Řízení ostatních faktorů: Audit kybernetické bezpečnosti

Dle paragrafu 16 ZKB předsatvuje Audit kybernetické bezpečnosti systematické a nezávislé přezkoumání ISMS.

Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 7 odst. 4 VKB, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření.

Provedení Auditu kybernetické bezpečnosti je požadováno při významných změnách a v rámci jejich rozsahu (minimálně v oblasti dotčené změnou).

Auditu kybernetické bezpečnosti je dále prováděn v pravidelných intervalech alespoň:

• jednou za tři roky v celém rozsahu požadavků v případě správce a provozovatele významného informačního systému
• jednou za dva roky v případě ostatních povinných osob.

V případech, kdy audit kybernetické bezpečnosti nelze provést v plném rozsahu ve stanovené lhůtě (zejména z důvodu časové náročnosti), lze audit rozdělit systematicky na dílčí části. Takovýto postup je nutné podrobně zdůvodnit a postupovat tak, aby vždy po ukončení všech částí auditu byl výsledkem audit kybernetické bezpečnosti v celém rozsahu požadavků prováděcího právního předpisu, nejpozději v 5-ti letém intervalu.

Požadavkem na audit kybernetické bezpečnosti je provádění pravidelné kontroly dodržování níže uvedeného:

• nejlepší praxe,
• právních předpisů,
• bezpečnostní dokumentace a bezpečnostních politik organizace (včetně technické shody),
• jiných předpisů a smluvních závazků, které se vztahují k systému.

V případě, že audit nalezne nesoulad s výše uvedenými požadavky, musí být na tyto nedostatky reagováno stanovením a přijetím takových nápravných opatření, které zajistí jejich odstranění. Výsledky auditu musí být zohledněny v plánu rozvoje bezpečnostního povědomí a v plánu zvládání rizik. Povinná osoba, která je současně provozovatelem, předkládá výsledky auditu kybernetické bezpečnosti správci daného informačního systému. Pravidelné posouzení stavu (audit či kontrola) celého ISMS je nezbytnou součástí kontinuálního zlepšování.