Audit kybernetické bezpečnosti
Oblast kybernetické bezpečnosti je v České republice regulována zákonem č. 181/2014 Sb. a jeho prováděcími vyhláškami. Povinné osoby mají podle § 4 tohoto zákona povinnost zavést a provádět bezpečnostní opatření pro zajištění kybernetické bezpečnosti. Obsah a rozsah opatření stanovuje Národní úřad pro kybernetickou a informační bezpečnost vyhláškou 82/2018 Sb., která od 28.května 2018 nahrazuje vyhlášku 316/2014 Sb.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (VoKB, vyhláška o kybernetické bezpečnosti) upravuje:
- obsah a strukturu bezpečnostní dokumentace,
- obsah a rozsah bezpečnostních opatření,
- typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů,
- náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,
- náležitosti oznámení o provedení reaktivního opatření a jeho výsledku,
- vzor oznámení kontaktních údajů a jeho formu a
- způsob likvidace dat, provozních údajů, informací a jejich kopií.
Systém řízení informační bezpečnosti neboli ISMS (Information Security Management System) je součástí organizačních opatření, které je uvedeno ve VoKB v § 3 této vyhlášky. Systém je založen na přístupu k řízení rizik a při tom se využívají principy Demingova modelu PDCA.