Dokument „Audyt KRI – wzór dokumentu do pobrania” powinien w przejrzysty sposób odzwierciedlać przebieg i wynik audytu zgodności z Krajowymi Ramami Interoperacyjności (KRI). Jego podstawowym celem jest udokumentowanie, w jakim stopniu jednostka realizuje wymagania w zakresie bezpieczeństwa informacji, zarządzania systemami teleinformatycznymi oraz organizacji procesu świadczenia e-usług.
Praktyczny wzór audytu KRI powinien zawierać część opisową z informacjami o audytowanej jednostce, zakresie i celu audytu, a także usystematyzowaną tabelę oceny zgodności z poszczególnymi wymaganiami. Ważne jest, aby jasno odróżnić obszary zgodne, częściowo zgodne i niezgodne, wraz z krótkim komentarzem audytora oraz propozycją działań naprawczych.
Charakterystyczną cechą dobrze przygotowanego dokumentu audytu KRI jest również sekcja planu działań korygujących i doskonalących, w której wskazane są osoby odpowiedzialne, terminy realizacji i priorytety. Dzięki temu raport audytu nie jest jedynie podsumowaniem stanu obecnego, ale praktycznym narzędziem do zarządzania dostosowaniem do KRI.
Na końcu dokumentu powinny znaleźć się jednoznaczne wnioski z audytu, poziom ogólnej zgodności z KRI oraz miejsce na podpisy audytora i kierownictwa jednostki. Taki ustandaryzowany wzór ułatwia powtarzalne prowadzenie audytów, archiwizację dokumentacji oraz wykazanie spełnienia wymogów prawnych podczas kontroli zewnętrznych.
Audyt KRI – karta audytu
Sekcja 1: Informacje ogólne o audycie
Komórka organizacyjna: ………………………………………………
Data audytu: ………………………………………………………..
Audytor (imię i nazwisko): …………………………………………
Podstawa prawna: Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności oraz wewnętrzne regulacje jednostki.
Sekcja 2: Zakres i cel audytu KRI
Cel audytu: Ocena stopnia zgodności jednostki z wymaganiami KRI w obszarach organizacyjnym, technicznym i bezpieczeństwa informacji.
Sekcja 3: Ocena zgodności z wymaganiami KRI
| Obszar / wymaganie KRI | Poziom zgodności (ZG / CZG / NZG) |
Komentarz audytora |
|---|---|---|
| Polityka bezpieczeństwa informacji oraz dokumentacja systemu zarządzania bezpieczeństwem | …….. | …………………………………………………………………………………………………… |
| Zarządzanie dostępem, uwierzytelnianiem i uprawnieniami użytkowników | …….. | …………………………………………………………………………………………………… |
| Ciągłość działania, kopie bezpieczeństwa i odtwarzanie po awarii | …….. | …………………………………………………………………………………………………… |
| Zarządzanie incydentami bezpieczeństwa i rejestrowanie zdarzeń | …….. | …………………………………………………………………………………………………… |
| Zapewnienie interoperacyjności i standardów wymiany danych | …….. | …………………………………………………………………………………………………… |
Sekcja 4: Działania korygujące i doskonalące
| Id niezgodności / obszar | Opis działania korygującego | Odpowiedzialny / termin |
|---|---|---|
| NZG-01 | …………………………………………………………………………………………………… | ………………………….. / ………………. |
| CZG-02 | …………………………………………………………………………………………………… | ………………………….. / ………………. |
Sekcja 5: Podsumowanie i wnioski z audytu
Najważniejsze mocne strony: …………………………………………………………..
Najistotniejsze obszary do poprawy: ……………………………………………..
Rekomendacje audytora: ……………………………………………………………….
Audytor: …………………………………………….. Data: ………………………..
Kierownik jednostki / upoważniony przedstawiciel: …………………………. Data: ………………….
Wzór dokumentu audytu KRI – do uzupełnienia przez jednostkę.
Jak korzystać z wzoru audytu KRI
Zaprezentowany wyżej wzór „Audyt KRI – karta audytu” został przygotowany tak, aby można go było łatwo dostosować do specyfiki dowolnej jednostki administracji publicznej. Wszystkie pola z kropkami i wielokropkami są przeznaczone do uzupełnienia na etapie prowadzenia audytu lub bezpośrednio po jego zakończeniu.
Najmniej modyfikacji wymaga sekcja „Informacje ogólne o audycie”. Zmienia się tu wyłącznie dane identyfikujące jednostkę, osoby uczestniczące oraz daty. Zaleca się, aby w tym miejscu dopisać także numer wewnętrzny audytu lub oznaczenie sprawy w systemie kancelaryjnym, jeśli jest używany.
Elementy, które warto dostosować do organizacji
Sekcja zakresu i celu audytu KRI
W sekcji zakresu audytu można i warto doprecyzować, które systemy, procesy i lokalizacje zostały objęte badaniem. Dobrą praktyką jest wskazanie, czy audyt obejmował również dostawców zewnętrznych (np. usługi chmurowe), co bywa istotne z punktu widzenia Krajowych Ram Interoperacyjności.
Cel audytu można rozwinąć o dodatkowe aspekty, np. weryfikację wdrożenia rekomendacji z poprzedniego audytu KRI czy ocenę skuteczności procedur reagowania na incydenty bezpieczeństwa.
Tabele oceny zgodności i działań korygujących
Tabele w sekcjach 3 i 4 stanowią trzon dokumentu. Można dodać kolejne wiersze, jeśli audyt obejmuje więcej szczegółowych wymagań lub jeśli dla jednego obszaru pojawia się kilka niezgodności. Należy jednak zachować spójny sposób oznaczania (np. NZG-01, CZG-02), co ułatwi późniejsze raportowanie i monitorowanie postępów.
Poziom zgodności (ZG / CZG / NZG) warto zdefiniować w procedurze audytu lub w załączniku do dokumentu, aby każda osoba interpretowała wyniki w ten sam sposób. W treści wzoru można dodać skróconą legendę, jeśli w organizacji dopiero budowana jest kultura audytowa.
Najważniejsze dobre praktyki przy wypełnianiu dokumentu audytu KRI
W części „Podsumowanie i wnioski z audytu” należy unikać ogólników. Im bardziej konkretne są rekomendacje, tym łatwiej zaplanować realne działania korygujące. Warto wskazywać kolejność wdrażania zmian, zaczynając od obszarów o największym wpływie na bezpieczeństwo informacji i ciągłość działania usług.
Szczególną uwagę trzeba zwrócić na to, aby dokument był spójny z innymi regulacjami w jednostce: polityką bezpieczeństwa informacji, regulaminem pracy z systemami IT czy procedurą zarządzania incydentami. Jeżeli w trakcie audytu ujawniono rozbieżności między dokumentacją a praktyką, należy je odnotować w komentarzach audytora.
Podpisy audytora i kierownictwa nadają dokumentowi formalny charakter. Rekomenduje się, aby kopia wzoru była przechowywana w repozytorium dokumentów, a w razie zmian w przepisach dotyczących KRI – aktualizować wzór i informować o tym osoby odpowiedzialne za audyty. Dzięki temu audyt KRI pozostanie narzędziem realnie wspierającym zarządzanie bezpieczeństwem informacji w organizacji.
