Audit Zabezpečení

AUDIT KYBERNETICKÉ BEZPEČNOSTI
Oblast kybernetické bezpečnosti je v České republice regulována zákonem č. 181/2014 Sb. a jeho prováděcími vyhláškami. Povinné osoby mají podle § 4 tohoto zákona povinnost zavést a provádět bezpečnostní opatření pro zajištění kybernetické bezpečnosti. Obsah a rozsah opatření stanovuje Národní úřad pro kybernetickou a informační bezpečnost vyhláškou 82/2018 Sb., která od 28.května 2018 nahrazuje vyhlášku 316/2014 Sb.

Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (VoKB, vyhláška o kybernetické bezpečnosti) upravuje:

obsah a strukturu bezpečnostní dokumentace,
obsah a rozsah bezpečnostních opatření,
typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů,
náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,
náležitosti oznámení o provedení reaktivního opatření a jeho výsledku,
vzor oznámení kontaktních údajů a jeho formu a
způsob likvidace dat, provozních údajů, informací a jejich kopií.
Systém řízení informační bezpečnosti neboli ISMS (Information Security Management System) je součástí organizačních opatření, které je uvedeno ve VoKB v § 3 této vyhlášky. Systém je založen na přístupu k řízení rizik a při tom se využívají principy Demingova modelu PDCA.

Principy Demingova modelu PDCA. Zdroj: ISO 27000

Standardem systému řízení informační bezpečnosti je norma ISO 27001, která stanovuje požadavky bezpečnosti a je výchozím souborem kritérií pro certifikaci a audity. Splnění těchto požadavků organizace prokazuje odpovědnost k řízení bezpečnosti informací všem zainteresovaným stranám a buduje vzájemnou důvěru. Efektivní zavedení ISMS využívá základní principy, jako je povědomí o potřebě informační bezpečnosti, určení odpovědností, posuzování rizik a přijetí opatření pro dosažení přijatelné úrovně rizika a zajištění komplexního přístupu k řízení informační bezpečnosti a neustálé zlepšování ISMS.

Prvkem zpětné vazby řízení informační bezpečnosti je podle § 16 VoKB kontrola a audit kybernetické bezpečnosti. Audit prověřuje, že jsou plněny legislativní požadavky, mezi které patří ustanovení bezpečnostní politiky, vedení bezpečnostní dokumentace, ale i zlepšování systému bezpečnosti a odstraňování nedostatků nebo informování vedení organizaci o úrovni kybernetické bezpečnosti.

Audit podle norem ISO

V rámci celé koncepce norem ISO (a jejich vzájemné provázanosti) lze najít základ v normě ISO 9000. V této normě jsou uvedeny důležité pojmy a vtahy, které jsou uvedeny na Obrázku č. 18

Vztahy uvedené na obrázku lze vysvětlit následujícím způsobem: Auditor je osoba s potřebnou kvalifikací a vhodnými vlastnosti pro výkon auditu. Může být součástí týmu auditorů. Tento tým podle potřeby komunikuje s experty a spolupráce zahrnuje poskytování odborných posudků, specifických znalostí nebo konzultací. Audit je prováděn na základě žádosti klienta, který o tuto službu má objektivní zájem. V rámci příprav a plánování auditu je identifikován předmět auditu, tedy jeho rozsah a vymezení auditu. Přípravy auditu vycházejí z kritérií, která se zakládají na politikách, postupech a požadavcích, a týkají se auditovaného systému. Organizace, u které vznikla potřeba uskutečnit audit systému, má zájem prostřednictvím auditem zjištěných výsledků ověřit, zda vyhovuje všem kritériím kladených na systém. Tato zjištění by měla být podpořena a doložena relevantními důkazy. Výstupem auditu je prezentování posouzených výsledků žadatelům, nebo odpovědným zástupcům auditované organizace.

V rámci řízení bezpečnosti informací podle ISO 27001 a ve svém důsledku i podle zákona o kybernetické bezpečnosti včetně jeho prováděcí vyhlášky je základem auditu norma ISO 27007. Tato norma uvádí kontext auditů do prostředí bezpečnosti informací. Audit podle ISO 27007 je postaven na směrnici pro auditování systémů managementu (ISO 19011) a ta zase těží ze základů, které jsou v normě ISO 9000, jak tuto skutečnost ilustruje Obrázek č. 19.

Systém řídících a kontrolních procesů, které mají za cíl provozovat, rozvíjet a zlepšovat systém řízení bezpečnosti informací, je postaven podle koncepce PDCA. Obrázek č. 20 popisuje, jak je v tomto cyklu začleněna norma ISO 27007. Fáze act (jednej) je agentem zlepšování, který je založen na vyhodnocování požadavků a opatření a poskytuje zpětnou vazbu.

Na tomto místě je třeba zmínit významnou vlastnost týkající se vazeb mezi různými ISO normami. Normy vznikají v různých obdobích a jsou ovlivňovány vývojem, který má dopad strukturu i obsah. Kromě běžně uváděného názvu normy jsou dalšími důležitými údaji normy: rok schválení a rok přijetí. Například norma ISO 19001 byla schválena 11. května 2011, publikována byla v listopadu 2011, česká mutace byla schválena 1. června 2012, datum účinnosti normy je od 1. července 2012 a její celý název je ISO 19011:2011. Normou citované dokumenty jsou tedy starší, než je sama norma ISO 19011:2011, a na ni se odkazují normy novější. Práce s normami neumožňuje práci tak, aby vždy odkazovaly na aktuální a platné dokumenty. Odkazy z ISO 27005:2011 se odvolávají na ISO 27001:2005, což je komplikovaný přístup k řízení bezpečnosti informací, protože poslední revize ISO 27001 byla vydána v září 2014 (publikována byla v říjnu 2013). V novějším vydání ISO 27001 je uplatněná rozdílná struktura a členění celého obsahu, navíc nutno brát v ohled změny týkající se aktuálnosti požadavků a opatření. Od dubna 2018 jsou platné normy ISO 27003 a 27004. Tyto normy odkazují už na 27001:2013.

Jak již bylo zmíněno, norma ISO 27007 je v sadě norem 27000 dokumentem, který se zabývá auditem systémů řízení bezpečnosti. Jedním z úkolů normy je adaptovat auditování systému managementu do prostředí bezpečnosti informací. Norma ISO 27007 kopíruje strukturu i obsah normy ISO 19011. V pasážích, které jsou v ISO 19011 příliš obecné nebo neodpovídají požadavkům auditu bezpečnosti informací, uvádí ISO 27007 cíle a opatření do souvislosti s požadavky a cíli ISMS, věnuje se uřčení rozsahu programu auditu a definování cílů, předmětu a kritérií auditu.

Role auditora

Auditor musí splňovat vlastnosti, schopnosti, dovednosti a používat koherentní myšlení. Tyto vlastnosti jsou nezbytné pro provádění auditů. Pro provádění auditů se jedná o specifika, která jsou pro audit managementu bezpečnosti informací skutečně významná, aby závěry z auditu byly správné a přínosné. Jedná se o znalosti týkající se norem ISO (řada 27000, 19011, 17021, 9000 a další), zákonů a vyhlášek týkající se nejen bezpečnosti informací, ale i ochrany osobních údajů a dalších souvisejících zákonů, znalosti postupů, procesů a metod posuzování, řízení, monitorování a měření bezpečnosti informací (ISO 19011, 2011), specifik a typických rizik daného odvětví, ale také osobnostních a povahových rysů, jako jsou vlastnosti podle (ISO 17021-1, 2016):

▪ dodržování etických principů. tj. férovost, pravdivost upřímnost, poctivost a diskrétnost,

▪ otevřenost jiným názorům, tj. ochota zvážit alternativní myšlenky nebo jiné pohledy na věc,

▪ diplomacie, tj. takt při jednání s lidmi, ▪ ochota spolupracovat, tj. efektivně spolupracovat s dalšími,

▪ pozornost, tj. aktivně st uvědomovat fyzické okolí a okolní činnosti,

▪ vnímavost, tj. instinktivní povědomí o různých situacích a schopnost je pochopit,

▪ flexibilita, tj. rychlé přizpůsobení se různým situacím,

▪ vytrvalost, ti. vytrvalé soustředění se na splnění cílů,

▪ rozhodnost, ti. dosahováni včasných závěru založených na logickém zdůvodnění a analýzách,

▪ soběstačnost, tj. schopnost jednat a pracovat samostatně,

▪ profesionalita, tj. zdvořilé, svědomité a všeobecně vstřícné chování na pracovišti,

▪ morální kredit, tj. ochota jednat nezávisle a eticky i ve chvíli, kdy toto jednaní nemusí být vždy populární muže vest ke sporům nebo konfrontacím,

▪ organizace, tj. realizování efektivního řízeni času stanovovaní priorit, plánování a účinnost jednání.

Nežádoucí chování může mít vliv na audit a projevy závisí na konkrétní situaci. Během auditu se lidé s auditory střetávají při konzultacích, interview a při různých profesně společenských setkáních. Napětí nebo jisté nesympatie pak mohou narušit důvěru k auditorům, a tím i k samotnému auditu. Budování pozitivních vztahů mezi auditory a zaměstnanci organizace je pro průběh auditu minimálně prospěšný.

Kvalifikační požadavky, které musí auditor splňovat, uvádí ve svých přílohách novelizovaná vyhláška kybernetické bezpečnosti. Doložením odborné kvalifikace může být uznávaná certifikace auditora označovaná jako CISA (Certified Information Security Auditor), kterou nabízí organizace Isaca stejně jako certifikace CRISC (Certified in Risc and Information Systém Controls). Kromě těchto certifikací vyhláška považuje za relevantní certifikace auditora také CIA (Certified Internal Auditor) a Lead Auditor ISMS (Lead Auditor Information Security Management System), která má velmi blízko k ISO normě 27001. Přesněji se jedná o certifikaci způsobilosti vést audit bezpečnosti informací právě podle normy ISO 27001.

Role auditora je také spjata s přístupem k auditu. Z pohledu průběhu auditu a působení auditora v organizaci norma (ISO 19011, 2011) dělí audit na:

▪ interní audit a

▪ externí audit, tj.

▪ dodavatelský audit nebo

▪ audit třetí stranou.

Interní audit (audit první stranou) je zajišťován vlastními silami v rámci organizace. Podle vyhlášky o kybernetické bezpečnosti je v rámci plnění povinností stanovení bezpečnostních rolí. V rámci těchto rolí musí být stanovena také role auditora kybernetické bezpečnosti8 . Není zde jasně vymezeno, že osobou v roli auditora musí být interní zaměstnanec. Pokud je auditorem interní zaměstnanec, není zákonem ani vyhláškou stanovena nutnost jeho nezávislého postavení v rámci organizace, jako je tomu v zákonu 320/2001 Sb. o finanční kontrole9 . V případech externího auditu se jedná o audity prováděné zákazníky u jejich dodavatelů (audit druhou stranou) a v rámci auditu mohou využít (stejně tak i pro audit první stranou) normu ISO 19011. Další formou externího auditu je audit třetí stranou. Ten může být prováděn pro účely auditu souladu se zákony nebo pro účely certifikace. Dokumenty s požadavky na orgány poskytující službu auditu mohou vycházet z normy ISO 27006 a ISO 17021-1, nebo i ISO 27021-6 a jiné.

S rolí auditora je také spjato jeho hodnocení, a podle (ISO 19011, 2011) je součástí auditu resp. fáze programu auditu. Důvěryhodnost procesu auditu a schopnost dosahovat jeho cílů závisí na kompetencích jednotlivců zapojených do plánování a provádění auditu včetně auditorů a vedoucích týmu auditorů (ISO 19011, 2011, s. 41). Hodnocení auditora zahrnuje prvky zpětné vazby. Hodnocení se týká od rozvoje znalostí až k přezkoumávání výsledků auditora a jím vyhotovených dokumentů a výsledků.

Institut auditu z pohledu poskytovatele služby auditu

Vyhláška o kybernetické bezpečnosti a řízení bezpečnosti informací podle ISO 27001 umožňují, že ISMS s platnou certifikací10 dle ISO 27001 udělenou akreditovaným certifikačním orgánem je v souladu s požadavky vyhlášky.

Již bylo zmíněno, že v rámci bezpečnosti informací a auditu bezpečnosti informací existují normy ISO 17021-1 a ISO 27006. Jejich obsah je zaměřen na doporučení a požadavky, které orgány provádějící audity (podle ISO 27006 myšleno audity ISMS) musejí splňovat, aby podpořily proces akreditace organizace, která poskytuje certifikace – tedy audity třetí stranou (ISO 27006, 2015). Proces certifikace je zobrazen na Obrázku č. 21. Organizace poskytující certifikaci podle ISO 17021-1, které mají v rámci své působnosti zájem rozšířit portfolio nabízených služeb o certifikaci systémů bezpečnosti informací ISMS, musejí přijmout dodatečné požadavky a doporučení, které uvádí ISO 27006. V normě je explicitně zmíněno, jaké požadavky je nutno dodržet (shall) a jaké požadavky by měly být dodrženy (should) (ISO 27006, 2015).

Norma ISO 27006 udává jako svůj hlavní cíl umožnit akreditačním orgánům její efektivní použití a harmonizaci s ostatními normami, podle kterých se provádí hodnocení certifikačních orgánů usilujících o akreditaci (ISO 27006, 2015, s. 7). Stejně jako u norem týkající se auditu první a druhou stranou, které využívají normu ISO 27007 postavenou na základech ISO 19011, platí u norem týkajících se auditu třetí stranou obdobný způsob odkazování. Základní požadavky jsou uvedeny v ISO 17021-1. Norma ISO 27006 těchto základů využívá a významné aspekty a specifika upravuje pro prostředí související s ISMS. ISO 27006 zmiňuje například, že požadavky na auditory se zaměřují na znalost terminologie a s auditem ISMS souvisejících znalostí, zkušeností a dovedností. Do týmu auditorů jsou vybírání ti, kteří mají relevantní a aktuální zkušenosti. Jen tak lze plnit důvěryhodnost a správnost závěrů auditu z hlediska personálního obsazení.

U auditu třetí stranou je nutnost zmínit požadavek, který říká, že pokud před zahájením organizace, poskytující službu auditu u auditované organizace v rámci přípravy programu auditu, zažádá o dokumenty, které jsou považovány za citlivé nebo důvěrné, a auditovaná organizace tyto dokumenty neposkytne, akreditující organizace posoudí relevantnost odmítnutí poskytnout dokumenty a zhodnotí adekvátnost auditu při absenci některých dokumentů. Závěrem může být, že nebude možné audit provést a o této skutečnosti musí klienta informovat.

Audit a jeho fáze podle ISO 19011

Norma je určena širokému spektru uživatelů, kteří mají zájem nebo potřebu provádět audity systémů managementu, ať už je důvodem zájem poznat, zjistit a ověřit skutečný stav systému, nebo je k tomu přiměje důsledek plynoucí ze smluvních podmínek nebo je organizace povinným subjektem legislativních nařízení a regulací. Norma je navržena s ohledem na flexibilitu použití a u organizací, které chtějí normu uplatnit, nezáleží na její velikosti, úrovni vyspělosti systému managementu nebo na specifických podmínkách auditované organizace od typu a složitosti specifik až k cílům a předmětu auditu. Norma také zavádí koncepci rizik do auditování systémů managementu. Přijatý přístup se týká rizika, že proces auditu nedosáhne svých cílů a potenciální možnost narušení auditu narušit činnosti a procesy auditované organizace (ISO 19011, 2011, s. 7).

Audit podle (ISO 19011, 2011) závisí na několika zásadách a principech, které z auditu vytvářejí spolehlivý a efektivní nástroj zpětné vazby a kontroly managementu. Umožňuje zlepšování systému na základě cílů politik a nástrojů managementu. Tyto principy vytvářejí předpoklad, že závěry, ke kterým audit dospěje, bude nezávislý a auditoři dospějí k podobným závěrům za předpokladu podobných okolností. Principy, které norma využívá:

▪ Integrita – auditoři pracují poctivě, svědomitě a odpovědně, prokazují kompetenci vykonávat audit a jeho úsudek by neměl být ovlivněn působení jakýchkoliv vlivů. Svůj úkol směřující k cílům auditu, vykonává v souladu s platnou legislativou a všech relevantních regulací.

▪ Spravedlivé prezentování – veškeré zjištění, zprávy a závěry auditu pravdivě a přesně odrážejí činnosti při auditu. Zároveň je nutností informovat o významných překážkách.

▪ Profesionální přístup – auditoři při výkonu svých povinností dbají, aby svěřené úkoly vykonávali s náležitou péčí a v souladu s významem a důležitostí. Veškerá rozhodnutí, ke kterým dospěje, mají být náležitě odůvodněné.

▪ Důvěrnost – auditor si musí být vědom, že informace, se kterými přijde do styku, jsou důvěrné. Tyto informace nesmí zneužít ke svému vlastnímu prospěchu, nebo nesmí důvěrné informace použít jakýmkoliv nevhodným způsobem, a tím způsobil auditované organizaci škodu.

▪ Průkaznost – závěry z auditu by měly být koncipovány na získaných dokumentech, důkazy by měly být ověřitelné. Audit může probíhat během omezeného časového období, a i zdroje během auditu jsou omezené, a proto mohou být využity důkazy založené na vzorcích. To může mít spojitost se spolehlivostí závěrů.

▪ Nezávislost – auditoři by měli být v rámci možností zcela nezávislí na auditované organizaci a zachovat nestrannost a vyloučit střety zájmů. Interní auditoři by měli mít zajištěnou nezávislost na manažerských funkcích, aby byla zachována důvěryhodnost auditu.

V normě ISO 27006 je uvedeno, které činnosti nejsou střetem zájmů, a certifikační orgán tyto činnosti může vykonávat bez narušení střetu zájmu. Jedná se například o provádění činností související se školením a přednáškami, zveřejnění vlastního výkladu požadavků norem, podle kterých provádí certifikaci nebo poskytování informací, které se zaměřují na připravenost před auditem.

Řízení programu auditu

Úkolem vrcholového vedení organizace je stanovení cílů programu auditu. Přihlíží se při tom i k tomu, že současně mohou probíhat také jiné programy, které mohou probíhat odděleně, současně nebo se vzájemně doplňovat. Program a jeho rozsah vychází z charakteristiky organizace a všech významných vlastností, které mají na systémy managementu vliv. Program a zdroje, které jsou důležité pro efektivní a účinné provádění auditů mohou zahrnovat:

▪ cíle programu auditů a jednotlivých auditů,

▪ rozsah, počet, druhy, doby trvání, místa, časové harmonogramy auditů,

▪ řízení programu auditů,

▪ kritéria auditů,

▪ metody auditů,

▪ výběr týmu auditorů,

▪ nezbytné zdroje, včetně cestování a ubytování,

▪ procesy pro zacházení s důvěrnými informacemi, bezpečností informací a další procesy.

Průběh řízení programu je zobrazen na Obrázku č. 22. Posuzování dosahování cílů auditů má zlepšovat dosahovaní programu auditu, jeho výsledků a samozřejmě cílů. Stanovení cílů programu auditu respektuje vztahy k partnerům, platnou legislativu, požadavky managementu a je sledován soulad mezi cíli a zjištěnými skutečnostmi.

V rámci stanovení programu auditů jsou určeny role, odpovědnosti osob řídících program auditu a jejich kompetence. V rámci svých povinností vedoucí osoba, řídící program auditů, vede komunikaci s vedením. Dále se stanovuje rozsah programu auditu, odpovídající podmínkám organizace, identifikují a hodnotí se rizika programu auditu, která jsou spojená s plánováním, zdroji, týmem auditorů, a se samotným průběhem auditu. Během stanovení postupů auditu se odpovědná osoba věnuje plánování a sestavováním harmonogramu, výběru členu týmu, zajišťuje bezpečnost a důvěrnost informací, provádí a zaznamenává audity. Identifikace zdrojů zahrnuje způsob financování a všech souvisejících výdajů, spojených s auditem, výběr metod auditu a dostupnost informačních a komunikačních technologií. Realizace programu auditu zahrnuje komunikaci během průběhu od oznámení přes pravidelné informování o průběhu. Osoba, řídící program auditu, realizuje a koordinuje všechny související činnosti pro bezproblémový průběh a zajišťuje potřebné zdroje. Monitorování je fáze, která hodnotí shodu s harmonogramy a cíli, výkonnost členů týmu a jejich schopnosti a poskytuje zpětnou vazbu systému řízení programu auditu (ISO 19011, 2011).

Průběh auditu a jeho návaznosti je naznačen na Obrázku č. 23. Zahájení auditu zahrnuje úvodní kontakt s auditovanou organizací. Během komunikace jsou diskutovány cíle a předmět auditu, způsoby komunikace, poskytování informací a podrobnější seznámení se všemi okolnostmi a náležitostmi auditu. V úvodní fázi mohou být vyžádány relevantní dokumenty pro jejich prozkoumání. Dokumentace systému je nedílnou součástí vybudování kompletního systému řízení bezpečnosti informačního systému a informačních a komunikačních technologií (IS/ICT) v organizaci je vytvoření dokumentace celého systému (Doucek, 2005, s. 81). Zkoumáním dokumentů lze získat nezbytný přehled o rozsahu dokumentace, seznámit se s výsledky předchozích auditů a shromáždit potřebné informace pro přípravu dalších kroků auditu.

V rámci přípravy plánu auditu by měly být pokryty tyto oblasti (ISO 19011, 2011):

▪ cíle auditu,

▪ předmět auditu, včetně identifikace auditovaných organizačních a funkčních jednotek i procesů,

▪ kritéria auditu a jakékoliv referenční dokumenty,

▪ místa, termíny, časy a očekávané trvání činností při auditu, včetně jednání s vedením auditované organizace,

▪ použité metody auditu, včetně rozsahu vzorkování, které je nezbytné pro získávání dostatečných důkazů z auditu, a návrhu plánu vzorkování,

▪ role a odpovědnosti členů týmu auditorů a také průvodců11 a pozorovatelů12 ,

▪ přidělení vhodných zdrojů kritickým oblastem auditu,

▪ přípravy pracovních dokumentů (checklisty, plány vzorkování, formuláře pro záznamy informací a zjištění z auditu, které mohou být použity jako důkazy z auditu).

Samotné provádění auditu zahrnuje tyto činnosti (ISO 19011, 2011):

▪ představení účastníků, včetně průvodců, a naznačení jejich rolí,

▪ potvrzení cílů, předmětu a kritérií auditu,

▪ potvrzení plánu auditu a všech dalších ujednání řešených s auditovanou organizací, jako je například datum a čas konání závěrečného jednání, jakýchkoli dalších porad týmu auditorů a managementu auditované organizace a všechny pozdější změny,

▪ představení metod, které budou využity k provádění auditu včetně upozornění, že důkazy z auditu budou založeny na vzorku dostupných informací,

▪ představení metod řízení rizik organizace, která mohou vzniknout následkem přítomnosti členů týmu auditorů,

▪ potvrzení formálních komunikačních kanálů mezi týmem auditorů a auditovanou organizací,

▪ potvrzení jazyka, který bude v průběhu auditu používán,

▪ potvrzení, že auditovaná organizace bude o průběhu auditu průběžně informována,

▪ potvrzení dostupnosti zdrojů a zařízení nezbytných pro tým auditorů,

▪ potvrzení záležitostí týkajících se důvěrnosti a bezpečnosti informací,

▪ potvrzení příslušných zdravotních, nouzových a bezpečnostních postupů platných pro tým auditorů,

▪ informace o metodách podávání zpráv, zjištěních z auditu, včetně jakéhokoli existujícího třídění,

▪ informace o podmínkách, za kterých smí být audit ukončen,

▪ informace o závěrečném jednání; informace o tom, jak v průběhu auditu nakládat s možnými zjištěními,

▪ informace o jakýchkoliv systémech pro zpětnou vazbu od auditované organizace ohledně zjištění nebo závěrů z auditu, včetně stížností nebo odvolání se.

Během fáze shromažďování a ověřování informací se vhodnou vzorkovací metodou (která je v souladu s cíli, rozsahem a kritérii auditu) získávají potřebné a reprezentativní informace, a ty jsou hodnoceny vůči kritériím. Důkazy, které mají být akceptovány mohou být pouze ověřené informace. Ověřené důkazy pak slouží jako zjištění z auditu. Zároveň jsou zaznamenávány neshody včetně důkazů, které neshodu prokazují. Neshody by měly být ve spolupráci s auditovanou organizací přezkoumány a jednání a závěry obou stran mají být dokumentovány. Proces shromažďování a ověřování je zobrazen na Obrázku č. 24.

Provádění auditu

Závěr z auditu a auditorská zpráva

Během fáze přípravy záběrů z auditu tým auditorů na poradě jedná s cílem, aby prozkoumal všechny informace a zjištění, a porovnal je vůči kritériím a cílům auditu. Výstupem z auditu je zpráva, která má být odsouhlasena, a podle dohody může auditované organizaci poskytovat doporučení ke zlepšení. Závěry z auditu mohou zahrnovat (ISO 19011, 2011):

▪ rozsah shody systému managementu s kritérii auditu, včetně efektivnosti systému managementu při plnění stanovených cílů,

▪ efektivnost realizace, udržování a zlepšování systému managementu,

▪ způsobilost procesu přezkoumávání managementu, kterým je zajištěna trvalá vhodnost, přiměřenost, efektivnost a zlepšování systému managementu,

▪ dosažení cílů auditu, pokrytí předmětu auditu a splnění kritérií auditu,

▪ kořenové příčiny zjištění, je-li to zahrnuto v plánu auditu,

▪ obdobná zjištění z jiných oblastí, auditovaných pro účely identifikace trendů.

Na závěrečném jednání se setkávají vedoucí týmu auditorů se členy vedení auditované organizace a je jim odprezentováno, k jakým závěrům audit dospěl, včetně situací, které mohou snižovat důvěryhodnost závěrů z auditu. Průběh auditu a jeho výsledky jsou zpracovány do zprávy, která má poskytnout ucelený a přesný záznam z auditu, včetně všech náležitostí závěrečné zprávy. Zpráva je doručena adresátům auditu poté, co je odsouhlasena a schválena. Pokud neexistuje nařízení zveřejnit zprávu, nesmí auditující strana nic zveřejňovat. V závěrečné fázi je také dohodnutým způsobem naloženo s dokumenty týkající se auditu tedy jejich uložení nebo zničení. Ukončení auditu nastane ve chvíli, kdy jsou všechny naplánované činnosti dokončeny. Případně je audit ukončen podle dohodnutých podmínek s klientem auditu. Výstupem programu auditů je také sebereflexe týmu auditorů, která má zlepšovat program i odbornost členů týmu. U auditu (examination) je povinný výrok. Možné typy výroků jsou uveden v Tabulce č. 8.

Závěrečná zpráva a její obsah závisí na druhu ujištění13 a podle splnění očekávání auditované organizace. (Svatá, 2016) uvádí následující strukturu závěrečné zprávy (hvězdičkou uvedené části jsou ve zprávě povinné):

▪ Titulní strana* – pojmenování dokumentu pro určení jeho jasného obsahu.

▪ Identifikace auditorské firmy – V tomto dokumentu (identifikace je obvykle na hlavičkovém papíru s informacemi o auditorské organizaci) jsou uvedeny základní informace, jako je druh ujištění, doba dokončení, datum vyhotovení závěrečné zprávy a závěry, nebo výrok auditu. Na dokumentu je povinný podpis vedoucího auditorské organizace. Dokument slouží jako předávací stránka. ▪ Obsah – seznam kapitol zprávy.

▪ Úvod – stručné uvedení obsahu.

▪ Shrnutí – stručné manažerské shrnutí.

▪ Rozsah* – kapitola, která uvádí základní charakteristiky auditu, jako je objekt auditu, období, kdy audit probíhal, omezení, související standardy a kritéria.

▪ Cíle* – popis upřesňujících aspektů (na obecné úrovni) o objektu, který byl předmětem hodnocení.

▪ Metodika auditu* - podrobnější popis průběhu auditu, činností a kritérií, které jsou použity pro formulování závěrů.

▪ Výrok/závěr auditu* – výrok je povinný u auditu (examination) a jeho možné podoby shrnuje Tabulka č. 8. Ostatní typy ujištění neuvádějí ve zprávě výrok, ale jsou zde zformulovány závěry.

▪ Výsledky auditu – podrobnější výklad nálezů auditu. Tato část závisí na tom, zda je uvedena následnost (je odkazována) v předcházející části zprávy (Výrok/závěr auditu). V případě kvalifikovaného nebo záporného výroku je možní tuto část použít jako podklad pro nápravná opatření.

▪ Doporučení – zde se uvádí doplnění doporučení pro nápravná opatření.

▪ Reakce managementu – tato část závěrečné zprávy obsahuje vyjádření managementu na základě konceptu závěrečné zprávy. Reakce je pak součástí finální závěrečné zprávy.

▪ Odpověď auditora – zařazení této kapitoly závisí na existenci předchozí části zprávy (Reakce managementu) a navazuje na ní jakožto odpověď auditora na vyjádření managementu.

Audit podle vyhlášky o kybernetické bezpečnosti

Vyhláška o kybernetické bezpečnosti nařizuje povinným subjektům, aby součástí organizačního opatření byl audit kybernetické bezpečnosti14 . Zjištění, která jsou získána auditem poskytují podklady pro zlepšování bezpečnosti a aktualizují ISMS. V rámci vyhlášky je povinností povinného subjektu také personální obsazení důležitých rolí podle typu subjektu. Role auditora musí splňovat požadavky na odbornou způsobilost. Auditor nese odpovědnost za provádění auditu, přičemž k tomu musí být zajištěna jeho nestrannost na výkonu dalších rolí týkajících se bezpečnosti v organizaci. Audit je podle vyhlášky prováděn v pravidelných intervalech nebo v případech, kdy nastanou významné změny15. Průběh auditu musí být dokumentován a vyhláška specifikuje, jaké náležitosti musí zpráva z auditu kybernetické bezpečnosti obsahovat (viz Tabulka č. 4 - část zpráva z auditu kybernetické bezpečnosti). Výsledná zpráva se stává součástí bezpečnostní dokumentace. Pokud je osoba provozovatelem systému a provádí audit, pak je povinen seznámit s výsledkem auditu správce systému. Závěry auditu jsou zpětnou vazbou řízení bezpečnosti informací v organizaci a stávají se podklady pro identifikaci možných zlepšování ISMS.