Interný audit ISO 27001 pre NIS2 a DORA

Je prvé zasadnutie výboru pre audit v roku 2026. Sarah, CISO spoločnosti FinSecure, rýchlo rastúceho poskytovateľa SaaS a FinTech služieb, má v programe pätnásť minút. Predstavenstvo má päť otázok.

Sme pripravení na náš dozorný audit ISO/IEC 27001:2022? Spadáme do rozsahu pôsobnosti NIS2 ako poskytovateľ riadených služieb? Týka sa nás DORA, pretože podporujeme klientov z finančného sektora? Vieme preukázať, že nahlasovanie incidentov, due diligence dodávateľov a kontinuita činností fungujú? A prečo revízia prístupových práv za minulý štvrťrok stále našla účty, ktoré mali byť zrušené?

Sarah má dôkazy, ale sú rozptýlené. Engineering má exporty zo skenov zraniteľností. Obstarávanie má dotazníky dodávateľov. Právne oddelenie má zmluvné doložky. Manažér súladu má evidenciu GDPR. SOC má incidentové tikety. Nič z toho nie je zjavne nesprávne, ale nič z toho nevytvára ucelený obraz uistenia.

Toto je okamih, keď sa program interného auditu ISO 27001 buď stane strategickým mechanizmom tvorby dôkazov, alebo zostane každoročným improvizovaným úsilím.

Pre organizácie dotknuté NIS2 a DORA už interný audit nemôže byť formálnym kontrolným zoznamom. Musí sa stať systémom uistenia založeným na rizikách, ktorý potvrdzuje, či je rozsah ISMS správny, či kontroly fungujú v praxi, či sú regulačné požiadavky zmapované, či sa zistenia klasifikujú konzistentne a či sa nápravné opatrenia dostávajú do preskúmania manažmentom. V roku 2026 sa najsilnejšie programy nebudú pýtať iba: „Vykonali sme audit?“ Budú sa pýtať: „Vieme mesiac po mesiaci preukázať, že riadenie kybernetickej bezpečnosti, digitálna prevádzková odolnosť, bezpečnosť dodávateľov a pripravenosť na incidenty fungujú?“

Tento prístup Clarysec premieta do Zenith Blueprint: 30-kroková cestovná mapa audítora, Zenith Controls: príručka krížového súladu a súboru politík Clarysec. Cieľom nie je vytvárať samostatné projekty ISO, NIS2 a DORA. Cieľom je obohatiť ISMS tak, aby jeden program auditu vytváral opakovane použiteľné dôkazy pre viacero požiadaviek na uistenie.

Prečo sa programy interného auditu v roku 2026 musia zmeniť

NIS2 a DORA posunuli diskusiu o audite od dokumentácie k riadenej odolnosti.

NIS2 sa vzťahuje na mnohé stredné a veľké organizácie v kritických a dôležitých odvetviach vrátane digitálnej infraštruktúry, poskytovateľov cloud computingu, poskytovateľov dátových centier, poskytovateľov riadených služieb, poskytovateľov riadených bezpečnostných služieb, online trhovísk, online vyhľadávačov a platforiem sociálnych sietí. Členské štáty začali uplatňovať národné opatrenia od októbra 2024 a v roku 2026 mnohé organizácie fungujú v prvom úplnom roku zrelých očakávaní podľa NIS2.

DORA sa od 17. januára 2025 uplatňuje na široké spektrum finančných subjektov vrátane úverových inštitúcií, platobných inštitúcií, inštitúcií elektronických peňazí, investičných spoločností, poskytovateľov služieb kryptoaktív, poisťovní a zaisťovní, poskytovateľov služieb kolektívneho financovania a relevantných poskytovateľov služieb tretích strán v oblasti IKT. DORA je odvetvovo špecifický režim digitálnej prevádzkovej odolnosti pre zahrnuté finančné subjekty. Poskytovatelia IKT, ktorí obsluhujú finančné subjekty, môžu DORA pociťovať aj prostredníctvom zmlúv, práv na audit, účasti na testovaní, podpory pri incidentoch, kontrol subdodávateľov a požiadaviek na ukončenie služby.

Oba predpisy zvyšujú preukázateľnú zodpovednosť. NIS2 Article 20 vyžaduje, aby riadiace orgány schvaľovali opatrenia riadenia rizík kybernetickej bezpečnosti, vykonávali nad nimi dohľad a absolvovali školenie v oblasti kybernetickej bezpečnosti. DORA Article 5 ukladá riadiacemu orgánu konečnú zodpovednosť za riziko IKT vrátane schvaľovania stratégie digitálnej prevádzkovej odolnosti, politík IKT, dojednaní kontinuity a rizika tretích strán a dohľadu nad nimi.

ISO 27001 je pre toto prostredie vhodná, pretože ide o systém manažérstva. Vyžaduje, aby organizácia porozumela svojmu kontextu, určila zainteresované strany a požiadavky, stanovila rozsah ISMS, posudzovala a ošetrovala riziká, monitorovala výkonnosť, vykonávala interné audity a podporovala neustále zlepšovanie. Zmyslom nie je vtesnať NIS2 a DORA do rámca ISO. Zmyslom je použiť ISO 27001 ako operačný systém pre opakovateľné uistenie.

Začnite rozsahom: auditujte systém, o ktorý sa opiera predstavenstvo

Slabý program interného auditu sa začína neurčitým rozsahom, napríklad „informačná bezpečnosť“. Silný program sa začína hranicou činností organizácie a regulačnou hranicou.

ISO 27001 vyžaduje, aby rozsah ISMS zohľadňoval interné a externé otázky, požiadavky zainteresovaných strán a rozhrania alebo závislosti s inými organizáciami. Je to dôležité, pretože povinnosti podľa NIS2 a DORA sa často nachádzajú na okrajoch organizácie: cloudové platformy, outsourcovaní poskytovatelia SOC, riadená detekcia a reakcia (MDR), platobné systémy, fintech rozhrania API, spracúvanie údajov zákazníkov, zálohovacie služby a partneri pre eskaláciu incidentov.

Clarysec Politika monitorovania auditov a súladu pre MSP nastavuje základnú úroveň správy a riadenia:

Generálny riaditeľ (GM) musí schváliť ročný plán auditov.

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.1.1.

Pre väčšie prostredia Clarysec Politika monitorovania auditov a súladu zvyšuje očakávanie:

Plán auditov založený na rizikách musí byť vypracovaný a schválený každoročne, pričom sa zohľadní:

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.2.

Rozsah preto nie je iba preferenciou audítora. Je to manažmentom schválený záväzok uistenia.

Program interného auditu ISO 27001 na rok 2026 podporujúci NIS2 a DORA má zahŕňať:

• Kapitoly a procesy ISMS vrátane kontextu, vedenia, riadenia rizík, cieľov, podpory, prevádzky, hodnotenia výkonnosti a zlepšovania.
• Relevantné oblasti kontrol prílohy A normy ISO/IEC 27001:2022 vrátane vzťahov s dodávateľmi, riadenia incidentov, kontinuity činností, zákonných povinností, ochrany súkromia, logovania, monitorovania, riadenia zraniteľností, riadenia prístupu, kryptografie, bezpečného vývoja, riadenia zmien a správy a riadenia cloudových služieb.
• Regulačné vrstvy vrátane NIS2 Articles 20, 21 a 23, DORA Articles 5, 6, 8 to 14, 17 to 19, 24 to 27 a 28 to 30, ako aj požiadaviek GDPR na bezpečnosť a preukázateľnú zodpovednosť.
• Kľúčové služby a obchodné procesy, najmä kritické alebo dôležité funkcie, základné služby, platformy určené zákazníkom a systémy podporujúce regulovaných klientov.
• Závislosti od tretích strán vrátane dodávateľov IKT, cloudových poskytovateľov, outsourcovaného vývoja, SOC, MSSP, sprostredkovateľov spracúvania údajov a kritických subdodávateľov.
• Procesy vytvárajúce dôkazy vrátane posúdení rizík, revízií prístupových práv, nápravy zraniteľností, cvičení incidentov, testov obnovy záloh, preskúmaní dodávateľov, testov kontinuity a preskúmaní manažmentom.

Zenith Blueprint to posilňuje vo fáze Audit, preskúmanie a zlepšovanie, krok 25, Program interného auditu:

Rozhodnite o rozsahu svojho programu interného auditu. V konečnom dôsledku musíte v priebehu roka pokryť všetky relevantné procesy a kontroly ISMS.

Z fázy Audit, preskúmanie a zlepšovanie, krok 25: Program interného auditu.

Nemusíte auditovať všetko každý mesiac. Počas ročného cyklu by ste však mali pokryť všetky relevantné procesy a kontroly ISMS, s častejšou prácou v oblastiach s vysokým rizikom a v regulovaných oblastiach.

Vybudujte univerzum auditu okolo kontrolných tém NIS2 a DORA

NIS2 Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia. Jeho základná úroveň zahŕňa analýzu rizík, bezpečnostné politiky, riešenie incidentov, kontinuitu činností, správu záloh, obnovu po havárii, krízové riadenie, bezpečnosť dodávateľského reťazca, bezpečné obstarávanie a vývoj, spracovanie zraniteľností, posudzovanie účinnosti, kybernetickú hygienu, školenia, kryptografiu, bezpečnosť HR, riadenie prístupu, správu aktív, MFA alebo priebežnú autentifikáciu tam, kde je to vhodné, a bezpečnú komunikáciu.

DORA má podobný prevádzkový životný cyklus. Vyžaduje od finančných subjektov identifikovať a klasifikovať obchodné funkcie podporované IKT, informačné aktíva, aktíva IKT, závislosti a prepojenia s tretími stranami. Vyžaduje aj ochranu, detekciu, klasifikáciu incidentov, reakciu, obnovu, zálohovanie, obnovovanie, testovanie, poučenie po incidente, komunikáciu a riadenie rizík tretích strán v oblasti IKT.

Jednotné univerzum auditu bráni častej chybe, keď sa ISO 27001 audituje oddelene od NIS2 a DORA.

Táto štruktúra mení každú auditnú oblasť na spoločný objekt uistenia. Interný audítor testuje požiadavku ISO 27001 a následne zaznamenáva, či rovnaké dôkazy podporujú aj očakávania NIS2, DORA, GDPR, NIST CSF a COBIT 2019.

Plánujte rok podľa rizika, nie podľa dokumentov

Zenith Blueprint poskytuje tímom praktickú postupnosť, ako zmeniť audit na zlepšovanie:

• Krok 25, Program interného auditu: naplánovať rozsah, frekvenciu, nezávislosť a priority založené na rizikách.
• Krok 26, Vykonanie auditu: zhromažďovať objektívne dôkazy prostredníctvom rozhovorov, preskúmania dokumentov, pozorovania a vzorkovania.
• Krok 27, Auditné zistenia, analýza a koreňová príčina: klasifikovať zistenia a určiť koreňovú príčinu.
• Krok 28, Preskúmanie manažmentom: zahrnúť výsledky auditov, incidenty, nezhody, ciele, riziká a potreby zdrojov do preskúmania vedením.
• Krok 29, Neustále zlepšovanie: vytvárať nápravné opatrenia, ktoré odstraňujú príčiny, nielen príznaky.

Zenith Blueprint výslovne rieši nezávislosť:

V ideálnom prípade by interný audítor nemal auditovať vlastnú prácu.

Z fázy Audit, preskúmanie a zlepšovanie, krok 25: Program interného auditu.

Pre menšiu SaaS alebo fintech spoločnosť to môže znamenať požiadať manažéra z inej funkcie, aby auditoval bezpečnostné procesy, rotovať vlastníkov kontrol alebo využiť externého konzultanta. Kľúčové je zdokumentovať kompetenciu a nezávislosť, najmä ak dôkazy pre NIS2 a DORA môžu neskôr preskúmavať zákazníci, regulačné orgány, orgány dohľadu alebo externí audítori.

Politika monitorovania auditov a súladu pre MSP definuje aj minimálnu štruktúru auditu:

Každý audit musí zahŕňať definovaný rozsah, ciele, zodpovedný personál a požadované dôkazy.

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.2.3.

Praktická štvrťročná štruktúra pre rýchlo rastúceho poskytovateľa SaaS alebo IKT môže vyzerať takto:

Toto nenahrádza mesačný zber dôkazov. Dáva však roku jasný rytmus uistenia.

Vzorkovanie: koľko dôkazov stačí?

Vzorkovanie je miesto, kde sa mnohé interné audity stávajú buď príliš povrchnými, alebo príliš nákladnými. V regulovaných prostrediach IKT musí byť vzorkovanie založené na rizikách, vysvetliteľné a zdokumentované.

Zenith Blueprint, krok 26, poskytuje praktický princíp:

Vzorkujte a vykonávajte namátkové kontroly: nemôžete skontrolovať všetko, preto používajte vzorkovanie.

Z fázy Audit, preskúmanie a zlepšovanie, krok 26: Vykonanie auditu.

Podniková politika Clarysec z toho robí overiteľnú požiadavku:

Dokumentácia stratégie vzorkovania, rozsahu auditu a obmedzení

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.5.3.

Pri NIS2 a DORA má vzorkovanie zohľadniť kritickosť, riziko, význam dodávateľa, časové obdobie, históriu incidentov, geografiu a to, či vzorkovaný proces podporuje kritické alebo dôležité funkcie.

V prostrediach dotknutých DORA si dôkazy z testovania vyžadujú osobitnú pozornosť. DORA vyžaduje testovanie digitálnej prevádzkovej odolnosti pre finančné subjekty a pri vybraných subjektoch aj pokročilejšie testovanie, napríklad penetračné testovanie vedené spravodajstvom o hrozbách aspoň raz za tri roky. Vaša auditná vzorka má zahŕňať nielen správy z testov, ale aj dôkazy, že zistenia boli prioritizované, napravené a opätovne otestované.

Praktický príklad auditu: riziko tretích strán v oblasti IKT

Bezpečnosť dodávateľov je často najrýchlejší spôsob, ako odhaliť medzery medzi dokumentáciou a prevádzkovou realitou. DORA Articles 28 to 30 vyžadujú riadenie rizík tretích strán v oblasti IKT, zmluvný obsah a registre informácií. NIS2 Article 21 vyžaduje bezpečnosť dodávateľského reťazca, ktorá zohľadňuje zraniteľnosti a praktiky priamych dodávateľov.

Pre audit v Q2 Sarah vyberie vzorku piatich kritických dodávateľov, troch nových dodávateľov zavedených za posledných šesť mesiacov a dvoch dodávateľov s nedávno obnovenými zmluvami. Audítor vedie rozhovory s obstarávaním, právnym oddelením, vlastníkmi služieb a vlastníkmi bezpečnostných kontrol.

Táto tabuľka nerobí iba to, že usmerňuje zber dôkazov. Preukazuje, že organizácia premietla regulačný text do auditných kritérií zosúladených s ISO a do konkrétnych dôkazov.

Zistenia: píšte ich tak, aby manažment mohol konať

Auditné zistenie nemá znieť ako neurčitá sťažnosť. Má byť natoľko štruktúrované, aby manažment porozumel riziku, priradil vlastníctvo a schválil nápravné opatrenie.

Politika monitorovania auditov a súladu pre MSP uvádza:

Všetky auditné zistenia musia byť zdokumentované s hodnotením rizika a navrhovanými opatreniami.

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.4.1.

Podniková Politika monitorovania auditov a súladu dopĺňa disciplínu nápravných opatrení:

Všetky zistenia musia viesť k zdokumentovanému CAPA, ktoré zahŕňa:

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.1.

V Zenith Blueprint krok 27 odporúča kategorizovať zistenia ako závažné nezhody, menej závažné nezhody alebo pozorovania a následne vykonať analýzu koreňovej príčiny. Závažná nezhoda označuje vážnu medzeru alebo systémové zlyhanie. Menej závažná nezhoda je izolované zlyhanie v inak zhodnom procese. Pozorovanie je príležitosť na zlepšenie.

Silné zistenie zahŕňa:

• Požiadavku alebo očakávanie kontroly.
• Pozorovaný stav.
• Vzorkované dôkazy.
• Riziko a dopad na organizáciu.
• Regulačnú relevantnosť.
• Klasifikáciu a hodnotenie rizika.
• Koreňovú príčinu.
• Vlastníka nápravného opatrenia a termín splnenia.

Príklad zistenia:

Zistenie NC-2026-07, menej závažná nezhoda, oneskorenie preskúmania bezpečnosti dodávateľa

Požiadavka: Preskúmania bezpečnosti dodávateľov pri kritických poskytovateľoch IKT sa musia vykonávať aspoň raz ročne a podporovať kontroly dodávateľov podľa ISO 27001, očakávania NIS2 v oblasti dodávateľského reťazca a povinnosti DORA týkajúce sa rizík tretích strán v oblasti IKT.

Stav: Dvaja z dvanástich kritických dodávateľov IKT nemali do požadovaného termínu dokončené preskúmania bezpečnosti za rok 2026.

Dôkazy: Export registra dodávateľov zo dňa 15. júna 2026, evidencia preskúmaní dodávateľov, rozhovor s vedúcim obstarávania a dva chýbajúce záznamy o preskúmaní.

Riziko: Oneskorené preskúmanie dodávateľa môže zabrániť včasnej identifikácii zraniteľností, zmien v subdodávateľských vzťahoch, medzier v podpore pri incidentoch alebo zmluvného nesúladu ovplyvňujúceho kritické služby.

Koreňová príčina: Obstarávanie nebolo automaticky upozornené na blížiace sa termíny preskúmania dodávateľov a vlastníctvo dôkazov dodávateľov súvisiacich s DORA nebolo priradené.

Nápravné opatrenie: Nakonfigurovať automatizované pripomienky preskúmania, priradiť menovitých vlastníkov kontrol pre všetkých kritických dodávateľov IKT, dokončiť oneskorené preskúmania do 31. júla 2026 a vykonávať štvrťročné kontroly vzorky.

Pri analýze koreňovej príčiny je užitočná technika „5 Whys“. Ak sa vynechalo posúdenie pred uzatvorením zmluvy, skutočnou príčinou nemusí byť chyba jednotlivca. Môže ňou byť to, že pracovný tok obstarávania umožnil nízkohodnotovým zmluvám IKT obísť bezpečnostné preskúmanie, hoci očakávania DORA a NIS2 sa uplatňujú podľa rizika a závislosti, nielen podľa výdavkov.

Kalendár dôkazov na rok 2026

Kalendár dôkazov na rok 2026 mení interný audit na prevádzkový rytmus. Rozkladá tvorbu dôkazov počas roka a zabraňuje koncoročnému zhonu.

Clarysec Politika informačnej bezpečnosti očakáva preskúmanie správy a riadenia v rozsahu:

Preskúmanie kľúčových ukazovateľov výkonnosti bezpečnosti (KPI), incidentov, auditných zistení a stavu rizík

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.3.2.

Dôkazy sa nezhromažďujú iba pre audítorov. Vstupujú do rozhodnutí o riziku, rozpočte, zdrojoch, dodávateľoch, nástrojoch, školení a nápravných opatreniach.

Tento kalendár dáva výboru pre audit plán uistenia orientovaný dopredu a vlastníkom kontrol poskytuje čas vytvárať dôkazy v rámci bežnej prevádzky.

Chrbtica ISO 27002:2022: 5.31, 5.35 a 5.36

Zenith Controls je príručka krížového súladu od Clarysec. Mapuje oblasti kontrol ISO/IEC 27001:2022 a ISO/IEC 27002:2022 na iné normy, predpisy, auditné očakávania a vzory dôkazov. Je osobitne užitočná pri prepájaní interného preskúmania, zákonných povinností a dodržiavania politík.

Tri oblasti kontrol ISO/IEC 27002:2022 tvoria chrbticu jednotného programu interného auditu:

Kontrola 5.35 je základným kameňom uistenia, pretože overuje, či je ISMS nezávisle preskúmavaný. Kontrola 5.36 potvrdzuje, že politiky nie sú iba schválené, ale aj skutočne dodržiavané. Kontrola 5.31 prepája ISMS s právnymi, regulačnými a zmluvnými povinnosťami vrátane NIS2, DORA, GDPR a bezpečnostných požiadaviek zákazníkov.

Mapovanie krížového súladu: jeden audit, viacero pohľadov uistenia

Zrelý pracovný dokument interného auditu má výslovne ukázať, ako jedna dôkazová položka podporuje viacero očakávaní uistenia.

Toto umožňuje CISO povedať predstavenstvu: „Náš júlový audit incidentov vytvoril dôkazy pre ISO 27001, NIS2, zákaznícke uistenie DORA, pripravenosť na porušenie ochrany údajov podľa GDPR, výsledky reakcie podľa NIST CSF a správu incidentov podľa COBIT.“

Preskúmanie manažmentom: kde sa audit mení na preukázateľnú zodpovednosť

Interný audit má malú hodnotu, ak sa zistenia nedostanú k manažmentu. Preskúmanie manažmentom podľa ISO 27001 poskytuje mechanizmus a NIS2 a DORA robia očakávanie správy a riadenia výslovným.

Politika monitorovania auditov a súladu pre MSP vyžaduje:

Auditné zistenia a aktualizácie stavu musia byť zahrnuté do procesu preskúmania ISMS manažmentom.

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.4.3.

Uvádza tiež:

GM musí schváliť plán nápravných opatrení a sledovať jeho implementáciu.

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.4.2.

Preskúmanie manažmentom má odpovedať na tieto otázky:

• Sú povinnosti podľa NIS2, DORA, GDPR a zmlúv stále správne premietnuté do rozsahu ISMS?
• Auditujú sa vysoko rizikové kontroly dostatočne často?
• Ktoré zistenia naznačujú systémovú slabinu, nie izolovanú chybu?
• Sú nápravné opatrenia po lehote?
• Akceptujú vlastníci rizík zvyškové riziko vedome?
• Majú dodávatelia, nahlasovanie incidentov, kontinuita a testovanie primerané zdroje?
• Naznačujú auditné trendy potrebu zmien politík, nástrojov, rozpočtu alebo školení?

Ak tieto odpovede nie sú zdokumentované, organizácia môže mať dôkazy o aktivite, ale nie dôkazy o správe a riadení.

Bežné chyby, ktorým sa v roku 2026 treba vyhnúť

Najčastejším zlyhaním je zaobchádzať s interným auditom ISO 27001 ako s niečím oddeleným od regulačného uistenia. Vzniká tak duplicita a slepé miesta.

Medzi ďalšie chyby patria:

• Rozsah vylučuje kritických dodávateľov, cloudové platformy alebo outsourcované služby SOC.
• Uplatniteľnosť NIS2 alebo DORA nie je zdokumentovaná v právnom registri.
• Plán auditov nie je schválený manažmentom.
• Vzorkovanie sa vykonáva, ale nie je zdokumentované.
• Interní audítori preskúmavajú vlastnú prácu bez zmierňujúceho opatrenia.
• Zistenia opisujú príznaky, nie koreňové príčiny.
• Nápravné opatrenia aktualizujú dokumenty, ale neopravujú procesy.
• Preskúmanie manažmentom prijíma výsledky auditu, ale neprijíma rozhodnutia.
• Cvičenia incidentov testujú technickú reakciu, ale nie regulačnú notifikáciu.
• Audity dodávateľov preskúmavajú dotazníky, ale nie zmluvy, plány ukončenia ani riziko koncentrácie.
• Dôkazy o zálohovaní ukazujú úspešné úlohy, ale nie integritu obnovy.
• Revízie prístupových práv sa vykonávajú, ale výnimky sa nesledujú až do uzavretia.

Každá chyba sa môže stať menej závažnou alebo závažnou nezhodou podľa závažnosti a systémového dopadu. Dôležitejšie je, že každá oslabuje schopnosť organizácie preukázať odolnosť podľa NIS2, DORA a pri zákazníckej kontrole.

Zmeňte svoj plán auditov na rok 2026 na mechanizmus tvorby dôkazov

Ak je váš program interného auditu stále jednou ročnou udalosťou, teraz je čas ho prepracovať.

Začnite plánom auditov schváleným manažmentom. Definujte rozsah ISMS podľa skutočných služieb, regulovaných povinností a závislostí od tretích strán. Vybudujte univerzum auditu založené na rizikách. Zdokumentujte vzorkovanie. Klasifikujte zistenia konzistentne. Používajte analýzu koreňovej príčiny. Sledujte CAPA. Vkladajte výsledky do preskúmania manažmentom. Udržiavajte mesačný kalendár dôkazov.

Clarysec vám môže pomôcť napredovať rýchlejšie pomocou:

• Zenith Blueprint: 30-kroková cestovná mapa audítora pre plánovanie auditu, vykonanie, zistenia, preskúmanie manažmentom a neustále zlepšovanie.
• Zenith Controls: príručka krížového súladu na mapovanie uistenia podľa ISO 27001 na očakávania NIS2, DORA, GDPR, NIST CSF a COBIT.
• Politika monitorovania auditov a súladu a Politika monitorovania auditov a súladu pre MSP pre plánovanie auditov a riadenie zistení pripravené na správu a riadenie.
• Politika informačnej bezpečnosti pre preskúmanie KPI, incidentov, auditných zistení a stavu rizík na úrovni manažmentu.

Vyberte jednu oblasť s vysokým rizikom, napríklad nahlasovanie incidentov alebo správu a riadenie dodávateľov IKT, a vykonajte zameraný interný audit s využitím štruktúry rozsahu, vzorkovania a zistení od Clarysec. Počas jedného cyklu budete vedieť, či sú vaše dôkazy pripravené na audit, či vaše kontroly fungujú a či má váš riadiaci orgán informácie potrebné na riadenie kybernetického rizika.