Audit Zabezpečení

AUDIT KYBERNETICKÉ BEZPEČNOSTI
Oblast kybernetické bezpečnosti je v České republice regulována zákonem č. 181/2014 Sb. a jeho prováděcími vyhláškami. Povinné osoby mají podle § 4 tohoto zákona povinnost zavést a provádět bezpečnostní opatření pro zajištění kybernetické bezpečnosti. Obsah a rozsah opatření stanovuje Národní úřad pro kybernetickou a informační bezpečnost vyhláškou 82/2018 Sb., která od 28.května 2018 nahrazuje vyhlášku 316/2014 Sb.

Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (VoKB, vyhláška o kybernetické bezpečnosti) upravuje:

obsah a strukturu bezpečnostní dokumentace,
obsah a rozsah bezpečnostních opatření,
typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů,
náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,
náležitosti oznámení o provedení reaktivního opatření a jeho výsledku,
vzor oznámení kontaktních údajů a jeho formu a
způsob likvidace dat, provozních údajů, informací a jejich kopií.
Systém řízení informační bezpečnosti neboli ISMS (Information Security Management System) je součástí organizačních opatření, které je uvedeno ve VoKB v § 3 této vyhlášky. Systém je založen na přístupu k řízení rizik a při tom se využívají principy Demingova modelu PDCA.

Principy Demingova modelu PDCA. Zdroj: ISO 27000

Standardem systému řízení informační bezpečnosti je norma ISO 27001, která stanovuje požadavky bezpečnosti a je výchozím souborem kritérií pro certifikaci a audity. Splnění těchto požadavků organizace prokazuje odpovědnost k řízení bezpečnosti informací všem zainteresovaným stranám a buduje vzájemnou důvěru. Efektivní zavedení ISMS využívá základní principy, jako je povědomí o potřebě informační bezpečnosti, určení odpovědností, posuzování rizik a přijetí opatření pro dosažení přijatelné úrovně rizika a zajištění komplexního přístupu k řízení informační bezpečnosti a neustálé zlepšování ISMS.

Prvkem zpětné vazby řízení informační bezpečnosti je podle § 16 VoKB kontrola a audit kybernetické bezpečnosti. Audit prověřuje, že jsou plněny legislativní požadavky, mezi které patří ustanovení bezpečnostní politiky, vedení bezpečnostní dokumentace, ale i zlepšování systému bezpečnosti a odstraňování nedostatků nebo informování vedení organizaci o úrovni kybernetické bezpečnosti.

Zákon 

Pro zaměření této práce je právě vyhláška o kybernetické bezpečnosti jedním z nejvýznamnějších dokumentů. Zákon dělí opatření na organizační a technická. Na základě zmocňovacího ustanovení Úřad stanovuje jejich obsah a rozsah vyhláškou, která obsahuje prováděcí předpisy jednotlivých opatření. Zmiňovanou vyhláškou je vyhláška č. 316/2014 Sb., která má být novelizována v rámci provedení souladu se směrnicí NIS. Novela poměrně značně mění dopad pro významné informační systémy a bude mít dopad i na znění zákona (konkrétně § 5 ZoKB). Změny struktury opatření jsou uvedeny v Tabulce č. 3. Tato změna není nijak rozsáhlá, výraznější změny jsou v jednotlivých opatřeních. Zatímco ve vyhlášce 316/2014 Sb. je pro většinu opatření charakteristická dvojí úroveň konkrétních nařízení (z pohledu VIS a KII), novela vyhlášky rozdíly mezi VIS a KII významně omezuje. Rozdíly mezi VIS a KII, které z novely vyhlášky vyplývají jsou pouze tyto:

▪ subjekty podle § 3 písm. c), d) a f) zákona provedou hodnocení rizik alespoň jednou ročně, subjekty VIS hodnocení rizik provedou alespoň jednou za tři roky, ▪ subjekty podle § 3 písm. c), d) a f) zákona stanoví bezpečnostní role (garanty aktiv, auditora, manažera a architekta KB), subjekty VIS určí roli manažera kybernetické bezpečnosti, ostatní role určí přiměřeně okolnostem, ▪ subjekty podle § 3 písm. c), d) a f) zákona zajistí zastupitelnost bezpečnostních rolí, subjekty VIS zajistí jen zastupitelnost bezpečnostní role manažera kybernetické bezpečnosti, ▪ subjekty podle § 3 písm. c), d) a f) zákona na základě výsledků analýzy rizik podle odstavce 2 písm. b) rozhodnou o provedení penetračního testování nebo testování zranitelností, subjekty VIS se řídí požadavky přiměřeně, ▪ subjekty podle § 3 písm. c), d), f) a g) zákona při detekci kybernetických bezpečnostních událostí dále používají nástroje podle § 24, tato povinnost se subjektů VIS netýká, ▪ audit provádí subjekty VIS v pravidelných intervalech alespoň po 3 letech, v pravidelných intervalech alespoň po 2 letech v případě orgánu nebo osoby, které nejsou VIS, ▪ subjekty podle § 3 písm. c), d) a f) zákona v rámci ochrany před škodlivým provádí ochranná opatření podle nařízení, subjekty VIS tak učiní přiměřeně, ▪ subjekty podle § 3 písm. c), d) a f) zákona uchovávají záznamy událostí nejméně po dobu 24 měsíců, subjekty VIS je uchovávají nejméně po dobu 12 měsíců, ▪ subjekty podle § 3 písm. c), d) a f) zákona zajistí detekci kybernetických bezpečnostních událostí v rámci koncových stanic, mobilních zařízení, serverů, datových úložišť a výměnných datových nosičů, síťových aktivních prvků a obdobných aktiv, tato povinnost se subjektů VIS netýká, ▪ subjekty podle § 3 písm. c), d) a f) zákona používají nástroje pro průběžné vyhodnocení a sběr kybernetických bezpečnostních událostí, tato povinnost se subjektů VIS netýká.

Systém řízení 

Systém řízení informační bezpečnosti neboli ISMS (Information Security Management System) je
součástí organizačních opatření, které je uvedeno ve VoKB v § 3 této vyhlášky. Je založen na
přístupu k řízení rizik a při tom se využívají principy Demingova modelu PDCA (Plan – Do – Check
– Act), který má čtyři etapy (Ondrák, Sedlák, Mazálek, 2013):
▪ ustavení ISMS (určuje rozsah a odpovědnosti),
▪ zavádění a provoz ISMS (prosazení vybraných bezpečnostních opatření),
▪ monitorování a přezkoumání ISMS (zajištění zpětné vazby a hodnocení řízení),
▪ údržba a zlepšování (odstraňování slabin a soustavné zlepšování).
Obrázek 9: PDCA cyklus podle ISO 27000.
Standardem systému řízení informační bezpečnosti je norma ISO 27001, která stanovuje
požadavky bezpečnosti a je výchozím souborem kritérií pro certifikaci a audity. Splnění těchto
požadavků organizace prokazuje odpovědnost k řízení bezpečnosti informací všem
zainteresovaným stranám a buduje vzájemnou důvěru. Efektivní zavedení ISMS využívá základní
principy, jako je povědomí o potřebě informační bezpečnosti, určení odpovědností, posuzování
rizik a přijetí opatření pro dosažení přijatelné úrovně rizika a zajištění komplexního přístupu
k řízení informační bezpečnosti a neustálé zlepšování ISMS.
Bezpečnost je důležitým a neoddělitelným prvkem provozování systémů a sítí, který nebývá vždy
brán v úvahu při návrhu a vývoji informačních systémů a je pokládán za technické řešení (ISO
27001, 2014). To je však omezující řešení a může být neúčinné, pokud není podporováno vhodným
systémem ISMS. Přijetí systému ISMS by mělo být strategickým rozhodnutím a je nezbytné, aby
rozhodnutí bylo snadno integrováno, měřeno a aktualizováno v souladu s potřebami organizace.
Při implementaci ISMS je třeba brát v úvahu strukturu, velikost, požadavky na bezpečnost,
procesy, cíle a potřeby organizace a musí odrážet zájmy všech zúčastněných stran, jakými jsou
zákazníci, dodavatelé, partneři a stakeholdeři (ISO 27001, 2014).
Pokud je systém řízení informační bezpečnosti správně zavedený a zásady bezpečnosti jsou
dodržovány, poskytuje tyto přínosy (Tobolka, 2012):

▪ zabezpečení informací je integrální částí celého systému řízení organizace,
▪ hlavní faktory ovlivňující podnikatelskou soutěž, informace a jejich zabezpečení jsou
v řízeném režimu,
▪ zaměstnanci jsou odpovědni za zabezpečení informací svých pracovišť i dat svých
zákazníků,
▪ požadavek na kontinuální zlepšování zaručuje dlouhodobě efektivní řízení nákladů,
▪ prokázání přístupu k managementu bezpečnosti informací, a to i v komunikaci se
zákazníky, investory, občanskou veřejností, státními i soukromými institucemi a dalšími
zainteresovanými stranami,
▪ zprůhlednění důsledků incidentů a jejich snížení, odhalování rizik, neshod a incidentů
s nežádoucími dopady na důvěrnost, integritu a dostupnost informací a tím i na chod
organizace,
▪ zvýšení podnikatelské důvěryhodnosti pro investory, banky a pojišťovny,
▪ úspora na pokutách a jiných sankcích, spojených s únikem informací

Normy ISO 

Sada norem ISO 27000 se zabývá systémem informační bezpečnosti, a se zákonem o kybernetické bezpečnosti má společné to, že organizační a technická opatření zmíněná v ZoKB z normy ISO 27001 vycházejí. Souvisí i možností, že lze prokázat splnění požadavků zákona a vyhlášky certifikací provedenou akreditovaným certifikačním orgánem ve znění § 29 VoKB nebo podle § 3 odst. 2 novely vyhlášky. Základní strukturu norem zachycuje Obrázek č. 10 a jsou v něm naznačeny návaznosti jednotlivých norem právě na normu ISO 27001, která specifikuje požadavky na ustavení, implementování, udržování a neustále zlepšování systému řízení bezpečnosti informací v rámci kontextu organizace (ISO 27001, 2014, s. 7).

ISO 27000 – Tento dokument obsahuje definici základních termínů z oblasti bezpečnosti informací používaných v celé sadě ISO 27000. Obrázek č. 10 zobrazuje strukturu a provázanost jednotlivých norem v rámci ISMS.

ISO 27001 – Obsahem této normy je definice požadavků na bezpečnost informací. Vůči této normě se posuzuje splnění požadavků na vytvoření, implementaci, provoz, sledování, revize, udržování a zlepšování systémů řízení bezpečnosti informací v kontextu rizik organizace a stanovuje požadavky na provádění bezpečnostních kontrol. Jednotlivé cíle a opatření jsou odvozeny z normy ISO 27002.

ISO 27002 – Tato norma definuje opatření bezpečnosti informací pro 35 hlavních kategorií a obsahuje114 kontrol. Je souborem best pracitce opatření (nejlepších postupů) pro bezpečnost informací.

ISO 27003 – Účelem této normy je podpora zavedení procesu řízení bezpečnosti informací, aby bylo možné zainteresovaným stranám poskytnout ujištění o udržování rizik v přijatelných mezích. Doporučení uvedená v této normě poskytují rady, jak postupovat při vývoji plánu zavádění pro ISMS v souladu s normou

ISO 27001. Další doporučení se věnují projektu zavádění systému ISMS do organizace a věnuje se kritickým aspektům úspěšného návrhu a zavádění.

ISO 27004 – Poskytovaná doporučení v této normě se zaměřují na vývoj a používání metrik, která hodnotí účinnost zavedení systému ISMS a opatření, či skupin opatření.

ISO 27005 – Doporučení této normy se zaměřují na řízení rizik bezpečnosti informací v kontextu organizace a podporují koncept specifikovaný v ISO 27001. Norma se věnuje se identifikaci aktiv, hrozeb, stávajících opatření, zranitelnosti a následků jako identifikaci rizik pro následnou analýzu a hodnocení rizik a jejich ošetření.

ISO 27006 – Tato norma obsahuje doporučení pro orgány, které vykonávají audit a certifikaci systémů ISMS, doplňuje a rozšiřuje normu ISO 17021-1 (Posuzování shody – Požadavky na orgány poskytující služby auditů a certifikace systémů managementu – Část 1: Požadavky) a ISO 27001. Je určena k podpoře procesu akreditace certifikačních orgánů poskytujících certifikaci ISMS, a je možné ji použít jako kriteriální dokument pro akreditaci, interní hodnocení nebo jiné auditní procesy.

ISO 27007 – V této normě jsou uvedeny doporučení pro řízení programu auditu ISMS a provádění auditů v souladu s ISO 27001. Jsou zde uvedena doporučení navazující na normu ISO 19011 (směrnice pro auditování systémů managementu) a smyslem normy ISO 27007 je uvést audit systémů managementu do kontextu bezpečnosti informací a upřesnit konkrétní oblasti pro auditování ISMS.

ISO 27032 – Obsahem této normy jsou doporučení pro zlepšení stavu kybernetické bezpečnosti. Věnuje se technickým opatřením, zahrnující přípravu na útoky, detekování a monitorování útoků a reakce na útoky. Zaměřuje se také na spolupráci, která musí probíhat bezpečným způsobem, a poskytuje i rámec pro sdílení informací, koordinaci a zvládání incidentů.

Ochrana osobních dat 

Informační bezpečnost podle zákona o kybernetické bezpečnosti a standardu ISO 27001 má ke GDPR (General Data Protection Resolution neboli Obecné nařízení o ochraně osobních údajů) blízko tím, že jedním z cílů je právě zajištění ochrany dat před neoprávněným přístupem a vytváří vhodné výchozí postavení, aby byly splněny požadavky GDPR a zajištění souladu s ním (Co přináší GDPR a jak je možné využít ISO 27001 a ZKB, nedatováno).

Přijetí normy ISO 27001 a soulad s touto směrnicí má za jeden z hlavních cílů minimalizovat rizika, týkající se bezpečnosti informací, a je tedy dobrým výchozím bodem k dosažení požadavků na ochranu osobních údajů podle GDPR. Využívají se k tomu přijatá opatření a politiky, která prováděním kontrol a testováním mají poskytovat důvěru a ujištění o skutečné bezpečnosti. Pravidelnou aktualizací plánů, které mají zajišťovat bezpečnost i aktualizací celého ISMS, probíhá neustále zlepšování bezpečnosti. Reaguje se tak na rizika, která vyplývají z vývoje prostředí, čímž poskytuje ucelený pohled na zabezpečení informací v organizaci. Normy ISO 27000 využívají soubor zásad, postupů, technologií a dokumentů týkajících se bezpečnosti informací, a v rámci

ISMS pomáhají řídit rizika, sledovat stav bezpečnosti prostřednictvím auditů a zlepšovat úroveň zabezpečení, týkající se nejen osobních údajů. Soulad s normami ISO 27000 dává najevo, že organizace podnikla kroky v oblastech bezpečnosti informací a přijala vhodná opatření ke zmírnění rizik, což lze doložit také certifikací – prokazatelným důkazem o přijetí nezbytných opatření a splnění požadavků na informační bezpečnost, zahrnující i ochranu osobních údajů pro ověření souladu s GDPR (EU General Data Protection Regulation - A Compliance Guide, 2016).

Obecné nařízení o ochraně osobních údajů je právní rámec, působící v evropském (unijním) prostoru, a souvisí se zpracováváním osobních údajů. Posláním tohoto rámce je především posílením práv občanů proti neoprávněnému zacházení s osobními údaji prostřednictvím organizačních, technických a bezpečnostních opatření pro používání a pohyby osobních údajů, které organizace musí zavést a realizovat, aby tato opatření vyhovovala požadavkům zákona potažmo nařízení. Implementace opatření obnáší určité náklady a vyžaduje potřebný čas na změny, které mohou být velmi náročné. Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) nabude účinnosti 25. května 2018, a tím dojde ke změně legislativy českého právního systému, kterou v této oblasti představuje zákon č. 101/2000 Sb., o ochraně osobních (Žůrek, 2017). Nabytí účinnosti závisí hlavně na schopnosti včas zákon zavést.

Od přijetí směrnice v dubnu roku 2016 začalo přechodné období, které má poskytnout dostatečně dlouhou dobu zpracovatelům a správcům osobních údajů, aby došlo k uplatnění principu zodpovědnosti. Podle (Škorničková, nedatováno a) se týká oblastí:

• implementace záměrné a nezbytné ochrany dat,

• vypracování posouzení vlivu na ochranu osobních údajů neboli DPIA (Data Protection Impact Assessment),

• jmenování pověřence pro ochranu osobních údajů DPO (Data Protection Officer),

• zavedení tzv. pseudonymizace osobních údajů,

• vedení záznamů o činnostech zpracování,

• konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.

V souvislosti s GDPR nelze vynechat definici co jsou podle této regulace osobní údaje. Za osobní údaje jsou považovány všechny informace, které se vztahují k identifikované, či identifikovatelné fyzické osobě. Které informace vedou k identifikaci nebo identifikovatelnosti nejsou taxativně vymezeny. (Škorničková, nedatováno b) uvádí, že takové informace jsou samozřejmě jméno, pohlaví, věk a datum narození nebo osobní stav. Osobními údaji jsou:

• IP adresy,

• fotografický záznamy,

• genetické informace, analýzy biologických vzorků a osobní údaje dětí,

• biometrické údaje – tedy údaje, vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby,

a dále jsou to údaje o:

• rasovém či etnickém původu,

• politických názorech,

• náboženském nebo filozofickém vyznání,

• členství v odborech, • zdravotním stavu,

• sexuální orientaci,

• trestních deliktech či pravomocném odsouzení.

Údaje, které jsou vyloučeny z působnosti GDPR jsou anonymizované údaje, údaje zemřelých osob a údaje zpracovávané pro osobní potřebu, pokud nebudou sdílené jiným osobám. Nedodržení požadavků nebo jejich porušení pro povinné subjekty znamená, že jim může být uložena vysoká pokuta, která může být pro některé organizace likvidační. Udělení výše pokuty je ovlivněna několika faktory podle závažnosti porušení zásad. Přitom není přihlíženo k tomu, zda se jedná o organizaci s tisíci zaměstnanci nebo firmu s méně než deseti zaměstnanci. Maximální výše pokuty je 20 milionů eur nebo 4 % z celkového ročního obratu, přičemž se ukládá pokuta, která z nich je vyšší (Škorničková, nedatováno c).

Bezpečnostní dokumenty a politiky  

Vyhláška 316/2014 Sb., resp. příloha vyhlášky č. 4 stanovuje doporučený obsah a strukturu bezpečnostní dokumentace a bezpečnostní politiky. Navrhovaná struktura je nezávazná a přístup, který povinné subjekty4 zaujmou, je vždy na samotné organizaci. Jejich povinností je dodržení nařízení bezpečnostních opatření, které ukládá zákon, to je zavést a provádět bezpečnostní opatření a vést o nich bezpečnostní dokumentaci. To vyhláška doplňuje o požadavek, aby záznamy o provedených činnostech byly úplné, čitelné, snadno identifikovatelné, a aby se daly snadno vyhledat. Vyhláškou navrhovaná struktura zahrnuje témata jednotlivých dokumentů, která pokrývají určitou oblast. Tato doporučení shrnuje Organizace mohou strukturu přizpůsobovat, a tak bezpečnostní dokumentace nemá svůj standard, což ztěžuje objektivní a nezávislé posouzení. Bezpečnostní dokumentace v organizaci slouží jako rámec pro implementaci a řízení bezpečnosti. Je souborem zásad a pravidel, která utvářejí základní aspekty bezpečnosti a definují jasná pravidla práce s informačním systémem i s informacemi, jako takovými. Zpracování bezpečnostní dokumentace odpovídá charakteristikám organizací a všem okolnostem, které na bezpečnost působí. (Bezpečnostní dokumentace, nedatováno) uvádí jako příklad obsahu dokumentace tuto strukturu :

▪ úvod, účel a definice pojmů,

▪ odpovědnosti a bezpečnostní zásady,

▪ organizování bezpečnosti,

▪ řízení a klasifikace aktiv,

▪ personální a fyzická bezpečnost,

▪ správa systémů,

▪ řízení přístupu,

▪ havarijní plánování,

▪ řízení používání software a používání informačního systému

Jednou z oblastí posuzování pro certifikaci podle zákona č. 412/2005 Sb. pro nakládání s utajovanými informacemi je právě bezpečnostní dokumentace. Při její tvorbě lze vycházet ze zásad, které uvádí (Zásady tvorby bezpečnostní dokumentace informačních systémů určených k nakládání s utajovanými informacemi, 2017) pro systémy nakládající s utajovanými informacemi, které jsou provozovány v režimu stupně utajení Vyhrazené. V tomto pojetí jsou dokumenty vzájemně provázané a navazují na sebe. Dokumenty jsou seskupeny do oblastí bezpečnostní politiky, analýzy rizik, návrhu bezpečnosti a směrnic bezpečnosti.

Audit 

Audit je pojem, který je stále více používán, ale jeho význam nemusí být vždy správně pochopen. Slovo audit má původ v latině. Latinské sloveso auditus (sluch) je spojováno s historickým obdobím, kdy lidé neuměli číst ani psát, ale bylo zapotřebí správcům majetku sdělovat výsledky a stavy hospodaření. Později se v Řecku a Římě audit využíval jako způsob kontroly stavu veřejných účtů, tedy jakousi původní a výchozí podobou dnešních forem auditů, jako je finanční audit. Právě finanční audit je chápán jako základní druh auditu a z něj vycházející další formy auditů (Svatá, 2012). Definic auditu existuje více. Například (Slámečka, 2012) uvádí jako jedno z možných vysvětlení, že hlavní vlastností auditu je kritický pohled na systém, objektivní získávání a vyhodnocování důkazů, zjišťování souladu mezi zjištěným stavem a stanovenými kritérii a ujištění druhé strany o kvalitě. Výkladový slovník kybernetické bezpečnosti audit definuje jako systematický, nezávislý a dokumentovaný proces k získání důkazů z auditu a jejich objektivní ohodnocení, aby se určil rozsah, v jakém jsou auditní kritéria splněna (Jirásek, Novák, Požár, 2015, s. 20). V rámci významu auditu pro organizaci představuje nezastupitelný nástroj zpětné vazby mezi vlastníky různých aktiv, okolím organizace, managementem a zaměstnanci, na které management deleguje svoje pravomoce (Svatá, 2016, s. 13). Jak bylo zmíněno, finanční audit je považován za základní formu auditu. Smyslem a posláním auditu je podle (Poslání a smysl auditu, 2018) vyjádření názoru nezávislého, kvalifikovaného odborníka, který podává věrný a poctivý obraz skutečnosti s dostatečnou vypovídající schopností v rámci kontextu auditu a jeho zjištění. Přínosy auditu (dále už jen v kontextu bezpečnosti informací) spočívají podle (Lidinslý, a kol., 2008) v poskytnutí skutečného obrazu o fungování ve srovnání s obvyklým standardem a výstupy jsou průkazné, správné a obsahují doporučení pro rozvoj bezpečnosti informací systémů a akční plán jejich implementací, včetně popisu, požadavků, časové a finanční náročnosti a očekávaných přínosů. Výstupy z auditu pak mohou být pro management východiskem pro změny v systému. Kontrola a audit IS/ICT představují organickou součást procesu zajištění bezpečnosti IS/ICT v organizaci. Jejich procesy přímo navazují na zavedení určité úrovně – standardů – bezpečnosti IS/ICT v organizaci a v delším časovém horizontu zaručují, že požadovaná (nastavená) úroveň bezpečnosti také dodržována (Doucek, 2004, s. 16).

Jak uvádí (Svatá, 2016) audit musí splňovat základní vlastnosti, jako je:

▪ komplexnost – musí postihnout všechny relevantní aspekty,

▪ objektivnost – musí se opírat o existující standardy, případně zkušenosti, pokud standardy neexistují,

▪ nezávislost – auditor nemá s objektem auditu ani se zadavatelem auditu žádné spojení, které by představovalo konflikt zájmů,

▪ formalizovanost – proces auditu se musí řídit metodikou a existujícími standardy

Audit podle norem ISO

V rámci celé koncepce norem ISO (a jejich vzájemné provázanosti) lze najít základ v normě ISO 9000. V této normě jsou uvedeny důležité pojmy a vtahy, které jsou uvedeny na Obrázku č. 18

Vztahy uvedené na obrázku lze vysvětlit následujícím způsobem: Auditor je osoba s potřebnou kvalifikací a vhodnými vlastnosti pro výkon auditu. Může být součástí týmu auditorů. Tento tým podle potřeby komunikuje s experty a spolupráce zahrnuje poskytování odborných posudků, specifických znalostí nebo konzultací. Audit je prováděn na základě žádosti klienta, který o tuto službu má objektivní zájem. V rámci příprav a plánování auditu je identifikován předmět auditu, tedy jeho rozsah a vymezení auditu. Přípravy auditu vycházejí z kritérií, která se zakládají na politikách, postupech a požadavcích, a týkají se auditovaného systému. Organizace, u které vznikla potřeba uskutečnit audit systému, má zájem prostřednictvím auditem zjištěných výsledků ověřit, zda vyhovuje všem kritériím kladených na systém. Tato zjištění by měla být podpořena a doložena relevantními důkazy. Výstupem auditu je prezentování posouzených výsledků žadatelům, nebo odpovědným zástupcům auditované organizace.

V rámci řízení bezpečnosti informací podle ISO 27001 a ve svém důsledku i podle zákona o kybernetické bezpečnosti včetně jeho prováděcí vyhlášky je základem auditu norma ISO 27007. Tato norma uvádí kontext auditů do prostředí bezpečnosti informací. Audit podle ISO 27007 je postaven na směrnici pro auditování systémů managementu (ISO 19011) a ta zase těží ze základů, které jsou v normě ISO 9000, jak tuto skutečnost ilustruje Obrázek č. 19.

Systém řídících a kontrolních procesů, které mají za cíl provozovat, rozvíjet a zlepšovat systém řízení bezpečnosti informací, je postaven podle koncepce PDCA. Obrázek č. 20 popisuje, jak je v tomto cyklu začleněna norma ISO 27007. Fáze act (jednej) je agentem zlepšování, který je založen na vyhodnocování požadavků a opatření a poskytuje zpětnou vazbu.

Na tomto místě je třeba zmínit významnou vlastnost týkající se vazeb mezi různými ISO normami. Normy vznikají v různých obdobích a jsou ovlivňovány vývojem, který má dopad strukturu i obsah. Kromě běžně uváděného názvu normy jsou dalšími důležitými údaji normy: rok schválení a rok přijetí. Například norma ISO 19001 byla schválena 11. května 2011, publikována byla v listopadu 2011, česká mutace byla schválena 1. června 2012, datum účinnosti normy je od 1. července 2012 a její celý název je ISO 19011:2011. Normou citované dokumenty jsou tedy starší, než je sama norma ISO 19011:2011, a na ni se odkazují normy novější. Práce s normami neumožňuje práci tak, aby vždy odkazovaly na aktuální a platné dokumenty. Odkazy z ISO 27005:2011 se odvolávají na ISO 27001:2005, což je komplikovaný přístup k řízení bezpečnosti informací, protože poslední revize ISO 27001 byla vydána v září 2014 (publikována byla v říjnu 2013). V novějším vydání ISO 27001 je uplatněná rozdílná struktura a členění celého obsahu, navíc nutno brát v ohled změny týkající se aktuálnosti požadavků a opatření. Od dubna 2018 jsou platné normy ISO 27003 a 27004. Tyto normy odkazují už na 27001:2013.

Jak již bylo zmíněno, norma ISO 27007 je v sadě norem 27000 dokumentem, který se zabývá auditem systémů řízení bezpečnosti. Jedním z úkolů normy je adaptovat auditování systému managementu do prostředí bezpečnosti informací. Norma ISO 27007 kopíruje strukturu i obsah normy ISO 19011. V pasážích, které jsou v ISO 19011 příliš obecné nebo neodpovídají požadavkům auditu bezpečnosti informací, uvádí ISO 27007 cíle a opatření do souvislosti s požadavky a cíli ISMS, věnuje se uřčení rozsahu programu auditu a definování cílů, předmětu a kritérií auditu.

Role auditora

Auditor musí splňovat vlastnosti, schopnosti, dovednosti a používat koherentní myšlení. Tyto vlastnosti jsou nezbytné pro provádění auditů. Pro provádění auditů se jedná o specifika, která jsou pro audit managementu bezpečnosti informací skutečně významná, aby závěry z auditu byly správné a přínosné. Jedná se o znalosti týkající se norem ISO (řada 27000, 19011, 17021, 9000 a další), zákonů a vyhlášek týkající se nejen bezpečnosti informací, ale i ochrany osobních údajů a dalších souvisejících zákonů, znalosti postupů, procesů a metod posuzování, řízení, monitorování a měření bezpečnosti informací (ISO 19011, 2011), specifik a typických rizik daného odvětví, ale také osobnostních a povahových rysů, jako jsou vlastnosti podle (ISO 17021-1, 2016):

▪ dodržování etických principů. tj. férovost, pravdivost upřímnost, poctivost a diskrétnost,

▪ otevřenost jiným názorům, tj. ochota zvážit alternativní myšlenky nebo jiné pohledy na věc,

▪ diplomacie, tj. takt při jednání s lidmi, ▪ ochota spolupracovat, tj. efektivně spolupracovat s dalšími,

▪ pozornost, tj. aktivně st uvědomovat fyzické okolí a okolní činnosti,

▪ vnímavost, tj. instinktivní povědomí o různých situacích a schopnost je pochopit,

▪ flexibilita, tj. rychlé přizpůsobení se různým situacím,

▪ vytrvalost, ti. vytrvalé soustředění se na splnění cílů,

▪ rozhodnost, ti. dosahováni včasných závěru založených na logickém zdůvodnění a analýzách,

▪ soběstačnost, tj. schopnost jednat a pracovat samostatně,

▪ profesionalita, tj. zdvořilé, svědomité a všeobecně vstřícné chování na pracovišti,

▪ morální kredit, tj. ochota jednat nezávisle a eticky i ve chvíli, kdy toto jednaní nemusí být vždy populární muže vest ke sporům nebo konfrontacím,

▪ organizace, tj. realizování efektivního řízeni času stanovovaní priorit, plánování a účinnost jednání.

Nežádoucí chování může mít vliv na audit a projevy závisí na konkrétní situaci. Během auditu se lidé s auditory střetávají při konzultacích, interview a při různých profesně společenských setkáních. Napětí nebo jisté nesympatie pak mohou narušit důvěru k auditorům, a tím i k samotnému auditu. Budování pozitivních vztahů mezi auditory a zaměstnanci organizace je pro průběh auditu minimálně prospěšný.

Kvalifikační požadavky, které musí auditor splňovat, uvádí ve svých přílohách novelizovaná vyhláška kybernetické bezpečnosti. Doložením odborné kvalifikace může být uznávaná certifikace auditora označovaná jako CISA (Certified Information Security Auditor), kterou nabízí organizace Isaca stejně jako certifikace CRISC (Certified in Risc and Information Systém Controls). Kromě těchto certifikací vyhláška považuje za relevantní certifikace auditora také CIA (Certified Internal Auditor) a Lead Auditor ISMS (Lead Auditor Information Security Management System), která má velmi blízko k ISO normě 27001. Přesněji se jedná o certifikaci způsobilosti vést audit bezpečnosti informací právě podle normy ISO 27001.

Role auditora je také spjata s přístupem k auditu. Z pohledu průběhu auditu a působení auditora v organizaci norma (ISO 19011, 2011) dělí audit na:

▪ interní audit a

▪ externí audit, tj.

    ▪ dodavatelský audit nebo

    ▪ audit třetí stranou.

Interní audit (audit první stranou) je zajišťován vlastními silami v rámci organizace. Podle vyhlášky o kybernetické bezpečnosti je v rámci plnění povinností stanovení bezpečnostních rolí. V rámci těchto rolí musí být stanovena také role auditora kybernetické bezpečnosti8 . Není zde jasně vymezeno, že osobou v roli auditora musí být interní zaměstnanec. Pokud je auditorem interní zaměstnanec, není zákonem ani vyhláškou stanovena nutnost jeho nezávislého postavení v rámci organizace, jako je tomu v zákonu 320/2001 Sb. o finanční kontrole9 . V případech externího auditu se jedná o audity prováděné zákazníky u jejich dodavatelů (audit druhou stranou) a v rámci auditu mohou využít (stejně tak i pro audit první stranou) normu ISO 19011. Další formou externího auditu je audit třetí stranou. Ten může být prováděn pro účely auditu souladu se zákony nebo pro účely certifikace. Dokumenty s požadavky na orgány poskytující službu auditu mohou vycházet z normy ISO 27006 a ISO 17021-1, nebo i ISO 27021-6 a jiné.

S rolí auditora je také spjato jeho hodnocení, a podle (ISO 19011, 2011) je součástí auditu resp. fáze programu auditu. Důvěryhodnost procesu auditu a schopnost dosahovat jeho cílů závisí na kompetencích jednotlivců zapojených do plánování a provádění auditu včetně auditorů a vedoucích týmu auditorů (ISO 19011, 2011, s. 41). Hodnocení auditora zahrnuje prvky zpětné vazby. Hodnocení se týká od rozvoje znalostí až k přezkoumávání výsledků auditora a jím vyhotovených dokumentů a výsledků.

Institut auditu z pohledu poskytovatele služby auditu

Vyhláška o kybernetické bezpečnosti a řízení bezpečnosti informací podle ISO 27001 umožňují, že ISMS s platnou certifikací10 dle ISO 27001 udělenou akreditovaným certifikačním orgánem je v souladu s požadavky vyhlášky.

Již bylo zmíněno, že v rámci bezpečnosti informací a auditu bezpečnosti informací existují normy ISO 17021-1 a ISO 27006. Jejich obsah je zaměřen na doporučení a požadavky, které orgány provádějící audity (podle ISO 27006 myšleno audity ISMS) musejí splňovat, aby podpořily proces akreditace organizace, která poskytuje certifikace – tedy audity třetí stranou (ISO 27006, 2015). Proces certifikace je zobrazen na Obrázku č. 21. Organizace poskytující certifikaci podle ISO 17021-1, které mají v rámci své působnosti zájem rozšířit portfolio nabízených služeb o certifikaci systémů bezpečnosti informací ISMS, musejí přijmout dodatečné požadavky a doporučení, které uvádí ISO 27006. V normě je explicitně zmíněno, jaké požadavky je nutno dodržet (shall) a jaké požadavky by měly být dodrženy (should) (ISO 27006, 2015).

Norma ISO 27006 udává jako svůj hlavní cíl umožnit akreditačním orgánům její efektivní použití a harmonizaci s ostatními normami, podle kterých se provádí hodnocení certifikačních orgánů usilujících o akreditaci (ISO 27006, 2015, s. 7). Stejně jako u norem týkající se auditu první a druhou stranou, které využívají normu ISO 27007 postavenou na základech ISO 19011, platí u norem týkajících se auditu třetí stranou obdobný způsob odkazování. Základní požadavky jsou uvedeny v ISO 17021-1. Norma ISO 27006 těchto základů využívá a významné aspekty a specifika upravuje pro prostředí související s ISMS. ISO 27006 zmiňuje například, že požadavky na auditory se zaměřují na znalost terminologie a s auditem ISMS souvisejících znalostí, zkušeností a dovedností. Do týmu auditorů jsou vybírání ti, kteří mají relevantní a aktuální zkušenosti. Jen tak lze plnit důvěryhodnost a správnost závěrů auditu z hlediska personálního obsazení.

U auditu třetí stranou je nutnost zmínit požadavek, který říká, že pokud před zahájením organizace, poskytující službu auditu u auditované organizace v rámci přípravy programu auditu, zažádá o dokumenty, které jsou považovány za citlivé nebo důvěrné, a auditovaná organizace tyto dokumenty neposkytne, akreditující organizace posoudí relevantnost odmítnutí poskytnout dokumenty a zhodnotí adekvátnost auditu při absenci některých dokumentů. Závěrem může být, že nebude možné audit provést a o této skutečnosti musí klienta informovat.

Audit a jeho fáze podle ISO 19011

Norma je určena širokému spektru uživatelů, kteří mají zájem nebo potřebu provádět audity systémů managementu, ať už je důvodem zájem poznat, zjistit a ověřit skutečný stav systému, nebo je k tomu přiměje důsledek plynoucí ze smluvních podmínek nebo je organizace povinným subjektem legislativních nařízení a regulací. Norma je navržena s ohledem na flexibilitu použití a u organizací, které chtějí normu uplatnit, nezáleží na její velikosti, úrovni vyspělosti systému managementu nebo na specifických podmínkách auditované organizace od typu a složitosti specifik až k cílům a předmětu auditu. Norma také zavádí koncepci rizik do auditování systémů managementu. Přijatý přístup se týká rizika, že proces auditu nedosáhne svých cílů a potenciální možnost narušení auditu narušit činnosti a procesy auditované organizace (ISO 19011, 2011, s. 7).

Audit podle (ISO 19011, 2011) závisí na několika zásadách a principech, které z auditu vytvářejí spolehlivý a efektivní nástroj zpětné vazby a kontroly managementu. Umožňuje zlepšování systému na základě cílů politik a nástrojů managementu. Tyto principy vytvářejí předpoklad, že závěry, ke kterým audit dospěje, bude nezávislý a auditoři dospějí k podobným závěrům za předpokladu podobných okolností. Principy, které norma využívá:

▪ Integrita – auditoři pracují poctivě, svědomitě a odpovědně, prokazují kompetenci vykonávat audit a jeho úsudek by neměl být ovlivněn působení jakýchkoliv vlivů. Svůj úkol směřující k cílům auditu, vykonává v souladu s platnou legislativou a všech relevantních regulací.

▪ Spravedlivé prezentování – veškeré zjištění, zprávy a závěry auditu pravdivě a přesně odrážejí činnosti při auditu. Zároveň je nutností informovat o významných překážkách.

▪ Profesionální přístup – auditoři při výkonu svých povinností dbají, aby svěřené úkoly vykonávali s náležitou péčí a v souladu s významem a důležitostí. Veškerá rozhodnutí, ke kterým dospěje, mají být náležitě odůvodněné.

▪ Důvěrnost – auditor si musí být vědom, že informace, se kterými přijde do styku, jsou důvěrné. Tyto informace nesmí zneužít ke svému vlastnímu prospěchu, nebo nesmí důvěrné informace použít jakýmkoliv nevhodným způsobem, a tím způsobil auditované organizaci škodu.

▪ Průkaznost – závěry z auditu by měly být koncipovány na získaných dokumentech, důkazy by měly být ověřitelné. Audit může probíhat během omezeného časového období, a i zdroje během auditu jsou omezené, a proto mohou být využity důkazy založené na vzorcích. To může mít spojitost se spolehlivostí závěrů.

▪ Nezávislost – auditoři by měli být v rámci možností zcela nezávislí na auditované organizaci a zachovat nestrannost a vyloučit střety zájmů. Interní auditoři by měli mít zajištěnou nezávislost na manažerských funkcích, aby byla zachována důvěryhodnost auditu.

V normě ISO 27006 je uvedeno, které činnosti nejsou střetem zájmů, a certifikační orgán tyto činnosti může vykonávat bez narušení střetu zájmu. Jedná se například o provádění činností související se školením a přednáškami, zveřejnění vlastního výkladu požadavků norem, podle kterých provádí certifikaci nebo poskytování informací, které se zaměřují na připravenost před auditem.

Řízení programu auditu

Úkolem vrcholového vedení organizace je stanovení cílů programu auditu. Přihlíží se při tom i k tomu, že současně mohou probíhat také jiné programy, které mohou probíhat odděleně, současně nebo se vzájemně doplňovat. Program a jeho rozsah vychází z charakteristiky organizace a všech významných vlastností, které mají na systémy managementu vliv. Program a zdroje, které jsou důležité pro efektivní a účinné provádění auditů mohou zahrnovat:

▪ cíle programu auditů a jednotlivých auditů,

▪ rozsah, počet, druhy, doby trvání, místa, časové harmonogramy auditů,

▪ řízení programu auditů,

▪ kritéria auditů,

▪ metody auditů,

▪ výběr týmu auditorů,

▪ nezbytné zdroje, včetně cestování a ubytování,

▪ procesy pro zacházení s důvěrnými informacemi, bezpečností informací a další procesy.

Průběh řízení programu je zobrazen na Obrázku č. 22. Posuzování dosahování cílů auditů má zlepšovat dosahovaní programu auditu, jeho výsledků a samozřejmě cílů. Stanovení cílů programu auditu respektuje vztahy k partnerům, platnou legislativu, požadavky managementu a je sledován soulad mezi cíli a zjištěnými skutečnostmi.

V rámci stanovení programu auditů jsou určeny role, odpovědnosti osob řídících program auditu a jejich kompetence. V rámci svých povinností vedoucí osoba, řídící program auditů, vede komunikaci s vedením. Dále se stanovuje rozsah programu auditu, odpovídající podmínkám organizace, identifikují a hodnotí se rizika programu auditu, která jsou spojená s plánováním, zdroji, týmem auditorů, a se samotným průběhem auditu. Během stanovení postupů auditu se odpovědná osoba věnuje plánování a sestavováním harmonogramu, výběru členu týmu, zajišťuje bezpečnost a důvěrnost informací, provádí a zaznamenává audity. Identifikace zdrojů zahrnuje způsob financování a všech souvisejících výdajů, spojených s auditem, výběr metod auditu a dostupnost informačních a komunikačních technologií. Realizace programu auditu zahrnuje komunikaci během průběhu od oznámení přes pravidelné informování o průběhu. Osoba, řídící program auditu, realizuje a koordinuje všechny související činnosti pro bezproblémový průběh a zajišťuje potřebné zdroje. Monitorování je fáze, která hodnotí shodu s harmonogramy a cíli, výkonnost členů týmu a jejich schopnosti a poskytuje zpětnou vazbu systému řízení programu auditu (ISO 19011, 2011).

Provádění auditu

Průběh auditu a jeho návaznosti je naznačen na Obrázku č. 23. Zahájení auditu zahrnuje úvodní kontakt s auditovanou organizací. Během komunikace jsou diskutovány cíle a předmět auditu, způsoby komunikace, poskytování informací a podrobnější seznámení se všemi okolnostmi a náležitostmi auditu. V úvodní fázi mohou být vyžádány relevantní dokumenty pro jejich prozkoumání. Dokumentace systému je nedílnou součástí vybudování kompletního systému řízení bezpečnosti informačního systému a informačních a komunikačních technologií (IS/ICT) v organizaci je vytvoření dokumentace celého systému (Doucek, 2005, s. 81). Zkoumáním dokumentů lze získat nezbytný přehled o rozsahu dokumentace, seznámit se s výsledky předchozích auditů a shromáždit potřebné informace pro přípravu dalších kroků auditu.

V rámci přípravy plánu auditu by měly být pokryty tyto oblasti (ISO 19011, 2011):

▪ cíle auditu,

▪ předmět auditu, včetně identifikace auditovaných organizačních a funkčních jednotek i procesů,

▪ kritéria auditu a jakékoliv referenční dokumenty,

▪ místa, termíny, časy a očekávané trvání činností při auditu, včetně jednání s vedením auditované organizace,

▪ použité metody auditu, včetně rozsahu vzorkování, které je nezbytné pro získávání dostatečných důkazů z auditu, a návrhu plánu vzorkování,

▪ role a odpovědnosti členů týmu auditorů a také průvodců11 a pozorovatelů12 ,

▪ přidělení vhodných zdrojů kritickým oblastem auditu,

▪ přípravy pracovních dokumentů (checklisty, plány vzorkování, formuláře pro záznamy informací a zjištění z auditu, které mohou být použity jako důkazy z auditu).

Samotné provádění auditu zahrnuje tyto činnosti (ISO 19011, 2011):

▪ představení účastníků, včetně průvodců, a naznačení jejich rolí,

▪ potvrzení cílů, předmětu a kritérií auditu,

▪ potvrzení plánu auditu a všech dalších ujednání řešených s auditovanou organizací, jako je například datum a čas konání závěrečného jednání, jakýchkoli dalších porad týmu auditorů a managementu auditované organizace a všechny pozdější změny,

▪ představení metod, které budou využity k provádění auditu včetně upozornění, že důkazy z auditu budou založeny na vzorku dostupných informací,

▪ představení metod řízení rizik organizace, která mohou vzniknout následkem přítomnosti členů týmu auditorů,

▪ potvrzení formálních komunikačních kanálů mezi týmem auditorů a auditovanou organizací,

▪ potvrzení jazyka, který bude v průběhu auditu používán,

▪ potvrzení, že auditovaná organizace bude o průběhu auditu průběžně informována,

▪ potvrzení dostupnosti zdrojů a zařízení nezbytných pro tým auditorů,

▪ potvrzení záležitostí týkajících se důvěrnosti a bezpečnosti informací,

▪ potvrzení příslušných zdravotních, nouzových a bezpečnostních postupů platných pro tým auditorů,

▪ informace o metodách podávání zpráv, zjištěních z auditu, včetně jakéhokoli existujícího třídění,

▪ informace o podmínkách, za kterých smí být audit ukončen,

▪ informace o závěrečném jednání; informace o tom, jak v průběhu auditu nakládat s možnými zjištěními,

▪ informace o jakýchkoliv systémech pro zpětnou vazbu od auditované organizace ohledně zjištění nebo závěrů z auditu, včetně stížností nebo odvolání se.

Během fáze shromažďování a ověřování informací se vhodnou vzorkovací metodou (která je v souladu s cíli, rozsahem a kritérii auditu) získávají potřebné a reprezentativní informace, a ty jsou hodnoceny vůči kritériím. Důkazy, které mají být akceptovány mohou být pouze ověřené informace. Ověřené důkazy pak slouží jako zjištění z auditu. Zároveň jsou zaznamenávány neshody včetně důkazů, které neshodu prokazují. Neshody by měly být ve spolupráci s auditovanou organizací přezkoumány a jednání a závěry obou stran mají být dokumentovány. Proces shromažďování a ověřování je zobrazen na Obrázku č. 24.

Závěr z auditu a auditorská zpráva

Během fáze přípravy záběrů z auditu tým auditorů na poradě jedná s cílem, aby prozkoumal všechny informace a zjištění, a porovnal je vůči kritériím a cílům auditu. Výstupem z auditu je zpráva, která má být odsouhlasena, a podle dohody může auditované organizaci poskytovat doporučení ke zlepšení. Závěry z auditu mohou zahrnovat (ISO 19011, 2011):

▪ rozsah shody systému managementu s kritérii auditu, včetně efektivnosti systému managementu při plnění stanovených cílů,

▪ efektivnost realizace, udržování a zlepšování systému managementu,

▪ způsobilost procesu přezkoumávání managementu, kterým je zajištěna trvalá vhodnost, přiměřenost, efektivnost a zlepšování systému managementu,

▪ dosažení cílů auditu, pokrytí předmětu auditu a splnění kritérií auditu,

▪ kořenové příčiny zjištění, je-li to zahrnuto v plánu auditu,

▪ obdobná zjištění z jiných oblastí, auditovaných pro účely identifikace trendů.

Na závěrečném jednání se setkávají vedoucí týmu auditorů se členy vedení auditované organizace a je jim odprezentováno, k jakým závěrům audit dospěl, včetně situací, které mohou snižovat důvěryhodnost závěrů z auditu. Průběh auditu a jeho výsledky jsou zpracovány do zprávy, která má poskytnout ucelený a přesný záznam z auditu, včetně všech náležitostí závěrečné zprávy. Zpráva je doručena adresátům auditu poté, co je odsouhlasena a schválena. Pokud neexistuje nařízení zveřejnit zprávu, nesmí auditující strana nic zveřejňovat. V závěrečné fázi je také dohodnutým způsobem naloženo s dokumenty týkající se auditu tedy jejich uložení nebo zničení. Ukončení auditu nastane ve chvíli, kdy jsou všechny naplánované činnosti dokončeny. Případně je audit ukončen podle dohodnutých podmínek s klientem auditu. Výstupem programu auditů je také sebereflexe týmu auditorů, která má zlepšovat program i odbornost členů týmu. U auditu (examination) je povinný výrok. Možné typy výroků jsou uveden v Tabulce č. 8.

Závěrečná zpráva a její obsah závisí na druhu ujištění13 a podle splnění očekávání auditované organizace. (Svatá, 2016) uvádí následující strukturu závěrečné zprávy (hvězdičkou uvedené části jsou ve zprávě povinné):

▪ Titulní strana* – pojmenování dokumentu pro určení jeho jasného obsahu.

▪ Identifikace auditorské firmy – V tomto dokumentu (identifikace je obvykle na hlavičkovém papíru s informacemi o auditorské organizaci) jsou uvedeny základní informace, jako je druh ujištění, doba dokončení, datum vyhotovení závěrečné zprávy a závěry, nebo výrok auditu. Na dokumentu je povinný podpis vedoucího auditorské organizace. Dokument slouží jako předávací stránka. ▪ Obsah – seznam kapitol zprávy.

▪ Úvod – stručné uvedení obsahu.

▪ Shrnutí – stručné manažerské shrnutí.

▪ Rozsah* – kapitola, která uvádí základní charakteristiky auditu, jako je objekt auditu, období, kdy audit probíhal, omezení, související standardy a kritéria.

▪ Cíle* – popis upřesňujících aspektů (na obecné úrovni) o objektu, který byl předmětem hodnocení.

▪ Metodika auditu* - podrobnější popis průběhu auditu, činností a kritérií, které jsou použity pro formulování závěrů.

▪ Výrok/závěr auditu* – výrok je povinný u auditu (examination) a jeho možné podoby shrnuje Tabulka č. 8. Ostatní typy ujištění neuvádějí ve zprávě výrok, ale jsou zde zformulovány závěry.

▪ Výsledky auditu – podrobnější výklad nálezů auditu. Tato část závisí na tom, zda je uvedena následnost (je odkazována) v předcházející části zprávy (Výrok/závěr auditu). V případě kvalifikovaného nebo záporného výroku je možní tuto část použít jako podklad pro nápravná opatření.

▪ Doporučení – zde se uvádí doplnění doporučení pro nápravná opatření.

▪ Reakce managementu – tato část závěrečné zprávy obsahuje vyjádření managementu na základě konceptu závěrečné zprávy. Reakce je pak součástí finální závěrečné zprávy.

▪ Odpověď auditora – zařazení této kapitoly závisí na existenci předchozí části zprávy (Reakce managementu) a navazuje na ní jakožto odpověď auditora na vyjádření managementu.

Audit podle vyhlášky o kybernetické bezpečnosti

Vyhláška o kybernetické bezpečnosti nařizuje povinným subjektům, aby součástí organizačního opatření byl audit kybernetické bezpečnosti14 . Zjištění, která jsou získána auditem poskytují podklady pro zlepšování bezpečnosti a aktualizují ISMS. V rámci vyhlášky je povinností povinného subjektu také personální obsazení důležitých rolí podle typu subjektu. Role auditora musí splňovat požadavky na odbornou způsobilost. Auditor nese odpovědnost za provádění auditu, přičemž k tomu musí být zajištěna jeho nestrannost na výkonu dalších rolí týkajících se bezpečnosti v organizaci. Audit je podle vyhlášky prováděn v pravidelných intervalech nebo v případech, kdy nastanou významné změny15. Průběh auditu musí být dokumentován a vyhláška specifikuje, jaké náležitosti musí zpráva z auditu kybernetické bezpečnosti obsahovat (viz Tabulka č. 4 - část zpráva z auditu kybernetické bezpečnosti). Výsledná zpráva se stává součástí bezpečnostní dokumentace. Pokud je osoba provozovatelem systému a provádí audit, pak je povinen seznámit s výsledkem auditu správce systému. Závěry auditu jsou zpětnou vazbou řízení bezpečnosti informací v organizaci a stávají se podklady pro identifikaci možných zlepšování ISMS.