Audyt KRI jest obowiązkową weryfikacją zgodności instytucji publicznych z Krajowymi Ramami Interoperacyjności w obszarze bezpieczeństwa informacji, wykonywaną nie rzadziej niż raz na 2 lata, na podstawie Rozporządzenia Rady Ministrów z 21 maja 2024 r. Dz.U. 2024 poz. 773 [1][2][4][7]. Obejmuje ocenę środków technicznych i organizacyjnych w systemach teleinformatycznych, analizę ryzyka, wywiady z personelem i raport z wnioskami dla kierownictwa podmiotu publicznego [1][3][4].
Czym jest audyt KRI?
Audyt KRI to niezależna kontrola spełniania minimalnych wymagań bezpieczeństwa informacji i interoperacyjności, określonych w Krajowych Ramach Interoperacyjności, dla systemów wykorzystywanych do realizacji zadań publicznych [2][4]. Podstawę stanowi Rozporządzenie Rady Ministrów z 21 maja 2024 r. Dz.U. 2024 poz. 773, które zastąpiło wcześniejsze regulacje z 12 kwietnia 2012 r. i porządkuje wymogi w zakresie organizacji, procesów oraz zabezpieczeń IT [1][3][4]. Audyt potwierdza, czy zastosowane środki techniczne i organizacyjne spełniają minimalne wymogi KRI oraz czy sposób przetwarzania informacji jest zgodny z przepisami wykonawczymi do ustawy o informatyzacji [2][4][5].
Kogo dotyczy obowiązek audytu KRI?
Obowiązek przeprowadzania audytu spoczywa na kierownictwie wszystkich podmiotów realizujących zadania publiczne z wykorzystaniem systemów IT, niezależnie od formy organizacyjnej, jeśli w ich systemach przetwarzane są informacje publiczne lub dane w związku z tymi zadaniami [1][2][3][4][6][7]. Obejmuje to pełne spektrum instytucji publicznych, co wynika z przepisów KRI oraz z powiązanych ustaw sektorowych i opracowań wyjaśniających zakres podmiotowy [2][4][6][7].
Na czym polega przebieg audytu KRI?
Audyt obejmuje weryfikację i ocenę zgodności organizacyjnej i technicznej, analizę dokumentacji, analizę ryzyka, wywiady z personelem oraz testowanie mechanizmów ochrony informacji w środowisku teleinformatycznym [1][3][4]. Sprawdzane są uprawnienia dostępu, mechanizmy ochrony przed włamaniem oraz monitorowanie dostępu do zasobów, wraz z nadzorem nad próbami naruszeń i nieautoryzowanego wejścia [1][3]. Wynikiem jest raport zawierający ustalenia, niezgodności i rekomendacje działań korygujących dla kierownictwa [1][4][5].
Jakie są podstawy prawne i dokumenty odniesienia?
Kluczową podstawą jest Rozporządzenie Rady Ministrów z 21 maja 2024 r. Dz.U. 2024 poz. 773, które ustanawia Krajowe Ramy Interoperacyjności oraz minimalne wymagania dla systemów i rejestrów publicznych [1][3][4]. Wymogi KRI są powiązane z ustawą o informatyzacji działalności podmiotów realizujących zadania publiczne, w szczególności w zakresie definicji zadań i odpowiedzialności, w tym w odniesieniu do art. 2 tej ustawy [5][7]. Audytor ocenia zgodność z wymaganiami określonymi w załączniku do rozporządzenia, obejmującymi organizację, procesy, środki techniczne i kontrolę dostępu [4][5].
Co weryfikuje audyt KRI w systemach i organizacji?
Weryfikowane są polityki i procedury bezpieczeństwa informacji, kompletność i aktualność dokumentacji, podział ról i odpowiedzialności oraz sposób nadawania i przeglądu uprawnień [1][2][4]. Ocenie podlegają zabezpieczenia techniczne, w tym rozwiązania ograniczające możliwość włamania, mechanizmy monitoringu zdarzeń oraz kontrola dostępu do danych i systemów [1][3][4][5]. Sprawdzana jest skuteczność szkoleń z bezpieczeństwa informacji oraz integracja wymagań KRI z praktyką operacyjną i nadzorem kierowniczym [1][3][4].
Jak często należy realizować audyt KRI?
Audyt w obszarze bezpieczeństwa informacji należy realizować nie rzadziej niż raz na 2 lata, zgodnie z §19 ust. 2 pkt 14 rozporządzenia KRI 2024, z obowiązkiem zapewnienia adekwatności do skali ryzyka i technologii stosowanych przez podmiot publiczny [1][7]. W starszych interpretacjach oraz praktykach wewnętrznych spotykano częstsze harmonogramy, w tym podejście roczne, jednak minimalny wymóg wynikający z aktualnych przepisów to cykl dwuletni [7][9].
Dlaczego audyt KRI jest kluczowy dla instytucji publicznych?
Audyt KRI jest obowiązkowy dla kierownictwa podmiotów publicznych i stanowi narzędzie zapewnienia bezpieczeństwa danych oraz ciągłości realizacji zadań publicznych w systemach IT [1][2]. Minimalizuje ryzyko naruszeń, potwierdza dojrzałość procesów w zakresie bezpieczeństwa informacji i ułatwia wykazanie zgodności z przepisami, co przekłada się na zaufanie obywateli do usług publicznych świadczonych elektronicznie [2][4].
Jakie są aktualne trendy i dobre praktyki?
Wzmacnia się integracja audytu KRI z SZBI, a więc z Systemem Zarządzania Bezpieczeństwem Informacji, oraz coraz częściej wykorzystuje się wytyczne i mechanizmy zgodne z ISO 27001 dla podnoszenia dojrzałości i mierzalności kontroli [1][7]. Rosnąca rola zewnętrznych firm IT i wyspecjalizowanych audytorów sprzyja niezależności oceny oraz transferowi wiedzy do administracji publicznej, co poprawia jakość wdrażanych działań naprawczych [1][7].
Co zawiera raport z audytu i jaki ma status prawny?
Raport z audytu zawiera opis stanu zgodności, listę niezgodności, analizę przyczyn, ocenę ryzyka i rekomendacje naprawcze wraz z priorytetami wdrożenia [1][4]. Jest to dokument urzędowy wytworzony przez podmiot publiczny w toku realizacji zadania publicznego i stanowi informację publiczną dostępną na zasadach ustawy o dostępie do informacji publicznej, w tym także w jednostkach systemu oświaty [5][7].
Jak przygotować instytucję do audytu KRI?
Skuteczne przygotowanie opiera się na przeglądzie i aktualizacji dokumentacji KRI, w tym polityk i procedur, identyfikacji ról i odpowiedzialności oraz weryfikacji kompletności rejestrów i wykazów przetwarzania [1][4]. Wymagane jest przeprowadzenie oceny ryzyka, wzmocnienie kontroli dostępu, weryfikacja mechanizmów ochrony przed włamaniem i konfiguracji monitoringu zdarzeń, a także zapewnienie szkoleń personelu adekwatnych do pełnionych funkcji [1][3][4]. Warto zmapować wymagania KRI do wewnętrznych standardów audytu i nadzoru, uwzględniając interpretacje i wytyczne dotyczące audytu wewnętrznego w sektorze publicznym [4][8].
Jakie powiązania ma audyt KRI z przepisami horyzontalnymi i standardami?
Wdrożenie wymagań KRI pozostaje w ścisłej relacji z przepisami ustawy o informatyzacji, w tym w obszarze legalności przetwarzania, odpowiedzialności kierownictwa oraz publicznoprawnego charakteru dokumentacji poaudytowej [5][7]. W warstwie metodycznej audyt KRI łączy się z systemowym podejściem do bezpieczeństwa informacji opartym o SZBI i praktyki zgodne z ISO 27001, co wspiera ciągłe doskonalenie oraz jednolitość kryteriów kontroli [1][7].
Podsumowanie: co oznacza audyt KRI dla instytucji publicznych?
Audyt KRI to regularny, usystematyzowany przegląd bezpieczeństwa informacji w systemach teleinformatycznych podmiotu publicznego, wymagany prawem i ukierunkowany na zgodność z Krajowymi Ramami Interoperacyjności [1][2][4]. Dla instytucji publicznych oznacza obowiązek organizacyjny i technologiczny, cykliczność co najmniej raz na 2 lata, transparentność raportowania oraz integrację z praktykami zarządczymi i standardami branżowymi, w tym ISO 27001 i SZBI [1][2][5][7][9].
Źródła:
- [1] https://inspektorzyrodo.pl/audyt-kri/
- [2] https://www.pbsg.pl/audyt-kri-jako-niezalezna-kontrola-bezpieczenstwa-informacji/
- [3] https://eskom.eu/blog/co-to-jest-audyt-kri
- [4] https://eduodo.pl/aktualnosci/audyt-kri-pelny-przewodnik-po-krajowych-ramach-interoperacyjnosci
- [5] https://gov.legalis.pl/raport-z-audytu-kri-jako-dokument-urzedowy-wytworzony-przez-szkole-stanowi-informacje-publiczna/
- [6] https://www.biuropiomar.pl/kogo-dotyczy-audyt-krajowych-ram-interoperacyjnosci/
- [7] https://iso-lex.pl/zakres-uslug/audyty/audyt-kri-krajowe-ramy-interoperacyjnosci/
- [8] https://www.gov.pl/web/finanse/interpretacje-audyt-wewnetrzny
- [9] https://sekurak.pl/wewnetrzny-audyt-bezpieczenstwa-w-jednostkach-publicznych/
MaleWielkieDane.pl – portal o technologii bez marketingowego bełkotu. Piszemy o analizie danych, AI, cyberbezpieczeństwie i innowacjach dla ludzi, którzy potrzebują odpowiedzi, nie teorii.