Rozporządzenie Rady Ministrów wprowadza obowiązek audytu wewnętrznego w zakresie bezpieczeństwa informacji. Proszę o wyjaśnienia w zakresie: czy gimnazjum ma obowiazek przeprowadzania takiego audytu i na czym taki audyt polega. Pozdrawiam

ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada obowiązek wprowadzenia m.in. w szkołach systemu zarządzania bezpieczeństwem informacji:

§ 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

 W ust. 2 wymienione zostały działania w ramach zarządzania bezpieczeństwem informacji.

Jednym z nich jest przeprowadzanie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. Jedynie w przypadku opracowania systemu zarządzania bezpieczeństwem informacji na podstawie Polskiej Normy PN-ISO/IEC 27001 zwalnia z obowiązku przeprowadzania takiego audytu, gdyż w ramach tego systemu odbywa się audytowanie na podstawie Polskich Norm związanych z powyższą Normą.

W przypadku szkoły audytor sprawdza m.in. sposób przechowywania danych dotyczących uczniów i pracowników szkoły, zabezpieczeń z tym związanych (jak przechowuje sie w szkole dokumenty, kto ma dostęp do kluczy i pomieszczeń, jak zabezpieczone są komputery, itp.) oraz dokumentacji związanej z bezpieczeństwem informacji.