Studium przypadku: Audyt KRI w Urzędzie Gminy
Klient: Urząd Gminy ….
Branża: administracja samorządowa
Liczba pracowników: 82
Zakres systemów: ePUAP, system obiegu dokumentów, platforma e-usług
Wyzwanie
Urząd Gminy nie przeprowadzał audytu KRI od ponad 3 lat. Pojawiły się wątpliwości dotyczące aktualności dokumentacji bezpieczeństwa oraz zgodności wykorzystywanych systemów z wymogami Rozporządzenia Rady Ministrów. Dodatkowo jednostka planowała rozbudowę usług cyfrowych, co wymagało uporządkowania kwestii interoperacyjności i zgodności z RODO.
Nasze działania
Zespół audytorów Eduodo przeprowadził pełny audyt zgodności z Krajowymi Ramami Interoperacyjności, który obejmował:
-
analizę dokumentacji SZBI, polityk bezpieczeństwa i rejestrów,
-
ocenę zgodności systemów z wymaganiami KRI,
-
przegląd konfiguracji systemów IT pod kątem bezpieczeństwa i interoperacyjności,
-
rozmowy z personelem odpowiedzialnym za przetwarzanie danych i IT,
-
ocenę mechanizmów kontroli dostępu i zarządzania uprawnieniami,
-
weryfikację zgodności z wymogami RODO w zakresie przetwarzania danych osobowych.
Wykryte niezgodności
-
brak aktualnego rejestru aktywów informacyjnych,
-
nieprecyzyjne zasady nadawania uprawnień do systemów informatycznych,
-
brak formalnego planu zarządzania ryzykiem,
-
nieaktualna dokumentacja polityki bezpieczeństwa informacji.
Rekomendacje i wdrożenia
Po zakończeniu audytu przekazaliśmy szczegółowy raport wraz z rekomendacjami. We współpracy z Urzędem zrealizowano m.in.:
-
pełną aktualizację dokumentacji SZBI,
-
wprowadzenie cyklicznych przeglądów uprawnień,
-
utworzenie i wdrożenie procedury zarządzania incydentami,
-
szkolenie dla pracowników z zakresu bezpieczeństwa informacji.
Efekty
-
Urząd osiągnął pełną zgodność z wymaganiami KRI i RODO.
-
Dokumentacja była gotowa do kontroli zewnętrznej i pozytywnie oceniona.
-
Zredukowano ryzyko naruszenia ochrony danych osobowych o 60% (na podstawie analizy ryzyka).
-
Usprawniono zarządzanie dostępem do systemów IT.
-
Pracownicy zgłaszają większą świadomość zagrożeń cyberbezpieczeństwa.
Opinia klienta
„Współpraca z Eduodo była profesjonalna na każdym etapie. Dzięki audytowi zyskaliśmy nie tylko zgodność z przepisami, ale także realne usprawnienia organizacyjne. Polecam każdej jednostce publicznej, która chce działać bezpiecznie i zgodnie z wymogami KRI.”
— Inspektor ds. bezpieczeństwa informacji,