Smaller Default Larger

Audyt bezpieczeństwa informacji w placówkach oświatowych. Tak, czy nie?

Czy placówka oświatowa ma obowiązek przeprowadzenia corocznego audytu wewnętrznego na podstawie zarządzenia z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych1) (Dz. U. z 2012 roku, Poz. 526) ?

 Prześledźmy:

 1. Zgodnie z punktem 14 artykuł 20 tego rozporządzenia jednostka jest zobowiązana do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Mogłoby to oznaczać, że wszystkie jednostki samorządu terytorialnego taki audyt muszą przeprowadzić. Zdefiniujmy jednak najpierw pojęcie audytu wewnętrznego:

 2. Co to jest audyt wewnętrzny? Obowiązek realizacji audytu wewnętrznego określa ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2013 r. poz. 885 z późn. zm. Warszawa, dnia 5 sierpnia 2013 r. Poz. 885), która w ten sposób definiuje pojęcie audytu wewnętrznego:

 Art. 272. 1. Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze.

 Art. 274. 1. Audyt wewnętrzny prowadzi się w: (…)

 2. Audyt wewnętrzny prowadzi się także w: (…)

 3. Audyt wewnętrzny prowadzi się w jednostkach samorządu terytorialnego, jeżeli ujęta w uchwale budżetowej jednostki samorządu terytorialnego kwota dochodów i przychodów lub kwota wydatków i rozchodów przekroczyła wysokość 40 000 tys. zł.

 Art. 275. Audyt wewnętrzny prowadzi:

 1) audytor wewnętrzny zatrudniony w jednostce albo

 2) usługodawca niezatrudniony w jednostce, zwany dalej "usługodawcą".

 Art. 276. W jednostce samorządu terytorialnego zadania przypisane kierownikowi jednostki związane z audytem wewnętrznym wykonują odpowiednio: wójt, burmistrz, prezydent miasta, przewodniczący zarządu jednostki samorządu terytorialnego.

 3. Ustawa o finansach publicznych wskazując na wielkość jednostki (budżet pow. 40 mln złotych), powyżej którego należy wprowadzić audyt wewnętrzny jasno określa, że jednostki mniejsze nie mają obowiązku prowadzenia audytu wewnętrznego.

 Z kolei rozporządzenie w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada obowiązek zapewnienia okresowego AUDYTU WEWNĘTRZNEGO w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

 Co oznacza, że audyt taki powinien być przeprowadzany, ale tylko w tych jednostkach, które przepisem wyższego rzędu (ustawa o finansach publicznych) są zobowiązane do prowadzenia audytu wewnętrznego stosownie do zapisów ustawy.

 W przypadku większości placówek oświatowych prowadzonych przez samorząd terytorialny budżet jednostki nie przekracza 40 mln złotych, co oznacza, że nie ma w przedszkolu czy szkole obowiązku tworzenia stanowiska bądź komórki audytu wewnętrznego, a skoro tak, to nie również obowiązku corocznego audytu bezpieczeństwa informacji. Jakiekolwiek dodatkowe wydatki związane z przeprowadzeniem takiego audytu w placówkach oświatowych wydają się nieuzasadnione. Nie znaczy to, że mniejsze placówki są całkowicie zwolnione z obowiązku zachowania bezpieczeństwa informacji.

 Dyrektor placówki oświatowej, biorąc pod uwagę standardy kontroli zarządczej i przepisy ustawy o ochronie danych osobowych powinien w swojej placówce:

 - przeszkolić pracowników dot. przetwarzania danych osobowych i pozostałych informacji

 - napisać i wdrożyć Politykę Bezpieczeństwa

 - napisać i wdrożyć System Zarządzania Systemem Informatycznym (co wiąże się np. z okresowym sprawdzaniem funkcjonalności sprzętu, legalności oprogramowania, skuteczności zapór i programów antywirusowych)

 - monitorować przestrzeganie zasad bezpieczeństwa w przetwarzaniu danych osobowych w swojej placówce - co wprost wynika ze standardów kontroli zarządczej.

 Piotr Gabrysz

Nasi Partnerzy