Bezpečnostní audit

V současné době už není bezpečnost informací pouze teoretickým a hypotetickým problémem se kterým se potýkají např. organizace pracujících s tajnými nebo citlivými informacemi. Bezpečnosti informací se stává integrální součástí strategie každé organizace, která si uvědomuje důležitost a cenu svých informací. Logickým krokem, kterým je vhodné zahájit řešení bezpečnosti informací v organizaci je realizace bezpečnostního auditu.
 

Bezpečnostní audit je posouzení souladu skutečného stavu bezpečnosti informací v organizaci s pravidly definovanými zvolenou metrikou. Touto metrikou může být bezpečnostní politika organizace, relevantní bezpečnostní standardy (normy ČSN, mezinárodní ISO/IEC), nebo průnik obou.
 

Výsledkem bezpečnostního auditu organizace je auditní zpráva dokumentující aktuální stav bezpečnosti informací v organizaci. Obsahuje informace o míře a efektivnosti dodržování bezpečnostních opatření a mechanismů definovaných managementem, cílem kterých je ochrana informačních aktiv organizace. Auditní zpráva je často jedním ze strategických materiálů, na základě kterého zpravidla management přijímá strategická rozhodnutí v oblasti řízení bezpečnosti informací v organizaci.
 

Cíle a přínosy bezpečnostního auditů:

  • zjištění aktuálního stavu bezpečnosti informací v organizaci,
  • posouzení souladu skutečného stavu bezpečnosti informací s pravidly definovanými metrikami,
  • identifikace hlavních nedostatků a rizikových faktorů,
  • úvodní krok k „nastartování“ procesu komplexního řešení bezpečnosti.

 

Bezpečnostní audit je možno provést v různé šíři a záběru dle konkrétních potřeb zákazníka. Předmětem bezpečnostního auditu může být celá organizace nebo pouze její vybraná část (úsek, oddělení), auditována může být počítačová síť organizace (jako celek, nebo její vybraný segment), předmětem auditu může být IS organizace. Optimální vymezení rozsahu bezpečnostního auditu by ale v každém případě mělo odrážet hodnotu informačních aktiv organizace.
Pro získání komplexního a celkového obrazu o aktuálním stavu bezpečnosti informací v organizaci je vhodné a účelné kromě bezpečnostního audit provést i rizikovou analýzu a penetrační testy.