Audit podle vyhlášky o kybernetické bezpečnosti

H  Audit  Audit podle norem ISO  Role auditora  Institut auditu z pohledu poskytovatele služby auditu  Audit a jeho fáze podle ISO 19011  Řízení programu auditu  Provádění auditu  Závěr z auditu a auditorská zpráva  Audit podle vyhlášky o kybernetické bezpečnosti

Vyhláška o kybernetické bezpečnosti nařizuje povinným subjektům, aby součástí organizačního opatření byl audit kybernetické bezpečnosti14 . Zjištění, která jsou získána auditem poskytují podklady pro zlepšování bezpečnosti a aktualizují ISMS. V rámci vyhlášky je povinností povinného subjektu také personální obsazení důležitých rolí podle typu subjektu. Role auditora musí splňovat požadavky na odbornou způsobilost. Auditor nese odpovědnost za provádění auditu, přičemž k tomu musí být zajištěna jeho nestrannost na výkonu dalších rolí týkajících se bezpečnosti v organizaci. Audit je podle vyhlášky prováděn v pravidelných intervalech nebo v případech, kdy nastanou významné změny15. Průběh auditu musí být dokumentován a vyhláška specifikuje, jaké náležitosti musí zpráva z auditu kybernetické bezpečnosti obsahovat (viz Tabulka č. 4 - část zpráva z auditu kybernetické bezpečnosti). Výsledná zpráva se stává součástí bezpečnostní dokumentace. Pokud je osoba provozovatelem systému a provádí audit, pak je povinen seznámit s výsledkem auditu správce systému. Závěry auditu jsou zpětnou vazbou řízení bezpečnosti informací v organizaci a stávají se podklady pro identifikaci možných zlepšování ISMS.