План за възстановяване след неуспешен одит по ISO 27001:2022
Имейлът, който никой не искаше да получи
Имейлът пристига късно в петък със заглавие, което звучи безобидно: „Резултат от преходния одит.“
Съдържанието обаче не е безобидно. Сертифициращият орган е установил съществено несъответствие. Сертификатът по ISO/IEC 27001 е спрян или решението за преход не може да бъде финализирано. Бележката на одитора е недвусмислена: Декларацията за приложимост не обосновава изключените контроли, оценката на риска не отразява текущия контекст и няма достатъчно доказателства, че новите регулаторни задължения са разгледани.
В рамките на час въпросът вече не е само проблем със съответствието. Продажбите питат дали обществена поръчка вече е изложена на риск. Правният екип преглежда договорните клаузи с клиенти. CISO обяснява защо SoA не е съгласувана с плана за третиране на риска. Главният изпълнителен директор задава единствения въпрос, който има значение: „Колко бързо можем да поправим това?“
За много организации изтичането на крайния срок за преход към ISO 27001:2022 не създаде теоретичен пропуск. То създаде реален проблем за непрекъсваемостта на дейността. Пропуснат или неуспешен преходен одит по ISO 27001:2022 може да засегне допустимостта за участие в търгове, онбординга на доставчици, киберзастраховането, исканията от клиенти за потвърждение на контролите, готовността за NIS2, очакванията по DORA, отчетността по GDPR и доверието на управителния съвет.
Добрата новина е, че възстановяването е възможно. Лошата новина е, че козметични промени по документи няма да бъдат достатъчни. Възстановяването трябва да се третира като дисциплинирана програма за коригиращи действия в СУИС, а не като прибързано пренаписване на политики.
В Clarysec организираме това възстановяване около три свързани актива:
- Zenith Blueprint: 30-стъпкова пътна карта за одитори, особено фазата „Одит, преглед и подобрение“.
- Библиотеката от корпоративни политики и политики за МСП на Clarysec, която превръща одитните констатации в управлявани задължения.
- Zenith Controls: Ръководство за кръстосано съответствие, което помага да се свържат очакванията към контролите по ISO/IEC 27002:2022 с NIS2, DORA, GDPR, NIST-style подход към увереността и управленските перспективи на COBIT 2019.
Това е практическият план за възстановяване за CISO, мениджъри по съответствието, одитори, основатели и собственици на бизнес, които са пропуснали крайния срок за преход към ISO 27001:2022 или не са преминали успешно преходния одит.
Първо диагностицирайте режима на неуспех
Преди да редактирате дори една политика, класифицирайте ситуацията. Не всеки неуспешен или пропуснат преход има едно и също бизнес въздействие или един и същ път за възстановяване. Първите 24 часа трябва да се фокусират върху получаване на одитния доклад, решението на сертифициращия орган, формулировката на несъответствието, исканията за доказателства, сроковете и текущия статус на сертификата.
| Ситуация | Бизнес въздействие | Незабавно действие |
|---|---|---|
| Преходният одит е неуспешен със съществено несъответствие | Решението за сертификация може да бъде блокирано или сертификатът може да бъде спрян до коригиране на проблема | Открийте CAPA, извършете анализ на първопричините, потвърдете очакванията към доказателствата със сертифициращия орган |
| Преходният одит е преминат с незначителни несъответствия | Сертификацията може да продължи, ако коригиращите действия бъдат приети | Приключете бързо незначителните CAPA и актуализирайте пакета с доказателства за СУИС |
| Преходът не е завършен преди крайния срок | Сертификатът може вече да не е валиден или признат | Потвърдете статуса със сертифициращия орган и планирайте преход или повторна сертификация |
| Надзорен одит е разкрил слаби доказателства за прехода | Сертификацията може да бъде изложена на риск при следващата точка за вземане на решение | Проведете симулиран одит и актуализирайте SoA, третирането на риска, прегледа от ръководството и записите от вътрешния одит |
| Клиент е отхвърлил вашия сертификат или доказателства за преход | Търговски риск, риск за търгове и въздействие върху доверието | Подгответе пакет за уверение към клиента със статус на одита, CAPA план, целеви дати и одобрение от ръководството |
Планът за възстановяване зависи от режима на неуспех. Блокирано решение за сертификация изисква целенасочено отстраняване на несъответствия. Спрян сертификат изисква спешно възстановяване на управлението и доказателствата. Отнет или изтекъл сертификат може да изисква по-широк път към повторна сертификация.
Във всички случаи картографирайте всеки проблем към съответната клауза на СУИС, контрол от Annex A, запис за риск, собственик на политика, правно или договорно задължение и източник на доказателства.
Тук ISO/IEC 27001:2022 има значение като система за управление, а не само като каталог с контроли. Клаузи 4 до 10 изискват СУИС да разбира контекста, заинтересованите страни, обхвата, лидерството, планирането на риска, поддръжката, операциите, оценката на изпълнението и непрекъснатото подобрение. Ако преходът е неуспешен, обикновено една от тези връзки в системата за управление е прекъсната.
Защо преходните одити по ISO 27001:2022 се провалят
Неуспешните преходни одити обикновено се групират около повтарящи се модели. Много от тях не са дълбоко технически. Това са провали в управлението, проследимостта, отговорността и доказателствата.
| Модел на констатация | Какво вижда одиторът | Какво обикновено означава това |
|---|---|---|
| Декларацията за приложимост не е актуализирана или не е обоснована | Контролите са маркирани като приложими без обосновка или са изключени без доказателства | Изборът на контроли не е проследим до риск, регулация или бизнес необходимост |
| Оценката на риска не отразява текущите задължения | Липсват NIS2, DORA, GDPR, клиентски договори, облачни зависимости или риск, свързан с доставчици | Контекстът и критериите за риск не са актуализирани |
| Прегледът от ръководството е повърхностен | Има протоколи, но не се обсъждат решения, ресурси, цели, резултати от одит или промени в риска | Отчетността на ръководството не функционира |
| Вътрешният одит не е тествал обхвата на прехода | Контролният списък за одит е общ и не покрива актуализирани контроли, доставчици, облак, устойчивост или правни задължения | Оценката на изпълнението не е достатъчна |
| Контролите за доставчици и облак са слаби | Няма надлежна проверка, преглед на договор, планиране на изход или непрекъснато наблюдение | Оперативният контрол върху външно предоставени услуги е непълен |
| Реагирането при инциденти не е съгласувано с регулаторното докладване | Няма логика за ескалация в рамките на 24 или 72 часа, няма дърво за вземане на решения по DORA или GDPR, няма доказателства от учения | Управлението на инциденти не е свързано с правното докладване |
| Процесът CAPA е слаб | Констатациите се затварят само чрез редакции на документи | Първопричината не е отстранена |
Неуспешният одит е сигнал, че СУИС не се е адаптирала достатъчно бързо към реалната оперативна среда на организацията.
ISO/IEC 27005:2022 е полезен при възстановяване, защото подчертава значението на установяването на контекст чрез правни, регулаторни, секторни, договорни, вътрешни и съществуващи контролни изисквания. Той също така подкрепя критерии за риск, които отчитат правни задължения, доставчици, поверителност, човешки фактори, бизнес цели и одобрен от ръководството апетит към риск.
На практика възстановяването при преход започва с актуализиран контекст и критерии за риск, а не с нов номер на версия върху стар документ.
Стъпка 1: Замразете одитния запис и създайте команден център за възстановяване
Първата оперативна грешка след неуспешен одит е хаосът с доказателствата. Екипите започват да търсят в пощенски кутии, споделени дискове, ticketing системи, чат съобщения, лични папки и стари одитни пакети. Одиторите тълкуват това като знак, че СУИС не е под контрол.
Политиката за МСП на Clarysec Политика за одит и мониторинг на съответствието - SME е изрична относно контрола на доказателствата:
„Всички доказателства трябва да се съхраняват в централизирана одитна папка.“
От раздел „Изисквания за внедряване на политиката“, клауза 6.2.1 на политиката.
Тази централизирана одитна папка се превръща в оперативен център за възстановяване. Тя трябва да включва:
- Доклад и кореспонденция със сертифициращия орган.
- Потвърждение на статуса на сертификата.
- Регистър на несъответствията.
- CAPA журнал.
- Актуализирана оценка на риска.
- Актуализиран план за третиране на риска.
- Актуализирана Декларация за приложимост.
- Доклад от вътрешен одит.
- Протоколи от прегледа от ръководството.
- Записи за одобрение на политики.
- Доказателства за всеки приложим контрол от Annex A.
- Пакет за уверение към клиента, ако са засегнати търговски ангажименти.
За корпоративни среди Политика за одит и мониторинг на съответствието на Clarysec задава същото управленско очакване:
„Всички констатации следва да водят до документирана CAPA, която включва:“
От раздел „Изисквания за внедряване на политиката“, клауза 6.2.1 на политиката.
Формулировката въвежда очакване за структурирано коригиращо действие. Основният принцип е прост: всяка одитна констатация трябва да стане управляван CAPA елемент, а не неформална задача в нечий бележник.
За МСП участието на ръководството е също толкова важно:
„GM трябва да одобри план за коригиращи действия и да проследява неговото изпълнение.“
От Политика за одит и мониторинг на съответствието - SME, раздел „Изисквания за управление“, клауза 5.4.2 на политиката.
Това има значение, защото ISO 27001:2022 не разглежда лидерството като символично. Висшето ръководство трябва да установи политика, да съгласува целите с бизнес стратегията, да осигури ресурси, да комуникира значението на информационната сигурност, да възлага отговорности и да насърчава непрекъснатото подобрение.
Ако неуспешният преход се третира като „проблем на човека по съответствието“, следващият одит отново ще разкрие слаба отчетност на ръководството.
Стъпка 2: Преизградете контекста, задълженията и риска
Неуспешен преходен одит често означава, че контекстът на СУИС вече не отразява реалността на организацията. Бизнесът може да е преминал към облачни платформи, да е добавил нови доставчици, да е навлязъл в регулирани пазари, да обработва повече лични данни или да е станал релевантен за клиенти по NIS2 или DORA. Ако тези промени липсват от СУИС, оценката на риска и SoA ще бъдат непълни.
Политика за правно и регулаторно съответствие на Clarysec задава базовото изискване:
„Всички правни и регулаторни задължения трябва да бъдат картографирани към конкретни политики, контроли и собственици в рамките на Система за управление на информационната сигурност (СУИС).“
От раздел „Изисквания за внедряване на политиката“, клауза 6.2.1 на политиката.
Тази клауза е критична след неуспешен преход. Клаузи 4.1 до 4.3 на ISO 27001:2022 изискват организациите да разглеждат вътрешни и външни въпроси, заинтересовани страни, изисквания, интерфейси, зависимости и обхват. Правните, регулаторните и договорните задължения не са странични бележки. Те оформят СУИС.
NIS2 Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки, включително анализ на риска, политики, обработване на инциденти, резервни копия, аварийно възстановяване, кризисно управление, сигурност на веригата на доставки, сигурна разработка, обработване на уязвимости, оценки на ефективността, киберхигиена, обучение, криптография, сигурност в областта на човешките ресурси, контрол на достъпа, управление на активите и сигурни комуникации. Article 20 поставя отговорността на ниво управителен орган. Article 23 създава поетапно докладване на значими инциденти, включително ранно предупреждение, уведомяване за инцидент, актуализации и окончателно докладване.
DORA се прилага пряко за финансови субекти от 17 януари 2025 г. и обхваща управление на ИКТ риска, докладване на съществени инциденти, тестове за устойчивост, ИКТ риск, свързан с трети страни, договорни изисквания и надзор върху критични доставчици на ИКТ услуги от трети страни. За финансови субекти в обхвата DORA се превръща в основен двигател на ИКТ управлението, контрола върху доставчици, тестването, класификацията на инциденти и отчетността на ръководството.
GDPR добавя отчетност за лични данни. Article 5 изисква законосъобразно, добросъвестно, прозрачно, ограничено, точно, съобразено със сроковете за съхранение и сигурно обработване, с доказуемо съответствие. Article 4 дефинира нарушение на сигурността на личните данни по начин, който пряко засяга класификацията на инциденти. Article 6 изисква картографиране на правното основание, а Article 9 добавя засилени изисквания за специални категории данни.
Това не означава създаване на отделни вселени на съответствие. Означава използване на ISO 27001:2022 като интегрирана система за управление и картографиране на задълженията в единна архитектура на риска и контролите.
Политика за управление на риска на Clarysec свързва третирането на риска директно с избора на контроли:
„Решенията за контролите, произтичащи от процеса на третиране на риска, следва да бъдат отразени в SoA.“
От раздел „Изисквания за внедряване на политиката“, клауза 6.5.1 на политиката.
Неуспешният одит е и основание да се прегледа самият процес на управление на риска. Политиката за МСП на Clarysec Политика за управление на риска - SME идентифицира този тригер:
„Съществен инцидент или одитна констатация разкрива пропуски в управлението на риска“
От раздел „Изисквания за преглед и актуализация“, клауза 9.2.1.1 на политиката.
В режим на възстановяване това означава, че регистърът на риска, критериите за риск, планът за третиране и SoA трябва да бъдат преизградени заедно.
Стъпка 3: Поправете SoA като гръбнак на проследимостта
При повечето неуспешни преходи Декларацията за приложимост е първият документ за проверка. Тя е и един от първите документи, от които одиторите правят извадка. Слаба SoA показва на одитора, че изборът на контроли не е основан на риска.
Zenith Blueprint дава практическа инструкция във фазата „Одит, преглед и подобрение“, стъпка 24, „Одит, преглед и подобрение“:
„Вашата SoA трябва да бъде съгласувана с вашия Регистър на риска и План за третиране на риска. Проверете повторно дали всеки контрол, който сте избрали като мярка за третиране на риска, е маркиран като „Приложим“ в SoA. Обратно, ако даден контрол е маркиран като „Приложим“ в SoA, трябва да имате обосновка за това — обикновено картографиран риск, правно/регулаторно изискване или бизнес необходимост.“
От Zenith Blueprint: 30-стъпкова пътна карта за одитори, фаза „Одит, преглед и подобрение“, стъпка 24.
Това е принципът на възстановяване. SoA не е формалност. Тя е гръбнакът на проследимостта между рисковете, задълженията, контролите, доказателствата за внедряване и одитните заключения.
Практическата корекция на SoA следва да следва тази последователност:
- Експортирайте текущата SoA.
- Добавете колони за идентификатор на риска, регулаторно задължение, бизнес изискване, препратка към политика, местоположение на доказателствата, собственик, статус на внедряване и дата на последно тестване.
- За всеки приложим контрол картографирайте поне една обоснована причина.
- За всеки изключен контрол запишете конкретна причина за изключване.
- Съгласувайте SoA с плана за третиране на риска.
- Съгласувайте SoA с резултатите от вътрешния одит.
- Задайте трудния въпрос: ако одиторът избере този ред за извадка, можем ли да го докажем за пет минути?
Обоснован ред в SoA трябва да изглежда така:
| Поле в SoA | Примерен запис за възстановяване |
|---|---|
| Обосновка на контрола | Приложим поради облачен хостинг, обработка на плащания, външно възложена поддръжка и договорни ангажименти за сигурност към клиенти |
| Връзка с риск | R-014 прекъсване на услуга от трета страна, R-021 експозиция на данни при доставчик, R-027 регулаторно нарушение поради отказ на обработващ лични данни |
| Връзка със задължение | NIS2 сигурност на веригата на доставки, DORA ИКТ риск, свързан с трети страни, когато е приложимо, GDPR отчетност на обработващ лични данни |
| Връзка с политика | Политика за сигурност на трети страни и доставчици, процедура за преглед на договори, контролен списък за оценка на доставчици |
| Доказателства | Регистър на доставчиците, оценки на риска, въпросник за надлежна проверка, подписано Споразумение за обработване на лични данни, преглед на SOC доклад, план за изход, запис от годишен преглед |
| Собственик | Мениджър на доставчици, CISO, правен отдел |
| Тестване | Завършена извадка от вътрешен одит на петте най-критични доставчици; изключенията са регистрирани в CAPA |
| Статус | Внедрено с две отворени коригиращи действия за актуализация на договори |
Този ред разказва история на възстановяването. Той показва бизнес контекст, логика на риска, регулаторна релевантност, отговорност, внедряване, тестване и оставащи действия.
За изключенията важи същата дисциплина. Например, ако организацията не извършва вътрешна разработка на софтуер, изключване на ISO/IEC 27002:2022 control 8.25 Secure development life cycle и control 8.28 Secure coding може да бъде обосновано, но само ако е вярно, документирано и подкрепено с доказателства, че софтуерът е готов търговски продукт или е изцяло външно възложен с въведени контроли за доставчици.
Стъпка 4: Извършете анализ на първопричините, а не козметика на документи
Неуспешният преходен одит рядко се дължи на един липсващ файл. Обикновено причината е нарушен процес.
Zenith Blueprint, фаза „Одит, преглед и подобрение“, стъпка 27, „Одитни констатации — анализ и първопричина“, посочва:
„За всяко идентифицирано несъответствие (съществено или незначително) помислете защо се е случило — това е критично за ефективната корекция.“
От Zenith Blueprint, фаза „Одит, преглед и подобрение“, стъпка 27.
Ако констатацията гласи „липсват обосновки в SoA“, корекцията може да бъде актуализация на SoA. Но първопричината може да е, че собствениците на активи не са били включени в оценката на риска, правните задължения не са били картографирани или екипът по съответствието е поддържал SoA изолирано.
Полезна таблица за възстановяване отделя слабите корекции от истинското коригиращо действие:
| Одитна констатация | Лоша корекция | Правилен въпрос за първопричина | По-добро коригиращо действие |
|---|---|---|---|
| SoA не е съгласувана с третирането на риска | Актуализиране на формулировката в SoA | Защо SoA не е била съгласувана с третирането на риска? | Добавяне на тримесечно съгласуване между SoA и риска, с отговорност на ISMS Manager |
| Няма оценки на доставчици | Качване на един въпросник | Защо доставчиците не са били прегледани? | Назначаване на собственик за доставчиците, дефиниране на рискова категоризация, завършване на прегледите, годишен мониторинг |
| Прегледът от ръководството е непълен | Добавяне на точка в дневния ред със задна дата | Защо прегледът от ръководството не е покрил статуса на прехода? | Актуализиране на шаблона за преглед от ръководството и насрочване на тримесечен управленски преглед |
| Докладването на инциденти не е тествано | Редактиране на процедурата за инциденти | Защо докладването не е било упражнено? | Провеждане на tabletop упражнение с точки за решение по NIS2, DORA и GDPR и запазване на доказателства |
| Вътрешният одит е твърде тесен | Разширяване на контролния списък | Защо планирането на одита е пропуснало обхвата на прехода? | Одобряване на риск-базиран одитен план, покриващ регулации, доставчици, облак и устойчивост |
Точно тук се възстановява доверието. Одиторите не очакват съвършенство. Те очакват контролирана система, която открива, коригира, учи и се подобрява.
Стъпка 5: Изградете CAPA, на която одиторът може да се довери
Коригиращите и превантивните действия (CAPA) са мястото, където много организации възстановяват контрол. Регистърът CAPA трябва да стане пътната карта за възстановяване и основното доказателство, че неуспешният одит е обработен систематично.
Zenith Blueprint, фаза „Одит, преглед и подобрение“, стъпка 29, „Непрекъснато подобрение“, обяснява структурата:
„Уверете се, че всяко коригиращо действие е конкретно, може да бъде възложено и е ограничено във времето. На практика създавате минипроект за всеки проблем.“
От Zenith Blueprint, фаза „Одит, преглед и подобрение“, стъпка 29.
Вашият CAPA журнал трябва да включва:
- Идентификатор на констатацията.
- Източник на одита.
- Препратка към клауза или контрол.
- Степен на сериозност.
- Описание на проблема.
- Незабавна корекция.
- Първопричина.
- Коригиращо действие.
- Превантивно действие, когато е приложимо.
- Собственик.
- Краен срок.
- Изисквани доказателства.
- Статус.
- Проверка на ефективността.
- Одобрение от ръководството.
Политика за одит и мониторинг на съответствието - SME на Clarysec също идентифицира същественото несъответствие като тригер за преглед:
„Сертификационен одит или надзорен одит води до съществено несъответствие“
От раздел „Изисквания за преглед и актуализация“, клауза 9.2.2 на политиката.
Ако преходният одит е довел до съществено несъответствие, прегледайте самия процес за одит и мониторинг на съответствието. Защо вътрешният одит не е открил проблема първи? Защо прегледът от ръководството не го е ескалирал? Защо SoA не е разкрила пропуска в доказателствата?
Така неуспешният одит се превръща в по-силна СУИС.
Стъпка 6: Използвайте Zenith Controls, за да свържете ISO доказателствата с кръстосаното съответствие
Повторният одит не се случва изолирано. Клиенти, регулатори, застрахователи и вътрешни управленски екипи могат да разглеждат едни и същи доказателства от различни ъгли. Тук Zenith Controls е ценен като ръководство за кръстосано съответствие. То помага на екипите да спрат да третират ISO 27001, NIS2, DORA, GDPR, NIST-style увереност и управление по COBIT 2019 като отделни контролни списъци.
Три контрола от ISO/IEC 27002:2022 са особено релевантни при възстановяване след преход.
| Контрол по ISO/IEC 27002:2022 | Значение за възстановяването | Доказателства за подготовка |
|---|---|---|
| 5.31 Правни, законови, регулаторни и договорни изисквания | Потвърждава, че задълженията са идентифицирани, документирани и свързани със СУИС | Правен регистър, договорни задължения, регулаторна карта, матрица на собствениците на политики, обосновка в SoA |
| 5.35 Независим преглед на информационната сигурност | Потвърждава, че дейността по преглед е обективна, с определен обхват, компетентна и води до действия | План за вътрешен одит, доклад от независим преглед, компетентност на одитора, CAPA записи, докладване към ръководството |
| 5.36 Съответствие с политики, правила и стандарти за информационна сигурност | Потвърждава, че политиките не са само публикувани, а се наблюдават и прилагат | Потвърждение за запознаване с политиката, журнали за изключения, доклади за мониторинг, дисциплинарен работен поток, тестване на съответствието |
В Zenith Controls ISO/IEC 27002:2022 control 5.31 е свързан директно с поверителност и лично идентифицираща информация (PII):
„5.34 обхваща съответствието със законите за защита на данните (напр. GDPR), което е една категория правни изисквания по 5.31.“
От Zenith Controls, контрол 5.31, връзки с други контроли.
За възстановяването това означава, че правният регистър не трябва да стои извън СУИС. Той трябва да управлява SoA, плана за третиране на риска, набора от политики, собствеността върху контролите и доказателствата за одит.
За ISO/IEC 27002:2022 control 5.35 Zenith Controls подчертава, че независимият преглед често достига до оперативни доказателства:
„Независимите прегледи по 5.35 често оценяват адекватността на дейностите по протоколиране и мониторинг.“
От Zenith Controls, контрол 5.35, връзки с други контроли.
Това е практично. Одиторът може да започне с управлението и след това да направи извадка от журнали, предупреждения, записи от мониторинг, прегледи на правата за достъп, билети за инциденти, тестове за резервни копия, прегледи на доставчици и управленски решения.
За ISO/IEC 27002:2022 control 5.36 Zenith Controls обяснява връзката с вътрешното управление на политиките:
„Контрол 5.36 служи като механизъм за прилагане на правилата, дефинирани по 5.1.“
От Zenith Controls, контрол 5.36, връзки с други контроли.
Именно тук много програми за преход се провалят. Политики съществуват, но съответствието с тях не се наблюдава. Процедури съществуват, но изключенията не се регистрират. Контролите са декларирани, но не са тествани.
Стъпка 7: Подгответе се за различни одитни гледни точки
Силен пакет за възстановяване трябва да издържи повече от една одиторска перспектива. Одитори за ISO сертификация, надзорни органи по DORA, проверяващи по NIS2, заинтересовани страни по GDPR, екипи за клиентско уверение, оценители с NIST ориентация и проверяващи управлението по COBIT 2019 могат да задават различни въпроси за едни и същи доказателства.
| Одитна перспектива | Вероятен въпрос | Полезни доказателства |
|---|---|---|
| Одитор по ISO 27001:2022 | Ефективна ли е СУИС, базирана ли е на риска, правилно ли е определен обхватът, преглеждана ли е от ръководството и непрекъснато ли се подобрява? | Обхват, контекст, заинтересовани страни, оценка на риска, SoA, план за третиране, вътрешен одит, преглед от ръководството, CAPA |
| Оценител с NIST ориентация | Управлението, идентифицирането на риска, защитата, откриването, реагирането и възстановяването функционират ли съгласувано? | Инвентар на активите, регистър на риска, контроли за достъп, протоколиране, мониторинг, наръчници за инциденти, тестове за възстановяване |
| Одитор по COBIT 2019 или ISACA-style | Вградени ли са управленските цели, собствеността, мониторингът на изпълнението, управлението на риска и увереността за съответствие? | RACI, одобрени цели, показатели, план за одит, докладване към ръководството, собственост върху контролите, проследяване на проблеми |
| Проверяващ съответствието с NIS2 | Одобрило и контролирало ли е ръководството пропорционални мерки за киберсигурност и работни потоци за докладване на инциденти? | Протоколи на съвета, мерки за риск, контроли за доставчици, ескалация на инциденти, обучение, доказателства за непрекъсваемост и кризи |
| Проверяващ по DORA | Документирано ли е управлението на ИКТ риска, тествано ли е, отчита ли доставчиците и интегрирано ли е в управлението? | ИКТ рискова рамка, тестове за устойчивост, класификация на инциденти, регистър на ИКТ договорите, планове за изход, права на одит |
| Проверяващ по GDPR | Може ли организацията да докаже отчетност за защита на личните данни и реакция при нарушение? | RoPA, картографиране на правно основание, DPIA при необходимост, договори с обработващи лични данни, журнали за нарушения, технически и организационни мерки |
Целта не е дублиране на доказателства. Един ред в SoA за протоколиране и мониторинг може да подкрепи ISO доказателства, NIST-style очаквания за откриване, обработване на инциденти по DORA, оценка на ефективността по NIS2 и откриване на нарушения по GDPR. Един файл за риск, свързан с доставчик, може да подкрепи ISO контроли за доставчици, DORA ИКТ риск, свързан с трети страни, NIS2 сигурност на веригата на доставки и GDPR отчетност на обработващ лични данни.
Това е практическата стойност на кръстосаното съответствие.
Стъпка 8: Проведете финален преглед на документацията и симулиран одит
Преди да се върнете към сертифициращия орган, проведете строг вътрешен тест. Zenith Blueprint, фаза „Одит, преглед и подобрение“, стъпка 30, „Подготовка за сертификация — финален преглед и симулиран одит“, препоръчва да се проверят клаузи 4 до 10 на ISO 27001:2022 една по една и да се валидират доказателствата за всеки приложим контрол от Annex A.
То препоръчва:
„Проверете контролите от Annex A: уверете се, че за всеки контрол, който сте маркирали като „Приложим“ в SoA, имате какво да покажете.“
От Zenith Blueprint, фаза „Одит, преглед и подобрение“, стъпка 30.
Финалният преглед трябва да бъде директен:
- Може ли всеки приложим контрол да бъде обяснен?
- Може ли всеки изключен контрол да бъде обоснован?
- Може ли да се покаже приемане на остатъчния риск?
- Прегледало ли е ръководството неуспешния преход, ресурсите, целите, резултатите от одита и коригиращите действия?
- Тествал ли е вътрешният одит актуализираните SoA и план за третиране на риска?
- Има ли доказателства за контролите за доставчици, облак, непрекъсваемост, инциденти, поверителност, достъп, уязвимости, протоколиране и мониторинг?
- Одобрени, актуални, комуникирани и под управление на версиите ли са политиките?
- Свързани ли са CAPA с първопричини и проверки на ефективността?
- Могат ли доказателствата да бъдат намерени бързо в централизираната одитна папка?
Политика за информационна сигурност на Clarysec предоставя управленската основа:
„Организацията следва да внедри и поддържа Система за управление на информационната сигурност (СУИС) в съответствие с клаузи 4 до 10 на ISO/IEC 27001:2022.“
От раздел „Изисквания за внедряване на политиката“, клауза 6.1.1 на политиката.
За МСП прегледът трябва също да проследява изискванията за сертификация и регулаторните промени. Политика за информационна сигурност - SME на Clarysec посочва:
„Тази политика трябва да бъде преглеждана от управителя (GM) най-малко ежегодно, за да се гарантира продължаващо съответствие с изискванията за сертификация по ISO/IEC 27001, регулаторните промени (като GDPR, NIS2 и DORA) и развиващите се бизнес потребности.“
От раздел „Изисквания за преглед и актуализация“, клауза 9.1.1 на политиката.
Точно това са пропуснали много програми за преход: ISO, регулациите и бизнес промените се движат заедно.
Какво да кажете на клиентите, докато се възстановявате
Ако неуспешен или пропуснат преход засяга клиентски договори, мълчанието е опасно. Не е необходимо да разкривате всеки детайл от вътрешния одит, но трябва да предоставите контролирано уверение.
Пакетът за комуникация с клиенти трябва да включва:
- Текущ статус на сертификацията, потвърден от сертифициращия орган.
- Статус на преходния одит и план за отстраняване на несъответствия на високо ниво.
- Потвърждение, че процесът CAPA е активен и одобрен от ръководството.
- Целеви дати за коригиращи действия и приключване на одита.
- Изявление, че СУИС продължава да функционира.
- Точка за контакт по въпроси на увереността в сигурността.
- Актуализирано изявление по политиката за сигурност, ако е подходящо.
- Доказателства за компенсиращи контроли за всяка високорискова област.
Избягвайте неясни твърдения като „напълно сме в съответствие“, докато одитът не е приключен. Кажете това, което е вярно: СУИС функционира, коригиращото действие е одобрено, доказателствата се консолидират и е насрочен преглед за приключване или повторен одит.
Това е особено важно, ако клиентите разчитат на вас като доставчик в сектори, релевантни за NIS2, като цифрова инфраструктура, облак, центрове за данни, мрежи за доставка на съдържание, DNS, удостоверителни услуги, обществени електронни съобщения, управлявани услуги или управлявани услуги за сигурност. Ако статусът на вашия одит влияе върху риска за тяхната верига на доставки, те се нуждаят от надеждно уверение.
Практически 10-дневен спринт за възстановяване
Сроковете варират според сертифициращия орган, степента на сериозност, обхвата и зрелостта на доказателствата. Но последователността за възстановяване е надеждна.
| Ден | Дейност | Резултат |
|---|---|---|
| 1 | Съберете одитния доклад, потвърдете статуса на сертификата, открийте централизирана одитна папка | Команден център за възстановяване |
| 2 | Класифицирайте констатациите, назначете собственици, информирайте ръководството | Одобрено управление на възстановяването |
| 3 | Актуализирайте контекста, задълженията, заинтересованите страни и предположенията за обхвата | Актуализиран контекст и карта на съответствието |
| 4 | Съгласувайте оценката на риска и плана за третиране на риска | Актуализиран регистър на риска и план за третиране |
| 5 | Поправете SoA с обосновка, изключения, доказателства и собственици | SoA, готова за одит |
| 6 | Извършете анализ на първопричините за всички констатации | Журнал на първопричините |
| 7 | Изградете CAPA план с целеви дати и изисквания към доказателствата | CAPA регистър |
| 8 | Съберете и тествайте доказателства за приоритетни контроли | Пакет с доказателства |
| 9 | Проведете преглед от ръководството и одобрете остатъчните рискове | Протоколи от прегледа от ръководството |
| 10 | Проведете симулиран одит и подгответе отговор към сертифициращия орган | Пакет за готовност за повторен одит |
Не подавайте отговора, докато той не разказва последователна история. Одиторът трябва да може да проследи веригата от констатация до първопричина, от първопричина до коригиращо действие, от коригиращо действие до доказателства и от доказателства до преглед от ръководството.
Работният поток на Clarysec за възстановяване
Когато Clarysec подпомага пропуснат или неуспешен преход към ISO 27001:2022, организираме работата във фокусиран работен поток за възстановяване.
| Фаза на възстановяване | Актив на Clarysec | Резултат |
|---|---|---|
| Триаж на одита | Zenith Blueprint стъпки 24, 27, 29, 30 | Класификация на констатациите, карта на доказателствата, план за приключване на одита |
| Рестартиране на управлението | Политика за информационна сигурност, Политика за одит и мониторинг на съответствието | Одобрени отговорности, участие на ръководството, централизирана папка с доказателства |
| Актуализация на риска | Политика за управление на риска, метод ISO/IEC 27005:2022 | Актуализиран контекст, критерии, регистър на риска, план за третиране |
| Корекция на SoA | Zenith Blueprint стъпка 24, Политика за управление на риска | Проследима SoA с риск, задължение, собственик, доказателства, статус |
| Картографиране на кръстосаното съответствие | Zenith Controls | Съгласуване с увереността по NIS2, DORA, GDPR, NIST-style и COBIT 2019 |
| Изпълнение на CAPA | Zenith Blueprint стъпка 29, одитни политики | Първопричина, коригиращо действие, собственик, срок, проверка на ефективността |
| Симулиран одит | Zenith Blueprint стъпка 30 | Пакет за готовност за повторен одит и пакет за уверение към клиента |
Това не е производство на документи. Става дума за възстановяване на увереността, че СУИС е управлявана, базирана на риска, подкрепена с доказателства и се подобрява.
Финален съвет: третирайте неуспешния преход като стрес тест
Пропуснат краен срок за преход към ISO 27001:2022 или неуспешен преходен одит изглежда като криза, но е и диагностична възможност. Той показва дали вашата СУИС може да поема промени, да интегрира правни задължения, да управлява доставчици, да доказва функционирането на контролите и да се учи от неуспех.
Организациите, които се възстановяват най-бързо, правят три неща добре:
- Централизират доказателствата и спират хаоса.
- Преизграждат проследимостта между риск, SoA, контроли, политики и задължения.
- Обработват одитните констатации чрез дисциплинирани CAPA и преглед от ръководството.
Организациите, които изпитват затруднения, се опитват да решат проблема чрез редактиране на документи, без да коригират собствеността, мониторинга, доказателствата или първопричината.
Ако сте пропуснали срока или не сте преминали успешно преходния одит, следващата ви стъпка не е паника. Тя е структурирано възстановяване.
Clarysec може да ви помогне да извършите триаж на преходния одит, да преизградите вашата SoA, да картографирате очакванията по NIS2, DORA, GDPR, NIST-style и COBIT 2019 чрез Zenith Controls, да изпълните коригиращи действия със Zenith Blueprint и да съгласувате доказателствата по политики чрез Политика за информационна сигурност, Политика за одит и мониторинг на съответствието, Политика за управление на риска и Политика за правно и регулаторно съответствие.
Проблемът с вашия сертификат може да бъде отстранен. Вашата СУИС може да стане по-силна, отколкото е била преди одита. Ако преходният ви одит не е приключен, започнете оценката за възстановяване сега, консолидирайте доказателствата си и подгответе пакет за повторен одит, който доказва, че вашата СУИС не е само документирана, а работи.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
