W związku z wprowadzeniem Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, kilkoro użytkowników naszego portalu skierowało zapytania dotyczące zapisów tego rozporządzenia w kontekście obowiązku prowadzenia audytów w zakresie bezpieczeństwa informacji. W związku z tym skierowaliśmy pytanie do Pana Tadeusza Zawistowskiego, którego firma zajmuje się między innymi systemami zarządzania bezpieczeństwem informacji. Poniżej krótkie wyjaśnienie przygotowane przez Pana Zawistowskiego.
Rozporządzenie, o które pytają użytkownicy portalu rzeczywiście posługuje się pojęciem audyty i to nawet w dwóch znaczeniach. W pierwszym znaczeniu mówi o audycie wewnętrznym a ten jak wiadomo wynika z ustawy o finansach publicznych; w drugim - o audycie wynikającym z systemu zarządzania bezpieczeństwem informacji. Mniejszy problem z realizacją zapisów rozporządzenia dotyczących audytu będą miały zatem podmioty, które posiadają wdrożony system zarządzania bezpieczeństwem informacji zgodny z normą ISO 27001 i prowadzą audyty zgodnie z ww. normą oraz normą IS0 19011 lub prowadzą audyt wewnętrzny w rozumieniu ustawy o finansach publicznych. Natomiast w organizacjach gdzie nie ma systemu i nie ma obowiązku prowadzenia audytu w rozumieniu ustawowym trudno jednoznacznie rozstrzygnąć, jak wywiązać się z nałożonego obowiązku. Ja czytając rozporządzenie uważam, że ktoś nie do końca przemyślał i uzgodnił zapisy tego dokumentu chociażby w kontekście ustawy o finansach publicznych. Jeżeli bowiem ustawa o finansach publicznych nie obliguje do prowadzenia audytu wewnętrznego, a tak jest w wielu przypadkach, to dlaczego rozporządzenie to nakazuje? Z punktu widzenia przepisów wychodzi na to, że rozporządzenie może zobligować do działań, których nie wymaga ustawa a to moim zdaniem nie jest właściwe podejście. Podobnie jest z audytami dotyczącymi bezpieczeństwa informacji w ramach systemu zarządzania bezpieczeństwem informacji. Na dzień dzisiejszy posiadanie systemu zgodnego z normą ISO 27001 też nie jest obligatoryjne. Zatem podsumowując moim zdaniem konieczna jest zmiana ustawy albo rozporządzenia i do tego czasu ja powstrzymałbym się od działań, które mogą okazać się zbędne.