Dokument „Audyt KRI – wzór dokumentu do pobrania” powinien w przejrzysty sposób odzwierciedlać przebieg i wynik audytu zgodności z Krajowymi Ramami Interoperacyjności (KRI). Jego podstawowym celem jest udokumentowanie, w jakim stopniu jednostka realizuje wymagania w zakresie bezpieczeństwa informacji, zarządzania systemami teleinformatycznymi oraz organizacji procesu świadczenia e-usług.

Praktyczny wzór audytu KRI powinien zawierać część opisową z informacjami o audytowanej jednostce, zakresie i celu audytu, a także usystematyzowaną tabelę oceny zgodności z poszczególnymi wymaganiami. Ważne jest, aby jasno odróżnić obszary zgodne, częściowo zgodne i niezgodne, wraz z krótkim komentarzem audytora oraz propozycją działań naprawczych.

Charakterystyczną cechą dobrze przygotowanego dokumentu audytu KRI jest również sekcja planu działań korygujących i doskonalących, w której wskazane są osoby odpowiedzialne, terminy realizacji i priorytety. Dzięki temu raport audytu nie jest jedynie podsumowaniem stanu obecnego, ale praktycznym narzędziem do zarządzania dostosowaniem do KRI.

Na końcu dokumentu powinny znaleźć się jednoznaczne wnioski z audytu, poziom ogólnej zgodności z KRI oraz miejsce na podpisy audytora i kierownictwa jednostki. Taki ustandaryzowany wzór ułatwia powtarzalne prowadzenie audytów, archiwizację dokumentacji oraz wykazanie spełnienia wymogów prawnych podczas kontroli zewnętrznych.

Audyt KRI – karta audytu

Cel dokumentu: Udokumentowanie wyników audytu zgodności z Krajowymi Ramami Interoperacyjności (KRI) oraz wskazanie działań korygujących i doskonalących.

Sekcja 1: Informacje ogólne o audycie

Jednostka / urząd: ……………………………………………………..
Komórka organizacyjna: ………………………………………………
Data audytu: ………………………………………………………..
Audytor (imię i nazwisko): …………………………………………
Podstawa prawna: Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności oraz wewnętrzne regulacje jednostki.

Sekcja 2: Zakres i cel audytu KRI

Zakres audytu: (np. wybrane systemy teleinformatyczne, procesy świadczenia e-usług, dokumentacja bezpieczeństwa informacji).
Cel audytu: Ocena stopnia zgodności jednostki z wymaganiami KRI w obszarach organizacyjnym, technicznym i bezpieczeństwa informacji.

Sekcja 3: Ocena zgodności z wymaganiami KRI

W poniższej tabeli należy wskazać wynik oceny dla kluczowych wymagań KRI oraz krótki komentarz audytora.
Obszar / wymaganie KRI Poziom zgodności
(ZG / CZG / NZG)
Komentarz audytora
Polityka bezpieczeństwa informacji oraz dokumentacja systemu zarządzania bezpieczeństwem …….. ……………………………………………………………………………………………………
Zarządzanie dostępem, uwierzytelnianiem i uprawnieniami użytkowników …….. ……………………………………………………………………………………………………
Ciągłość działania, kopie bezpieczeństwa i odtwarzanie po awarii …….. ……………………………………………………………………………………………………
Zarządzanie incydentami bezpieczeństwa i rejestrowanie zdarzeń …….. ……………………………………………………………………………………………………
Zapewnienie interoperacyjności i standardów wymiany danych …….. ……………………………………………………………………………………………………

Sekcja 4: Działania korygujące i doskonalące

Dla stwierdzonych niezgodności oraz obszarów częściowej zgodności należy zaplanować działania korygujące.
Id niezgodności / obszar Opis działania korygującego Odpowiedzialny / termin
NZG-01 …………………………………………………………………………………………………… ………………………….. / ……………….
CZG-02 …………………………………………………………………………………………………… ………………………….. / ……………….

Sekcja 5: Podsumowanie i wnioski z audytu

Ogólny poziom zgodności z KRI: ……………………………………………….
Najważniejsze mocne strony: …………………………………………………………..
Najistotniejsze obszary do poprawy: ……………………………………………..
Rekomendacje audytora: ……………………………………………………………….

Podpisy:
Audytor: …………………………………………….. Data: ………………………..
Kierownik jednostki / upoważniony przedstawiciel: …………………………. Data: ………………….
Wzór dokumentu audytu KRI – do uzupełnienia przez jednostkę.
Strona 1/1

Jak korzystać z wzoru audytu KRI

Zaprezentowany wyżej wzór „Audyt KRI – karta audytu” został przygotowany tak, aby można go było łatwo dostosować do specyfiki dowolnej jednostki administracji publicznej. Wszystkie pola z kropkami i wielokropkami są przeznaczone do uzupełnienia na etapie prowadzenia audytu lub bezpośrednio po jego zakończeniu.

Najmniej modyfikacji wymaga sekcja „Informacje ogólne o audycie”. Zmienia się tu wyłącznie dane identyfikujące jednostkę, osoby uczestniczące oraz daty. Zaleca się, aby w tym miejscu dopisać także numer wewnętrzny audytu lub oznaczenie sprawy w systemie kancelaryjnym, jeśli jest używany.

Elementy, które warto dostosować do organizacji

Sekcja zakresu i celu audytu KRI

W sekcji zakresu audytu można i warto doprecyzować, które systemy, procesy i lokalizacje zostały objęte badaniem. Dobrą praktyką jest wskazanie, czy audyt obejmował również dostawców zewnętrznych (np. usługi chmurowe), co bywa istotne z punktu widzenia Krajowych Ram Interoperacyjności.

Cel audytu można rozwinąć o dodatkowe aspekty, np. weryfikację wdrożenia rekomendacji z poprzedniego audytu KRI czy ocenę skuteczności procedur reagowania na incydenty bezpieczeństwa.

Tabele oceny zgodności i działań korygujących

Tabele w sekcjach 3 i 4 stanowią trzon dokumentu. Można dodać kolejne wiersze, jeśli audyt obejmuje więcej szczegółowych wymagań lub jeśli dla jednego obszaru pojawia się kilka niezgodności. Należy jednak zachować spójny sposób oznaczania (np. NZG-01, CZG-02), co ułatwi późniejsze raportowanie i monitorowanie postępów.

Poziom zgodności (ZG / CZG / NZG) warto zdefiniować w procedurze audytu lub w załączniku do dokumentu, aby każda osoba interpretowała wyniki w ten sam sposób. W treści wzoru można dodać skróconą legendę, jeśli w organizacji dopiero budowana jest kultura audytowa.

Najważniejsze dobre praktyki przy wypełnianiu dokumentu audytu KRI

W części „Podsumowanie i wnioski z audytu” należy unikać ogólników. Im bardziej konkretne są rekomendacje, tym łatwiej zaplanować realne działania korygujące. Warto wskazywać kolejność wdrażania zmian, zaczynając od obszarów o największym wpływie na bezpieczeństwo informacji i ciągłość działania usług.

Szczególną uwagę trzeba zwrócić na to, aby dokument był spójny z innymi regulacjami w jednostce: polityką bezpieczeństwa informacji, regulaminem pracy z systemami IT czy procedurą zarządzania incydentami. Jeżeli w trakcie audytu ujawniono rozbieżności między dokumentacją a praktyką, należy je odnotować w komentarzach audytora.

Podpisy audytora i kierownictwa nadają dokumentowi formalny charakter. Rekomenduje się, aby kopia wzoru była przechowywana w repozytorium dokumentów, a w razie zmian w przepisach dotyczących KRI – aktualizować wzór i informować o tym osoby odpowiedzialne za audyty. Dzięki temu audyt KRI pozostanie narzędziem realnie wspierającym zarządzanie bezpieczeństwem informacji w organizacji.