Audito ir atitikties stebėsenos politika

Audito ir atitikties stebėsenos politika yra pamatinis dokumentas, skirtas nustatyti ir valdyti organizacijos struktūrizuoto audito ir atitikties stebėsenos programą visoje jos informacijos saugumo valdymo sistemoje (ISVS). Pagrindinis politikos tikslas – validuoti saugos ir duomenų privatumo kontrolės priemonių veiksmingumą, užtikrinti suderinamumą su keliais taikomais standartais ir teisinėmis sistemomis, aptikti ir šalinti atitikties spragas bei skatinti nuolatinį tobulinimą siekiant sertifikavimo ir pasirengimo reglamentavimo reikalavimams. Politika plačiai taikoma visiems vidiniams verslo vienetams, fizinėms ir debesijos aplinkoms, taikomosioms programoms, duomenų turtui ir trečiųjų šalių paslaugų teikėjams, turintiems audito ar atitikties įsipareigojimų. Ji apima visų tipų auditus, įskaitant vidaus, išorės sertifikavimo, techninius atitikties vertinimus ir trečiųjų šalių tiekėjų vertinimus, taip pat koreguojamųjų ir prevencinių veiksmų (CAPA) procesus, rodiklių ataskaitų teikimą ir audito įrodymų kontrolę. Valdysena yra kritinis dėmesio objektas. Politika įpareigoja ISVS įgyvendinti integruotą audito ir atitikties stebėsenos programą, apimančią metinius rizika grindžiamus audito planus, reguliarius audito ciklus pagal turto kritiškumą ir griežtas dokumentavimo praktikas. Turi būti tvarkomas audito registras, kuriame sekamos audito išvados, atsakingos šalys ir CAPA būsena, o visi įrodymai saugiai saugomi. Procedūriniai reikalavimai užtikrina nešališkumą ir objektyvumą, atitinkantį pirmaujančius audito standartus, o išorės peržiūros turi būti formaliai koordinuojamos atitikties funkcijos ir CISO vaidmenų, siekiant reglamentavimo užtikrinimo. Politika detalizuoja atsakomybes įvairiems suinteresuotiesiems asmenims, įskaitant vidaus audito vadovus, vadovybę, IT komandas, departamentų vadovus ir pirkimų / trečiųjų šalių koordinatorius, kurių pareigos apima bendradarbiavimą audituose, įrodymų teikimą, trūkumų šalinimą ir trečiųjų šalių priežiūrą. Taip pat numatomas automatizavimo priemonių naudojimas techninei atitikties stebėsenai ir pažeidžiamumų stebėsenai, apibrėžiamas išimčių tvarkymas, rizikos tvarkymo protokolai ir eskalavimo procesas neatitikties atvejais. Ši politika aiškiai susieta su pasauliniais standartais, įskaitant ISO/IEC 27001:2022 (su konkrečia vidaus audito, vadovybės peržiūros ir CAPA reikalavimų aprėptimi), ISO/IEC 27002:2022 (peržiūros ir registravimo audito žurnale kontrolės priemonės), NIST SP 800-53 (kontrolių vertinimai ir stebėsena), GDPR (įrodymų ir audito pėdsako reikalavimai), NIS2 ir DORA (ES direktyvos reglamentuojamoms pramonės šakoms) ir COBIT 2019 (stebėsena ir atitiktis). Tiesiogiai nurodomos palaikančios politikos dėl rizikos valdymo, įrodymų saugojimo, pokyčių valdymo, kriptografinių kontrolės priemonių, tiekėjų priežiūros, reagavimo į incidentus ir veiklos tęstinumo, užtikrinant, kad audito programa sustiprintų platesnius valdysenos tikslus ir atitiktį reglamentavimo reikalavimams visoje organizacijoje.