Audit shody s požadavky Zákona o kybernetické bezpečnosti
Cíle analýzy
Analýza shody se Zákonem o kybernetické bezpečnosti (dále jako Zákon) zjistí aktuální stav souladu v oblasti zabezpečení kritických a významných systémů organizace a stav systému řízení informační bezpečnosti v návaznosti na požadavky Zákona a také odpovídající Vyhlášky o kybernetické bezpečnosti (dále jen VoKB) v aktuálním znění. Bez zjištění aktuálního stavu nelze prohlásit, zda legislativní požadavky organizace plní či nikoliv, případně v jakém rozsahu. Následně lze činit kroky, které postupně uvedou organizaci do plného souladu.
Průběh analýzy
Analýza se podobá auditu a typicky probíhá v následujících krocích:
- Studium předané relevantní dokumentace,
- interview a workshopy s vybranými zaměstnanci,
- vytvoření draftu zprávy,
- připomínkování draftu zprávy,
- vytvoření konečné verze zprávy.
Naše analýza je služba, která vám dodá výsledky „na klíč“, nicméně bez součinnosti zákazníka by to nebylo možné. Spolupráce probíhá především formou interview a workshopů, nicméně pokud je to efektivní nebo jediná možnost, je možné použít i dotazníkové šetření.
Analýza reflektuje požadavky Zákona i VoKB, která tvoří většinu otázek, které je třeba zodpovědět. Přestože Zákon obsahuje 38 a vyhláška „jen“ 37 paragrafů, většina práce směřuje k požadavkům vyhlášky, které vyžadují od organizace přípravu řady dokumentů, použití nástrojů a funkční procesy.
Výstupy
Závěrečnou zprávu tvoří rozsáhlá tabulka, která obsahuje vyjádření ke všem požadavkům Zákona a VoKB. Přehledně je označeno, zda je požadavek splněn, plněn jen částečně nebo neplněn. Ke každému nálezu je uvedeno doporučení, které vychází nejen z konkrétních požadavků legislativy, ale i zkušeností konzultantů DCIT.
Přínosy
Hlavním přínosem je zjištění souladu požadavků legislativy s reálným stavem řízení informační bezpečnosti a zabezpečení kritických a významných informačních systémů. Praktických přínosů je však více:
- přehled o stavu a prioritách pro dosažení souladu,
- doporučení a opatření k nápravě,
- podklad pro řízení nákladů a rozpočtů na compliance,
- ochrana produktů a služeb,
- podklady pro manažerská rozhodnutí při řízení rizik i IT.
Po dokončení analýzy lze navázat dalšími našimi službami, jako jsou analýza rizik, tvorba bezpečnostní dokumentace, nastavení řídících procesů, outsourcing bezpečnostních rolí nebo realizace řady technických služeb.