W ramach programu Cyfrowa Gmina można dokonać zakupów towarów oraz usług w zdefiniowanych obszarach. Trzy obszary są zdefiniowane jako fakultatywne, ale ostatni obszar 4 Cyberbezpieczeństwo jest obligatoryjny. Oznacza to, że przystępując do programu gmina będą musiały dokonać oceny (diagnozy) cyberbezpieczeństwa.
O co chodzi w tej diagnozie?
Ocena (diagnoza) cyberbezpieczeństwa przypomina audyt bezpieczeństwa informacji zgodnie z Rozporządzeniem KRI, ustawą o KSC oraz normą ISO 27001. Nie jest to jedynie kwestia wypełnienia tabeli odpowiednimi wartościami gdyż osoba prowadząca diagnozę powinna tak naprawdę zbadać czy w jednostce funkcjonuje System Zarządzania Bezpieczeństwem Informacji oraz zweryfikować czy jest on zorganizowany zgodnie z obowiązującym prawem oraz standardami międzynarodowymi.
Ocena zgodności cyberbezpieczeństwa musi uwzględniać:
- Zapisy rozporządzenia o Krajowych Ramach Interoperacyjności rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych,
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa,
- Standard COBIT oraz normę PN-ISO/IEC 27001.
Poniżej znajduje się fragment arkusza diagnozy.
Kto może przeprowadzić diagnozę?
Diagnozę Cyberbezpieczeństwa może przeprowadzić osoba posiadająca odpowiednie uprawnienia. Dobrą praktyką jest to, aby osoba przeprowadzająca ocenę posiadała co najmniej pięcioletnie doświadczenie w przeprowadzaniu audytów bezpieczeństwa informacji. Lista dopuszczonych uprawnień zawarta jest w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. „w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu”.
Zobacz przykładową kalkulację realizacji usługi „Diagnoza cyberbezpieczeństwa”