alice.
aliceProwadzę audyt wewnętrzny w temacie zarządzania bezpieczeństwem infromacji. Zgodnie z programem zamierzałam objąć audytem również informacje niejawne przetwarzane w systemie teleinformatycznym. Pełnomocnik ochrony informacji niejawnych w jednostce poinformował mnie, że nie mam prawa żądania dokumentów i prowadzenia audytu w zakresie informacji niejawnych. Pan był ostatnio na szkoleniu ABW i dowiedział się, że zarówno audyt wewnętrzny jak i kontrola wewnętrzna nie może wchodzić w ten obszar, tylko i wyłącznie uprawnienie posiada ABW. Czy ktoś z Państwa spotkał się z takim stanowiskiem?
Pozdrawiam
kikcloudW państwie prawa jest taka zasada, że takie czy inne stanowisko jest oparte na jakieś podstawie prawnej. Nie może tak być, że jedna „baba drugiej babie” coś tam powiedziała, nawet w ABW. Swoją drogą, czy ty się zastanowiłaś nad podstawą prawną prowadzenia zadania audytowego w tym obszarze?
marekspOdpowiedź na te wątpliwości znajdują się w ustawie o ochronie informacji niejawnych. Jesli chodzi o audytowanie tego obszaru ogólnie to nie ma przeszkód. Wynika to z art. 4 ust. 3 ustawy. Natomiast co do samego systemu teleinformatycznego to uprawnienie ustawowe do jego akredytacji posiada ABW wg art. 48 ustawy. Jest to wystarczająca gwarancja dla tego systemu i nie ma potrzeby (i całe szczęście) przeprowadzać audytu w tym zakresie.
Przy czym jest to jest moje osobiste zdanie a przymiotu nieomylności nie posiadam.
aliceDziękuję za błyskawiczną odpowiedź. Audyt wewnętrzny obejmuje swoim zakresem cały obszar działania jednostki. Stąd też moje zdziwienie jego ograniczania. Nie szukałam podstawy prawnej audytu w ustawie o ochronie informacji niejawnych. Mając ogólny temat zarządzania bezpieczeństwem informacji (temat szeroki), identyfikując ryzyko uznałam że dotyczy ono nie tylko danych osobowych ale i informacji niejawnych. Stąd jako kryterium przyjęłam w/w ustawę.
stadyrChcąc objąć obszar informacji niejawnych audytem trzeba posiadać odpowiednie poświadczenie bezpieczeństwa art. 8 ustawy – ale myślę że takowe posiadasz. To jest warunek niezbędny. Jeżeli nie masz poświadczenia bezpieczeństwa, nie zobaczysz nawet rejestrów… W ustawie o ochronie informacji niejawnych nie znajduję wyłączenia prowadzenia w tym zakresie audytu.
Ustawa wskazuje, że ABW i SKW nadzoruje funkcjonowanie systemu ochrony informacji niejawnych, jednak nie wskazuje, że tylko i wyłącznie…
Generalnie zakres nie należy do najłatwiejszych… zalecana jest w tej materii daleko idąca powściągliwość…
Życzę powodzenia!!
aliceOczywiście posiadam poświadczenie bezpieczeństwa. Napisałam dla świętego spokoju do Departamentu Audytu i czekam na odpowiedź. Podejrzewam, że te wątpliwości pojawiły się w związku z odstąpieniem przez sektor rządowy przy audycie zleconym od badania obszaru informacji niejawnych.
Pozdrawiam
Serwis Audyt.Net to także forum wymiany wiedzy i informacji, projektów dokumentów roboczych audytu, doświadczeń zawodowych oraz możliwość samokształcenia i doskonalenia umiejętności zawodowych.
Serwis PAW to platforma rozwoju, integracji i wzajemnego wsparcia w środowiska zawodowego związanego z audytem.
Kontakt do nas: paw@audyt.net
© 2015 - 2020 Praktyczny Audytor Wewnętrzny, Audyt.Net
