Audyt wewnętrzny (wspólne stanowisko MAiC i MF)

Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji (stanowisko wypracowane wspólnie w 2012 r.)

I. Zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji

Przepis § 20 rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, zwanego dalej rozporządzeniem, określa ciążące na kierownictwie podmiotu publicznego obowiązki związane z systemem zarządzania bezpieczeństwem informacji. Jednym z nich jest wskazany w § 20 ust. 2 pkt 14 rozporządzenia obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Intencją projektodawcy było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. Uwzględniając przepis § 20 ust. 3 rozporządzenia należy stwierdzić, iż powyższe zobowiązanie powinno być wykonywane na jeden z dwóch sposobów.

1.

W podmiotach, w których system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, wymagania określone w § 20 ust. 1 i 2 rozporządzenia uznaje się za spełnione. W takich podmiotach ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm, związanych z tą normą. W konsekwencji przywołanej regulacji nie ma konieczności dokonywania dodatkowych/odrębnych audytów wewnętrznych, bowiem audytowanie jest jednym z już funkcjonujących elementów systemu zarządzania bezpieczeństwem informacji opisanym w normach.

2.

Jednostki, które nie wdrożyły systemu zarządzania bezpieczeństwem informacji, zgodnie z normami wskazanymi w § 20 ust. 3 rozporządzenia, są zobowiązane, zgodnie z § 20 ust. 2 pkt 14 rozporządzenia, do zapewnienia okresowego audytu wewnętrznego w zakresie informacji bezpieczeństwa informacji nie rzadziej niż raz na rok. Użycie w rozporządzeniu sformułowania „audyt wewnętrzny” nie miało na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym w jednostkach sektora finansów publicznych na mocy przepisów Działu VI ustawy o finansach publicznych , zwanymi dalej komórkami audytu wewnętrznego. Jak wyżej wskazano, ustawodawca nie określił sposobu, trybu, rodzaju audytu, ani też osób czy komórek organizacyjnych, którym należałoby powierzyć prowadzenie ww. audytu. Zatem decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu.

Kryteriami, jakimi należy się kierować przy wyborze osób/komórek organizacyjnych prowadzących audyt w zakresie bezpieczeństwa informacji są: odpowiednie kwalifikacje, doświadczenie, znajomość metodyki audytu w zakresie bezpieczeństwa informacji, a także niezależność od obszaru audytowanego. W razie wątpliwości, przy wyborze osób/komórek organizacyjnych prowadzących ww. audyt można brać pod uwagę wymogi wskazane w normach wymienionych w § 20 ust. 3 rozporządzenia. Upraszczając interpretację przedmiotowej regulacji audyt sytemu bezpieczeństwa informacji może być przeprowadzony w oparciu o dwa zestawy kryteriów. Po pierwsze jest to 14 kryteriów zawartych w § 20 ust. 2 rozporządzeniem lub jako drugi wariant audyt zgodności z normą PN-ISO/IEC 27001.

W opinii Ministerstwa Finansów oraz Ministerstwa Administracji i Cyfryzacji nie należy automatycznie przypisywać zadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego. Punktem odniesienia dla ustanowienia niniejszych przepisów był dla projektodawcy System Zarządzania Bezpieczeństwem Informacji w oparciu o normę PN-ISO/IEC 27001 nie zaś Dział VI ustawy o finansach publicznych.

II. Interpretacje przepisów

Mając na uwadze powyższe stanowisko informujemy, że podmiotem właściwym w zakresie udzielania odpowiedzi na pytania związane z interpretacją przepisów ustawy o informatyzacji podmiotów realizujących zadania publiczne, oraz omawianego rozporządzenia, w tym na pytania związane z obszarem bezpieczeństwa informacji, zakresem audytu wewnętrznego oraz kryteriami, jakie należy stosować przy ocenie tego obszaru, jest Departament Informatyzacji Ministerstwa Administracji i Cyfryzacji. Natomiast w zakresie udzielania odpowiedzi na pytania dotyczące interpretacji przepisów ustawy o finansach publicznych oraz aktów wykonawczych do tej ustawy w zakresie audytu wewnętrznego właściwym jest Departament Audytu Sektora Finansów Publicznych Ministerstwa Finansów.