Raport Audytu DORA ICT – Podsumowanie
Prezentujemy kompleksowy przegląd raportu. Podkreślamy kluczowe elementy audytu oraz znaczenie zgodności z normami ISO dla efektywnego zarządzania ryzykiem. Działania prowadzimy zgodnie z Raport Audytu DORA ICT.
Raport Audytu DORA ICT – Kompleksowy przegląd kluczowych wskaźników
Raport Audytu DORA ICT prezentuje najważniejsze dane. Ponadto zapewnia analizę kluczowych wskaźników efektywności i rezultatów, dzięki czemu ułatwia interpretację wyników.
128
Metryka pierwsza
Przedstawiamy istotną pierwszą metrykę. Pozwala ona lepiej zrozumieć jej znaczenie w kontekście audytu.
215
Metryka druga
Prezentujemy kolejną ważną miarę wydajności. Metryka ta jednocześnie wskazuje jej wpływ na ocenę zgodności.
329
Metryka trzecia
Aakcentujemy kluczową trzecią metrykę wyników. Metryka ta stanowi istotny element całościowej analizy.
437
Metryka czwarta
Tekst szczegółowo omawia czwartą znaczącą statystykę. Metryka ta ponadto uzupełnia wcześniejsze dane liczbowe.
Raport Audytu DORA ICT – zapoznaj się, aby lepiej zrozumieć wymagania, a także zakres audytu.
Raport Audytu DORA ICT zawiera tabelaryczny wzór raportu audytu DORA, który wspiera ocenę zgodności z normami ISO, a jednocześnie usprawnia zarządzanie ryzykiem.
Wprowadzenie do DORA, które wyjaśnia kontekst regulacyjny, a także pokazuje, dlaczego rozporządzenie to ma kluczowe znaczenie dla instytucji finansowych oraz ich dostawców ICT.
Przegląd kluczowych wymagań i standardów normy DORA jest niezbędny do skutecznego audytu, dlatego został przedstawiony w uporządkowany i praktyczny sposób.
Ocena zgodności
Analiza wyników audytu obejmuje identyfikację ryzyk oraz obszarów do poprawy, a dzięki temu umożliwia planowanie działań korygujących.
Zarządzanie ryzykiem
Metodyka wdrażania i monitoringu działań korygujących w ramach audytu DORA została opisana tak, aby jednocześnie wspierać zgodność i ciągłe doskonalenie.
Jak działa Raport Audytu DORA, czyli w jaki sposób poszczególne etapy łączą się ze sobą, a także jak razem tworzą spójny proces audytowy.
Prezentujemy szczegółowy przewodnik, który pozwala efektywnie przeprowadzić audyt, a jednocześnie ułatwia ocenę zgodności z normami ISO.
Krok pierwszy: Przygotowanie audytu, w którym najpierw określa się zakres, a następnie gromadzi niezbędne dane, aby cały proces był spójny i efektywny.
Nasza metoda została opracowana, aby precyzyjnie spełniać wymogi Twojej organizacji, dlatego jest elastyczna i praktyczna.
Krok drugi: Analiza i ocena, ponieważ na tym etapie dane są porównywane z wymaganiami, a w rezultacie identyfikowane są kluczowe ryzyka.
Oferujemy indywidualne narzędzia wspierające skuteczne zarządzanie ryzykiem, a ponadto dostosowane do specyfiki organizacji.
Krok trzeci: Raportowanie i wdrożenie, dlatego że wnioski z audytu są przekładane na konkretne rekomendacje, a następnie wdrażane w praktyce.
Zapewniamy kompleksowy raport, który pomaga optymalizować działania zgodności, dlatego stanowi realne wsparcie decyzyjne.
Wersjatabelaryczna szablonu raportu z audytu dostawcy ICT według DORA – specjalnie dostosowana do dostawców .
| Pole | Opis / Do wypełnienia |
| Nazwa audytu | |
| Nazwa dostawcy ICT | |
| Podmiot nadzorowany (FE) | |
| Data audytu | |
| Zespół audytowy | |
| Zakres audytu | |
| Podstawa prawna | DORA (UE 2022/2554), art. 28–30 |
| Metodologia | Przegląd dokumentacji / wywiady / testy / analiza ryzyka |
Streszczenie kierownicze
| Pole | Opis / Do wypełnienia |
| Cel audytu | |
| Najważniejsze ustalenia | |
| Kluczowe niezgodności | |
| Najważniejsze ryzyka | |
| Ogólna ocena dostawcy | niskie / średnie / wysokie |
| Rekomendacja | kontynuować / warunkowo / wstrzymać |
Wyniki audytu – tabela główna (zgodna z DORA)
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena (Z/CZ/NZ) | Ryzyko (N/Ś/W) | Rekomendacje |
| System zarządzania ryzykiem ICT | |||||
| Rejestr ryzyk ICT | |||||
| Proces oceny ryzyka | |||||
| Struktura odpowiedzialności | |||||
| Rola CISO | |||||
| Nadzór nad podwykonawcami |
Bezpieczeństwo informacji
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje | Uwagi |
| Polityki bezpieczeństwa | ||||||
| Szkolenia bezpieczeństwa | ||||||
| IAM – MFA | ||||||
| IAM – nadawanie/odbieranie uprawnień | ||||||
| IAM – przeglądy uprawnień | ||||||
| Szyfrowanie danych | ||||||
| Zarządzanie kluczami | ||||||
| Backupy i retencja | ||||||
| Testy penetracyjne | ||||||
| Audyty bezpieczeństwa |
Zarządzanie incydentami ICT
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje | Uwagi |
| Procedura zarządzania incydentami | ||||||
| Klasyfikacja incydentów | ||||||
| Czas reakcji | ||||||
| Raportowanie incydentów (zgodność z DORA) | ||||||
| Historia incydentów | ||||||
| Eskalacja i komunikacja |
Ciągłość działania i odporność operacyjna
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| BCP – kompletność | |||||
| DRP – kompletność | |||||
| Testy BCP/DRP | |||||
| RTO/RPO | |||||
| Redundancja infrastruktury | |||||
| Mechanizmy failover | |||||
| Testy odporności (DORA) |
Zarządzanie podwykonawcami (sub-outsourcing)
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| Prawo audytu FE | |||||
| Prawo audytu regulatorów | |||||
| SLA – mierzalność | |||||
| SLA – kary umowne | |||||
| Incydenty – czasy reakcji | |||||
| Incydenty – raportowanie | |||||
| Exit plan – migracja danych | |||||
| Exit plan – format danych | |||||
| Exit plan – okres wsparcia |
Zgodność umów z DORA (art. 30)
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| Lista podwykonawców | |||||
| Zakres powierzonych usług | |||||
| Lokalizacja danych | |||||
| Ocena ryzyka podwykonawców | |||||
| Klauzule bezpieczeństwa | |||||
| Klauzule incydentowe | |||||
| Klauzule BCP/DRP |
Rejestr informacji o dostawcach ICT
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| Opis usług | |||||
| Krytyczność | |||||
| Lokalizacja danych | |||||
| Podwykonawcy | |||||
| Historia incydentów | |||||
| Dostępność danych |
Aspekty prawne, finansowe i reputacyjne
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| Stabilność finansowa | |||||
| Zgodność prawna | |||||
| Postępowania sądowe | |||||
| Reputacja |
Wnioski końcowe
| Pole | Do wypełnienia |
| Ogólna ocena dostawcy | |
| Ocena zgodności z DORA | |
| Rekomendacja dla zarządu |
Wersja tabelaryczna szablonu raportu z audytu dostawcy ICT według DORA – specjalnie dostosowana do dostawców krytycznych.
Ta wersja jest bardziej rygorystyczna i zawiera dodatkowe pola kontrolne. Została również rozszerzona o wymagania nadzorcze i elementy związane z Lead Overseer, oraz testami zaawansowanej odporności, jak również ryzykiem koncentracji, oraz łańcuchem dostaw, oraz scenariuszami skrajnymi i wymogami ESA.
Zaprojektowałem ją tak, aby była kompletna, i jednocześnie spełniała następujące założenia:
- gotowa do wdrożenia w bankach, fintechach, ubezpieczeniach, płatnościach,
- zgodna z DORA art. 28–30 oraz RTS/ITS,
- idealna do oceny dostawców krytycznych (Critical ICT Third‑Party Providers),
- kompletna i audytowalna.
Wstęp
| Pole | Opis / Do wypełnienia |
| Nazwa audytu | |
| Nazwa dostawcy ICT | |
| Status dostawcy | Krytyczny ICT Third‑Party Provider |
| Podmiot nadzorowany (FE) | |
| Data audytu | |
| Zespół audytowy | |
| Zakres audytu | |
| Podstawa prawna | DORA (UE 2022/2554), RTS/ITS, ESA Guidelines |
| Metodologia | Przegląd dokumentacji / wywiady / testy / analiza ryzyka |
Streszczenie kierownicze
| Pole | Opis / Do wypełnienia |
| Cel audytu | |
| Najważniejsze ustalenia | |
| Kluczowe niezgodności | |
| Najważniejsze ryzyka | |
| Ryzyko koncentracji | |
| Ocena odporności operacyjnej | |
| Ogólna ocena dostawcy | niskie / średnie / wysokie |
| Rekomendacja | kontynuować / warunkowo / wstrzymać |
Governance, nadzór i Lead Overseer
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| Struktura governance dostawcy | |||||
| Nadzór zarządu nad ryzykiem ICT | |||||
| Raportowanie do Lead Overseer | |||||
| Wdrożenie zaleceń ESA | |||||
| Mechanizmy eskalacji do FE | |||||
| Mechanizmy eskalacji do regulatorów |
Zarządzanie ryzykiem ICT (rozszerzone)
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| System zarządzania ryzykiem ICT | |||||
| Rejestr ryzyk ICT | |||||
| Ryzyko koncentracji (intra‑FE i inter‑FE) | |||||
| Ryzyko geopolityczne | |||||
| Ryzyko łańcucha dostaw | |||||
| Ryzyko podwykonawców krytycznych | |||||
| Ocena ryzyka scenariuszowego |
Bezpieczeństwo informacji (rozszerzone)
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| Polityki bezpieczeństwa (zgodność z ESA) | |||||
| Zaawansowane IAM (MFA, PAM, JIT, JEA) | |||||
| Segmentacja i mikrosegmentacja | |||||
| Szyfrowanie danych – zgodność z wymogami FE | |||||
| Zarządzanie kluczami (HSM, KMS) | |||||
| Monitoring bezpieczeństwa 24/7 | |||||
| SOC / SIEM / SOAR | |||||
| Testy penetracyjne – częstotliwość i zakres | |||||
| Red Teaming / Purple Teaming | |||||
| Zgodność z Zero Trust |
Incydenty ICT (rozszerzone)
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| Procedura incydentowa zgodna z DORA | |||||
| Integracja z procesem raportowania FE | |||||
| Integracja z procesem raportowania ESA | |||||
| Czas reakcji i czas przywrócenia | |||||
| Mechanizmy wczesnego wykrywania | |||||
| Historia incydentów krytycznych | |||||
| Analiza przyczyn źródłowych (RCA) |
Zarządzanie incydentami ICT (rozszerzone)
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| BCP/DRP – zgodność z ESA | |||||
| Testy BCP/DRP – częstotliwość i wyniki | |||||
| Scenariusze skrajne (extreme scenario testing | |||||
| Odporność na cyberataki (cyber resilience) | |||||
| Redundancja geograficzna | |||||
| Odporność łańcucha dostaw | |||||
| Zdolność do pracy w trybie degradacji |
Zarządzanie podwykonawcami (rozszerzone)
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| Identyfikacja podwykonawców krytycznych | |||||
| Nadzór nad podwykonawcami | |||||
| Audyty podwykonawców | |||||
| Ryzyko koncentracji w łańcuchu dostaw | |||||
| Klauzule DORA w umowach sub-outsourcingu | |||||
| Zgody FE na sub-outsourcing |
Zgodność umów z DORA (rozszerzona)
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| Prawo audytu FE | |||||
| Prawo audytu regulatorów (ESA, Lead Overseer) | |||||
| SLA – mierzalność i zgodność z DORA | |||||
| KRI/KPI – zgodność z FE | |||||
| Klauzule incydentowe | |||||
| Klauzule BCP/DRP | |||||
| Exit plan – zgodność z ESA | |||||
| Exit plan – testy migracji |
Rejestr informacji o dostawcach ICT (rozszerzony)
| Kontrola / Wymóg | Ustalenia | Dowody | Ocena | Ryzyko | Rekomendacje |
| Dane wymagane przez DORA | |||||
| Dane wymagane przez ESA | |||||
| Dane o podwykonawcach | |||||
| Dane o incydentach | |||||
| Dane o testach odporności | |||||
| Dane o ryzyku koncentracji |
Wnioski końcowe
| Pole | Do wypełnienia |
| Ogólna ocena dostawcy | |
| Ocena zgodności z DORA | |
| Ocena odporności operacyjnej | |
| Ocena ryzyka koncentracji | |
| Rekomendacja dla zarządu |