Răspunsul cel mai scurt: nu înseamnă bife puse în diferite liste de verificare și documente/raport pentru a trece de controlul (formalismul) DNSC, raport în care se scrie că dacă ”X nu există” atunci ”copy-paste din Ordinul 1323”.

Auditul impus de DNSC (audit de conformitate) este o cerință legală dar este și instrumentul prin care OSE verifică dacă controalele de securitate (cerințele minime de securitate) sînt implementate și își îndeplinesc scopurile și obiectivele asumate.

Pentru a exprima o opinie, auditorul se bazează pe probe iar probele se obțin prin:

1. Examinare: politici, proceduri, instrucțiuni de lucru, cerințe din bune practici sau de la producător, mecanisme, observarea directă a unui proces/activitate
2. Interviuri cu persoanele responsabile de executarea unei activități sau managementului unui proces (o discuție cu managementul relevă măsura în care CISO este sprjinit; poți să întrebi reprezentantul HR despre instruirea și conștientizarea anagajaților sau mai bine intervievezi direct un angajat?)
3. Testarea prin care se asigură că rezultatul unui proces este cel declarat (de exemplu că patch-urile chiar se aplică conform procedurii asumate; sau conturile chiar sînt revizuite anual; sau că nu se folosesc suporți de memorare neautorizați), adică eficiența controlului/măsurii de securitate.

(Notă: Mai există și alte proceduri de audit dar nu se aplică în cazul acestui tip de audit)

Despre punctul 3 fac o mențiune: chiar dacă testarea de penetrare este o cerință de securitate cerută OSE, astăzi foarte puține misiuni de audit de securitate ar trebui să fie făcute fără testarea tehnică a unor controale. Și nu, testarea de penetrare nu este scanare de vulnerabilități!

Simpla verificare a existenței unui document dintre cele cerute de Ordinul 1323/2020 nu înseamnă nici audit și nici conformitate.