Tekst źródłowy strony Dyskusja:14-07.03

Witam,<br />
Proponowane zmiany w Rozporządzeniu RM z 12 kwietnia 2012 w sprawie Krajowych Ram Interoperacyjności ....  nic istotnego nie wnoszą. W tej części bez uwag.<br />
Uwag dotycząca całego Rozporządzenia w szczególności Rozdział IV <br />
Paragraf 20 ust. 1 i 2 zawiera 14 (plus podpunkty) podstawowych wymaganych  i egzekwowanych przez kierownictwo działań dotyczących zarządzania bezpieczeństwem informacji.
Na końcu  ust 3. mówi wprost, że wymagania powyższe uważa się za spełnione jeżeli system zarządzania został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001   itd.
Wymagania (powyżej wspomniane 14 + podpunkty) są dosyć nieudolnie (moim zdaniem) przepisane z normy 27001.<br />
Tak nie powinno się konstruować aktów prawnych.    !!!!!!!!!<br />
Przy okazji sformułowanie Polska Norma PN-ISO/IEC 27001  sugeruje konieczność odniesienia się do polskiej wersji tejże normy czyli PN-ISO/IEC 27001:2007 <br />
Od 1 października 2014r. audyty certyfikacyjne i recertyfikacyjne w zakresie bezpieczeństwa informacji będą musiały być prowadzone z wykorzystaniem normy ISO/IEC 27001:2013. <br />
Warto więc zapoznać się ze zmianami w normie 27001, które można uznać za znaczące. <br />
Przede wszystkim norma oparta została o nową strukturę tzw. Annex SL, jaką mają mieć wszystkie normy dotyczące systemów zarządzania. <br />
Jest jeszcze bardziej zorientowana na zarządzanie ryzykiem, wprowadza kilka zupełnie nowych wymagań szczególnie dla budowania i podnoszenia świadomości oraz komunikacji. 
Dodatkowo zupełnie odmienne podejście do analizy ryzyka oraz nareszcie rozsądnie uporządkowany Załącznik A.<br />
<br />
Konkluzja:<br />
1. Proponowane zmiany  -  bez uwag<br />
2. Rozporządzenie w szczególności Rozdział IV  - źle napisany oraz dodatkowo odnosi się do normy, która zmienia swoją wersję<br />
3. O realnych możliwościach całościowego zastosowania się do wymogów Rozporządzenia  z przyzwoitości pozwolę się nie wypowiedzieć.<br />
<br />
Krótko mówiąc znaczne części w.w Rozporządzenia to klasyczny d...chron<br />
<br />
Ukłony<br />
<br />
Jacek Niwicki<br />
=====================================================================================================================================================<br />
Rzecz w tym, że jednym z zadań przewidzianych w Programie Zintegrowanej Informatyzacji Państwa (PZIP), któryzostal uchwalony 8 stycznia 2014 przez RM  jest powołanie przy Komitecie Rady Ministrów ds. Cyfryzacji międzyresortowego zespołu ds. osiągania interoperacyjności. PZIP nie ustala składu Zespołu, wspomina tylko że powinien byc zasilany przez ekspertów. Wydaje się największy NGO's teleinformatyków powinien wesprzeć MAC w pracach zespołu zwlaszcza że jak widac po projekcie rozporzadzenia rewizja KRI idzie tak sobie<br />
NN<br />
========================================================================================================================================================<br />
Zaintrygowało mnie zdanie:<br />
Od 1 października 2014r. audyty certyfikacyjne i recertyfikacyjne w zakresie bezpieczeństwa informacji będą musiały być prowadzone z wykorzystaniem normy ISO/IEC 27001:2013. <br />
Jaka jest podstawa tego że "będą musiały"?<br />
Nie ma jeszcze zatwierdzonej polskiej wersji tej normy.  I nie jestem wcale pewien, że do 1 X 2014 już będzie.<br />
<br />
pozdrawiam,<br />
Janusz Ż<br />
==========================================================================================================================================================<br />
Z  tym „będą musiały”  to odrobinę zbyt daleko posunięty wniosek. Faktem jest że ISO/IEC 27001:2007  to norma przestarzała a aktualna wersja to ISO/IEC 27001:2013. Masz też rację, że tempo prac PKN nie jest oszałamiające. Natomiast  rozporządzenie może a właściwie powinno wskazywać na najnowszą wersję i wcale nie oznacza to że musi to być wersja polska. Zrozumiałym gdyby rozporządzenie nakazywało stosowanie – wtedy owszem norma PKN jest jak najbardziej na miejscu. Nawiązanie do ISO/IEC a nie PN-ISO/IEC nie byłoby odstępstwem w KRI gdyż wymienia ono również ISO/IEC 10646.
Kolega  Jacek ma co do jednego rację – nie mamy zbyt dużo do powiedzenia jeśli chodzi o treść projektu zmian – dobrze że zapewniają zgodność z aktami prawnymi UE i rozszerzają grupę dopuszczalnych standardów. Rozczarowuje jednak zakres zmian i tym powinniśmy się zająć. <br />
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 12:59, 4 sie 2014 (CEST)<br />
========================================================================================================================================================<br />
do. Jacek Niwicki<br />
<br />
Zapoznaliśmy się z uwagami Kolegi dotyczącymi nowelizacji KRK i jesteśmy zgodni co do tego, że zmiany są kosmetyczne i raczej godne wsparcia. Rozczarowuje jednak zakres zmian. Czy zdaniem kolegi należałoby wskazać konkretne zmiany w rozdziale 4 czy jedynie zwrócić uwagę na konieczność aktualizacji ze względu na nową wersję normy?<br />
Osobiście przychylam się do drugiej opcji gdyż nie powinniśmy odwalać pracy za MAiC a jedynie wskazywać kierunek.<br />
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 08:44, 5 sie 2014 (CEST)