Provádíme audity kybernetické bezpečnosti informačních systémů dle §16 Vyhlášky k zákonu o kybernetické bezpečnosti (Jedná se o novelu Vyhlášky 316/2014 Sb.)
Vlastním auditem bezpečnostních opatření rozumíme proces jehož výstupem je zdokumentování jednotlivých opatření, popis vazeb na okolní informační systémy a prostředí, dekompozice aktiv, řízení kontinuity činností.
Audit bezpečnostních opatření je výchozím krokem pro poskytnutí rámce bezpečnostních opatření, která jsou pro jednotlivé typy subjektů (správce KII,správce VIS, správce nebo poskytovatel ZS) vyžadována v souladu se zákonem o kybernetické bezpečnosti (zákon č. 181/2014 Sb.) a jeho prováděcího právního předpisu – Novely vyhlášky č. 316/2014 Sb.
Výstupem auditu jsou zejména tyto dokumenty (dle metodiky NÚKIB):
Bezpečnostní opatření
Organizační opatření
Technická opatření
Veškerá dokumentace by pak měla ctít zásadu zvanou „platform, vendor and architecture independent“. To znamená, že je kladen důraz na dodržování veškerých souvisejících norem a standardů, nejsou zde uvedeny komerční názvy aplikací, výrobců nebo dodavatelů.
Výstupy z auditu kyberneticé bezpečnosti pak slouží jako podklady (vstupy) pro BIA, DRP, Analýzu rizik, bezpečnostní směrnice a bezpečnostní politiky.
Pro vlastní audity kybernetické bezpečnosti používáme metodiku NÚKIB a dále metodiku BSI.
Role auditora je dána §7, písm. c vyhlášky k ZKB (82/2018 Sb.)
Vlastní audit je vyžadován v §16 vyhlášky k ZKB (82/2018 Sb.)