Strona główna Biznes Jak wygląda audyt bezpieczeństwa informacji w urzędzie?

Jak wygląda audyt bezpieczeństwa informacji w urzędzie?

informacje poufne

Audyty bezpieczeństwa informacji należy przeprowadzać we wszystkich firmach, które na co dzień zajmują się w pewnym stopniu ich przetwarzaniem. Szczególnym przykładem instytucji, w których audyty bezpieczeństwa odgrywają niezwykle ważną rolę są urzędy i instytucje publiczne mające stały dostęp do wrażliwych danych osobowych wielu osób. W ich przypadku audyt, którego celem jest identyfikowanie zagrożeń i przygotowanie odpowiednich dla nich zabezpieczeń może uchronić przed zwiększonym ryzykiem utraty wrażliwych danych personalnych obywateli. Audyt taki jest wymagany prawem. Jak wygląda i kto go przeprowadza?

Audyt bezpieczeństwa informacji w urzędzie

Audyty bezpieczeństwa w urzędach, instytucjach i organizacjach, w których informacja ma charakter krytyczny będą miały na celu identyfikację zagrożeń dla poufności, integralności i dostępności organizacji. Wykorzystanie zebranych podczas audytu informacji ma przyczynić się do poprawy bezpieczeństwa danych, które w urzędzie dotyczą często bardzo dużej liczby osób.

W przypadku urzędów, audyt bezpieczeństwa informacji jest wymogiem prawnym stawianym przez rozporządzenie z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności. Według rozporządzenia, urzędy mają obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie
bezpieczeństwa informacji, nie rzadziej niż raz na rok. Audyt taki ma być przeprowadzony przez inspektora ochrony danych powołanego wewnętrznie przez instytucję lub działającego na zasadzie outsourcingu IOD.

dane osobowe

Jakie elementy są brane pod uwagę podczas audytu bezpieczeństwa informacji?

Audyt ma identyfikować zagrożenia w zakresie poufności, dostępności i integralności informacji przetwarzanych w ramach działalności urzędu. Wymogi prawne mówią o tym, że urząd ma obowiązek opracowania, ustanowienia, wdrożenia, eksploatowania, monitorowania i doskonalenia systemu bezpieczeństwa informacji. Prowadzone audyty bezpieczeństwa informacji pozwalają utrzymać kontrolę nad wprowadzonym systemem bezpieczeństwa i upewnić się, że wszystkie podjęte w ramach niego działania odgrywają właściwą rolę.

Podczas audytu bezpieczeństwa informacji, wszystkie działania i zabezpieczenia oceniane są pod kątem:

  • Autentyczności, w ramach której sprawdza się czy pochodzenie i treść informacji przechowywanych i przetwarzanych przez urząd są zgodne ze stanem faktycznym. Sprawdzenie autentyczności powinno umożliwić zlokalizowanie danych, które zostały nieprawidłowo zmienione lub uszkodzone.
  • Rozliczalności. Audyt pozwala przypisać określone działania do osoby fizycznej, która działania takie prowadziła. W szczególności chodzi tu o możliwość zidentyfikowania kto odpowiedzialny jest za określone procesy i przetwarzanie danych oraz w jaki sposób uzyskuje do nich dostęp.
  • Niezaprzeczalności. Audyt bezpieczeństwa informacji może weryfikować, czy osoby które miały być odpowiedzialne za bezpieczeństwo i przetwarzanie danych nie zaniedbały swoich obowiązków lub czy nie przekazały ich na ręce innych, nieuprawnionych do tego osób. Wprowadzone zabezpieczenia powinny umożliwiać pełną weryfikację tego kto i w jakim momencie otrzymuje dostęp do danych.

wrażliwe dane osobowe

Jak przeprowadza się audyt bezpieczeństwa informacji w urzędzie?

Audyty bezpieczeństwa informacji są przeprowadzane w oparciu o odgórnie określone kryteria, które dla urzędów zostały ustalone w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych. Jeśli zakres audytu miałby zostać rozszerzony, dobrym wyznacznikiem kryteriów dla audytu będzie norma PN-ISO/IEC 27001.

W ramach audytu bezpieczeństwa informacji sprawdzana jest infrastruktura IT, aktualny poziom bezpieczeństwa informacji, proces wymiany i ochrony danych osobowych, możliwości techniczne w zakresie przywracania danych po awarii, tworzone kopie zapasowe, dostępne możliwości rozbudowy sprzętu i technologii IT, zarządzanie infrastrukturą IT, a dopiero w końcowym etapie przygotowanie pracowników, którzy o bezpieczeństwo i prawidłowe przetwarzanie danych mają zadbać w ramach pracy urzędu.

Bezpieczeństwo informacji jest ściśle uzależnione od bezpieczeństwa nowych technologii informatycznych stosowanych w urzędach. Wraz z ich rozwojem konieczne jest częste i dokładne prowadzenie audytów bezpieczeństwa informacji oraz wnikliwe szacowanie zagrożeń dla integralności, dostępności i poufności danych przetwarzanych przez urzędy.

Audyty coraz częściej skupiają się nie tylko na stosowanych zabezpieczeniach, ale i technicznej analizie bezpieczeństwa stosowanych systemów IT. Zatrudnienie zewnętrznego inspektora ochrony danych w formie outsourcingu IOD może zapewnić dostęp do specjalisty zdolnego przygotować kompleksowy, spełniający formalne wymagania i dający najbardziej wnikliwe wyniki analizy audytu bezpieczeństwa informacji w urzędzie czy innej instytucji przetwarzającej duże ilości wrażliwych danych osobowych.

Pokaż więcej podobnych wiadomości
Pokaż więcej w Biznes

1 komentarz

  1. MasterID

    7 stycznia 2022 at 22:55

    Jeśli chodzi o bezpieczeństwo informacji i dokumentów papierowych, to można ją zwiększyć poprzez kontrolę ich wynoszenia, bazując na technologii RFID.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Przeczytaj również

Wrocławska agencja LTB wprowadza 4-dniowy tydzień pracy

W USA, Wielkiej Brytanii, Francji, Finlandii czy Hiszpanii przeprowadzane były na szeroką …