Audyty KRI

Weryfikujemy zgodność z Krajowymi Ramami Interoperacyjności

Dlaczego to my powinniśmy wykonać Audyt KRI?

Po co audyt zgodności z KRI?

Krajowe Ramy Interoperacyjności to rozporządzenie Prezesa Rady ministrów z dnia 12 kwietnia 2012 r.

Wykonanie audytu KRI jest wymogiem ustawowym.

Każdy podmiot publiczny zgodnie z § 20:

ust. 1.) Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność,

ust. 14.) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Korzyści z audytu KRI - obszar organizacyjny

Dzięki audytowi KRI w obszarze organizacyjnym i formalnym:

  • poznasz rozwiązania minimalizujące ryzyko z naciskiem na procedury ciągłości działania,
  • otrzymasz skuteczny i praktyczny  System Zarządzania Bezpieczeństwem Informacji,
  • znacznie szybciej i sprawniej oraz bez negatywnych uwag przejdziesz audyt prowadzony przez jednostki nadzorujące,
  • dzięki przeprowadzonej analizie ryzyka będziesz wiedział, które elementy generują zagrożenie,
  • otrzymasz skuteczne procedury podwyższające ciągłość działania,
  • uzupełnisz procedury kontroli zarządczej,
  • będziesz mógł rozliczyć się w zakresie stosowanych zabezpieczeń,
  • będziesz mógł wdrożyć zarządzanie ryzykiem zgodnie z ISO 27005.
Korzyści z audytu KRI - obszar techniczny

Dzięki audytowi KRI w obszarze technicznym:

  • poznasz rozwiązania minimalizujące ryzyko z naciskiem na narzędzia teleinformatyczne, komercyjne i open source,
  • zapewnisz sobie optymalizację budżetu, bo otrzymasz gotowe rozwiązania wraz z uzasadnieniem wyboru, niewymagające rozpoznania,
  • otrzymasz zalecenia umożliwiające zapewnienie autentyczności i niezaprzeczalności danych,
  •  otrzymasz zalecenia umożliwiające zapewnienie niezawodności,
  • otrzymasz zalecenia dotyczące przyjętej architektury IT,
  • będziesz mógł wdrażać konkretne narzędzia podwyższające poziom bezpieczeństwa,
  • otrzymasz zalecenia w zakresie wykonania testów penetracyjnych oraz socjotechnicznych i/lub audytu RODO

Audyt ma na celu zbadanie zakresu oraz poziomu gotowości świadczonych usług przez Jednostkę publiczną dla
mieszkańców. W ramach zadania badany jest również oferowany model usługowy w zakresie sprawności obsługi obywateli.

Audyt ma również na celu wykazanie spełnienia zadań wynikających w interoperacyjności, transakcyjności,
sprawności obiegu dokumentów elektronicznych w Jednostce oraz możliwości obsługi różnych formatów
dokumentów elektronicznych.

Audyt ma na celu ocenę kompletności oraz poziomu wdrożenia zasad bezpieczeństwa opisanych
w przyjętej dokumentacji bezpieczeństwa.

W ramach zadania wykonywana jest również ocena zaangażowania kierownictwa w ochronę informacji.Wynikiem audytu jest zestaw zaleceń audytora ukierunkowany na uzyskanie jak najwyższego poziomu
zgodności zasad bezpieczeństwa z Systemem Zarządzania Bezpieczeństwem Informacji.

Audytowi podlega stan przygotowania Urzędu do identyfikacji i minimalizacji ryzyka.

Przygotowywany jest rejestr ryzyka oraz plany minimalizacji każdego z ryzyk.

Analizowane są możliwości organizacyjnego oraz techniczne dla celów inwentaryzacji posiadanych zasobów
teleinformatycznych ze szczególnym uwzględnieniem automatyzacji powiadamiania o zachodzących
zmianach oraz wersjonowaniu.

Oceniany jest system zarządzania uprawnieniami do zasobów teleinformatycznych oraz organizacyjnych.

Audyt obejmuje zestaw elementów mających istotny wpływ na bezpieczeństwo Jednostki, ze szczególnym uwzględnieniem:

  • jakości oraz zakresu szkoleń pracowników,
  • pracy na odległość,
  • przetwarzanie danych z użyciem urządzeń mobilnych,
  • umów wsparcia teleinformatycznego dla sprzętu i oprogramowania,
  • zarządzania kopiami zapasowymi,
  • sposobu zabezpieczania informacji od strony technicznej,
  • sposobu zabezpieczania informacji od strony organizacyjnej.

Wykonywany jest przez nas półautomatyczny audyt Web Content Accessibility Guidelines (WCAG) 2.1 na zgodność ze standardem opublikowanym przez Web Accessibility Initiative (WAI), zawierający zalecenia dotyczące tworzenia  dostępnych serwisów internetowych. Od 15 października 2012 roku wytyczne WCAG w wersji 2.0 zyskały status międzynarodowej normy ISO/IEC 40500:2012.

Wynikiem jest informacja o poziomie zgodności stron Urzędu (BIP oraz strony internetowej) ze wskazaniem
elementów wymagających naprawy.

Na specjalne życzenie audyt wykonywany jest na podstawie scenariuszy oraz przypadków użycia, przez osoby słabowidzące, niedowidzące, niedosłyszące oraz całkowicie niesłyszące.