Procedura Audytu i Zarządzania Zgodnością
Plan audytów, KPI bezpieczeństwa, deklaracja stosowania i raportowanie do zarządu
1. Cel i Zakres
Procedura zapewnia systematyczną ocenę skuteczności SZBI, zgodności z wymaganiami KSC/NIS2 oraz identyfikację obszarów wymagających poprawy. Wyniki audytów są raportowane zarządowi i stanowią podstawę ciągłego doskonalenia.
2. Roczny Plan Audytów SZBI
Wymaganie – audyt wewnętrzny minimum raz w roku (NIS2/KSC)
| Typ audytu | Zakres | Częstotliwość | Wykonawca | Termin |
|---|---|---|---|---|
| Audyt wewnętrzny SZBI | Zgodność z DOC-001 do DOC-021, wymaganiami KSC | ▸ raz w rokumin. 1×/rok – KSC | ▸ [Audytor wewnętrzny / zewnętrzna firma audytorska] | ▸ [np. Q4 każdego roku] |
| Przegląd zarządzania SZBI | Wyniki audytów, KPI, ryzyka, incydenty | ▸ raz w rokumin. 1×/rok – ISO 27001 | ▸ Zarząd + CISO | ▸ [np. Q1 po raporcie rocznym] |
| Audyt KSC (organ nadzorczy) | Wg zakresu wskazanego przez organ | Na żądanie organu (KNF / UKNF / MC) | ▸ Organ nadzorczy | Na wezwanie |
| Przegląd zgodności RODO | Rejestr czynności przetwarzania, naruszenia | ▸ raz w roku | ▸ DPO / zewnętrzny doradca | ▸ |
3. Wskaźniki KPI Bezpieczeństwa
Organizacja mierzy i raportuje do zarządu następujące wskaźniki efektywności bezpieczeństwa:
| KPI | Opis | Cel | Częstotliwość pomiaru |
|---|---|---|---|
| Liczba incydentów P1/P2 | Poważne i wysokie incydenty cyberbezpieczeństwa | ▸ Trend malejącyrok do roku | Miesięcznie |
| MTTR (Mean Time To Respond) | Średni czas reakcji na incydent P1 | ▸ [< 2h]zgodnie z DOC-005 | Po każdym incydencie |
| Compliance rate – patchowanie krytyczne | % podatności krytycznych patchowanych w SLA (72h) | ▸ [100%]min. 95% | Miesięcznie |
| Pokrycie MFA – konta uprzywilejowane | % kont admin z aktywnym MFA | ▸ 100% | Miesięcznie |
| Wynik symulacji phishingu (click rate) | % pracowników klikających w phishing link | ▸ [< 5%]cel <10% | Po każdej kampanii |
| Pokrycie szkoleń (zarząd) | % członków zarządu, którzy odbyli szkolenie w roku | ▸ 100% | Rocznie |
| Pokrycie szkoleń (pracownicy) | % pracowników z aktualnym szkoleniem | ▸ [> 95%]min. 90% | Kwartalnie |
| Czas odtworzenia backupu (DRP test) | Czy odtworzenie systemu krytycznego mieści się w RTO | ▸ RTO dotrzymane (wg DOC-011) | Po każdym teście DRP |
| Liczba otwartych ryzyk krytycznych (R≥17) | Ryzyka bez planu postępowania | ▸ 0 | Miesięcznie |
| Uptime systemów kluczowych | Dostępność usług kluczowych (SLA) | ▸ [> 99,5%]wg wymogów KSC/sektora | Miesięcznie |
4. Raport Bezpieczeństwa dla Zarządu
CISO przygotowuje cykliczny Raport Bezpieczeństwa dla zarządu:
Wymaganie – raportowanie do zarządu minimum raz w roku (zalecane kwartalnie)
| Częstotliwość | Zawartość raportu | Adresaci |
|---|---|---|
| ▸ [co kwartał]min. 1×/rok | KPI, liczba incydentów, status otwartych ryzyk, postęp wdrożenia SZBI, zmiany w krajobrazie zagrożeń | ▸ Zarząd / CEO |
| Rocznie | Pełny przegląd SZBI, wyniki audytu, plan na kolejny rok, budżet bezpieczeństwa | ▸ Zarząd + Rada Nadzorcza (jeśli dotyczy) |
5. Deklaracja Stosowania (Statement of Applicability – SoA)
Organizacja prowadzi Deklarację Stosowania potwierdzającą, które kontrole bezpieczeństwa są wdrożone, w jakim zakresie i jakie są uzasadnienia dla wyłączeń.
⚠ Krytyczne – SoA wymagana dla organizacji certyfikowanych ISO 27001 i zalecaną dla KSC
| Obszar kontroli (ISO 27001:2022 / NIS2) | Status wdrożenia | Dokument | Uzasadnienie wyłączenia (jeśli N/D) |
|---|---|---|---|
| Polityka bezpieczeństwa informacji (A.5.1) | ▸ [Wdrożone / Planowane / N/D] | DOC-001 | ▸ |
| Zarządzanie ryzykiem (A.5.3) | ▸ | DOC-002, DOC-003 | ▸ |
| Zarządzanie incydentami (A.5.24–26) | ▸ | DOC-005, DOC-006, DOC-007 | ▸ |
| Kontrola dostępu (A.5.15–18, A.8.2–5) | ▸ | DOC-008 | ▸ |
| Kryptografia (A.8.24) | ▸ | DOC-009 | ▸ |
| Klasyfikacja informacji (A.5.9–14) | ▸ | DOC-010 | ▸ |
| Ciągłość działania (A.5.29–30) | ▸ | DOC-011, DOC-012 | ▸ |
| Bezpieczeństwo łańcucha dostaw (A.5.19–23) | ▸ | DOC-015 | ▸ |
| Bezpieczeństwo HR (A.6.1–5) | ▸ | DOC-016, DOC-017 | ▸ |
| Bezpieczeństwo fizyczne (A.7.1–14) | ▸ | DOC-018 | ▸ |
| Bezpieczeństwo sieci (A.8.20–23) | ▸ | DOC-019 | ▸ |
| Zarządzanie zmianami i podatnościami (A.8.8, 8.32) | ▸ | DOC-013, DOC-014 | ▸ |
6. Historia Zmian
| Wersja | Data | Autor | Opis | Zatwierdził |
|---|---|---|---|---|
| ▸ 1.0 | ▸ | ▸ | ▸ Pierwsze wydanie | ▸ Zarząd |
DOC-021 Procedura Audytu i Zgodności | v1.0 | NIS2/KSC