IIA Polska, zwracając szczególną uwagę na zapisy Kodeksu etyki Instytutu Audytorów Wewnętrznych, którego celem jest promowanie zasad etycznych wykonywania zawodu audytora wewnętrznego, przypomina o regule poufności, wedle której audytorzy wewnętrzni będą rozważnie wykorzystywać i chronić informacje uzyskane w trakcie wykonywania obowiązków.
W ostatnim czasie otrzymujemy liczne sygnały o wnioskach osób fizycznych o udostępnienie w trybie dostępu do informacji publicznej treści sprawozdań z audytów informatycznych i audytów bezpieczeństwa informacji.
W wielu przypadkach, sprawozdania dotyczą danych sensytywnych i zawierają na przykład wykazy strategicznych obszarów zabezpieczeń infrastruktury teleinformatycznej lub wskazanie krytycznych podatności.
Proponujemy zatem wykorzystanie formuły odmowy udostępniania informacji wypracowanej przez członków naszego Instytutu:
Zgodnie z doktryną cyberbezpieczeństwa Rzeczypospolitej Polskiej, stanowiącą akt wykonawczy do Strategii Bezpieczeństwa Narodowego RP, która jest dokumentem dotyczącym bezpieczeństwa państwa, opracowywanym i zatwierdzanym zgodnie z art. 6 ust. 1 i art. 4a ust. 1 ustawy z dnia 21 listopada 1967 r. o powszechnym obowiązku obrony Rzeczypospolitej Polskiej (Dz.U. z 2012 r. poz. 461, z późn. zm.), zadaniem naszej Instytucji jest ochrona i obrona własnych systemów teleinformatycznych i zgromadzonych w nich zasobów.
Stanowisko takie jest tożsame z konsekwentnym chronieniem informacji o stwierdzonych podatnościach i problemach związanych z bezpieczeństwem teleinformatycznym, a tym samym redukowanie ryzyk wymienionych w § 20. ust. 2. pkt. 12. lit. f. rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. ws. Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. poz. 526 z późn. zm.).
Tym samym, zgodnie z art. 5. ust. 1. ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U. 2015. poz. 2058 t.j.) udostępnianie danych sensytywnych, zawartych w sprawozdaniach z audytów informatycznych podlega ograniczeniu.