Audyt i Zgodność

Praca nad zgodnością nie polega na szybkim odznaczaniu pozycji, by zadowolić audytora. Wykonana prawidłowo, mapuje wymagania danego frameworka na sposób działania Twojej organizacji, identyfikuje luki, które mają znaczenie, i tworzy dokumentację odzwierciedlającą rzeczywistość — nie wyobrażenia o tym, co powinno być prawdą w momencie pisania. Różnica widoczna jest w chwili, gdy regulator lub zespół zamówień klienta przekroczy stronę tytułową.

Współpracuję z organizacjami poruszającymi się w obszarze NIS2, polskiego KSC (Krajowego Systemu Cyberbezpieczeństwa) oraz ISO 27001 — zarówno w zakresie wdrożeń początkowych, jak i okresowych przeglądów. Oznacza to oceny luk w stosunku do odpowiedniego zestawu kontroli, decyzje dotyczące postępowania z ryzykiem oparte na rzeczywistym krajobrazie zagrożeń oraz kompletny pakiet dokumentacyjny: polityki, procedury, rejestry ryzyk, inwentaryzacje zasobów i dowody wspierające audyt. Żaden dokument nie jest oparty na szablonach z podmienioną nazwą — wszystko jest pisane pod Twoje środowisko, a nie hipotetyczne.

Dla organizacji objętych obowiązkami NIS2 lub KSC zegar regulacyjny jest realny. Mogę pomóc Ci zrozumieć, gdzie stoisz w stosunku do wymagań dyrektywy, priorytetyzować kontrole, które w pierwszej kolejności redukują największe narażenie, oraz tworzyć dokumentację reagowania na incydenty i bezpieczeństwa łańcucha dostaw, na którą regulatorzy szczególnie zwracają uwagę. Jeśli przeszedłeś już audyt i otrzymałeś ustalenia, mogę pracować bezpośrednio na ich podstawie.

Zaangażowania są dopasowywane do tego, czego faktycznie potrzebujesz. Niektórzy klienci chcą kompleksowego wsparcia implementacyjnego; inni mają wewnętrzny zespół, który potrzebuje oceny luk i przeglądu dokumentacji, by dobiec do mety. W każdym przypadku wynikiem jest coś, z czego możesz skorzystać — nie raport na sto stron, który trafi do szuflady, podczas gdy prawdziwe problemy pozostają nierozwiązane. Jeśli nie wiesz jeszcze, jak się czujesz, ta rozmowa nic nie kosztuje.