Audyt bezpieczeństwa informacji to przepis wprowadzony w życie 31 maja 2012 roku przez Radę Ministrów. Dotyczy on przestrzegania jasno określanych ustaleń względem, między innymi wymiany informacji za pośrednictwem środków elektronicznych.
Mimo, że przepis obowiązuje od 2012 roku to z jego przestrzeganiem bywało różnie. Powód? Przepis miał jasno precyzować zakres postępowania podmiotów publicznych, czego nie robił. Użyty docelowo język pozostawiał duże pole do swobodnych interpretacji, co skutkowało wykształcaniem się licznych konfuzji, w efekcie przysparzając więcej problemów niż pożytku. Dopiero 26 kwietnia 2013 roku została stworzona stosowna aktualizacja, która sformułowaniu audyt bezpieczeństwa informacji nadała prawdziwe jasnego znaczenia. Aktualizacja precyzowała między innymi zasady przeprowadzania wewnętrznej kontroli bezpieczeństwa informacji, które przetwarzane są w rozmaitych systemach teleinformatycznych. Do przeprowadzania audyty wewnętrznego każdorazowo oddelegowywana jest specjalna komórka. Kwestia przeprowadzania tego typu działań jest kluczowa dla sprawnego oraz przejrzystego działania instytucji publicznych, zwiększając tym samym ich wiarygodność w oczach obywateli, którym docelowo służą.
Audyt bezpieczeństwa informacji – czym tak naprawdę jest? Pojęcia takie jak audyt oraz bezpieczeństwo informacji zestawione razem mogą powodować liczne niejasności w człowieku. Duży formalizm tego sformułowania wprowadza nieraz spore zamieszanie. Widomo, że chodzi o zabezpieczenie informacji, pytanie czyich i przed czym? Według tego przepisu placówki publiczne mają obowiązek przynajmniej raz w roku audyt przeprowadzić w obszarze swojej struktury. Każdy podmiot, który w jakimś stopniu realizuje zadania publiczne (na korzyść obywateli) musi wykazać, że jest w stanie adekwatnie zabezpieczyć ich interesy. W związku z tym audyt polega na opracowywaniu, ustanawianiu, wdrażaniu, monitorowaniu, rozwijaniu oraz dalszym eksploatowaniu wszystkich wykorzystywanych systemów bezpieczeństwa łączących się z obiegiem informacji. Podejmowane działania mają zagwarantować pełną poufność oraz możliwie najlepszą, co do wymogów dostępność jak i integralność zbieranych informacji.
Ma to na celu wyeliminowanie ryzyka wycieku informacji, ich nadużycia oraz straty w skutek niedopatrzeń lub pochopności decyzji podejmowanych na szczeblu administracyjny.