Audit podle norem ISO
H Audit Audit podle norem ISO Role auditora Institut auditu z pohledu poskytovatele služby auditu Audit a jeho fáze podle ISO 19011 Řízení programu auditu Provádění auditu Závěr z auditu a auditorská zpráva Audit podle vyhlášky o kybernetické bezpečnosti
V rámci celé koncepce norem ISO (a jejich vzájemné provázanosti) lze najít základ v normě ISO 9000. V této normě jsou uvedeny důležité pojmy a vtahy, které jsou uvedeny na Obrázku č. 18
Vztahy uvedené na obrázku lze vysvětlit následujícím způsobem: Auditor je osoba s potřebnou kvalifikací a vhodnými vlastnosti pro výkon auditu. Může být součástí týmu auditorů. Tento tým podle potřeby komunikuje s experty a spolupráce zahrnuje poskytování odborných posudků, specifických znalostí nebo konzultací. Audit je prováděn na základě žádosti klienta, který o tuto službu má objektivní zájem. V rámci příprav a plánování auditu je identifikován předmět auditu, tedy jeho rozsah a vymezení auditu. Přípravy auditu vycházejí z kritérií, která se zakládají na politikách, postupech a požadavcích, a týkají se auditovaného systému. Organizace, u které vznikla potřeba uskutečnit audit systému, má zájem prostřednictvím auditem zjištěných výsledků ověřit, zda vyhovuje všem kritériím kladených na systém. Tato zjištění by měla být podpořena a doložena relevantními důkazy. Výstupem auditu je prezentování posouzených výsledků žadatelům, nebo odpovědným zástupcům auditované organizace.
V rámci řízení bezpečnosti informací podle ISO 27001 a ve svém důsledku i podle zákona o kybernetické bezpečnosti včetně jeho prováděcí vyhlášky je základem auditu norma ISO 27007. Tato norma uvádí kontext auditů do prostředí bezpečnosti informací. Audit podle ISO 27007 je postaven na směrnici pro auditování systémů managementu (ISO 19011) a ta zase těží ze základů, které jsou v normě ISO 9000, jak tuto skutečnost ilustruje Obrázek č. 19.
Systém řídících a kontrolních procesů, které mají za cíl provozovat, rozvíjet a zlepšovat systém řízení bezpečnosti informací, je postaven podle koncepce PDCA. Obrázek č. 20 popisuje, jak je v tomto cyklu začleněna norma ISO 27007. Fáze act (jednej) je agentem zlepšování, který je založen na vyhodnocování požadavků a opatření a poskytuje zpětnou vazbu.
Na tomto místě je třeba zmínit významnou vlastnost týkající se vazeb mezi různými ISO normami. Normy vznikají v různých obdobích a jsou ovlivňovány vývojem, který má dopad strukturu i obsah. Kromě běžně uváděného názvu normy jsou dalšími důležitými údaji normy: rok schválení a rok přijetí. Například norma ISO 19001 byla schválena 11. května 2011, publikována byla v listopadu 2011, česká mutace byla schválena 1. června 2012, datum účinnosti normy je od 1. července 2012 a její celý název je ISO 19011:2011. Normou citované dokumenty jsou tedy starší, než je sama norma ISO 19011:2011, a na ni se odkazují normy novější. Práce s normami neumožňuje práci tak, aby vždy odkazovaly na aktuální a platné dokumenty. Odkazy z ISO 27005:2011 se odvolávají na ISO 27001:2005, což je komplikovaný přístup k řízení bezpečnosti informací, protože poslední revize ISO 27001 byla vydána v září 2014 (publikována byla v říjnu 2013). V novějším vydání ISO 27001 je uplatněná rozdílná struktura a členění celého obsahu, navíc nutno brát v ohled změny týkající se aktuálnosti požadavků a opatření. Od dubna 2018 jsou platné normy ISO 27003 a 27004. Tyto normy odkazují už na 27001:2013.
Jak již bylo zmíněno, norma ISO 27007 je v sadě norem 27000 dokumentem, který se zabývá auditem systémů řízení bezpečnosti. Jedním z úkolů normy je adaptovat auditování systému managementu do prostředí bezpečnosti informací. Norma ISO 27007 kopíruje strukturu i obsah normy ISO 19011. V pasážích, které jsou v ISO 19011 příliš obecné nebo neodpovídají požadavkům auditu bezpečnosti informací, uvádí ISO 27007 cíle a opatření do souvislosti s požadavky a cíli ISMS, věnuje se uřčení rozsahu programu auditu a definování cílů, předmětu a kritérií auditu.