Audit řízení bezpečnosti informací – máme to pod kontrolou?

Audit řízení bezpečnosti informací zkoumá, identifikuje a porovnává shodu stavu zavedení bezpečnostní politiky a procesů systému řízení bezpečnosti informací v organizaci s požadavky na informační bezpečnost stanovených normou ČSN ISO/IEC 27001.

Audit provedený třetí stranou Vám pomůže najít mezery v systému řízení bezpečnosti informací, které nejsou díky provozní „slepotě“ vidět.

Audit řízení bezpečnosti informací provádíme v následujících krocích:

• Přezkoumání dokumentace spočívající v ověření dokumentovaných pravidel bezpečnosti informací.
• Praktické ověření zavedených pravidel bezpečnosti informací v organizaci definovaných bezpečnostní dokumentací:
• definování kontextu organizace, interních a externích aspektů,
• rozsah bezpečnosti informací, určení hranic a aplikovatelnosti systému řízení informací,
• prohlášení o aplikovatelnosti stanovující aplikovaná opatření z přílohy A normy a jejich zavedení v organizaci,
• odpovědností vedení organizace v rámci bezpečnosti informací, definovaných bezpečnostních politik,
• plánování bezpečnosti informací spočívající v řízení rizik – identifikace aktiv, analýza rizik, akceptace zbytkových rizik, plán zvládání rizik,
• bezpečnost lidských zdrojů v rámci životního cyklu zaměstnance a rozvoje jeho bezpečnostní povědomí,
• určení zdrojů, kompetencí, povědomí, komunikace a řízení dokumentovaných informací systému řízení bezpečnosti informací,
• řízení provozu bezpečnosti informací,
• monitorování, měření, analýza a hodnocení bezpečnosti informací,
• interní audity, jejich plánování a provádění,
• přezkoumání systému bezpečnosti informací,
• řízení opatření, bezpečnostních událostí a incidentů,
• neustálé zlepšování bezpečnosti informací.



• Zpracování protokolu z provedeného interního auditu, definování jednotlivých zjištění a pomoc při definování návrhu jejich řešení.