Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: Czy wymagane jest CGAP?

Witam,
czy by urząd gminy mógł zlecić audyt z zakresu bezpieczeństwa firmie zewnętrznej, osoba przeprowadzająca audyt musi posiadać CGAP? Czy może to wykonać po prostu jak zwykłą usługę doradczą powiedzmy firma informatyczna?

Jest wiele firm, które przesyłają informację do urzędów, że tylko im można powierzyć audyt bo posiadają CGAP - uprawnienie wynikające z ustawy o finansach publicznych.

Pozdrawiam
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Czy wymagane jest CGAP?

W zależności którą drogą chce iść urząd?
Na ten temat wypowiedział się minister finansów wraz z ministrem administracji i cyfryzacji. Była interpretacja Rozporządzenia RM w sprawie krajowych ram interoperacyjności ....
W jednostkach gdzie wdrożono SZBI wystarczy audit wynikający z PN, w tych gdzie nie ma SZBI, audyt kierownicy mają zapewnić nie rzadziej niż raz na rok i decydują komu go powierzyć. Czyli w tym drugim rozwiązaniu korzysta z AW swoich lub zewnętrznych, a ci MUSZĄ posiadać kwalifikacje wynikające z Uofp.
Krzysiek Juszczak

Krzysiek Juszczak Specjalista ds.
bezpieczeństwa

Temat: Czy wymagane jest CGAP?

Nie wiem czy o tej samej interpretacji mówi ale jeżeli tak to trochę mi się wydaje że nie do końca jest tak z tymi uprawnieniami.
Poniżej wycinek z owej interpretacji:
"Kryteriami, jakimi należy się kierować przy wyborze osób/komórek organizacyjnych prowadzących audyt w zakresie bezpieczeństwa informacji są: odpowiednie kwalifikacje, doświadczenie, znajomość metodyki audytu w zakresie bezpieczeństwa informacji, a także niezależność od obszaru audytowanego. W razie wątpliwości, przy wyborze osób/komórek organizacyjnych prowadzących ww. audyt można brać pod uwagę wymogi wskazane w normach wymienionych w § 20 ust. 3 rozporządzenia" (PN-ISO/IEC 17799, PN-ISO/IEC 27005, PN-ISO/IEC 2476)

Nie ma tutaj mowy że muszą posiadać kwalifikacje wynikające z UOFP
Jarosław M.:
W zależności którą drogą chce iść urząd?
Na ten temat wypowiedział się minister finansów wraz z ministrem administracji i cyfryzacji. Była interpretacja Rozporządzenia RM w sprawie krajowych ram interoperacyjności ....
W jednostkach gdzie wdrożono SZBI wystarczy audit wynikający z PN, w tych gdzie nie ma SZBI, audyt kierownicy mają zapewnić nie rzadziej niż raz na rok i decydują komu go powierzyć. Czyli w tym drugim rozwiązaniu korzysta z AW swoich lub zewnętrznych, a ci MUSZĄ posiadać kwalifikacje wynikające z Uofp.
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Czy wymagane jest CGAP?

Tak mówimy o tej samej interpretacji.
Jak napewno Pan zauważył są w niej wskazane 2 drogi. Przy wyborze odrzucającym ISO zostaje tylko Uofp. Z tego wnioskowania wyłączam oczywiście hierarchię aktów prawnych: Rozporządzenie, a Ustawa.
Przytoczony fragment znajduje się w punkcie 2, rozpoczynającym się od "...Jednostki,które nie wdrożyły systemu zarządzania bezpieczeństwem informacji, zgodnie z normami..."
Wraz ze stanowiskiem zostały wydane wytyczne odnoszące się do sytuacji w której audyt bezpieczeństwa informacji został powierzony audytorom wewnętrznym. Poniżej link aby każdy samodzielnie mógł wyrobić sobie zdanie w tym temacie (w razie problemów z linkiem dokumenty znajdują się w zakładce AKTUALNOŚCI, Kontrola zarządcza i audyt wewnętrzny). A tu część istotna w temacie:
"...W opinii Ministerstwa Finansów audyt w zakresie bezpieczeństwa informacji powinien być prowadzony w formie zadań zapewniających.
Realizacja audytu bezpieczeństwa informacji jako zadania zapewniającego następowałaby z uwzględnieniem wymogów określonych w ustawie o finansach publicznych, rozporządzeniu w sprawie przeprowadzania i dokumentowania audytu wewnętrznego oraz w Standardach audytu wewnętrznego . Wymogi te dotyczą w szczególności..."

Chciałbym również zwrócić uwagę, że zgodnie ze standardami AW, w sytuacji w której audytor wewnętrzny nie jest kompetentny do przeprowadzenia zadania - odmawia jego wykonania i korzysta z pomocy specjalisty.

Myślę, że całe zamieszanie powstało z nazewnictwem "audyt wewnętrzny". Jako bliższa mi Uofp posługuje się tym terminem, natomiast w odnośnikach do ISO zawsze były kontrowersje z tłumaczeniem audyt, audit... Standardy poprawnej legislacji wręcz zabraniają w normach prawnych nadawania tym samym zwrotom różnego znaczenia.

Mam nadzieję, że jednak choć trochę zdołałem Pana przekonać.

http://www.mf.gov.pl/ministerstwo-finansow/dzialalnosc...

Następna dyskusja:

czy to jest powierzenie?




Wyślij zaproszenie do