Firma

Czym jest audyt KRI i kto może go przeprowadzić?

KRI, czyli Krajowe Ramy Interoperacyjności, to wytyczne dotyczące elektronicznych rejestrów i wymiany informacji. Określa je rozporządzenie wydane w tej sprawie w 2012 roku, które dotyczy takich podmiotów, jak urzędy, sądy, uczelnie, Narodowy Fundusz Zdrowia, instytucje badawcze, Zakład Ubezpieczeń Społecznych, jednostki samorządu terytorialnego i inne. Podmioty objęte obowiązkiem, obejmują również osoby prawne – samorządowe bądź państwowe – które realizują zadania publiczne. Dla tych wszystkich odbiorów przygotowano usługę audytu KRI – co to jest i czy jest on obowiązkowy?

Audyt KRI – co to jest?

Wprowadzone w 2012 roku rozporządzenie określa minimalne wymagania, które muszą zostać spełnione w zakresie między innymi zarządzania bezpieczeństwem informacji, systemów teleinformatycznych czy polityki bezpieczeństwa. Z tego względu podczas audytu IT sprawdzane jest to, jakie metody wykorzystuje dany podmiot, aby chronić bezpieczeństwo przechowywanych danych. Mowa tu zarówno o kwestiach organizacyjnych, jak i technicznych, które zostały wdrożone.

Audyt KRI – czy jest obowiązkowy?

Rozporządzenie w sprawie Krajowych Ram Interoperacyjności nakłada na wymienione we wstępie podmioty obowiązek przeprowadzania audytu IT, a także uczestnictwa w szkoleniach z zakresu bezpieczeństwa informatycznego. Tego rodzaju audyt powinien się odbywać co roku, a także w przypadkach, gdy podmiot przeszedł informatyzację finansowaną przez Unię Europejską, istnieje podejrzenie, że komputery i sieć komputerowa mogły zostać nieprawidłowo skonfigurowane lub gdy osoba pełniąca dotychczas funkcję informatyka przestała obejmować to stanowisko. Należy pamiętać, że to jedynie wybrane przykłady sytuacji, w których należy wykonać audyt IT.

Audyt KRI – kto może przeprowadzić?

Warto mieć na uwadze jeszcze jedną bardzo ważną kwestię, jeśli chodzi o audyt KRI – kto może przeprowadzić ten proces. Panuje błędne przekonanie, że zgodnie z rozporządzeniem powinien być to audyt wewnętrzny, a więc wykonywany przez osoby, które są pracownikami podmiotu lub są z jego codzienną działalnością związane. Jest to jednak mylna interpretacja zapisów prawnych. To kierownik danego podmiotu publicznego ma możliwość wyboru, czy powierzy to swojemu wykwalifikowanemu pracownikowi, czy też skorzysta z pomocy zewnętrznych ekspertów.

Co więcej, należy pamiętać, że przeprowadzanie audytu IT powinno się odbywać przy obecności kierownika danej jednostki – jest to konieczne do tego, aby osoba wykonująca audyt mogła zyskać dostęp do środków, które podlegają kontroli, a także do rzetelnych odpowiedzi na pytania dotyczące stosowanych rozwiązań w zakresie bezpieczeństwa.

Dlaczego warto powierzyć wykonanie audytu IT zewnętrznym specjalistom?

Audyt IT przeprowadzony przez zewnętrznego specjalistę cechuje się zazwyczaj większą obiektywnością i rzetelnością niż w przypadku jego wykonania przez osobę związaną z działalnością podmiotu publicznego poddawanego kontroli. Warto mieć na uwadze, że przeprowadzenie audytu to nie tylko spełnienie wymogów prawnych, ale również szansa na odniesienie wielu korzyści. Audyt IT pomaga podnieść poziom bezpieczeństwa informatycznego, zidentyfikować, czy rozwiązania techniczne zostały odpowiednio wdrożone, a także określić, czy podmiot narażony jest na ataki hakerów. Ekspert w zakresie KRI wskaże wszelkie uchybienia, dzięki czemu będzie można w porę zaradzić potencjalnym kryzysom.

Audyt IT pomaga więc w utrzymaniu pozytywnej reputacji podmiotu publicznego, obejmującej między innymi zaufanie osób korzystających z jego usług.

Sposób na zwiększenie interoperacyjności – open networking

To, w jaki sposób interfejsy różnych systemów ze sobą współpracują, jest niezwykle ważne w kontekście bezpieczeństwa informacji. Z tego względu chcąc postawić na rozwój swojej firmy, który przyczyni się do pośredniego polepszenia wyników audytu IT, warto zdecydować się na open networking. Dzięki niemu sieć staje się sprawna, elastyczna i programowalna. Jest to również rozwiązanie korzystne pod względem cenowym i przyszłej możliwości rozbudowy sieci.