Audyt bezpieczeństwa informacji powinien dać odpowiedź na pytanie, czy audytowana organizacja prawidłowo i zgodnie z obowiązującym prawem chroni swoje informacje. Od 5 lat realizujemy na zlecenia różnych JST audyty bezpieczeństwa informacji, zwracając uwagę na to, że system zarządzania bezpieczeństwem informacji to proces. Proces ten realizuje się w kilku podstawowych etapach:
- ustanowienie
- wdrożenie
- eksploatacja
- ciągłe doskonalenie.
Elementem doskonalenia systemu zarządzania bezpieczeństwem informacji jest audyt wewnętrzny. Konieczność jego wykonywania wynika z przepisów Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych zawartych w:
§ 20. ww rozporządzenia - "1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:
…
14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok."
Jeśli w organizacji wdrożony jest SZBI zgodny z wymogami Normy PN-ISO/IEC 27001 to w obszernej dokumentacji tego wdrożenia jest plan audytów wewnętrznych, które powinny być realizowane nie rzadziej niż raz na rok.