W związku z licznymi pytaniami oraz problemami interpretacyjnymi dotyczącymi zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, o którym mowa w § 20 ust. 2 pkt 14 rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych[1] Ministerstwo Administracji i Cyfryzacji (MAiC) oraz Ministerstwo Finansów (MF) opracowały wspólne stanowisko w powyższym zakresie. Prezentuje ono dwa sposoby wywiązania się z obowiązku zapewnienia okresowego audytu w zakresie bezpieczeństwa informacji.
Ponadto, Ministerstwo Finansów opracowało wytyczne dotyczące prowadzenia audytu w zakresie bezpieczeństwa informacji w przypadku powierzenia tego zadania komórce audytu wewnętrznego. W ocenie MF jest to optymalny sposób realizacji tego zadania, jednakże ostateczna decyzja w tym zakresie należy do kierownika jednostki i audytora wewnętrznego.
[1] Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, Dz. U. z 2016 r. poz. 113.
