Temat: Sprawdzenia ABI a audyt wg. KRI - połączenie czynności

Witam wszystkich
chciałbym (żeby nie mnożyć planów-dokumentów) połączyć obowiązki wynikając z oudo - sprawdzenia planowe abi oraz z rozporządzenia KRI (czy przez odwołanie do iso 27001) - audyt wewnętrzny w zakr. bezp. informacji, w ten sposób żeby stworzyć jeden dokument (Plan sprawdzeń i audtów szbi) którym planuje zarówno czynności sprawdzeń jak i audytowe.

Jakiś czas temu (gdzieś na początku roku) widziałem w sieci opracowanie na ten temat, gdzie autor opisywał jak to zgrabnie ująć oraz stawiał tezy za. Czy ktoś kojarzy może taki dokument?

Jak na złość nie mogę go teraz odszukać, kiedy jest potrzebny.

Założenie jest takie, że abi wykonuje sprawdzenia oraz przeprowadza we własnej jednostce audyt szbi wg iso.

Temat: Sprawdzenia ABI a audyt wg. KRI - połączenie czynności

Tomasz artykułu nie widziałam, ale jakbyś znalazł to chętnie przeczytam. Ja przyjęłam, że robię sprawdzenie ODO i audyt KRI jednocześnie żeby dwa razy się nie ganiać, ale dokumentuję oddzielnie.

Temat: Sprawdzenia ABI a audyt wg. KRI - połączenie czynności

jak tylko znajdę to podam linka
Marta ale w jakim sensie dokumentujesz oddzielnie, tzn. raport z audytu + sprawozdanie ze sprawdzenia czy też oddzielny plan audytów i oddzielny od sprawdzeń? Ja właśnie chciałem pozbyć się podwójnych planów i ująć to w jednym.

Temat: Sprawdzenia ABI a audyt wg. KRI - połączenie czynności

Tak, mam dwa różne dokumenty, chociażby dlatego, że sprawdzenie ODO i elementy sprawozdania szczegółowo reguluje rozporządzenie. Poza tym, mimo wszystko masz dwa różne zakresy do analizy. Pozytywem jest to, że jeśli się to właściwie zaplanuje, to w niektórych aspektach zakresy mogą nachodzić na siebie i zebrany materiał będziesz mógł wykorzystać w obu przypadkach.

Temat: Sprawdzenia ABI a audyt wg. KRI - połączenie czynności

A jak przy ocenie systemu bezpieczeństwa informacji w ramach KRI chcecie pogodzić obiektywizm i niezależność własnych działań podejmowanych w ramach sprawdzeń w roli ABIE-go?

Temat: Sprawdzenia ABI a audyt wg. KRI - połączenie czynności

Jarosław M.:
A jak przy ocenie systemu bezpieczeństwa informacji w ramach KRI chcecie pogodzić obiektywizm i niezależność własnych działań podejmowanych w ramach sprawdzeń w roli ABIE-go?

Ja nie widzę problemu. Przypomnę ci, że w zadaniach ABI nie masz np. opracowania dokumentacji czy zabezpieczeń tylko NADZÓR. ABI pełni funkcję zbliżoną do audytora. To, że w praktyce możesz dodatkowo mieć inne zadania, które mogą kolidować z audytem w ramach KRI to już inna sprawa.

KRI ma szerszy zakres, a sprawdzenie dotyczy tylko danych osobowych. Ja nie łączyłbym KRI ze sprawdzeniem. Zgadzam się z Martą.

Temat: Sprawdzenia ABI a audyt wg. KRI - połączenie czynności

Paweł L.:
Ja nie widzę problemu.....

Ja też nie widzę sprzeczności tzw. zaporowej.
Wg. przepisów abi wykonuje sprawdzenia, a rozp. kri nakłada wymóg zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji.

jeśłi abi wg. przepisów jest głownie nadzorcą przestrzegania przepisów uodo, w większości przypadków w trakcie audytu wg. kri (nawet jeśli robi go abi) nie powinno dojść do konfliktu interesów

rozp. kri nie reguluje zasad przeprowadzania audytu zaś publikacje czy opinie np. Min. Finansów potwierdzały że wybór osoby/ firmy robiącej audyt należy do kierownika jednostki, także może on zarządzić wykonania audytu kri poprzez własnego pracownika,
co nie zmienia faktu, że faktycznie dobrze by było zaplanować przeprowadzenie kolejnego audytu kri za pomocą audytu niezależnego przez osobę z zewnątrz

Temat: Sprawdzenia ABI a audyt wg. KRI - połączenie czynności

Ciekawe zagadnienie ;-) I szczerze Wam współczuję, bo... ministrowie jak zwykle byli mądrzejsi i dowalili takie zamieszanie że szkoda gadać. Plusmagicy stojący za noelizacją ustawy.

Dwa zdania na początek. A na koniec pytanie.

Podstawy - KRI wskazuje na podstawy audytu, na normy:
ISO 17999, która już została zastąpiona ISO 27002, tyle, że ... to wcale nie jest norma do audytu. To jest norma zawierająca dobre praktyki.
ISO 27005 - jak wyżej, nie jest normą do audytu, a jedynie normą zawierającą wytyczne.
ISO 24762 ... również nie jest normą do audytu, bo zawiera wytyczne, a nie wymagania.

Jedyną normą do audytu jest ISO 27001. A normą, która wskazuje zasady audytowania jest ISO 19011. I tu do postu Tomasza - audyt wewnętrzny to audyt strony pierwszej. Istotą podziału jest cel audytu. Jesli dokonywany jest na rzecz podmiotu - zawsze jest wewnętrzny, niezależnie od tego kto go realizuje. Także wytyczne z MF nie stoją w sprzeczności z dobrą praktyką audytorską. Przy czym nadal to będzie audyt wewnętrzny.

I teraz obiecane pytanie - czy ktoś kto wykonuje audyt w rozumieniu KRI może być jednocześnie ABI?
Moim zdaniem nie. Wynika to z pewnych zmian w UODO. Otóż wpisano ABIemu nie tylko nadzór, ale też realizację systemu. Właśnie chociażby w ramach sprawdzeń. O ile jeszcze można by uznać, że sprawdzenie okresowe, planowane (czy planowe - nie pamiętam) jest czymś w rodzaju audytu wewnętrznego w kierunku zgodnościowym (compliance) o tyle sprawdzenie doraźne nosi bardziej cechy reakcji na incydent. A to już jest element systemowy. Odpowiedź na incydent w ISO 27001 jest zdaje się w rozdziale A16 - czyli jest po prostu grupą zabezpieczeń. Do tego należy dołożyć zgodność - czyli A18 i to nie tylko w zakresie sprawdzeń, ale również zadań jakie zostały nałożone na ABIego ustawą. A są to co najmniej:
Prowadzenie rejestru zbiorów - w sposób określony w UODO i aktach wykonawczych. A więc znów element systemu wykonywany przez ABIego;
Prowadzenie sprawdzeń, w tym jako obowiązki określone w przepisach prawa, przygotowanie planu plus sprawozdania w sposób określony w przepisach.
Reakcja na incydenty - również w przepisach prawa.

Moim zdaniem to wszystko powyżej wskazuje, że ABI poza nadzorem jest również realizatorem czynności (wykonawcą). A to powoduje, że przestał być pełnomocnikiem i nadzorcą systemu, a stał się wykonawcą pewnych części i nadzorcą innych.

O takie moje przemyślenia, o tym jak chciano dobrze w UODO a wyszło jak zwykle. A wystarczyło w wielu miejscach wpisać, że nadzoruje. Np. przeprowadzanie sprawdzeń, odpowiedź na incydent (kto tu wymyślił sprawdzenie - przecież to część reakcji na incydent - ISO 27035 pomocna) etc. Bo że z tego przygotuje materiały na przegląd zarządzania - to jeszcze by uszło. A przegląd zarządzania może mieć strukturę - np. jak sprawozdanie, to jeszcze można systemowo wybronić. Ale samych czynności - jako wykonawca, moim zdaniem nie.

Temat: Sprawdzenia ABI a audyt wg. KRI - połączenie czynności

Przychylam się do zdania Grzegorza.
Audyt bezpieczeństwa informacji realizowany zarówno ścieżką ISO jak i MF, moim skromnym zdaniem nie może być wykonywany przez osobę bezpośrednio wykonującą zadania na poziomie operacyjnym. Czyli Abie-go.
DO argumentacji Grzegorza dołączył bym jeszcze jedno: pomijając normę i standardy IIA lub MF to zawsze na końcu zostają wytyczne OECD dot. konfliktu interesów. Tu jest bezsprzecznie tzw. konflikt interesów ról w jakim funkcjonariusz publiczny pozostaje. 1 osoba - wiele ról = ABI i audytor.
Z drugiej strony widzę co się dzieje w "podmiotach" i nie mam złudzeń, że szybko to się nie zmieni.