Politika auditu a průběžného monitorování souladu – SME

Politika auditu a průběžného monitorování souladu (Dokument P33S) poskytuje komplexní rámec pro strukturované interní audity, kontroly bezpečnostních opatření a průběžné monitorování souladu s právními předpisy, konkrétně přizpůsobený pro malé a střední podniky (SME). S ohledem na to, že SME často nemají specializované pracovníky pro dodržování předpisů, tato politika deleguje klíčové role a odpovědnosti na generálního ředitele, poskytovatele IT nebo správce, vedoucí týmů a v případě potřeby na externí auditory nebo konzultanty. Jejím hlavním cílem je detekovat selhání kontroly, předcházet nesouladu a průběžně prokazovat náležitou péči v souladu s požadavky ISO/IEC 27001, GDPR a souvisejících norem v odvětví. Rozsah této politiky je široký a pokrývá všechny interní útvary a poskytovatele služeb třetích stran zapojené do informačních systémů, zpracování osobních údajů a jakékoli kriticky důležité služby. Nařizuje pravidelný a strukturovaný přezkum všech bezpečnostních opatření a systémů v rámci systému řízení bezpečnosti informací (ISMS). Audity mohou být spuštěny interně nebo na žádost klientů, regulátorů, případně pro účely certifikace a recertifikace. Politika stanoví, že sběr důkazů a reporting musí být dobře organizován tak, aby splňoval požadavky ISO/IEC 27001, audity GDPR, náležitou péči klientů a vyvíjející se regulační nebo právní požadavky (např. NIS2 a DORA). Mezi klíčové požadavky správy patří schválení ročního plánu auditu generálním ředitelem s jasnou identifikací systémů, bezpečnostních opatření (např. bezpečnostní opatření přílohy A ISO/IEC 27001), procesů specifických pro GDPR, outsourcovaných služeb a kritických obchodních činností podléhajících ročnímu nebo ad hoc přezkumu. Interní audity by měly probíhat alespoň jednou ročně, s vyšší frekvencí pro kritické nebo vysoce rizikové domény. Veškerá auditní činnost musí vycházet ze strukturovaných kontrolních seznamů, včetně stavu politik, validace technických opatření, souladu uživatelů a odpovídajícího auditního protokolování důkazů. Zjištění jsou ohodnocena podle rizika a sledována až do nápravy, přičemž opravy jsou přezkoumány a potvrzeny generálním ředitelem. S ohledem na realitu SME politika institucionalizuje jednoduché a opakovatelné auditní kontrolní seznamy, centralizované ukládání důkazů (s metadaty a požadavky na uchovávání) a přímočarý proces správy výjimek a řízení rizik. Všem rolím – od generálního ředitele přes poskytovatele IT až po klíčové uživatele – jsou přiřazeny jasné, proveditelné odpovědnosti, což usnadňuje soulad bez potřeby specializovaného útvaru pro dodržování předpisů. Výsledky auditu jsou integrovány do průběžných přezkoumání ISMS vedením, přičemž je vyžadováno každoroční hodnocení politiky a její aktualizace v reakci na změny v regulaci, certifikacích nebo významných incidentech. Tato politika je výslovně označena jako politika pro SME (uvedeno číslem dokumentu P33S a přímým oslovením generálního ředitele namísto specialistů na dodržování předpisů nebo bezpečnostních officerů). Je vytvořena tak, aby organizace mohly udržovat připravenost na certifikaci a provozní kontrolu i při omezených interních zdrojích a aby splnily požadavky více globálních rámců prostřednictvím praktických, obchodně realistických procesů.