Prvotním požadavkem pro auditora je znalost fungování systému řízení bezpečnosti informací, znalost systému hodnocení rizik a přezkoumávání celého systému. Nezbytné jsou pak znalosti auditních postupů a pravidelné používání metrik – kritérií auditu. Základní znalosti IT bezpečnosti pak dostačují pro pravidelné provádění auditů bezpečnosti informací i kybernetické bezpečnosti. Je však třeba, v závislosti na rizicích, provádět doplňkové bezpečnostní testy a případné hlubší prozkoumání stavu IT v případě zjištění neshod v této oblasti.
NGSS nabízí provádění pravidelných interních i externích (u dodavatelů služeb) auditů. Současně nabízí provedení i hloubkových auditů jednotlivých oblastí IT bezpečnosti včetně bezpečnostních / penetračních testů. Audity budou provádět zkušení auditoři, kteří současně působí jako vedoucí auditoři u certifikačních auditů dle norem ISO/IEC 27001 a ISO/IEC 20000. Využití externích auditorů z NGSS pak plně zajistí požadavky kybernetické bezpečnosti, tak, aby bylo zaručeno, že provedení auditu kybernetické bezpečnosti je nestranné. Auditor nesmí být pověřen výkonem jiných bezpečnostních rolí.
Interní auditor (včetně role auditora kybernetické bezpečnosti) zajišťuje kontrolu celého systému řízení bezpečnosti informací. Auditor vede dokumentaci interního auditu a zpracovává a provádí:
● návrh oblastí, do kterých je potřebné zaměřit audit
● roční program auditů
● provedení auditů včetně zpracování dokumentace (plán a zpráva z auditu)
● vedení evidence zjištěných neshod z auditu.
