Strefa wiedzy

KRI – jakość czy jakoś

30.04.2015

Dwa podejścia do KRI

Obserwujemy wśród naszych klientów dwa podejścia do spełnienia wymagań, jakie stawia przed nimi Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności.

Jedni stawiają sobie za cel, aby „jakoś” rozwiązać problem i najmniejszym wysiłkiem stworzyć pozory, że ich systemy informatyczne są zgodne z Rozporządzeniem. Przeglądy systemów robione są siłami pochodzącymi „z łapanki” lub znalezionymi na rynku zgodnie z zasadą najniższej ceny. Dokumentacja bezpieczeństwa informacji jest skopiowana z wzorców, jakie można znaleźć w internecie. Można tak? Można, „jakoś” to będzie.

Na szczęście coraz częściej spotykamy się z podejściem odwrotnym, czyli ceniącym sobie JAKOŚĆ. Takie podejście ma jedną istotną wadę: kosztuje i wymaga wysiłku.

 

Czy warto postawić na JAKOŚĆ?

Po pierwsze: KRI to nie jest nasz lokalny wymysł, urzędnicza fanaberia, którą trzeba znieść jak wiele innych dolegliwych nikomu niepotrzebnych przepisów. To jest europejska inicjatywa, która została skonkretyzowana w 2010 roku w dokumencie „Europejskie Ramy Interoperacyjności”. Jej celem było uruchomienie w Unii Europejskiej procesów zmierzających do wspólnego podejścia administracji publicznej krajów członkowskich do spraw interoperacyjności i bezpieczeństwa informacji. Jeśli więc chcemy, aby nasze instytucje były częścią europejskiego systemu, powinniśmy podejmować wyzwania jakie stawia sobie Europa.

Po drugie: konkretną wartością jaką wnoszą Krajowe Ramy Interoperacyjności jest stworzenie jednolitego podejścia do:
• zasad wymiany informacji w ramach e-administracji, czyli pomiędzy urzędami oraz pomiędzy urzędami i obywatelami, przez określenie formatów danych i protokołów komunikacyjnych i szyfrujących, które powinny być wykorzystywane w oprogramowaniu interfejsowym,
• sposobów udostępniania informacji dla osób niepełnosprawnych,
• zasad budowania i doskonalenia Systemu Zarządzania Bezpieczeństwa Informacji.

Jeśli więc komuś zależy na tym, aby jego organizacja mogła bez przeszkód wymieniać informacje, aby mieć poczucie, że system w jakim się działa jest bezpieczny, a wreszcie, żeby zostały spełnione zasady respektujące ograniczenia osób niepełnosprawnych – z całą pewnością będzie chciał wdrożyć zalecenia KRI z należytą JAKOŚCIĄ.

Po trzecie: dobrze, profesjonalnie przeprowadzony audyt zgodności z KRI, to pierwszy kroczek na długiej drodze do osiągnięcia dobrego, dojrzałego Systemu Zarządzania Bezpieczeństwem Informacji. To wiedza o tym jak nasza organizacja funkcjonuje naprawdę, co nam zagraża, gdzie jesteśmy dziś. Dobrze przeprowadzony audyt charakteryzuje się zastosowaniem metodyki, która daje wynik mierzalny i powtarzalny. To pozwala doskonalić system bezpieczeństwa informacji, pozwala powtórzyć badanie po roku – i odpowiedzieć na pytanie, w jakich obszarach poprawiliśmy stan bezpieczeństwa i w jakim stopniu.

 

Własnymi siłami czy ze wsparciem?

KRI to około 70 wymagań dotyczących systemu informacyjnego, zdefiniowanych w 15 obszarach oraz około 40 wymagań dotyczących dokumentacji. Jeśli mamy wśród pracowników osoby dobrze znające rozporządzenie KRI, będące biegłymi audytorami, znające metodykę audytu – zapewne wykonają to zadanie dobrze. Tylko po co? Zawodowcy pracują z tymi metodykami na co dzień i regularnie doskonalą swój warsztat, dostosowując wiedzę do zmian w prawie. Zawodowcy dobrze wiedzą jak specyfika konkretnej instytucji powinna wpływać na kształt dokumentacji bezpieczeństwa. Czy warto, aby organizacja nie zajmująca się profesjonalnie takimi zadaniami na co dzień ponosiła takie koszty i angażowała w ten sposób swoje zasoby? Na to pytanie każdy musi odpowiedzieć sam. Ważne, żeby wygrała JAKOŚĆ.

Informacje o usługach Audytel S.A.

Bądź na bieżąco i wyraź zgodę na otrzymywanie informacji o naszych aktualnych działaniach.   Co zyskasz, jeśli zapiszesz się do…

10.09.2020

Zobacz więcej

Rynek data center w Polsce – czy COVID-19 będzie impulsem do przyspieszenia rozwoju?

Podaż powierzchni data center na polskim rynku osiągnęła na koniec 2019 r. poziom 94 tys. m2 co oznacza, że drugi…

12.05.2020

Zobacz więcej

Dobre praktyki przy tworzeniu bezpiecznego łańcucha dostaw zgodnie z ISO 28000:2007

Łańcuch dostaw obecnie można zdefiniować jako „łańcuch wyzwań” związanych z rosnącymi kosztami, niedoborem kapitału ludzkiego, presją na skracanie czasów dostaw,…

15.01.2020

Zobacz więcej
icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.