Polityka monitorowania audytu i zgodności

Polityka monitorowania audytu i zgodności stanowi dokument bazowy do ustanowienia i nadzorowania programu ustrukturyzowanego audytowania oraz monitorowania zgodności w ramach Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) organizacji. Głównym celem polityki jest walidacja skuteczności zabezpieczeń bezpieczeństwa i prywatności, zapewnienie zgodności z wieloma mającymi zastosowanie normami i ramami prawnymi, wykrywanie i usuwanie luk zgodności oraz wspieranie ciągłego doskonalenia w kierunku certyfikacji i gotowości regulacyjnej. Polityka ma szerokie zastosowanie do wszystkich wewnętrznych jednostek biznesowych, środowisk fizycznych i systemów hostowanych w chmurze, aplikacji, aktywów danych oraz dostawców usług stron trzecich posiadających zobowiązania dotyczące zgodności lub obowiązki audytowe. Obejmuje wszystkie formy audytów, w tym audyty wewnętrzne, audyty certyfikacyjne zewnętrzne, techniczne oceny zgodności oraz oceny dostawców, a także procesy działań korygujących i zapobiegawczych (CAPA), raportowanie wskaźników oraz kontrolę dowodów z audytu. Zarządzanie jest kluczowym obszarem. Polityka wymaga zintegrowanego Programu monitorowania audytu i zgodności w ramach SZBI, obejmującego coroczne, oparte na ryzyku Plany audytu, regularne cykle audytowe adekwatne do krytyczności aktywów oraz rygorystyczne praktyki dokumentacyjne. Należy prowadzić Rejestr audytów, śledzący ustalenia z audytu, strony odpowiedzialne oraz status CAPA, a wszystkie dowody muszą być bezpiecznie przechowywane. Wymagania proceduralne zapewniają bezstronność i obiektywność zgodnie z wiodącymi standardami audytu, a przeglądy zewnętrzne mają być formalnie koordynowane przez role Zgodności oraz Dyrektora ds. bezpieczeństwa informacji (CISO) w celu zapewnienia zgodności regulacyjnej. Polityka określa odpowiedzialności szerokiego grona interesariuszy, w tym liderów audytu wewnętrznego, kierownictwa, zespołów IT i bezpieczeństwa informacji, kierowników działów oraz koordynatorów ds. zakupów/stron trzecich, z jasno zdefiniowanymi obowiązkami w zakresie współpracy audytowej, dostarczania dowodów, remediacji oraz nadzoru nad stronami trzecimi. Wskazuje również na wykorzystanie narzędzi automatyzacji do technicznego monitorowania zgodności i skanowania podatności, a także opisuje zarządzanie wyjątkami, protokoły postępowania z ryzykiem oraz proces eskalacji w przypadku niezgodności. Polityka jest jednoznacznie mapowana do globalnych standardów, w tym ISO/IEC 27001:2022 (ze szczególnym uwzględnieniem audytu wewnętrznego, przeglądu zarządzania oraz wymagań CAPA), ISO/IEC 27002:2022 (środki kontroli dotyczące przeglądu oraz rejestrowania audytowego), NIST SP 800-53 (oceny środków kontroli i monitorowanie), GDPR (wymogi dotyczące dowodów i ścieżki audytu), NIS2 i DORA (dyrektywy UE dla branż regulowanych) oraz COBIT 2019 (monitorowanie i zgodność). Wspierające polityki dotyczące zarządzania ryzykiem, retencji dowodów, zarządzania zmianami, kryptografii, nadzoru nad dostawcami, reagowania na incydenty oraz ciągłości działania są bezpośrednio przywołane, zapewniając, że program audytu wzmacnia szersze cele zarządcze i zgodność regulacyjną w całej organizacji.