Politika auditu a průběžného monitorování souladu

Politika auditu a průběžného monitorování souladu slouží jako základní dokument pro zavedení a řízení programu strukturovaného auditování a monitorování souladu napříč Systémem řízení bezpečnosti informací (ISMS) organizace. Ústředním účelem politiky je validovat účinnost bezpečnostních opatření a opatření ochrany osobních údajů, zajistit sladění s více použitelnými normami a právními rámci, detekovat a řešit mezery v souladu a podporovat neustálé zlepšování směrem k certifikaci a připravenosti na regulaci. Politika se široce vztahuje na všechny interní obchodní jednotky, fyzická a cloudová prostředí, aplikace, datová aktiva a poskytovatele služeb třetích stran s povinnostmi v oblasti souladu nebo auditními povinnostmi. Pokrývá všechny formy auditů, včetně interních, externích certifikačních, technických posouzení souladu a hodnocení dodavatelů třetích stran, stejně jako procesy pro nápravná opatření (CAPA), vykazování metrik řízení přístupu a řízení auditních důkazů. Správa a řízení jsou kritickým zaměřením. Politika vyžaduje integrovaný program monitorování auditu a souladu v rámci ISMS, zahrnující každoroční auditní plány založené na rizicích, pravidelné auditní cykly odpovídající kritičnosti aktiv a přísné postupy dokumentace. Musí být veden registr auditu, který sleduje zjištění auditu, odpovědné strany a stav CAPA, přičemž všechny důkazy jsou bezpečně uloženy. Procesní požadavky zajišťují nestrannost a objektivitu v souladu s předními auditními standardy a externí přezkumy mají být formálně koordinovány rolemi právní a compliance a ředitelem informační bezpečnosti (CISO) pro regulační zajištění. Politika podrobně popisuje odpovědnosti širokého spektra zainteresovaných stran, včetně vedoucích interního auditu, vedení, týmů IT a bezpečnosti, vedoucích oddělení a koordinátorů pořizování/třetích stran, přičemž každá role má definované povinnosti v oblasti spolupráce při auditu, poskytování důkazů, nápravy a dohledu nad třetími stranami. Dále předepisuje využití automatizovaných nástrojů pro technické monitorování souladu a monitorování zranitelností a vymezuje ošetření výjimek, protokoly ošetření rizik a proces eskalace pro nesoulad. Tato politika je explicitně mapována na globální standardy, včetně ISO/IEC 27001:2022 (se specifickým pokrytím interního auditu, přezkoumání vedením a požadavků CAPA), ISO/IEC 27002:2022 (kontroly pro přezkum a auditní protokolování), NIST SP 800-53 (posouzení kontrol a monitorování), GDPR (požadavky na důkazy a auditní stopu), NIS2 a DORA (směrnice EU pro regulovaná odvětví) a COBIT 2019 (monitorování a soulad). Podpůrné politiky pro řízení rizik, uchovávání důkazů, řízení změn, kryptografické kontroly, dohled nad dodavateli, reakce na incidenty a kontinuitu podnikání jsou přímo odkazovány, což zajišťuje, že auditní program posiluje širší cíle správy a řízení a regulační soulad napříč organizací.