Audito ir atitikties stebėsenos politika – SVV

Audito ir atitikties stebėsenos politika (Dokumentas P33S) pateikia išsamų struktūrizuotų vidaus auditų, saugos kontrolės priemonių patikrų ir atitikties reglamentavimo reikalavimams stebėsenos pagrindą, specialiai pritaikytą mažoms ir vidutinėms įmonėms (SVV). Atsižvelgiant į tai, kad SVV dažnai neturi specialaus atitikties personalo, ši politika esminius vaidmenis ir atsakomybes deleguoja Bendrajam vadovui, IT paslaugų teikėjui arba IT administratoriams, komandų vadovams ir, prireikus, išoriniams auditoriams ar konsultantams. Pagrindinis tikslas – aptikti kontrolės nesuveikimą, užkirsti kelią neatitikčiai ir nuolat demonstruoti deramą patikrinimą pagal ISO/IEC 27001, GDPR ir susijusių pramonės standartų reikalavimus. Šios politikos taikymo sritis yra plati: ji apima visus vidaus departamentus, išorinius paslaugų teikėjus, susijusius su informacinėmis sistemomis, asmens duomenų tvarkymu, ir bet kokias verslui kritines paslaugas. Ji nustato reikalavimą reguliariai ir struktūrizuotai peržiūrėti visas kontrolės priemones ir sistemas Informacijos saugumo valdymo sistemoje (ISVS). Auditai gali būti inicijuojami viduje arba klientų, reguliuotojų prašymu, taip pat sertifikavimo ir pakartotinio sertifikavimo tikslais. Politika nustato, kad įrodymų rinkimas ir ataskaitų teikimas turi būti gerai organizuoti, kad atitiktų ISO/IEC 27001, GDPR auditų, klientų deramo patikrinimo ir kintančių reglamentavimo ar teisinių reikalavimų (pvz., NIS2 ir DORA) poreikius. Pagrindiniai valdysenos reikalavimai apima Bendrojo vadovo patvirtintą metinį audito planą, aiškiai identifikuojant sistemas, kontrolės priemones (pvz., ISO/IEC 27001 A priedo kontrolės priemones), GDPR specifinius procesus, išorines paslaugas ir kritines verslo veiklas, kurioms taikoma metinė arba ad hoc peržiūra. Vidaus auditai turi vykti bent kartą per metus, o kritinėms arba didelės rizikos sritims – dažniau. Visa audito veikla turi būti grindžiama struktūrizuotais kontroliniais sąrašais, įskaitant politikų būseną, technologinių kontrolės priemonių validavimą, naudotojų atitiktį ir tinkamą registravimą audito žurnale. Išvados įvertinamos pagal riziką ir sekamos iki trūkumų šalinimo, o pataisymai peržiūrimi ir patvirtinami Bendrojo vadovo. Atsižvelgiant į SVV realijas, politika institucionalizuoja paprastus ir pakartojamus audito kontrolinius sąrašus, centralizuotą įrodymų saugojimą (su metaduomenimis ir saugojimo reikalavimais) ir aiškų išimčių valdymo bei rizikos valdymo procesą. Visiems vaidmenims – nuo Bendrojo vadovo iki IT paslaugų teikėjo ir pagrindinių naudotojų – priskiriamos aiškios, įgyvendinamos atsakomybės, leidžiančios užtikrinti atitiktį be specialaus atitikties skyriaus. Audito rezultatai integruojami į vykstančias ISVS vadovybės peržiūras, o kasmetinis politikos vertinimas ir atnaujinimai yra privalomi reaguojant į reglamentavimo, sertifikavimo ar didelių incidentų pokyčius. Ši politika aiškiai pažymėta kaip SVV politika (nurodoma dokumento numeriu P33S ir tiesioginiu kreipiniu į Bendrąjį vadovą, o ne į specializuotus atitikties ar saugumo pareigūnus). Ji parengta taip, kad organizacijos galėtų išlaikyti pasirengimą sertifikavimui ir operacinę kontrolę net ir turėdamos ribotus vidaus išteklius, ir praktiškais, verslui realistiškais procesais atitikti kelių pasaulinių sistemų reikalavimus.