Krajowe Ramy Interoperacyjności to sposoby postępowania podmiotu realizującego zadania publiczne w zakresie doboru środków, metod i standardów wykorzystywanych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i udoskonalania systemu teleinformatycznego wykorzystywanego do realizacji zadań tego podmiotu oraz procedur organizacyjnych.

Podstawa prawna

KRI określone zostały w rozporządzeniu Rady Ministrów z dnia 21 czerwca 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej jako „rozporządzenie KRI”). Rozporządzenie wydane zostało na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (dalej jako „ustawa o informatyzacji”).

Kogo dotyczy audyt KRI

Podmioty realizujące zadania publiczne, w tym:

• organy administracji rządowej, organy kontroli państwowej i ochrony prawa, sądy, jednostki organizacyjne prokuratury, a także jednostki samorządu terytorialnego i ich organy,
• jednostki budżetowe, zakłady budżetowe i gospodarstwa pomocnicze jednostek budżetowych,
• państwowe lub samorządowe osoby prawne utworzone w celu realizacji zadań publicznych,
• podmioty, którym podmiot publiczny powierzył lub zlecił realizację zadania publicznego, jeżeli w związku z realizacją tego zadania istnieje obowiązek przekazywania informacji do lub od podmiotów niebędących organami administracji rządowej.

Etapy i działania audytowe

Etap I – Przygotowanie audytu

Przygotowanie dokumentów audytowych:

• ankieta dotycząca działania systemów teleinformatycznych używanych do realizacji zadań publicznych,
• zestawienie systemów teleinformatycznych używanych do realizacji zadań publicznych,
• zestawienie dokumentów stanowiących SZBI.

Etap II – Realizacja audytu

Audyt zgodności KRI.

Etap III – Zakończenie audytu

Przygotowanie dokumentów audytowych:

• sprawozdanie z audytu KRI.

Obszary objęte audytem

• dokumenty z zakresu bezpieczeństwa informacji,
• inwentaryzacja sprzętu i oprogramowania informatycznego,
• analiza zagrożeń związanych z przetwarzaniem informacji,
• zarządzanie uprawnieniami do pracy w systemach informatycznych,
• szkolenia pracowników zaangażowanych w proces przetwarzania informacji,
• zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami,
• praca na odległość i mobilne przetwarzanie danych,
• zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie,
• serwis sprzętu informatycznego i oprogramowania,
• zasady postępowania z informacjami, zapewniającymi minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych,
• zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych,
• zarządzanie incydentami związanymi z bezpieczeństwem informacji,
• audyt wewnętrzny z zakresu bezpieczeństwa informacji.