Apetyt na ryzyko

Współczesne bezpieczeństwo informacji opiera się przede wszystkim o ryzyko. Można by rzec, że wszystko „kręci się”wokół ryzyk: od analizy ryzyk, poprzez audyt zorientowany na ryzyka, monitorowanie ryzk po zarządzanie zarządzanie ryzykiem.

Konieczność podjęcia tematu analizy ryzyk w jednostkach administracji publicznej wynika przede wszystkim z ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (DzU z 2009 r. nr 157, poz. 1240) , która nakłada na jednostki sektora finansów publicznych obowiązek prowadzenia kontroli zarządczej. Efektem i jednym z celów wprowadzonej kontroli zarządczej jest zarządzanie ryzykiem przez kierownictwo jednostki, do czego niezbędne jest przygotowanie analizy ryzyk oraz przeprowadzanie corocznych planów audytu.

2. Celem kontroli zarządczej jest zapewnienie w szczególności:
1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi;
2) skuteczności i efektywności działania;
3) wiarygodności sprawozdań;
4) ochrony zasobów;
5) przestrzegania i promowania zasad etycznego postępowania;
6) efektywności i skuteczności przepływu informacji;
7) zarządzania ryzykiem

Analiza ryzyk wynikająca z kontroli zarządczej to niejedyny wymóg prawny, który nakłada na administrację publiczną konieczność zajęcia się ryzykami. Kolejnym obowiązkowym dla działu IT administracji publicznej aktem prawnym jest rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (DzU z 2012 r. poz. 526; KRI). W zakresie analizy ryzyk w KRI odnajdujemy zarówno odwołanie do normy PN-ISO/IEC 27001 (Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania1), jak i PN-ISO/IEC 27005 (Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji2), która jest normą dedykowaną do zagadnień zarządzania ryzykiem. Warto podkreślić, że rok 2013 przyniósł zasadnicze zmiany w zakresie filozofii zarządzania systemami bezpieczeństwa informacji nakreślonym przez twórców norm z zakresu 2700X (mowa o ISO – Międzynarodowej Organizacji Normalizacyjnej oraz IEC – Międzynarodowej Komisji Elektrotechnicznej). Właśnie w 2013 r. pojawiła się ostateczna wersja normy ISO/IEC 27001, która uzależniła stworzenie systemu zarządzania bezpieczeństwem informacji (SZBI) od efektów uzyskanych w ramach prac nad analizą ryzyk wykonanych zgodnie z wytycznymi zawartymi w normie ISO/IEC 27005.

Więcej w kwietniowym numerze "IT w Administracji" - http://itwadministracji.pl/numery/kwiecien-2015/apetyt-na-ryzyko.html

__________________________________________________________
Foto https://pixabay.com/en/challenge-crocodile-businessman-73325/
License: CC0 Public