Institut auditu z pohledu poskytovatele služby auditu
H Audit Audit podle norem ISO Role auditora Institut auditu z pohledu poskytovatele služby auditu Audit a jeho fáze podle ISO 19011 Řízení programu auditu Provádění auditu Závěr z auditu a auditorská zpráva Audit podle vyhlášky o kybernetické bezpečnosti
Vyhláška o kybernetické bezpečnosti a řízení bezpečnosti informací podle ISO 27001 umožňují, že ISMS s platnou certifikací10 dle ISO 27001 udělenou akreditovaným certifikačním orgánem je v souladu s požadavky vyhlášky.
Již bylo zmíněno, že v rámci bezpečnosti informací a auditu bezpečnosti informací existují normy ISO 17021-1 a ISO 27006. Jejich obsah je zaměřen na doporučení a požadavky, které orgány provádějící audity (podle ISO 27006 myšleno audity ISMS) musejí splňovat, aby podpořily proces akreditace organizace, která poskytuje certifikace – tedy audity třetí stranou (ISO 27006, 2015). Proces certifikace je zobrazen na Obrázku č. 21. Organizace poskytující certifikaci podle ISO 17021-1, které mají v rámci své působnosti zájem rozšířit portfolio nabízených služeb o certifikaci systémů bezpečnosti informací ISMS, musejí přijmout dodatečné požadavky a doporučení, které uvádí ISO 27006. V normě je explicitně zmíněno, jaké požadavky je nutno dodržet (shall) a jaké požadavky by měly být dodrženy (should) (ISO 27006, 2015).
Norma ISO 27006 udává jako svůj hlavní cíl umožnit akreditačním orgánům její efektivní použití a harmonizaci s ostatními normami, podle kterých se provádí hodnocení certifikačních orgánů usilujících o akreditaci (ISO 27006, 2015, s. 7). Stejně jako u norem týkající se auditu první a druhou stranou, které využívají normu ISO 27007 postavenou na základech ISO 19011, platí u norem týkajících se auditu třetí stranou obdobný způsob odkazování. Základní požadavky jsou uvedeny v ISO 17021-1. Norma ISO 27006 těchto základů využívá a významné aspekty a specifika upravuje pro prostředí související s ISMS. ISO 27006 zmiňuje například, že požadavky na auditory se zaměřují na znalost terminologie a s auditem ISMS souvisejících znalostí, zkušeností a dovedností. Do týmu auditorů jsou vybírání ti, kteří mají relevantní a aktuální zkušenosti. Jen tak lze plnit důvěryhodnost a správnost závěrů auditu z hlediska personálního obsazení.
U auditu třetí stranou je nutnost zmínit požadavek, který říká, že pokud před zahájením organizace, poskytující službu auditu u auditované organizace v rámci přípravy programu auditu, zažádá o dokumenty, které jsou považovány za citlivé nebo důvěrné, a auditovaná organizace tyto dokumenty neposkytne, akreditující organizace posoudí relevantnost odmítnutí poskytnout dokumenty a zhodnotí adekvátnost auditu při absenci některých dokumentů. Závěrem může být, že nebude možné audit provést a o této skutečnosti musí klienta informovat.