piątek, 25 września, 2020

Zarządzanie bezpieczeństwem informacji

Home Forum Sektory Samorządy Zarządzanie bezpieczeństwem informacji

Oglądasz 6 wpisów - 1 z 6 (wszystkich: 6)
  • Autor
    Wpisy
  • #23171
    alice
    Uczestnik

    Prowadzę audyt wewnętrzny w temacie zarządzania bezpieczeństwem infromacji. Zgodnie z programem zamierzałam objąć audytem również informacje niejawne przetwarzane w systemie teleinformatycznym. Pełnomocnik ochrony informacji niejawnych w jednostce poinformował mnie, że nie mam prawa żądania dokumentów i prowadzenia audytu w zakresie informacji niejawnych. Pan był ostatnio na szkoleniu ABW i dowiedział się, że zarówno audyt wewnętrzny jak i kontrola wewnętrzna nie może wchodzić w ten obszar, tylko i wyłącznie uprawnienie posiada ABW. Czy ktoś z Państwa spotkał się z takim stanowiskiem?
    Pozdrawiam

    #23172
    kikcloud
    Uczestnik

    W państwie prawa jest taka zasada, że takie czy inne stanowisko jest oparte na jakieś podstawie prawnej. Nie może tak być, że jedna „baba drugiej babie” coś tam powiedziała, nawet w ABW. Swoją drogą, czy ty się zastanowiłaś nad podstawą prawną prowadzenia zadania audytowego w tym obszarze?

    #23173
    mareksp
    Uczestnik

    Odpowiedź na te wątpliwości znajdują się w ustawie o ochronie informacji niejawnych. Jesli chodzi o audytowanie tego obszaru ogólnie to nie ma przeszkód. Wynika to z art. 4 ust. 3 ustawy. Natomiast co do samego systemu teleinformatycznego to uprawnienie ustawowe do jego akredytacji posiada ABW wg art. 48 ustawy. Jest to wystarczająca gwarancja dla tego systemu i nie ma potrzeby (i całe szczęście) przeprowadzać audytu w tym zakresie.
    Przy czym jest to jest moje osobiste zdanie a przymiotu nieomylności nie posiadam.

    #23176
    alice
    Uczestnik

    Dziękuję za błyskawiczną odpowiedź. Audyt wewnętrzny obejmuje swoim zakresem cały obszar działania jednostki. Stąd też moje zdziwienie jego ograniczania. Nie szukałam podstawy prawnej audytu w ustawie o ochronie informacji niejawnych. Mając ogólny temat zarządzania bezpieczeństwem informacji (temat szeroki), identyfikując ryzyko uznałam że dotyczy ono nie tylko danych osobowych ale i informacji niejawnych. Stąd jako kryterium przyjęłam w/w ustawę.

    #23178
    stadyr
    Uczestnik

    Chcąc objąć obszar informacji niejawnych audytem trzeba posiadać odpowiednie poświadczenie bezpieczeństwa art. 8 ustawy – ale myślę że takowe posiadasz. To jest warunek niezbędny. Jeżeli nie masz poświadczenia bezpieczeństwa, nie zobaczysz nawet rejestrów… W ustawie o ochronie informacji niejawnych nie znajduję wyłączenia prowadzenia w tym zakresie audytu.
    Ustawa wskazuje, że ABW i SKW nadzoruje funkcjonowanie systemu ochrony informacji niejawnych, jednak nie wskazuje, że tylko i wyłącznie…
    Generalnie zakres nie należy do najłatwiejszych… zalecana jest w tej materii daleko idąca powściągliwość…
    Życzę powodzenia!!

    #23179
    alice
    Uczestnik

    Oczywiście posiadam poświadczenie bezpieczeństwa. Napisałam dla świętego spokoju do Departamentu Audytu i czekam na odpowiedź. Podejrzewam, że te wątpliwości pojawiły się w związku z odstąpieniem przez sektor rządowy przy audycie zleconym od badania obszaru informacji niejawnych.
    Pozdrawiam

Oglądasz 6 wpisów - 1 z 6 (wszystkich: 6)
  • Musisz się zalogować by odpowiedzieć w tym temacie.