Full Compliance – audit-ready systém řízení kybernetické bezpečnosti (NIS2)
Full Compliance je úroveň, ve které se kybernetická bezpečnost mění z jednotlivých opatření na ucelený, audit-ready systém řízení podle NIS2.
Pomáhá organizacím jasně vymezit rozsah řízení, role, aktiva a rizika tak, aby byly obhajitelné při kontrole. Důraz je kladen na rozhodování vedení, přiměřenost opatření a dokumentaci, o kterou se lze opřít. Výsledkem není formální compliance, ale funkční systém řízení kybernetické bezpečnosti odpovídající realitě organizace. Full Compliance vytváří pevný základ pro dlouhodobý provoz a strategické řízení kybernetické bezpečnosti.
Popis kurzu:
Jakmile organizace vyřeší osvětu (Awareness) a role (Role Ready), přichází zásadní otázka: „Je to celé obhajitelné při kontrole?“
Full Compliance je úroveň, ve které se kybernetická bezpečnost mění z dílčích opatření na ucelený, audit-ready systém řízení, jak ho vyžaduje NIS2 a související regulace. Nejde o formální dokumentaci. Jde o rozhodnutí, odpovědnosti a řízení rizik, které dávají smysl i v praxi.
Komu je kurz určen:
- organizace 300+ zaměstnanců
- regulované nebo vysoce exponované subjekty
- firmy, kde existuje CISO / manažer kybernetické bezpečnosti, vedení požaduje jistotu a klid, hrozí kontrola, audit nebo tlak pojišťoven
Obsah kurzu:
Jaký problém Full Compliance řeší
Typický stav před Full Compliance
- nejasný nebo příliš široký rozsah řízení KB
- dokumentace vytvořená „aby byla“
- rizika bez jasného vlastníka
- nejistota při otázkách typu „Proč je to takhle?“, „Kdo to schválil?“
Riziko
- neobhajitelnost při kontrole
- zbytečné náklady na over-compliance
- osobní odpovědnost vedení
Co Full Compliance dodává
1. Stanovení rozsahu řízení kybernetické bezpečnosti
- jasné vymezení primárních aktiv a podpůrných aktiv
- rozsah je přiměřený, zdůvodněný, obhajitelný
Rozsah je základ všech dalších povinností.
2. Řízení aktiv a odpovědností
- identifikace aktiv v rozsahu
- určení garantů aktiv
- jasné vymezení kdo rozhoduje a kdo nese odpovědnost
- odstranění „bezejmenných“ rizik
3. Řízení rizik a bezpečnostních opatření
- identifikace relevantních rizik
- hodnocení dopadů a pravděpodobnosti rozhodnutí
- přehledné Prohlášení o aplikovatelnosti (SoA)
4. Výbor pro řízení kybernetické bezpečnosti
- jasné vymezení role vedení
- nastavení: složení výboru, agendy, rozhodovacích pravomocí
- pravidelný reporting
Výbor zajišťuje, že kybernetická bezpečnost je řízena, ne delegována naslepo.
5. Audit-ready konsolidovaný výstup
Na konci vzniká:
- ucelený přehled rozsahu aktiv, rizik, rozhodnutí
- dokumentace je použitelná při kontrole, auditu, jednání s vedením
Materiály:
Co obdrží CISO za podklady
- audit-ready systém řízení KB
- obhajitelná rozhodnutí místo domněnek
- jasnou oporu při kontrole
- silnou pozici vůči vedení
- základ pro dlouhodobý provoz
Související kurzy:
Předcházející kurzy
Následné kurzy
