oswiata.eu
IT w oświacie
Zaloguj Forum

Audyt KRI szkoły – checklista na start

14 lutego, 2026 · KRI i zgodność
Audyt KRI

Praktyczny przewodnik dla dyrektora i administratora IT

Wymagania wynikające z Krajowych Ram Interoperacyjności (KRI) nie są abstrakcyjnym obowiązkiem „dla urzędów w Warszawie”. Szkoła publiczna – jako jednostka sektora finansów publicznych – również podlega przepisom wykonawczym do ustawy o informatyzacji. W praktyce oznacza to konieczność spełnienia wymagań określonych w Rozporządzenie w sprawie Krajowych Ram Interoperacyjności.

Audyt KRI nie musi być kosztownym projektem doradczym. Można rozpocząć od rzetelnej checklisty i uporządkowania dokumentacji.

Poniżej znajdziesz profesjonalny, ale przystępny przewodnik „od czego zacząć”.

1️⃣ Czym jest audyt KRI w szkole?

Audyt KRI to weryfikacja, czy szkoła:

  • posiada formalne dokumenty bezpieczeństwa informacji,
  • zarządza ryzykiem,
  • chroni dane i systemy,
  • zapewnia ciągłość działania,
  • kontroluje dostęp do systemów informatycznych.

Nie chodzi wyłącznie o sprzęt IT.
Audyt dotyczy:

  • organizacji,
  • procedur,
  • ludzi,
  • systemów,
  • dokumentów.

2️⃣ Najczęstszy błąd: brak dokumentacji

W wielu szkołach funkcjonuje:

  • firewall,
  • backup,
  • monitoring,
  • antywirus,

ale nie ma:

  • polityki bezpieczeństwa,
  • analizy ryzyka,
  • procedury incydentów,
  • dokumentacji nadawania uprawnień.

Z punktu widzenia KRI:

brak dokumentu = brak wdrożenia.

3️⃣ Checklista audytu KRI – poziom startowy

📌 A. Dokumenty organizacyjne

✔ Polityka bezpieczeństwa informacji
✔ Instrukcja zarządzania systemami IT
✔ Procedura nadawania i odbierania uprawnień
✔ Procedura reagowania na incydenty
✔ Rejestr incydentów
✔ Rejestr systemów informatycznych
✔ Rejestr upoważnień

Jeśli choć jednego z tych dokumentów brakuje – szkoła ma formalną lukę.

📌 B. Zarządzanie ryzykiem

Szkoła powinna:

✔ zidentyfikować zagrożenia (awaria, ransomware, utrata danych),
✔ ocenić prawdopodobieństwo i skutki,
✔ wskazać środki zaradcze,
✔ aktualizować analizę minimum raz w roku.

Minimalny dokument:

„Analiza ryzyka dla systemów IT szkoły”

📌 C. Kontrola dostępu

✔ Czy każdy pracownik ma indywidualne konto?
✔ Czy usuwane są konta byłych pracowników?
✔ Czy stosowane są silne hasła?
✔ Czy dostęp do serwera jest ograniczony?
✔ Czy sieć uczniów jest odseparowana (VLAN)?

📌 D. Backup i ciągłość działania

✔ Czy funkcjonuje zasada 3-2-1?
✔ Czy testowano odtworzenie danych?
✔ Czy istnieje plan działania w razie awarii?
✔ Czy szkoła może wznowić pracę w 24–48 h?

📌 E. Bezpieczeństwo techniczne

✔ Aktualizacje systemów
✔ Firewall klasy UTM
✔ Segmentacja sieci
✔ Ochrona antywirusowa
✔ Ograniczenie dostępu z Internetu

4️⃣ Jak wygląda minimalny model zgodności?

Szkoła nie musi mieć:

  • SOC,
  • SIEM,
  • zespołu bezpieczeństwa.

Ale musi mieć:

  • dokumenty,
  • procedury,
  • podstawowe zabezpieczenia,
  • świadomość zagrożeń.

5️⃣ Przykład praktyczny – szkoła 300 uczniów

Stan początkowy:

  • Serwer lokalny
  • Router operatorski
  • Backup na dysku USB
  • Brak dokumentów

Po 3 miesiącach uporządkowania:

✔ Polityka bezpieczeństwa
✔ Procedura incydentów
✔ Backup 3-2-1
✔ NAS + kopia offsite
✔ Segmentacja VLAN
✔ Rejestr uprawnień

Efekt:

  • gotowość na kontrolę,
  • uporządkowana odpowiedzialność,
  • zmniejszone ryzyko incydentu.

6️⃣ Audyt KRI a RODO

Wymagania KRI i RODO wzajemnie się uzupełniają.

RODO mówi:

zabezpiecz dane.

KRI mówi:

zorganizuj system bezpieczeństwa.

Szkoła powinna traktować je jako jeden spójny system.

7️⃣ Najczęstsze obszary wykrywane podczas kontroli

  • brak formalnej analizy ryzyka,
  • brak testów odtworzenia backupu,
  • brak dokumentacji nadawania uprawnień,
  • brak rejestru incydentów,
  • brak planu ciągłości działania.

8️⃣ Jak rozpocząć audyt – 4 kroki

Krok 1 – Inwentaryzacja

Spisz wszystkie systemy i urządzenia.

Krok 2 – Dokumenty

Utwórz podstawowy pakiet dokumentów.

Krok 3 – Weryfikacja techniczna

Sprawdź backup, firewall, VLAN, aktualizacje.

Krok 4 – Raport

Przygotuj raport z rekomendacjami.

9️⃣ Checklista „tak / nie” dla dyrektora

✔ Czy szkoła ma politykę bezpieczeństwa?
✔ Czy istnieje analiza ryzyka?
✔ Czy backup jest testowany?
✔ Czy incydenty są rejestrowane?
✔ Czy konta pracowników są zarządzane formalnie?

Jeżeli odpowiedź „nie” pojawia się więcej niż raz – audyt jest pilnie potrzebny.

🔟 Dlaczego warto zrobić audyt przed kontrolą?

Audyt wewnętrzny:

  • jest tańszy,
  • pozwala poprawić błędy bez presji,
  • porządkuje odpowiedzialność,
  • zwiększa bezpieczeństwo szkoły.

Kontrola zewnętrzna:

  • działa pod presją czasu,
  • może wykazać formalne nieprawidłowości,
  • generuje stres organizacyjny.

Podsumowanie

Audyt KRI w szkole nie jest projektem technologicznym.
Jest elementem odpowiedzialnego zarządzania jednostką publiczną.

Minimalny poziom zgodności to:

  • dokumentacja,
  • analiza ryzyka,
  • backup,
  • kontrola dostępu,
  • procedura incydentów.

Szkoła, która posiada te elementy, jest:

✔ bezpieczniejsza,
✔ przygotowana na kontrolę,
✔ mniej narażona na incydent,
✔ bardziej profesjonalna organizacyjnie.