Politika auditu a monitorovania súladu – SME

Politika auditu a monitorovania súladu (Dokument P33S) poskytuje komplexný rámec pre štruktúrované vnútorné audity, kontroly bezpečnostných opatrení a monitorovanie regulačného súladu, špecificky prispôsobený pre malé a stredné podniky (SME). Keďže SME často nemajú vyhradený personál pre dodržiavanie súladu, táto politika deleguje kľúčové roly a zodpovednosti na generálneho manažéra, poskytovateľa IT alebo administrátora, vedúcich tímov a v prípade potreby aj externých audítorov alebo konzultantov. Jej hlavným cieľom je odhaľovať zlyhania kontrol, predchádzať nesúladu a priebežne preukazovať náležitú starostlivosť v súlade s požiadavkami ISO/IEC 27001, GDPR a súvisiacich odvetvových noriem. Rozsah tejto politiky je široký a pokrýva všetky interné útvary, externých poskytovateľov služieb zapojených do informačných systémov, spracúvania osobných údajov a akýchkoľvek podnikovo kritických služieb. Vyžaduje pravidelné a štruktúrované preskúmanie všetkých opatrení a systémov v rámci systému manažérstva informačnej bezpečnosti (ISMS). Audity môžu byť spustené interne alebo na žiadosť klientov, regulátorov, prípadne pre účely certifikácie a recertifikácie. Politika stanovuje, že zber dôkazov a vykazovanie musia byť dobre organizované, aby spĺňali požiadavky ISO/IEC 27001, auditov GDPR, due diligence klientov a vyvíjajúcich sa regulačných alebo právnych požiadaviek (napr. NIS2 a DORA). Kľúčové požiadavky správy zahŕňajú schválenie ročného plánu auditu generálnym manažérom, s jasnou identifikáciou systémov, opatrení (napr. opatrenia prílohy A ISO/IEC 27001), procesov špecifických pre GDPR, outsourcovaných služieb a kritických podnikových činností, ktoré podliehajú ročnému alebo ad hoc preskúmaniu. Vnútorné audity by sa mali vykonávať aspoň raz ročne, s vyššou frekvenciou pre kritické alebo vysokorizikové oblasti. Všetky auditné činnosti musia byť založené na štruktúrovaných kontrolných zoznamoch vrátane stavu politík, validácie kontrol, súladu používateľov a primeraného auditného logovania. Zistenia sú ohodnotené podľa rizika a sledované až po nápravné opatrenia, pričom opravy sú preskúmané a potvrdené generálnym manažérom. S ohľadom na realitu SME politika inštitucionalizuje jednoduché a opakovateľné auditné kontrolné zoznamy, centralizované uchovávanie dôkazov (s metadátami a požiadavkami na uchovávanie) a priamočiary proces riadenia výnimiek a rizík. Všetkým rolám, od generálneho manažéra cez poskytovateľa IT až po kľúčových používateľov, sú pridelené jasné, vykonateľné zodpovednosti, čo umožňuje súlad bez potreby vyhradeného útvaru pre dodržiavanie súladu. Výsledky auditu sú integrované do preskúmania ISMS manažmentom, pričom sa vyžaduje ročné hodnotenie politiky a aktualizácie v reakcii na zmeny v predpisoch, certifikáciách alebo významných incidentoch. Táto politika je výslovne označená ako politika pre SME (uvedené číslom dokumentu P33S a priamym adresovaním generálneho manažéra, nie špecializovaných pracovníkov pre súlad alebo bezpečnosť). Je vytvorená tak, aby organizácie dokázali udržiavať pripravenosť na certifikáciu a prevádzkové riadenie aj pri obmedzených interných zdrojoch a aby spĺňali požiadavky viacerých globálnych rámcov prostredníctvom praktických, podnikovo realistických procesov.