audytu kasujemy sobie taki system i co wtedy? Szef stwierdza: jaki system Pan badał? U mnie w firmie nie ma nic takiego co jest opisane w sprawozdaniu 😀 😀 😀 😀

[alkman]

Nawet gdyby ktoś mógł się wszystkiego zaprzeć i wszystko usunąć. A na to czego się zapiera i usunął brak było i jest dokumentacji, to nie możemy wykluczyć, że został usunięty system informatyczny. Stąd moje pytanie: jakie cechy powodują, że to co zostało usunięte i na co nie mamy dowodów, było systemem informatycznym, a nie zbiorem programów i danych niegodnych miana systemu informatycznego?

[iwokie]

Mam pytanie czy trzeba przeprowadzać audyt bezpieczeństwa w jednostkach, w których nie ma obowiązku prowadzenia audytu wewn. ( kwota wydatków poniżej 40.000.000). Wg mnie jest taki obowiązek.

[mk]

[QUOTE BY= alkman] Nawet gdyby ktoś mógł się wszystkiego zaprzeć i wszystko usunąć. A na to czego się zapiera i usunął brak było i jest dokumentacji, to nie możemy wykluczyć, że został usunięty system informatyczny. Stąd moje pytanie: jakie cechy powodują, że to co zostało usunięte i na co nie mamy dowodów, było systemem informatycznym, a nie zbiorem programów i danych niegodnych miana systemu informatycznego?[/QUOTE]

Widzę że u Ciebie chyba jest problem z dokumentacją związaną z polityką bezpieczeństwa infromacji i z pokrewnymi dokumentami a dopiero potem czy coś uznać za system czy nie.
Danych nie można przetważać od tak sobie, te kwestie dla ogólnie ujmująć jednostek państwowych regulują przepisy i trzeba je stosować. Nie ma w firmie ww dokumentacji więc audyt w zakresie BI jest prosty – brak podstawowych dokumentów, system nie działa i tyle. NIe ma co zastanawiać się co jest systemem a co nie. Jak nie ma dokumentacji to nie ma systemu.

[mk]

A sama ww. definicja systemu wydaje mi się prosta do zastosowania. 😀
Aby coś uznać za system musi spełnić WSZYSTKIE wymienione w definicji elementy.

[mk]

Czemu tu edycja nie działa? muszę ciągle nowe posty dopisywać 😯 ale do rzeczy:

Wracając do Twojego przykładu z dwoma kompami i Excelem – jeżeli w Excelu przetwarzasz dane osobowe to już jest jak najbardziej system w myśl definicji ustawy – kwestia zabezpieczeń to inna sprawa.
Technologia przetwarzania nie ma wpływu na to czy coś uznać za system czy nie.
Dane można w notatniku nawet przetwarzać

[alkman]

@IWOKIE
Obowiązku nie ma, ale trzeba zapewnić warunki umożliwiające zapewnienie okresowego audytu.
Dokładnie, to trzeba zapewnić warunki umożliwiające realizację i egzekwowanie działań polegających na zapewnieniu okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Rozpatrując powyższe należy mieć na względzie, że nie chodzi o audyt wewnętrzny w rozumieniu ustawy o finansach publicznych, oraz że organy nie wydały jeszcze stosownych interpretacji, co do rozumienia słów „zapewnić”.

@mk
Załóżmy, że moim zadaniem jest, identyfikacja systemów informatycznych funkcjonujących w jednostce.
[QUOTE BY= mk] Jak nie ma dokumentacji to nie ma systemu.[/QUOTE]
Dokumentacja jest warunkiem koniecznym prawidłowego wdrożenia systemu, co nie oznacza, że jest niemożliwe wdrożenie systemu bez dokumentacji. Uważam, że nie można ignorować istnienia systemów, tylko dlatego, że nie ma ich dokumentacji.
[QUOTE BY= mk] jeżeli w Excelu przetwarzasz dane osobowe to już jest jak najbardziej system[/QUOTE]
W arkuszu kalkulacyjnym mogę przetwarzać dane osobowe, księgowe (i inne), ale nie mogę powiedzieć, że z tej okazji, na komputerze mam informatyczny system finansowy albo system kadrowy (albo jakiś inny). System informatyczny to coś więcej. Tylko co więcej? Jakie cechy powodują, że jeden zestaw programów (a nawet jeden program) jest systemem informatycznym, a drugi nie?

[mk]

[QUOTE BY= alkman]

@mk
Załóżmy, że moim zadaniem jest, identyfikacja systemów informatycznych funkcjonujących w jednostce.
[QUOTE BY= mk] Jak nie ma dokumentacji to nie ma systemu.[/QUOTE]
Dokumentacja jest warunkiem koniecznym prawidłowego wdrożenia systemu, co nie oznacza, że jest niemożliwe wdrożenie systemu bez dokumentacji. Uważam, że nie można ignorować istnienia systemów, tylko dlatego, że nie ma ich dokumentacji.
[QUOTE BY= mk] jeżeli w Excelu przetwarzasz dane osobowe to już jest jak najbardziej system[/QUOTE]
W arkuszu kalkulacyjnym mogę przetwarzać dane osobowe, księgowe (i inne), ale nie mogę powiedzieć, że z tej okazji, na komputerze mam informatyczny system finansowy albo system kadrowy (albo jakiś inny). System informatyczny to coś więcej. Tylko co więcej? Jakie cechy powodują, że jeden zestaw programów (a nawet jeden program) jest systemem informatycznym, a drugi nie?
[/QUOTE]

Ale wytłumacz mi jak wyobrażasz sobie wykorzystywanie/przetważanie danych w systemie bez jego dokumentacji? I jak zidentyfikujesz taki system bez dokumentacji?

A co do arkusza -dlaczego nie może być systemem do przetwarzania danych? Właśnie jak jest opis co i jak w tym arkuszu się przetwarza to w tym momencie jest systemem do przetwarzania danych. I takie systemy są wykorzystywane w firmach 😀 (z excelem można zrobić baaardzo dużo – oczywiście system taki sprawdzi się małej firmie a nie np w kopalni)
A jak excela wykorzystujesz tymczasowo do nieudokumentowanych działań to jest to tylko arkusz kalkulacyjny.

P

[mariusz31]

Czy zastanawiał się z Was ktoś o ułatwieniu sobie roboty przez kupno programu komputerowego? A może ktoś pracuje na takim?

[Autor]

Wpisy