Политика за одит и мониторинг на съответствието - МСП

Политиката за одит и мониторинг на съответствието (Документ P33S) предоставя цялостна рамка за структурирани вътрешни одити, проверки на мерките за контрол на сигурността и мониторинг на регулаторното съответствие, специално адаптирана за малки и средни предприятия (МСП). Като отчита, че МСП често нямат специализиран персонал по съответствие, тази политика делегира ключови роли и отговорности на Генералния мениджър, ИТ доставчик или администратор, ръководители на екипи и, при необходимост, външни одитори или консултанти. Основната ѝ цел е да открива отказ на контролна мярка, да предотвратява несъответствие и непрекъснато да демонстрира надлежна проверка в съответствие с изискванията на ISO/IEC 27001, GDPR и свързаните индустриални стандарти. Обхватът на тази политика е широк и покрива всички вътрешни отдели, доставчици на услуги на трети страни, ангажирани с ИТ системи, обработване на лични данни, както и всички услуги, критични за бизнеса. Тя изисква редовен и структуриран преглед на всички контроли и системи в рамките на Системата за управление на информационната сигурност (СУИС). Одитите могат да бъдат инициирани вътрешно или по искане на клиенти, регулатори или за дейности по сертификация и ресертификация. Политиката определя, че събирането на одиторски доказателства и докладването трябва да бъдат добре организирани, за да отговорят на изискванията на ISO/IEC 27001, одити по GDPR, надлежна проверка от клиенти и развиващи се регулаторни или правни изисквания (като NIS2 и DORA). Ключовите изисквания за управление включват одобрение от Генералния мениджър на годишен план за одит, с ясно идентифициране на системи, контроли (напр. контроли от Приложение A на ISO/IEC 27001), GDPR-специфични процеси, външно възложени услуги и критични бизнес дейности, подлежащи на годишен или ad hoc преглед. Вътрешните одити следва да се провеждат поне ежегодно, с по-висока честота за критични или високорискови области. Цялата одитна дейност трябва да се базира на структурирани контролни списъци, включително статус на политиките, валидиране на контролите, спазване на политиките от потребителите и подходящо одитно регистриране на доказателства. Констатациите се оценяват по риск и се проследяват до действия за отстраняване, като корекциите се преглеждат и потвърждават от Генералния мениджър. В подкрепа на реалностите на МСП политиката институционализира прости и повторяеми одитни контролни списъци, централизирано съхранение на одиторски доказателства (с метаданни и изисквания за съхранение) и ясен процес за управление на изключенията и управление на риска. На всички роли — от Генералния мениджър през ИТ доставчика до ключовите потребители — се възлагат ясни, приложими отговорности, което улеснява съответствието без необходимост от специализиран отдел по съответствие. Резултатите от одита се интегрират в прегледи от ръководството на СУИС, като се изискват годишна оценка на политиката и актуализации в отговор на промени в регулации, сертификации или значими инциденти. Тази политика е изрично обозначена като политика за МСП (отбелязано с номер на документа P33S и директното адресиране на Генералния мениджър, вместо специализирани служители по съответствие или сигурност). Тя е разработена, за да гарантира, че организациите могат да поддържат одитна готовност за сертификация и оперативен контрол, дори при ограничени вътрешни ресурси, и да удовлетворяват изискванията на множество глобални рамки чрез практични, бизнес-реалистични процеси.