Audyt pozwala sprawdzić, czy podmioty zobligowane do przestrzegania Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tj. Dz. U. z 2016 r. poz. 113), stosują się do jego wymogów.
Rozporządzenie zobowiązuje podmioty realizujące zadania publiczne, m.in. Urzędy Miasta, Urzędy Gminy, Powiatowe Urzędy Pracy, Starostwa Powiatowe, także wszelkie jednostki organizacyjne podlegające pod Samorząd oraz firmy i spółki wykonujące zadania publiczne.
Przeprowadzamy analizę spełnienia wymagań paragrafu 20 ust. 1 i 2 niniejszego Rozporządzenia, w szczególności obejmującą weryfikację:
- Wdrożonej dokumentacji dotyczącej Systemu Zarządzania Bezpieczeństwa Informacji,
- Zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia,
- Utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację,
- Przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy,
- Podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji,
- Bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt e,
- Zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji z uwzględnieniem aspektów związanych z bezpieczeństwem informacji,
- Zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami,
- Ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość,
- Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie,
- Ustalonych zapisów zawieranych w umowach serwisowych gwarantujących odpowiedni poziom bezpieczeństwa informacji,
- Ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych,
- Zapewnienia odpowiedniego określonego przez KRI poziomu bezpieczeństwa w systemach teleinformatycznych,
- Sposobu postępowania z incydentami związanymi z bezpieczeństwem informacji.
Wynikiem audytu jest opisowy raport, który zawiera zalecenia i rekomendacje dla obszarów, w których wykryto niezgodności lub braki względem Rozporządzenia.