Audit kybernetické bezpečnosti

---

Audit kybernetické bezpečnosti je systematické a nezávislé přezkoumání ISMS. Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 7 odst. 4 VKB, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření. Jeho provedení je požadováno:

• při významných změnách, v rámci jejich rozsahu (minimálně v oblasti dotčené změnou)

A v pravidelných intervalech alespoň:

• jednou za tři roky v celém rozsahu požadavků v případě správce a provozovatele významného informačního systému,
• jednou za dva roky v případě ostatních povinných osob.

V případech, kdy audit kybernetické bezpečnosti nelze provést v plném rozsahu ve stanovené lhůtě (zejm. z důvodu časové náročnosti), je možné audit rozdělit systematicky na dílčí části. Takovýto postup je nutné zdůvodnit a postupovat tak, aby vždy po ukončení všech částí auditu byl výsledkem audit kybernetické bezpečnosti v celém rozsahu požadavků prováděcího právního předpisu, nejpozději v 5 letém intervalu. Požadavkem na audit kybernetické bezpečnosti je provádění pravidelné kontroly dodržování:

• Nejlepší praxe,
• právních předpisů,
• bezpečnostní dokumentace a bezpečnostních politik organizace (včetně technické shody),
• jiných předpisů a smluvních závazků, které se vztahují k systému.

V případě, že audit nalezne nesoulad s výše uvedenými požadavky, musí být na tyto nedostatky reagováno stanovením a přijetím takových nápravných opatření, které zajistí jejich odstranění. Výsledky auditu musí být zohledněny v plánu rozvoje bezpečnostního povědomí a plánu zvládání rizik. Povinná osoba, která je současně provozovatelem, předkládá výsledky auditu kybernetické bezpečnosti správci daného informačního systému. Pravidelné posouzení stavu (audit či kontrola) celého ISMS je nezbytnou součástí kontinuálního zlepšování.