W maju 2012 roku zostało ogłoszone rozporządzenie o dziwnie brzmiącym tytule: „W sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych”.
Niewiele osób to zauważyło, jednak dzień ogłoszenia Rozporządzenia KRI zapoczątkowało powolną ewolucję w zakresie bezpieczeństwa informacji oraz jakości usług IT. Rozporządzenie zostało wydane na podstawie artykułu 18 Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne, która wprowadziła Plan Informatyzacji Państwa. Jednak o samej ustawie napiszę innym razem.
Rozporządzenie w sprawie Krajowych Ram Interoperacyjności, które, w skrócie, określamy Rozporządzeniem KRI, wprowadziło między innymi dwa obowiązki.
- Po pierwsze, wdrożenie przez wszystkie jednostki rządowe i samorządowe systemu zarzadzania bezpieczeństwa informacji, spełniającego wymagania wyszczególnione w rozporządzeniu KRI lub w normie ISO/IEC 27001.
- Po drugie, nakazało urzędom oraz innym jednostkom państwowym i samorządowym, aby wymagały od swoich dostawców IT, aby wykazali zgodność z wymaganiami jakości dla usług IT określonymi w rozporządzeniu KRI lub w normie ISO/IEC 20000-1.
W 2013 roku, polskie urzędy zaczęły powoli uświadamiać sobie, że muszą zacząć wdrażać powyższe wymagania w życie. Coraz częściej spotyka się w SIWZ na dostawę usług IT wymagania posiadania certyfikatu ISO/IEC 20000-1. Również firmy w relacjach biznesowych zaczęły wymagać od swoich partnerów posiadania certyfikatów ISO/IEC 27001 i ISO/IEC 20000-1. Ewolucja ruszyła.
Mariusz Mazur
