Strefa wiedzy

KRI – jakość czy jakoś

30.04.2015

Dwa podejścia do KRI

Obserwujemy wśród naszych klientów dwa podejścia do spełnienia wymagań, jakie stawia przed nimi Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności.

Jedni stawiają sobie za cel, aby „jakoś” rozwiązać problem i najmniejszym wysiłkiem stworzyć pozory, że ich systemy informatyczne są zgodne z Rozporządzeniem. Przeglądy systemów robione są siłami pochodzącymi „z łapanki” lub znalezionymi na rynku zgodnie z zasadą najniższej ceny. Dokumentacja bezpieczeństwa informacji jest skopiowana z wzorców, jakie można znaleźć w internecie. Można tak? Można, „jakoś” to będzie.

Na szczęście coraz częściej spotykamy się z podejściem odwrotnym, czyli ceniącym sobie JAKOŚĆ. Takie podejście ma jedną istotną wadę: kosztuje i wymaga wysiłku.

 

Czy warto postawić na JAKOŚĆ?

Po pierwsze: KRI to nie jest nasz lokalny wymysł, urzędnicza fanaberia, którą trzeba znieść jak wiele innych dolegliwych nikomu niepotrzebnych przepisów. To jest europejska inicjatywa, która została skonkretyzowana w 2010 roku w dokumencie „Europejskie Ramy Interoperacyjności”. Jej celem było uruchomienie w Unii Europejskiej procesów zmierzających do wspólnego podejścia administracji publicznej krajów członkowskich do spraw interoperacyjności i bezpieczeństwa informacji. Jeśli więc chcemy, aby nasze instytucje były częścią europejskiego systemu, powinniśmy podejmować wyzwania jakie stawia sobie Europa.

Po drugie: konkretną wartością jaką wnoszą Krajowe Ramy Interoperacyjności jest stworzenie jednolitego podejścia do:
• zasad wymiany informacji w ramach e-administracji, czyli pomiędzy urzędami oraz pomiędzy urzędami i obywatelami, przez określenie formatów danych i protokołów komunikacyjnych i szyfrujących, które powinny być wykorzystywane w oprogramowaniu interfejsowym,
• sposobów udostępniania informacji dla osób niepełnosprawnych,
• zasad budowania i doskonalenia Systemu Zarządzania Bezpieczeństwa Informacji.

Jeśli więc komuś zależy na tym, aby jego organizacja mogła bez przeszkód wymieniać informacje, aby mieć poczucie, że system w jakim się działa jest bezpieczny, a wreszcie, żeby zostały spełnione zasady respektujące ograniczenia osób niepełnosprawnych – z całą pewnością będzie chciał wdrożyć zalecenia KRI z należytą JAKOŚCIĄ.

Po trzecie: dobrze, profesjonalnie przeprowadzony audyt zgodności z KRI, to pierwszy kroczek na długiej drodze do osiągnięcia dobrego, dojrzałego Systemu Zarządzania Bezpieczeństwem Informacji. To wiedza o tym jak nasza organizacja funkcjonuje naprawdę, co nam zagraża, gdzie jesteśmy dziś. Dobrze przeprowadzony audyt charakteryzuje się zastosowaniem metodyki, która daje wynik mierzalny i powtarzalny. To pozwala doskonalić system bezpieczeństwa informacji, pozwala powtórzyć badanie po roku – i odpowiedzieć na pytanie, w jakich obszarach poprawiliśmy stan bezpieczeństwa i w jakim stopniu.

 

Własnymi siłami czy ze wsparciem?

KRI to około 70 wymagań dotyczących systemu informacyjnego, zdefiniowanych w 15 obszarach oraz około 40 wymagań dotyczących dokumentacji. Jeśli mamy wśród pracowników osoby dobrze znające rozporządzenie KRI, będące biegłymi audytorami, znające metodykę audytu – zapewne wykonają to zadanie dobrze. Tylko po co? Zawodowcy pracują z tymi metodykami na co dzień i regularnie doskonalą swój warsztat, dostosowując wiedzę do zmian w prawie. Zawodowcy dobrze wiedzą jak specyfika konkretnej instytucji powinna wpływać na kształt dokumentacji bezpieczeństwa. Czy warto, aby organizacja nie zajmująca się profesjonalnie takimi zadaniami na co dzień ponosiła takie koszty i angażowała w ten sposób swoje zasoby? Na to pytanie każdy musi odpowiedzieć sam. Ważne, żeby wygrała JAKOŚĆ.

Opłacalność taryf no-limit

Coraz większa popularność taryf ryczałtowych typu „no-limit” na rynku detalicznym sprawia, że również firmy oraz instytucje sektora publicznego decydują się…

25.09.2017

Zobacz więcej

Spadki sprzedaży usług telekomunikacyjnych w sektorze administracji publicznej i samorządowej

W 2016 r. jednostki objęte ustawą Prawo zamówień publicznych[1] (dalej „Pzp”) zaraportowały w serwisach BZP[2] i TED[3] zawarcie umów o łącznej…

Zobacz więcej

Rynek data center – podsumowanie 2016 r. i prognozy na najbliższe 5 lat

Wydarzenia na polskim rynku datacenter w 2016 r. potwierdziły wiarę dostawców w dobre perspektywy rynkowe w nadchodzących latach. W infrastrukturę…

17.08.2017

Zobacz więcej

Zbieranie danych do audytu energetycznego

Rozpoczęcie prac audytowych wymaga umiejętnego zebrania danych, które będziemy poddawać analizie. Ustawa o efektywności energetycznej opisuje w sposób ogólny to,…

17.05.2017

Zobacz więcej

Formy poprawy efektywności energetycznej wspierane przez Państwo

Podjęcie działań na rzecz wzrostu efektywności energetycznej wymaga podjęcia wysiłku i często znaczących nakładów finansowych. Celem zwiększenia motywacji do realizacji…

13.04.2017

Zobacz więcej

Nowa ustawa o ochronie danych osobowych – przegląd opublikowanego projektu

Już niewiele ponad rok dzieli nas od rozpoczęcia stosowania przepisów Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych, w skrócie zwanego…

Zobacz więcej

Jak spełnić wymogi Ustawy o efektywności energetycznej?

Najważniejszym założeniem Ustawy o efektywności energetycznej (nowelizacja przyjęta przez Sejm 20.05.2016) jest wprowadzenie obowiązkowych działań na rzecz poprawy efektywności energetycznej…

21.03.2017

Zobacz więcej

Wsparcie w zarządzaniu zamówieniami (cz. III)

W drugiej części artykułu omówiono podstawowe warunki, jakie muszą zostać spełnione w firmie dla skutecznego zarządzania zapasami. Zwrócono uwagę na…

Zobacz więcej

Jak skutecznie wdrożyć panel menedżera?

W naszej praktyce biznesowej obserwujemy wzrost zapotrzebowania menedżerów na szybki dostęp do informacji ukierunkowanej na wsparcie konkretnej decyzji zarządczej. Rośnie…

22.02.2017

Zobacz więcej

Inspektor Ochrony Danych – czy będzie to nowa rola?

W grudniu 2016 roku Grupa Robocza art. 29, opublikowała swoje wytyczne do unijnego rozporządzenia GDPR (RODO). Jednym z tematów wytycznych…

Zobacz więcej

Wsparcie w zarządzaniu zamówieniami (cz. II)

W pierwszej części artykułu przedstawiono podstawowe funkcjonalności dostępnych na rynku aplikacji i programów wspomagających zarządzanie zamówieniami. Zwrócono również uwagę na…

12.12.2016

Zobacz więcej

GDPR – rozbudowany obowiązek informacyjny

Zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych administrator danych zobowiązany jest spełnić obowiązek informacyjny wobec osób,…

Zobacz więcej

Rola podmiotów w ujęciu Ustawy o efektywności energetycznej z 20 maja 2016 r.

ROLA ODBIORCY PRZEMYSŁOWEGO Odbiorcy przemysłowi zostali pośrednio zobligowani do działań na rzecz efektywności energetycznej – poprzez obowiązek oszczędności 1,5% energii…

Zobacz więcej

Dobór mocy umownej

Redukcja ponoszonych kosztów to coś, co zawsze brzmi atrakcyjnie i czym każdy będzie zainteresowany. Nie inaczej jest w przypadku oszczędzania…

15.11.2016

Zobacz więcej

GDPR – nowe wymagania dotyczące zgody na przetwarzanie danych

Nowe  Rozporządzenie unijne o ochronie danych osobowych (GDPR) wprowadza szereg zmian w zakresie wymagań prawnych dot. przetwarzania danych osób fizycznych…

Zobacz więcej

Najnowsze trendy na rynku usług transmisji danych

Najważniejszym trendem, który kształtował ofertę operatorów w ostatnich latach, była ewolucja w kierunku zarządzanych usług transmisji danych. Zjawisko to jest…

Zobacz więcej

Wsparcie informatyczne w zarządzaniu zamówieniami (cz.1/2)

Zarządzanie zamówieniami  jest procesem mającym istotny i bezpośredni wpływ na wynik finansowy przedsiębiorstwa. W obszarze zarządzania łańcuchem dostaw proces ten…

17.10.2016

Zobacz więcej

Testy penetracyjne – wymagania, potrzeby a rzeczywistość

Obserwowane zwiększone zapotrzebowanie na przeprowadzanie audytów bezpieczeństwa informacji to nie tylko chwilowa moda związana ze wzrastającą świadomością zagrożeń w obszarze…

Zobacz więcej

RODO – nowe zasady nakładania kar na administratorów danych osobowych

25. maja 2018 roku zaczną być stosowane przepisy rozporządzenia UE o ochronie danych osobowych, którego celem jest ujednolicenie przepisów prawa…

Zobacz więcej

Privacy Shield – pierwszy miesiąc funkcjonowania

1 sierpnia 2016 roku został uruchomiony program Tarcza Prywatności (eng. Privacy Shield) – umowa ramowa przyjęta pomiędzy Stanami Zjednoczonymi a…

16.09.2016

Zobacz więcej
icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.