Dowiadczenia dotyczce realizacji zada audytowych i wdraania systemu

  • Slides: 10
Download presentation
Doświadczenia dotyczące realizacji zadań audytowych i wdrażania systemu bezpieczeństwa informacji w Urzędzie Miasta Lublin

Doświadczenia dotyczące realizacji zadań audytowych i wdrażania systemu bezpieczeństwa informacji w Urzędzie Miasta Lublin i jednostkach organizacyjnych Warszawa, 31 maja 2017 r.

Plan wypowiedzi: 1. Wymogi formalne 2. Pierwsze doświadczenia 3. Gdzie jesteśmy obecnie 4. Wnioski

Plan wypowiedzi: 1. Wymogi formalne 2. Pierwsze doświadczenia 3. Gdzie jesteśmy obecnie 4. Wnioski

 Wymogi formalne 1. Art. 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z

Wymogi formalne 1. Art. 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (. . . ) nakładająca obowiązek zapewnienia okresowego (lecz nie rzadziej niż raz w roku) audytu wewnętrznego. 2. 26 kwietnia 2013 r. wspólne stanowisko Ministerstwa Administracji i Cyfryzacji oraz Ministerstwa Finansów - w podmiotach w których system bezpieczeństwa informacji został opracowany na podstawie normy PN-ISO/IEC 27001 audytowanie odbywa w ramach tego systemu; - jednostki które nie wdrożyły systemu bezpieczeństwa informacji w oparciu o ww. normę są zobowiązane do zapewnienia audytu nie rzadziej niż raz w roku; - użycie sformułowania audyt wewnętrzny nie miało na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego funkcjonującym na podstawie przepisów ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. 2016. 1870) a decyzja w tej sprawie pozostawiona kierownikowi jednostki i uzależniona od

 Punkt wyjścia – pierwsze doświadczenia 3. Problemy: regulacje wewnętrzne a infrastruktura i zaangażowanie

Punkt wyjścia – pierwsze doświadczenia 3. Problemy: regulacje wewnętrzne a infrastruktura i zaangażowanie IT – Centrum Przetwarzania Danych; wykwalifikowana kadra; koszty (Urząd i 193 jednostki organizacyjne miasta). 4. Pierwsze doświadczenia związane z audytowaniem 2013 r. audyt zewnętrzny w Urzędzie; audyt wewnętrzny w jednostkach organizacyjnych miasta z udziałem ekspertów z Wydziału IT; - badanie ankietowe - informacje statystyczne (liczba pracowników, informatyków komputerów, serwerów, oprogramowanie, zlecanie usług, stosowane zabezpieczenia, regulacje wewnętrzne); - szczegółowe badanie 10 jednostek (różne) – w oparciu o wytyczne MAi. C i MF – zadanie zapewniające, analiza ryzyka oparta o wymogi § 20 ust. 2 rozporządzenia KRI – potwierdzenie informacji ankietowych.

 Pierwsze doświadczenia 5. Wyniki audytu wewnętrznego w jom Zalecenia indywidualne dla jom w

Pierwsze doświadczenia 5. Wyniki audytu wewnętrznego w jom Zalecenia indywidualne dla jom w sprawozdaniach jednostkowych: - kluczowy problem to brak wiedzy (trzeba wiedzieć co się ma aby to chronić, złożoność zagadnień) i świadomości ryzyk; - szkolenia dla kierowników jom oparte o wyniki ankiet i audytów. Zalecenia dla Urzędu: - opracowanie spójnej Polityki obejmującej: - ramy i wytyczne dla jom z zakresie bezpieczeństwa informacji, - standardy obejmujące ujednolicenie stosowanego oprogramowania i zakupowanego sprzętu, - koordynację w zakresie zapotrzebowania i wykorzystywania sprzętu w jom. (Dlaczego standaryzacja? - ułatwienie nadzoru, kontroli nad majątkiem, finansami, przeprowadzania audytu).

 Pierwsze doświadczenia 6. Wnioski z audytu wewnętrznego w jom: Obustronna edukacja i rozpoznanie

Pierwsze doświadczenia 6. Wnioski z audytu wewnętrznego w jom: Obustronna edukacja i rozpoznanie problemów – audyt we współpracy z pracownikami Wydziału IT; Informacja dla Najwyższego Kierownictwa (prezentacja) i wsparcie kolejnych działań w tym: - szkoleń (10 certyfikowanych audytorów – norma ISO/IEC 27001 – grudzień 2015 r. ); - rozwoju infrastruktury IT.

 Realizacja zaleceń audytowych 7. Wdrażanie Systemu Bezpieczeństwa Informacji w Urzędzie Wyniki audytu zewnętrznego

Realizacja zaleceń audytowych 7. Wdrażanie Systemu Bezpieczeństwa Informacji w Urzędzie Wyniki audytu zewnętrznego i wewnętrznego w jom; Harmonogram prac: - inwentaryzacja zasobów informatycznych w jom; - opracowanie i wdrożenie PBI w Urzędzie; - opracowanie i wdrożenie PBI w jom; - wdrożenie systemu zintegrowanego w jednostkach oświatowych. Polityka bezpieczeństwa informacji; - ekspert zewnętrzny - inspiracja – artykuł "Istotność analizy ryzyka dla dobrego zarządzania bezpieczeństwem informacji na przykładzie Urzędu Miasta Krakowa" opublikowany w Biuletynie Nr 2 (11)/2014 Kontrola Zarządcza w Jednostkach Samorządu Terytorialnego wydawany przez MF; - norma ISO/IEC 27001;

 Gdzie jesteśmy obecnie? Opracowano i przyjęto PBI w Urzędzie zawierającą: Polityki (PBDO, PBST);

Gdzie jesteśmy obecnie? Opracowano i przyjęto PBI w Urzędzie zawierającą: Polityki (PBDO, PBST); regulaminy (RUST, ROIW); procedury (m. in. zarządzania zmianami, ciągłości działania, pomiaru i monitorowania zabezpieczeń, zarządzania incydentami naruszenia bezpieczeństwa, wykonywania kopii zapasowych, dostępu do pomieszczeń, standardy bezpieczeństwa – role Pełnomocnika SZBI, ABT, ABF- wdrażanie rozwiązań 6 miesięcy; Przygotowano projekt Polityki dla jom (dane chronione w Centrum Przetwarzania Danych – zasady korzystania z informacji, danych Urzędu); Wdrażanie jednolitego oprogramowania dla jednostek oświatowych (księgowego, kancelaryjnego, organizacyjnego): – ujednolicona instrukcja kancelaryjna dla Urzędu i jom; – ujednolicona Polityka rachunkowości; – zespół zadaniowy (eksperci z jom) - etap przygotowania do przetargu, pozyskanie środków zewnętrznych – podpisanie porozumienia z Naukową i Akademicką Siecią Komputerową (NASK) – instytutem badawczym Ministerstwa Cyfryzacji.

 Podsumowanie 8. Rola audytu wewnętrznego: Urząd; jednostki organizacyjne. audyt bezpieczeństwa informacji a regulacje

Podsumowanie 8. Rola audytu wewnętrznego: Urząd; jednostki organizacyjne. audyt bezpieczeństwa informacji a regulacje prawne dot. audytu wewnętrznego: - art. 68 ust. 2 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych stanowi, że jednym z celów kontroli zarządczej jest ochrona zasobów; - standardy kontroli zarządczej dla sektora finansów publicznych (Komunikat Nr 23 MF z dnia 16 grudnia 2009 r. - Dz. Urz. MF. 2009. 15. 84) - ujmują m. in. pkt 15 Mechanizmy kontroli dotyczące systemów informatycznych - „Należy określić mechanizmy służące zapewnieniu bezpieczeństwa danych i systemów informatycznych”; - art. 271 ust. 1 audyt wewnętrzny wspiera kierownika jednostki w realizacji celów i zadań poprzez systematyczną ocenę kontroli zarządczej oraz czynności doradcze.

 Dziękuję za uwagę

Dziękuję za uwagę