Nowelizacja ustawy o KSC – obowiązki, audyty i odpowiedzialność

Audyt bezpieczeństwa podmiotu kluczowego (KSC)

Cele audytu:

1. Ocena spełnienia obowiązku przeprowadzania audytu bezpieczeństwa systemu informacyjnego przez podmiot kluczowy.
2. Ocena zgodności działań podmiotu kluczowego z obowiązkami wynikającymi z ustawy o krajowym systemie cyberbezpieczeństwa.
3. Weryfikacja funkcjonowania systemu zarządzania bezpieczeństwem informacji w systemach informacyjnych wykorzystywanych do realizacji usług.
4. Sporządzenie raportu z audytu w zakresie wymaganym ustawą.

Obszary i kryteria audytu:

1. Obowiązek audytu bezpieczeństwa nie rzadziej niż raz na 3 lata.
2. System zarządzania bezpieczeństwem informacji.
3. Zarządzanie ryzykiem cyberbezpieczeństwa.
4. Obsługa incydentów i obowiązki raportowe.
5. Ciągłość działania i odtwarzanie po incydentach.
6. Bezpieczeństwo łańcucha dostaw.
7. Obowiązki kierownika podmiotu.
8. Raport z audytu i termin przekazania organowi (3 dni robocze).

Pytania weryfikacyjne:

1. Czy audyt jest przeprowadzany w terminach ustawowych?
2. Czy sporządzany jest raport z audytu?
3. Czy raport jest przekazywany właściwemu organowi w terminie?
4. Czy funkcjonuje system zarządzania bezpieczeństwem informacji?
5. Czy realizowane są obowiązki w zakresie incydentów?
6. Czy kierownik wykonuje obowiązki ustawowe?

Ramowy plan audytu:

• Przegląd dokumentacji ustawowej.
• Weryfikacja terminów audytu.
• Ocena raportu audytowego.
• Potwierdzenie obowiązków raportowych.
• Opracowanie raportu z audytu.

Kontakt:

• Napisz do nas: kri@audytor.bialystok.pl