ISO/IEC 20000-1 i wymagania prawne w Polsce

W maju 2012 roku zostało ogłoszone rozporządzenie o dziwnie brzmiącym tytule: „W sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych”.

 

Niewiele osób to zauważyło, jednak dzień ogłoszenia Rozporządzenia KRI zapoczątkowało powolną ewolucję w zakresie bezpieczeństwa informacji oraz jakości usług IT. Rozporządzenie zostało wydane na podstawie artykułu 18 Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne, która wprowadziła Plan Informatyzacji Państwa.  Jednak o samej ustawie napiszę innym razem.

 

Rozporządzenie w sprawie Krajowych Ram Interoperacyjności, które, w skrócie, określamy Rozporządzeniem KRI, wprowadziło między innymi dwa obowiązki.

  • Po pierwsze, wdrożenie przez wszystkie jednostki rządowe i samorządowe systemu zarzadzania bezpieczeństwa informacji, spełniającego wymagania wyszczególnione w rozporządzeniu KRI lub w normie ISO/IEC 27001.
  • Po drugie, nakazało urzędom oraz innym jednostkom państwowym i samorządowym, aby wymagały od swoich dostawców IT, aby wykazali zgodność z wymaganiami jakości dla usług IT określonymi w rozporządzeniu KRI lub w normie ISO/IEC 20000-1.
Zobacz podobne  Planowanie ciągłości działania w organizacjach cz.1

 

W 2013 roku, polskie urzędy zaczęły powoli uświadamiać sobie, że muszą zacząć wdrażać powyższe wymagania w życie. Coraz częściej spotyka się w SIWZ na dostawę usług IT wymagania posiadania certyfikatu ISO/IEC 20000-1. Również firmy w relacjach biznesowych zaczęły wymagać od swoich partnerów posiadania certyfikatów ISO/IEC 27001 i ISO/IEC 20000-1. Ewolucja ruszyła.

 

Mariusz Mazur

Scroll to Top