V rámci auditu kontrolujeme plnění povinností, vedení záznamů a veškeré další činnosti, které musí objednatel zajistit dle zákona č. 412/2005 Sb. v platném znění a vyhlášek NBÚ. Audit je rozdělen do těchto částí:
1) Průmyslová bezpečnost – prověření veškeré evidence a dokumentace týkající se této oblasti, zejména bezpečnostní dokumentace podnikatele, spis podnikatele, uložení kopie dotazníku a příloh, hlášení změn, dodržování jednotlivých forem přístupu k utajovaným informacím, jmenování bezpečnostního ředitele, pověření odpovědné osoby, splnění podmínek jejich přístupu k utajovaným informacím, vedení seznamu funkcí, kde je nutné se seznamovat s utajovanými informacemi, plány kontrol a jejich plnění, provádění kontrol požadovaných platnými právními předpisy, záznamy o prováděných kontrolách, oznamovací povinnosti vůči NBÚ a jejich realizace, přehled funkcí a míst, u kterých se předpokládá přístup k utajovaným informacím, schválení seznamu bezpečnostním ředitelem, jeho aktualizace, seznam zaměstnanců s přístupem k utajovaným informacím apod.
2) Personální bezpečnost – prověření spisů jednotlivých zaměstnanců oprávněných pro přístup k utajovaným informacím, způsob jejich vedení, kontrola dokumentů zakládaných do spisů, vedení evidence zaměstnanců, kteří obdrželi oznámení o splnění podmínek pro přístup k utajovaným informacím stupně utajení “Vyhrazené” a zaměstnanců, kteří vlastní osvědčení od NBÚ, způsob ukončování platnosti oznámení pro stupeň utajení Vyhrazené, záznamy o poučení (určení) těchto pracovníků, bezpečnostního ředitele a odpovědné osoby, plánování vzdělávání těchto pracovníků, záznamy o jejich proškolení, přehled funkcí a pracovních míst, u kterých se předpokládá přístup k utajovaným informacím, evidence osob s přístupem k utajovaným informacím, kontrola ukončování platnosti oznámení v souladu s legislativními požadavky, oznamování ukončení pracovního poměru osob s přístupem na NBÚ, ověřování splnění podmínek pro přístup k UI, oznamovací povinnosti fyzických osob vlastnících oznámení nebo osvědčení, zakládání podkladů do spisu (složek) osob, obsahové náležitosti spisů (složek) a zda neodporují novým požadavkům GDPR, archivace spisů (složek), jejich skartace apod.
3) Administrativní bezpečnost – kontrola administrativní směrnice, prověření vedení jednotlivých administrativních pomůcek (jednací protokol(-y), manipulační knihy pracovníků, doručovací knihy, zápůjční knihy, poznámkové sešity, sběrné archy, kontrolní listy) a jejich evidence, autentizace, správnost zapisovaných údajů, kontrola záznamů v jednotlivých knihách, kontrola předávání utajovaných dokumentů proti podpisu, způsoby manipulace s utajovanými informacemi, jejich ukládání do úschovného objektu, stvrzenky o převzetí utajovaných dokumentů, prověření přenosné schránky k přenášení utajovaných dokumentů, vedení záznamů do administrativních pomůcek, komisionální předání administrativních pomůcek v případě personálních změn, archivace administrativních pomůcek a jejich vyřazování, záznamy o těchto činnostech apod.
4) Fyzická bezpečnost – kontrola projektu fyzické bezpečnosti a jeho příloh, prověření způsobu zabezpečení jednotlivých zabezpečených oblastí technickými prostředky, prověření jednotlivých režimů a způsobu provádění ostrahy, záznamy o ověření zda bezpečnostní opatření odpovídají projektu fyzické bezpečnosti a platné legislativě, záznamy o každoročním posouzení analýzy rizik a přijatých opatření k jejich minimalizaci, zakládání certifikátů od jednotlivých technických prostředků instalovaných k zabezpečení objektu a zabezpečené oblasti, evidence a zakládání provozních dokumentů, ověřování funkčnosti jednotlivých technických prostředků – provádění povinných funkčních zkoušek a záznamů o jejich provedení, plánování funkčních zkoušek, kontrola vedení knihy návštěv zabezpečené oblasti a objektu, evidence přidělení klíčů a identifikačních prvků od dveří zabezpečené oblasti a úschovného objektu, faktická obhlídka zabezpečených oblastí apod.
5) Bezpečnost IS – prověření vedení manuální evidence IS (provozní deníky, evidence médií, antivirových testů, obnovy a zálohy dat apod.), schválení IS do provozu odpovědnou osobou nebo bezpečnostním ředitelem, dodržování režimů uvedených v dokumentaci, forma a způsob manipulace s médii a jejich evidence (provozní média a média využívaná pro ukládání utajovaných informací), proškolování uživatelů a bezpečnostního správce v oblasti IS, zálohování logů, porovnání skutečnosti s certifikační zprávou NBÚ (NÚKIB) apod.