Bezpečnostní audit — co to je a jaké typy existují
Kontrola bezpečnostního stavu organizace třetí stranou. Různé typy podle hloubky a cíle.
Co to je
Bezpečnostní audit je systematická kontrola bezpečnostního stavu informačního systému, procesu nebo organizace prováděná zpravidla externí stranou. Typy auditů: (1) Compliance audit — soulad se standardem (ISO 27001, GDPR, NIS2), (2) Gap analýza — porovnání aktuálního stavu vůči cílovému frameworku, (3) Penetrační test — pokus o průlom do systémů, (4) Vulnerability assessment — sken zranitelností, (5) Code audit — revize zdrojového kódu, (6) Process audit — kontrola procesů (incident response, change management).
Proč to záleží
Audit dá nezávislý pohled, který interní tým typicky nemá kapacitu ani perspektivu provést. Pravidelný audit (1× ročně pro běžné SMB, častěji pro regulované sektory) odhalí problémy dřív, než to udělá incident. Důležité rozlišení: audit ≠ penetrační test (i když pentest je jeden typ auditu) — pro kompletní pokrytí potřebuješ kombinaci typů. Cena: gap analýza 30-100k Kč, plný compliance audit 200k-1M Kč podle rozsahu.
Podobná témata
- Penetrační test (pentest) — kontrolovaný pokus o průlomEtičtí hackeři se pokusí prolomit tvé systémy, aby zjistili, co dokáže reálný útočník.
- ISO 27001 — standard pro správu informační bezpečnostiMezinárodní standard pro systém řízení informační bezpečnosti (ISMS). Často požadovaný v B2B.
- ISO 27002 — katalog bezpečnostních kontrolSibling 27001 — katalog 93 bezpečnostních kontrol, ze kterých si vybíráš relevantní pro firmu.
Najdeš chybu nebo máš dotaz? Napiš nám.