Przejdź do treści
Filar I / Ład dokumentacyjny27.02.2026 · 4 min

Audyt KRI w JST: 5 lekcji z przeglądu technicznego, które pokazują luki

Audyt KRI w JST najczęściej pokazuje brak dowodów działania, a nie sam brak dokumentów. Zobacz 5 lekcji, checklistę 30 minut i moduły, które porządkują rejestry, MFA, logi oraz testy odtworzeniowe.

Ilustracja: dokumenty, checklista i lupa symbolizujące audyt KRI w JST.

Audyt KRI w JST zwykle nie kończy się na stwierdzeniu „nie mamy dokumentów”. Najczęściej pokazuje coś trudniejszego: dokumenty istnieją, ale brakuje dowodów wykonania, właścicieli zadań, aktualnych rejestrów i potwierdzenia, że procedury działają w praktyce.

Jeśli chcesz zobaczyć, jak te obszary układają się w cały system wdrażany etapami, zacznij od strony O systemie, a potem przejdź do katalogu modułów.

Co audyt KRI sprawdza naprawdę

W teorii kontrola sprawdza zgodność z wymaganiami. W praktyce audyt pyta o trzy rzeczy: czy wiadomo kto odpowiada, czy wiadomo gdzie jest dowód i czy da się pokazać ostatnie wykonanie. Jeżeli na którekolwiek z tych pytań odpowiedź brzmi „musimy to sprawdzić”, to luka już istnieje.

  • Procedury istnieją, ale nie ma śladu ostatniego przeglądu.
  • Backup jest wykonywany, ale nie ma protokołu testu odtworzeniowego.
  • Konta uprzywilejowane działają, ale nie ma cyklicznego przeglądu uprawnień.
  • Logi są zbierane wybiórczo i nikt nie umie wskazać retencji.

5 lekcji z przeglądu technicznego w JST

1. Audyt jest mapą drogową, nie polowaniem na winnych

Dobry wynik audytu to nie „brak uwag”, tylko uporządkowana lista luk, priorytetów i decyzji właścicielskich. Dlatego jako pierwszy punkt odniesienia warto mieć moduł Podstawy KRI, który spina polityki bazowe, rejestry, odpowiedzialności i minimum dowodowe.

2. Dokument bez rejestrów i harmonogramu nie przechodzi sprawdzenia w praktyce

Rejestr aktywów, rejestr systemów, rejestr dostępów i harmonogram przeglądów to nie biurokracja. To mechanizm, dzięki któremu audytor i kierownictwo widzą, co jest krytyczne, kto odpowiada i kiedy coś było sprawdzane. Temat rozwinęliśmy też w artykule Rejestr aktywów i podatności w JST.

3. Konta uprzywilejowane i MFA dają szybki efekt ryzyka

W wielu JST najszybsza poprawa nie wynika z zakupu kolejnego narzędzia, tylko z uporządkowania tego, kto ma dostęp administracyjny, kiedy go używa i czy dostęp jest chroniony drugim składnikiem. W tym miejscu logicznym następnym krokiem jest moduł Konta uprzywilejowane i techniczne.

4. Test odtworzeniowy jest ważniejszy niż deklaracja „backup działa”

Jeżeli jednostka nie ma potwierdzonego testu odtworzeniowego, to tak naprawdę nie wie, czy odzyska usługę po awarii. Standard infrastrukturalny i uporządkowanie aktualizacji dobrze zacząć od modułu Minimalny standard stacji i serwera, a warstwę odporności dopiąć przez Ciągłość działania IT.

5. Bez logów i monitoringu nie ma dowodu reakcji

W kontroli wraca to samo pytanie: skąd wiadomo, co się stało i kiedy? Jeżeli logi są rozproszone, retencja nieustalona, a alerty nie mają właściciela, to incydent i audyt kończą się zgadywaniem. Dlatego obszar dowodowy warto łączyć z modułami Monitoring i wykrywanie zagrożeń oraz Obsługa incydentów cyberbezpieczeństwa.

Checklista 30 minut przed audytem KRI

  1. Czy masz aktualny rejestr aktywów i systemów z właścicielami?
  2. Czy potrafisz wskazać datę ostatniego testu odtworzeniowego i jego wynik?
  3. Czy istnieje lista kont uprzywilejowanych wraz z terminem przeglądu?
  4. Czy logi mają określoną retencję i miejsce przechowywania?
  5. Czy krytyczne skrzynki i dostępy administracyjne są chronione MFA?

Od czego zacząć po audycie

Jeśli wnioski z przeglądu są rozproszone, nie zaczynaj od dziesięciu projektów naraz. Najpierw uporządkuj fundament: Podstawy KRI, Minimalny standard stacji i serwera i Konta uprzywilejowane i techniczne. Dopiero potem dokładaj reakcje incydentową i monitoring.

FAQ: audyt KRI w JST

Czy audyt KRI dotyczy tylko dokumentacji?

Nie. Dokumentacja jest tylko punktem wyjścia. Audyt sprawdza też role, rejestry, potwierdzenia wykonania, testy, logi i realną zdolność organizacji do działania pod presją.

Jakie dowody najczęściej są wymagane?

Najczęściej wracają: protokoły testów odtworzeniowych, rejestry aktywów i dostępów, przeglądy uprawnień, logi oraz potwierdzenia wykonania działań wynikających z procedur.

Który artykuł przeczytać dalej?

Jeśli problem zaczyna się od nieporządku w aktywach i priorytetach, przejdź do tekstu Rejestr aktywów i podatności w JST. Jeżeli potrzebujesz szerszej mapy decyzji, zobacz artykuł Cyberbezpieczeństwo w samorządzie: jak ustawić priorytety.

Powiązane kroki

Po przeczytaniu tego artykułu warto przejść do metodyki wdrożenia etapami, a jeżeli potrzebujesz ścieżki JST z kontaktem i płatnością odroczoną, skorzystaj z formularza Kontakt JST.