Podmiot publiczny musi wykonać audyt KRI

KRI czyli Krajowe Ramy Interoperacyjności

Każdy podmiot, który realizuje zadania publiczne (czyli podmiot publiczny):

• opracowuje,

• ustanawia,

• wdraża,

• eksploatuje,

• monitoruje,

• przegląda,

• utrzymuje

• doskonali

system zarządzania bezpieczeństwem informacji (SZBI). System ten ma zapewniać poufność, dostępność i integralność informacji a przy tym uwzględniać takie atrybuty jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. Sposoby postępowania jednostek publicznych w tym zakresie określają właśnie Krajowe Ramy Interoperacyjności.

Coroczny audyt KRI według norm ISO

Wykonanie tych zadań musi podlegać audytowi KRI (inaczej audytowi wewnętrznemu lub audytowi bezpieczeństwa informacji). Musi być on przeprowadzany nie rzadziej niż raz na rok. Odbywa się on na podstawie Polskich Norm:

• PN-ISO/IEC 27002 − w odniesieniu do ustanawiania zabezpieczeń;

• PN-ISO/IEC 27005 − w stosunku do zarządzania ryzykiem;

• PN-ISO/IEC 24762 – co do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.

Kontrola wykonania powyższych zadań została ustandaryzowana, dzięki temu podmioty objęte systemem audytu wewnętrznego mają jasne wytyczne, w jaki sposób należy prowadzić taki audyt.