Auditi ja vastavuse seire poliitika – VKE

Auditi ja vastavuse seire poliitika (dokument P33S) annab tervikliku raamistiku struktureeritud siseaudititeks, turvakontrollide kontrollimiseks ja regulatiivse vastavuse seireks, mis on kohandatud väikestele ja keskmise suurusega ettevõtetele (VKE-dele). Arvestades, et VKE-del puudub sageli eraldi vastavuspersonal, delegeerib see poliitika olulised rollid ja vastutused tegevjuhile, IT-teenuseosutajale või administraatorile, meeskonnajuhtidele ning vajaduse korral välisaudiitoritele või konsultantidele. Selle põhieesmärk on tuvastada kontrollimeetmete tõrked, ennetada mittevastavust ning pidevalt tõendada hoolsuskohustuse täitmist kooskõlas ISO/IEC 27001, GDPR ja seotud tööstusstandardite nõuetega. Selle poliitika kohaldamisala on lai, hõlmates kõiki sisemisi talitusi ning väliseid kolmanda osapoole teenuseosutajaid, kes on seotud infosüsteemide, isikuandmete töötlemise ja mis tahes ärikriitiliste teenustega. See nõuab kõigi kontrollimeetmete ja süsteemide regulaarset ja struktureeritud läbivaatamist infoturbe juhtimissüsteemi (ISMS) raames. Auditeid võib algatada sisemiselt või klientide ja regulaatorite taotlusel või sertifitseerimise ja taassertifitseerimise raames. Poliitika sätestab, et tõendite kogumine ja aruandlus peavad olema hästi korraldatud, et vastata ISO/IEC 27001 ja GDPR auditite, kliendi hoolsuskontrolli ning muutuvate regulatiivsete või õiguslike nõuete (nt NIS2 ja DORA) ootustele. Peamised juhtimisnõuded hõlmavad tegevjuhi heakskiitu iga-aastasele auditiplaanile, kus on selgelt tuvastatud süsteemid, kontrollimeetmed (nt ISO/IEC 27001 lisa A kontrollimeetmed), GDPR-spetsiifilised protsessid, sisseostetud teenused ja kriitilised äriprotsessid, mis kuuluvad iga-aastase või vajaduspõhise läbivaatamise alla. Siseauditid peavad toimuma vähemalt kord aastas, kriitiliste või kõrge riskiga valdkondade puhul sagedamini. Kogu auditeerimistegevus peab põhinema struktureeritud kontrollnimekirjadel, sh poliitika olek, tehniliste kontrollimeetmete valideerimine, kasutajate vastavus ja asjakohane auditilogimine. Leiud hinnatakse riskipõhiselt ja jälgitakse kuni parandusmeetmeteni, kusjuures parandused vaadatakse üle ja kinnitatakse tegevjuhi poolt. VKE-de tegelikkust toetades institutsionaliseerib poliitika lihtsad ja korduvkasutatavad auditi kontrollnimekirjad, tsentraliseeritud tõendite säilitamise (metaandmete ja säilitamisnõuetega) ning sirgjoonelise erandite halduskorralduse ja riskijuhtimise protsessi. Kõigile rollidele, alates tegevjuhist kuni IT-teenuseosutaja ja võtmekasutajateni, antakse selged ja teostatavad vastutused, võimaldades vastavust ilma eraldi vastavusosakonnata. Auditi tulemused integreeritakse jätkuvatesse infoturbe haldussüsteemi juhtkonnapoolsetesse ülevaatustesse ning nõutav on poliitika iga-aastane hindamine ja ajakohastamine vastusena regulatsioonide, sertifikaatide või suurte intsidentide muutustele. See poliitika on selgesõnaliselt märgistatud VKE poliitikana (mida näitab dokumendi number P33S ja otsene adresseerimine tegevjuhile, mitte spetsialiseerunud vastavus- või turbeametnikele). See on koostatud selleks, et organisatsioonid saaksid säilitada sertifitseerimisvalmiduse ja operatiivse kontrolli ka piiratud sisemiste ressursside korral ning täita mitme ülemaailmse raamistiku nõudeid praktiliste ja äriliselt realistlike protsesside kaudu.