Audyt wewnętrzny zlecony w obszarze bezpieczeństwa teleinformatycznego w jednostkach administracji rządowej zrealizowany został przez Ministerstwo Finansów na podstawie ustawy o finansach publicznych przy współpracy Ministerstwa Administracji i Cyfryzacji w terminie od 16 września do 22 października 2013 r. Audytem objęto ponad 300 jednostek sektora finansów publicznych, w tym szereg jednostek, które do audytu przystąpiły dobrowolnie. Audyt przeprowadzony został na polecenie Prezesa Rady Ministrów. W badaniu wzięły udział ministerstwa, urzędy centralne, urzędy wojewódzkie oraz jednostki podległe i nadzorowane, zarządzające istotnymi dla Państwa systemami teleinformatycznymi.
Tematem audytu było zarządzanie bezpieczeństwem systemów teleinformatycznych w wybranych urzędach administracji rządowej.
Celem audytu było zebranie informacji nt. działań jednostek administracji rządowej w zakresie zapewnienia bezpieczeństwa wybranych systemów teleinformatycznych, zidentyfikowanie zagrożeń i słabych punktów w zarządzaniu bezpieczeństwem tych systemów. Objęte audytem były jawne systemy teleinformatyczne jednostek.
Audyt wewnętrzny zlecony, przeprowadzony został w formie czynności doradczych, które miały polegać na zgromadzeniu przez audytorów wewnętrznych informacji w ww. obszarach poprzez zebranie odpowiedzi na pytania zawarte w trzech rodzajach ankiet:
- ankieta nr 1 dotyczyła ogólnych zagadnień, związanych z polityką bezpieczeństwa informacji,
- ankieta nr 2 dotyczyła systemów teleinformatycznych funkcjonujących w jednostce,
- ankieta nr 3 dotyczyła szczegółowych informacji nt. wybranych systemów teleinformatycznych funkcjonujących w jednostce.
Główne wnioski:
- politykę bezpieczeństwa informatycznego posiadała jedynie połowa jednostek,
- procedurę rejestracji i nadawania uprawnień posiadała zaledwie 1/3 jednostek, nieco mniej prowadzi regularne przeglądy nadawanych uprawnień,
- zdecydowana większość jednostek nie prowadzi regularnych szkoleń z zakresu bezpieczeństwa informatycznego.
Wiele jednostek nie jest odpowiednio zabezpieczonych, istnieją poważne luki w procedurach i umiejętnościach, które należy wypełniać.