ISO 27001:2022: доказателства за обучение за NIS2 и DORA
09:12 е във вторник сутрин през февруари 2026 г. Финансов анализатор в бързо разрастваща се FinTech компания получава имейл, който изглежда изпратен от финансовия директор, с искане за спешен преглед на файл за плащане към доставчик. Прикаченият файл отваря убедителна страница за вписване в Microsoft. Анализаторът се колебае, спомня си фишинг симулацията и модула за измами с плащания от миналия месец и докладва имейла през портала за сигурност, вместо да въведе удостоверителни данни.
За директора по информационна сигурност (CISO) това единично решение е контрол, който работи в реална среда.
За одитора тази история не е достатъчна.
Седмица по-късно пристига искането за доказателства: „Предоставете доказателства за цялостна, ролево базирана програма за осведоменост и обучение по информационна сигурност, включително показатели за ефективност и записи, доказващи покритие за целия персонал, включително ръководството.“
Това изречение променя разговора. Електронна таблица със статус „Завършено“ срещу 97 процента от служителите вече не е достатъчна. Одиторът ще попита кой е обучил анализатора, кога е възложено обучението, дали е било задължително, дали е било ролево базирано, дали финансовият екип е получил допълнителна осведоменост относно измами с плащания, дали са включени новопостъпилите служители и външните изпълнители, дали ръководството е одобрило програмата, дали обучението е променено след последната фишинг кампания и дали записите за завършено обучение са съхранени.
През 2026 г. доказателствата за обучение и осведоменост по сигурността се намират на пресечната точка между ISO/IEC 27001:2022, NIS2, DORA, GDPR и NIST CSF 2.0. Това вече не е ежегодно упражнение на отдел „Човешки ресурси“. То е управление на ниво управителен съвет, третиране на риска, готовност за инциденти, правна отчетност и одиторско доказателство.
Clarysec разглежда осведомеността по сигурността като оперативна система за доказателства, а не като набор от слайдове. Zenith Blueprint: 30-стъпкова пътна карта за одитора Zenith Blueprint, Zenith Controls: Ръководство за междурегулаторно съответствие Zenith Controls, Политика за осведоменост и обучение по информационна сигурност — МСП Политика за осведоменост и обучение по информационна сигурност — МСП и Политика за осведоменост и обучение по информационна сигурност Политика за осведоменост и обучение по информационна сигурност свързват ролево базираното обучение със СУИС, регулаторните задължения, реагирането при инциденти, достъпа на доставчици и прегледа от ръководството.
Защо общото обучение за осведоменост по сигурността се проваля през 2026 г.
Регулаторната промяна е ясна. NIS2 превръща киберсигурността в отговорност на ръководството за съществени и важни субекти. Article 20 изисква управителните органи да одобряват мерките за управление на риска за киберсигурността, да наблюдават внедряването им и да преминават обучение. Article 21 включва базова киберхигиена и обучение по киберсигурност като част от изискуемия базов набор от мерки за управление на риска. За доставчици на облачни услуги, доставчици на центрове за данни, доставчици на управлявани услуги, доставчици на управлявани услуги по сигурност, DNS доставчици, регистри на TLD, онлайн пазари и търсачки обучението се превърна във въпрос на ниво управителен съвет.
DORA повишава изискванията за финансовите субекти и доставчиците на ИКТ услуги, обслужващи финансовия сектор. Прилага се от 17 януари 2025 г. и изисква финансовите субекти да поддържат вътрешна рамка за управление и контрол на ИКТ риска. Управителните органи трябва да наблюдават ИКТ риска, бюджетите, одитите, договореностите с трети страни, непрекъсваемостта на дейността, плановете за реагиране и възстановяване и цифровата оперативна устойчивост. DORA Articles 17 to 19 също изискват свързаните с ИКТ инциденти да бъдат откривани, класифицирани, ескалирани, комуникирани и докладвани. Обучението прави тези процедури изпълними под натиск.
ISO/IEC 27001:2022 предоставя на организациите основата на системата за управление. Клаузи 4 до 10 обхващат контекста, заинтересованите страни, лидерството, оценката на риска, третирането на риска, компетентността, осведомеността, документираната информация, оценката на резултатността и подобрението. Стандартът е мащабируем за различни сектори и размери, поради което Clarysec го използва като оперативен модел за интегрирано съгласуване с ISO, NIS2, DORA, GDPR и NIST ISO/IEC 27001:2022.
GDPR добавя слоя на отчетност. Организациите трябва да докажат, че личните данни се обработват законосъобразно, добросъвестно, сигурно и с подходящи технически и организационни мерки. Служителите, които обработват лични данни, администрират системи, разработват софтуер, обслужват клиенти или разследват инциденти, се нуждаят от обучение по поверителност и ескалация при нарушения.
NIST CSF 2.0 потвърждава същата посока. Неговата функция GOVERN свързва правните, регулаторните, договорните, свързаните с поверителността изисквания и изискванията на заинтересованите страни с роли, отговорности, политики, ресурси, надзор и управление на риска на ниво предприятие. NIST CSF Profiles също помагат задълженията за обучение да се превърнат в планове за подобрение на текущото и целевото състояние.
Изводът е прост: готовото за одит обучение за осведоменост по сигурността трябва да доказва, че хората познават отговорностите си, че обучението е адаптирано към ролята и риска и че доказателствата са достатъчно пълни за одитори, регулатори, клиенти и ръководство.
Одитният проблем: „обучихме всички“ не е доказателство
Много организации се провалят при одит не защото не са провели обучение, а защото не могат да докажат, че обучението е било проектирано, възложено, завършено, прегледано и подобрено.
Слабият пакет с доказателства обикновено включва един годишен PDF файл, таблица за завършване без дати, без доказателства за въвеждащо обучение, без покритие на външни изпълнители, без обучение за привилегировани потребители, без обучение за ръководството, без ролево базирани модули за разработчици или финансови екипи, без връзка с оценката на риска и без доказателство, че обучението е актуализирано след инциденти или регулаторна промяна.
Одиторите не искат мотивационен плакат. Те искат верига от доказателства.
Политиката на Clarysec за МСП прави това очакване изрично. Политика за осведоменост и обучение по информационна сигурност — МСП, Цели, клауза 3.3, изисква организациите да:
„Създават документирани записи за завършване, за да докажат съответствие със законовите, договорните и одитните изисквания.“
Същата политика за МСП превръща обучението в съхранявана документирана информация. Изисквания за внедряване на политиката, клауза 6.3.2, гласи:
„Централизирана електронна таблица или информационна система за човешки ресурси трябва да поддържа тези записи за минимум три години.“
За корпоративни среди Политика за осведоменост и обучение по информационна сигурност, Цел, клауза 1.2, задава по-структурирано очакване:
„Тази политика подкрепя ISO/IEC 27001 Clause 7.3 и Annex A Control 6.3, като изисква структурирана, базирана на риска рамка за осведоменост и обучение, адаптирана към организационните роли и развиващите се заплахи.“
Тази формулировка е важна: структурирана, базирана на риска, адаптирана към ролите и съобразена със заплахите. Това е разликата между театър на осведомеността и защитима компетентност.
Започнете с ролите, не с курсовете
Най-честата грешка е закупуването на съдържание преди дефинирането на отговорностите. В интегрирана програма за съответствие правилният първи въпрос не е „Коя платформа за обучение да използваме?“. Правилният въпрос е „Кои роли създават, управляват, одобряват, обработват, защитават или възстановяват информационни активи?“
ISO/IEC 27001:2022 Clause 5.3 изисква възлагане и комуникиране на отговорности и правомощия за роли по информационна сигурност. Clause 7.2 изисква компетентност за лицата, извършващи работа под контрола на организацията, въз основа на образование, обучение или опит. Clause 7.3 изисква осведоменост относно политиката за информационна сигурност, приноса към ефективността на СУИС и последиците от несъответствие.
В Zenith Blueprint, Основи и лидерство на СУИС, Step 5: Комуникация, осведоменост и компетентност, Clarysec превежда това на езика на внедряването:
„Идентифицирайте необходимите компетентности: определете какви знания и умения са необходими за различните роли във вашата СУИС.“
Blueprint дава практически примери: ИТ персоналът може да се нуждае от сигурна конфигурация на сървъри, разработчиците — от сигурно програмиране, отдел „Човешки ресурси“ — от сигурно боравене с лични данни, а общият персонал — от осведоменост за фишинг. Той също подчертава записите:
„Поддържайте записи за компетентност: Clause 7.2 очаква да съхранявате документирана информация като доказателство за компетентност.“
Това означава, че програмата за обучение трябва да започне с матрица „роля към риск“.
| Група роли | Фокус на обучението | Доказателства за съхранение | Стойност за съответствието |
|---|---|---|---|
| Всички служители | Фишинг, хигиена на паролите, MFA, допустима употреба, сигурност на устройствата, докладване на инциденти | Отчет за завършване, резултат от тест, потвърждение за запознаване с политиката, версия на съдържанието | ISO/IEC 27001:2022 Clause 7.3, ISO/IEC 27002:2022 control 6.3, NIS2 Article 21 |
| Висши ръководители и управителен съвет | Управление на киберрискове, задължения по NIS2 Article 20, надзор по DORA, апетит за риск, решения при криза | Запис за присъствие, пакет за управителния съвет, протоколи, одобрение на програмата | NIS2 Article 20, DORA Article 5, доказателства за лидерство по ISO/IEC 27001:2022 |
| Разработчици | Сигурно програмиране, OWASP Top 10, сигурен SDLC, сигурност на API, обработване на уязвимости, управление на тайни | Завършване на модул, резултати от лабораторни упражнения, контролен списък за сигурно програмиране, доказателства за отстраняване | ISO/IEC 27002:2022 controls 8.25 and 8.28, очаквания на DORA за ИКТ риск |
| ИТ и системни администратори | Привилегирован достъп, протоколиране, управление на уязвимостите, възстановяване от резервно копие, контрол на промените, укрепване на конфигурациите | Запис за завършване, връзка с преглед на достъпа, участие в настолни упражнения | ISO/IEC 27002:2022 controls 8.8 and 8.13, готовност за устойчивост по DORA |
| Човешки ресурси | Поверителност, въвеждане и освобождаване, дисциплинарен процес, обработване на специални категории данни | Запис за обучение на ЧР, контролен списък за въвеждане, потвърждение за запознаване с политиката | Отчетност по GDPR, контроли за персонала по ISO/IEC 27002:2022 |
| Финанси | Измами с плащания, представяне за доставчик, разделение на задълженията, ескалация на подозрителни искания | Завършване на целеви модул, резултати от фишинг симулации | Намаляване на риска от измами, готовност за инциденти по NIS2 и DORA |
| Обслужване на клиенти | Проверка на идентичност, сигурно обработване на тикети, защита на лични данни, пътища за ескалация | Завършване на ролеви модул, извадка от преглед на тикети, потвърждение за поверителност | Отчетност на обработващ лични данни по GDPR, клиентско уверение |
| Екипи за реагиране при инциденти | Класификация, ескалация, запазване на доказателства, регулаторни срокове за уведомяване, научени уроци | Запис от упражнение, доклад по сценарий, възлагане на роля, инструмент за проследяване на действия | NIS2 Article 23, DORA Articles 17 to 19, контроли за инциденти по ISO/IEC 27002:2022 |
| Външни изпълнители със системен достъп | Допустима употреба, канал за докладване, боравене с данни, условия за достъп | Потвърждение от външен изпълнител, запис за въвеждащо обучение, връзка с одобрение на достъп | Уверение относно доставчици, управление на достъпа, договорно съответствие |
Тази матрица не е просто график за обучение. Тя е карта на съответствието, която показва защо различни групи получават различно обучение.
Свържете обучението с веригата от контроли
В Zenith Controls ISO/IEC 27002:2022 control 6.3, Осведоменост, образование и обучение по информационна сигурност, е категоризиран като превантивен контрол, който подкрепя поверителност, цялостност и наличност. Неговата концепция за киберсигурност е Protect, оперативната му способност е Human Resource Security, а областите му на сигурност са Governance и Ecosystem.
Интерпретацията за междурегулаторно съответствие в Zenith Controls е пряка:
„Control 6.3 адресира изискването на NIS2 за обучение и осведоменост по сигурността чрез внедряване на структурирана програма за осведоменост, която обхваща киберхигиена, нововъзникващи заплахи и отговорности на персонала.“
Същото съпоставяне свързва ISO/IEC 27002:2022 control 6.3 с очакванията по GDPR за служители, обработващи лични данни, обучението по ИКТ сигурност по DORA, адаптирано към ролите, и NIST SP 800-53 Rev.5 AT-2, AT-3 и AT-4 за обучение и осведоменост, ролево базирано обучение и записи от обучения.
Ключовият момент е, че control 6.3 не стои самостоятелно. Zenith Controls го свързва с ISO/IEC 27002:2022 control 5.2, Роли и отговорности за информационната сигурност, защото ролите определят кой от какво обучение се нуждае. Свързва го с control 6.8, Докладване на събития по информационна сигурност, защото служителите не могат да докладват това, което не могат да разпознаят. Свързва го и с control 5.36, Съответствие с политики, правила и стандарти за информационна сигурност, защото съответствието зависи от това хората да познават правилата.
Това създава практическа верига от контроли:
- Дефинирайте отговорностите.
- Възложете базово и ролево базирано обучение.
- Докажете завършването.
- Проверете разбирането.
- Наблюдавайте съответствието.
- Коригирайте пропуските.
- Включете научените уроци в третирането на риска и прегледа от ръководството.
Това е важно за NIS2, защото Article 21 изисква анализ на риска, политики, обработване на инциденти, непрекъсваемост на дейността, сигурност на веригата на доставки, сигурно придобиване и поддръжка, оценка на ефективността на контролите, киберхигиена и обучение, криптография, сигурност на човешките ресурси, контрол на достъпа, управление на активите и MFA или сигурна автентикация, когато е приложимо.
То е важно за DORA, защото управлението, управлението на инциденти, реагирането и възстановяването, рискът от трети страни и тестването на устойчивостта работят само ако хората знаят какво да правят преди да настъпи инцидент.
Изградете готов пакет с доказателства за одит
Зрелият пакет с доказателства съдържа повече от журнали за присъствие. Той показва управление, дизайн, предоставяне, завършване, ефективност и подобрение. Clarysec препоръчва структура от шест папки.
| Папка с доказателства | Какво съдържа | Защо е важно |
|---|---|---|
| 01 Управление | Одобрена политика, цели на обучението, одобрение от ръководството, бюджет, годишен план | Показва ангажимент и надзор от ръководството |
| 02 Картиране на роли | Инвентар на ролите, матрица на компетентностите, правила за възлагане на обучение, обхват на външните изпълнители | Доказва риск-базиран и ролево базиран дизайн |
| 03 Учебно съдържание | Презентации за курсове, LMS модули, шаблони за фишинг, бюлетини по сигурността, история на версиите | Показва какво реално е било преподавано |
| 04 Записи за завършване | Експорти от LMS, записи от HRIS, журнали за присъствие, резултати от тестове, потвърждения | Доказва участие и съхранена документирана информация |
| 05 Доказателства за ефективност | Показатели от фишинг симулации, резултати от интервюта, тенденции при докладване на инциденти, резултати от настолни упражнения | Показва дали обучението е променило поведението |
| 06 Подобрение | Коригиращи действия, актуализирани модули, научени уроци, входни данни за преглед от ръководството | Показва непрекъснато подобрение |
Корпоративната политика на Clarysec изисква въвеждащо обучение, ежегодно опреснително обучение и ролево базирани модули. Политика за осведоменост и обучение по информационна сигурност, Изисквания за управление, клауза 5.1.1.2, гласи:
„Включете въвеждащо обучение, ежегодно опреснително обучение и ролево базирани обучителни модули“
Същата политика възлага собственост върху доказателствата. Изисквания за управление, клаузи 5.3.1 и 5.3.1.1, гласят:
„CISO или упълномощено от него лице трябва да поддържа:“
„Записи за завършване за всеки потребител“
За МСП политиката за МСП добавя практична периодичност. Политика за осведоменост и обучение по информационна сигурност — МСП, Изисквания за внедряване на политиката, клауза 6.1.1, гласи:
„Материалите трябва да бъдат практически, подходящи за ролята и актуализирани ежегодно.“
Тя обхваща и обучение, задействано от промяна. Клауза 6.5.1 гласи:
„Когато работните роли се променят или се въвеждат системи, може да се изисква целенасочено обучение за осведоменост (напр. сигурно споделяне на файлове, нови изисквания за защита на данните и минимизиране на данните).“
Тази клауза е особено важна през 2026 г., защото миграцията към облак, AI инструментите, новите платежни интеграции, новите обработващи лични данни и промените в регулаторното докладване могат да променят риска по-бързо от годишния цикъл.
Едноседмичен спасителен план преди одита
Разгледайте доставчик на SaaS или FinTech с 180 души, който се подготвя за надзорен одит по ISO/IEC 27001:2022, надлежна проверка от клиент по DORA, преглед на отчетността по GDPR и клиентски въпроси, породени от NIS2. CISO разполага с една седмица, за да превърне общите записи за завършване в защитим пакет с доказателства.
Ден 1: Потвърдете обхвата и задълженията
Използвайте ISO/IEC 27001:2022 Clauses 4.1 to 4.4, за да потвърдите контекста, заинтересованите страни и обхвата на СУИС. Съберете договорните ангажименти към клиенти, задълженията по GDPR като администратор или обработващ лични данни, очакванията по NIS2 от критични клиенти и исканията за надлежна проверка на ИКТ доставчици, свързани с DORA.
След това превърнете тези задължения в нужди от обучение. GDPR изисква персоналът, който обработва лични данни, да разбира поверителност, минимизиране, срокове за съхранение и ескалация при нарушение. NIS2 изисква киберхигиена, обучение на служителите и управленски надзор. Клиентите, водени от DORA, ще очакват доказателства, че екипите, поддържащи критични услуги, разбират ескалацията при инциденти, устойчивостта, контрола на достъпа, архивирането и възстановяването и координацията с трети страни.
Ден 2: Изградете ролево базираната матрица
Използвайте насоките в Zenith Blueprint и съпоставянията в Zenith Controls за ISO/IEC 27002:2022 controls 5.2 и 6.3. Включете служители, външни изпълнители, привилегировани потребители, разработчици, екипи за поддръжка, човешки ресурси, финанси, висши ръководители и екипи за реагиране при инциденти.
Свържете всяка роля със системите и рисковете. Разработчиците получават сигурно програмиране и обработване на уязвимости. Екипите за поддръжка получават проверка на идентичност и сигурно обработване на тикети. Финансите получават обучение за измами с плащания и проверка на промени при доставчици. Висшите ръководители получават управление, правна отчетност, апетит за риск и вземане на решения при криза.
Ден 3: Съгласувайте политиката и възлаганията
Приемете или актуализирайте подходящата политика на Clarysec. Използвайте политиката за МСП за лек оперативен модел или корпоративната политика за по-силно управление и собственост върху доказателствата. Потвърдете, че политиката включва въвеждащо обучение, ежегодни опреснителни обучения, ролево базирани модули, съхранение на доказателства, покритие на външни изпълнители и обучение, задействано от промени.
Публикувайте политиката, съберете потвърждения и свържете обучителните модули с групите длъжности в HRIS или LMS.
Ден 4: Проведете целенасочено обучение
Не обучавайте всички по всичко. Обучете всички по базовите контроли, след което възложете ролево-специфични модули.
Базовият модул трябва да обхваща фишинг и социално инженерство, хигиена на паролите и MFA, допустима употреба, сигурно боравене с информация, канали за докладване на инциденти, докладване на загубено устройство и основи на защитата на данните.
Ролево-специфичните модули трябва да обхващат сигурен SDLC за разработчици, привилегирован достъп и възстановяване от резервни копия за ИТ, данни на служители за човешки ресурси, измами с плащания за финанси, класификация на инциденти за екипите за реагиране и управление по NIS2 и DORA за висши ръководители.
Ден 5: Експортирайте и валидирайте доказателствата
Създайте пакета с доказателства от шест папки. Експортирайте отчетите за завършване, резултатите от тестове, номерата на версиите на курсовете, потвържденията за запознаване с политиката и графиците за обучение. Идентифицирайте незавършените обучения и открийте коригиращи действия.
След това проверете разбирането чрез интервюта. Попитайте служители от различни отдели:
- Какво обучение по сигурност завършихте?
- Как докладвате подозрителен имейл?
- Какво бихте направили, ако загубите лаптоп?
- Къде можете да намерите политиката за информационна сигурност?
- Какви лични данни обработвате в своята роля?
Запишете резултатите като извадка за вътрешен одит. Одиторите често използват интервюта, за да проверят дали осведомеността е усвоена, а не само предоставена.
Ден 6: Свържете обучението с реагирането при инциденти
Използвайте обучението за докладване на инциденти като мост към ISO/IEC 27002:2022 control 6.8, NIS2 Article 23 и DORA Articles 17 to 19.
NIS2 Article 23 изисква поетапно докладване за значителни инциденти, включително ранно предупреждение в рамките на 24 часа от узнаването, уведомление в рамките на 72 часа и окончателен доклад в рамките на един месец. DORA изисква сериозните свързани с ИКТ инциденти да бъдат класифицирани, ескалирани, комуникирани и докладвани през изисквания жизнен цикъл на докладване.
Служителите не трябва да запаметяват правните срокове, но трябва да докладват подозирани инциденти достатъчно бързо, за да може организацията да ги спази.
В Zenith Blueprint, Контроли в действие, Step 16: Контроли за персонала II, Clarysec посочва:
„Ефективната система за реагиране при инциденти започва не с инструменти, а с хора.“
Това не е мека препоръка. Това е оперативна устойчивост.
Ден 7: Подгответе одитния разказ
Финалният одитен разказ трябва да бъде кратък и подкрепен с доказателства:
„Идентифицирахме нуждите от обучение въз основа на ролите в СУИС, законовите и договорните задължения, резултатите от оценката на риска и системния достъп. Възложихме базови и ролево базирани модули чрез LMS. Съхранихме записи за завършване, резултати от тестове, версии на съдържанието и потвърждения. Проверихме ефективността чрез фишинг симулации, интервюта и показатели за докладване на инциденти. Незавършените обучения се проследяват като коригиращо действие. Ръководството преглежда програмата ежегодно и след значими промени.“
Подкрепен с доказателства, този разказ може да издържи на одитни въпроси по ISO/IEC 27001:2022, управленски контрол по NIS2, клиентска надлежна проверка по DORA, преглед на отчетността по GDPR и оценка на контролите в стил NIST.
Съпоставяне на обучението за осведоменост по сигурността с различни изисквания за съответствие
Осведомеността по сигурността често се класифицира неправилно като задача на човешките ресурси. На практика тя е контрол за междурегулаторно съответствие, който засяга управление, управление на риска, поверителност, реагиране при инциденти, уверение относно доставчици и устойчивост.
| Рамка или регулация | Значение на обучението | Точка на внедряване в Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Компетентност, осведоменост, лидерство, възлагане на роли, документирана информация, мониторинг, вътрешен одит и подобрение | Zenith Blueprint Step 5 и Step 15, клаузи в политиката за въвеждащо обучение, ежегодни опреснителни обучения, ролево базирано обучение и доказателства |
| ISO/IEC 27002:2022 | Control 6.3 осведоменост, образование и обучение, свързани с 5.2 роли, 6.8 докладване на събития и 5.36 мониторинг на съответствието | Zenith Controls картографира атрибути, свързани контроли, одитни очаквания и съгласуване между рамки |
| NIS2 | Обучение на ръководството, обучение на служителите по киберсигурност, киберхигиена, готовност за инциденти и управленска отчетност | Модул за управителния съвет, базово обучение за служители, модул за докладване на инциденти, доказателства за одобрение от ръководството |
| DORA | ИКТ управление, надзор от ръководството, обучение и развитие, ескалация при инциденти, тестване на устойчивостта и очаквания към трети страни | Обучение за висши ръководители, ролеви модули за ИКТ, обучение на екипи за реагиране при инциденти, пакет с доказателства за доставчици |
| GDPR | Отчетност, сигурно обработване, осведоменост по роли, свързани с поверителността, разпознаване на нарушения и боравене с лични данни | Обучение по поверителност за човешки ресурси, поддръжка, продажби, инженерни и инцидентни екипи |
| NIST CSF 2.0 | Функция GOVERN, роли, политики, правни задължения, надзор, профили и планиране на подобрения | Текущ и целеви профил на обучението, регистър на пропуските и приоритизиран план за действие |
| NIST SP 800-53 Rev.5 | Обучение за осведоменост, ролево базирано обучение и записи от обучение | Съпоставяне с AT-2, AT-3 и AT-4 чрез Zenith Controls |
| Уверение, информирано от COBIT 2019 | Цели на управлението, отчетност, способности, показатели за изпълнение и докладване към ръководството | KPI за обучение, собственост на роли, преглед от ръководството и приключване на коригиращи действия |
NIST CSF 2.0 е особено полезен за организации, които трябва да обясняват зрялост на заинтересовани страни извън ISO. Неговият метод Organizational Profiles подпомага планирането на текущо и целево състояние. Например Current Profile може да посочва, че съществува базова осведоменост, но обучението по сигурно програмиране за разработчици е непълно. Target Profile може да изисква всички разработчици да завършат обучение по сигурно програмиране, оповестяване на уязвимости и управление на тайни до Q3.
Как одитори и регулатори проверяват доказателствата за обучение
Различните проверяващи задават различни въпроси, но всички проверяват една и съща истина: знае ли организацията какво трябва да правят хората и може ли да докаже, че те са подготвени да го направят?
Одитор по ISO/IEC 27001:2022 ще свърже доказателствата за обучение с Clauses 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 и 10.2, плюс controls от Annex A. Очаквайте въпроси за това как са определени изискванията за компетентност, как служителите познават политиката за информационна сигурност, как се обучават новопостъпилите служители и външните изпълнители, как се обработва незавършването, как ролево базираното обучение се свързва с оценката на риска и Декларацията за приложимост и как се оценява ефективността.
Zenith Controls отбелязва, че одиторите, използващи ISO/IEC 19011:2018, ще преглеждат учебната програма, графиците, материалите, записите за присъствие, сертификатите за завършване и компетентността на обучителите. То също отбелязва, че одиторите по ISO/IEC 27007:2020 могат да използват интервюта, за да определят дали служителите знаят как да докладват инциденти и дали си спомнят ключови послания от обучението.
Преглед, фокусиран върху NIS2, ще гледа отвъд процентите на завършване. Той ще попита дали управителният орган е одобрил и наблюдавал мерките за управление на риска за киберсигурността, дали ръководството е преминало обучение, дали обучението на персонала по киберхигиена е редовно и дали докладването на инциденти е разбрано. Article 21 също изисква процедури за оценка на ефективността на мерките за управление на риска за киберсигурността, така че показателите за фишинг, тенденциите при докладване на инциденти и одитните констатации стават доказателства за ефективност на контролите.
Преглед по DORA, особено от финансов клиент, който оценява ИКТ доставчик, ще се фокусира върху оперативната устойчивост. Очаквайте въпроси за персонала, поддържащ критични финансови услуги, записите от обучение за екипи, управляващи платежни системи, обучението на ръководството относно ИКТ риск от трети страни, класификацията на инциденти по DORA Article 18 и обучението на външни изпълнители за достъп до клиентска среда.
Преглед по GDPR ще се фокусира върху отчетността. Организацията трябва да покаже, че персоналът, който обработва лични данни, разбира законосъобразно обработване, поверителност, минимизиране, срокове за съхранение, сигурно боравене и ескалация при нарушение. За SaaS, FinTech и доставчици на управлявани услуги доказателствата за обучение са част от доказването, че изискванията за поверителност са вградени в оперативното поведение.
Показатели, които доказват ефективността на контролите
Завършването е необходимо, но не е достатъчно. По-силното табло за 2026 г. показва дали обучението е подобрило поведението.
| Показател | Какво показва | Одитна интерпретация |
|---|---|---|
| Завършване по роли | Дали възложените групи са завършили изискваните модули | Базово съответствие и покритие |
| Завършване от новопостъпили служители в целевия срок | Дали контролите за въвеждане работят | Зрялост на човешките ресурси и управлението на достъпа |
| Завършване на обучение от привилегировани потребители | Дали високорисковите потребители са подготвени | Приоритизация, базирана на риска |
| Честота на кликване и докладване при фишинг симулации | Дали поведението се подобрява | Ефективност на осведомеността |
| Доклади за инциденти от служители | Дали хората разпознават и докладват събития | Връзка с готовността за инциденти |
| Време от подозрителен имейл до докладване | Дали докладването подкрепя регулаторните срокове | Готовност за NIS2 и DORA |
| Повтарящо се незавършване | Дали прилагането и ескалацията работят | Мониторинг на съответствието |
| Актуализации на обучението след инциденти или промени | Дали научените уроци водят до подобрение | Непрекъснато подобрение |
Тези показатели подкрепят ISO/IEC 27001:2022 Clause 9.1 за мониторинг и измерване, Clause 9.2 за вътрешен одит, Clause 10.1 за непрекъснато подобрение и Clause 10.2 за несъответствие и коригиращо действие. ISO/IEC 27002:2022 control 5.36 потвърждава, че съответствието с политики, правила и стандарти трябва да се наблюдава, оценява и коригира.
Чести констатации, които Clarysec вижда при одити
Едни и същи слабости се появяват многократно.
Организациите обучават служителите, но забравят висшите ръководители. По NIS2 и DORA обучението на ръководството е част от управлението, а не бонус за зрялост.
Организациите провеждат годишно обучение, но игнорират промени в ролите. Инженер от поддръжката, който преминава към DevOps, се нуждае от обучение за привилегирован достъп, протоколиране, архивиране и ескалация при инциденти.
Организациите включват служителите, но забравят външните изпълнители. Zenith Blueprint Step 15 препоръчва обучението да се разшири към външни изпълнители или трети страни, които имат достъп до системи или данни.
Организациите преподават докладване на инциденти, но създават страх. Ако персоналът вярва, че ще бъде наказан за кликване върху фишинг връзка, той може да замълчи. Zenith Blueprint Step 16 подчертава прости канали за докладване, докладване, подкрепено от осведоменост, и култура без обвинения.
Организациите не могат да докажат управление на версиите на съдържанието. Ако одиторът попита какво са завършили служителите през март, текущата презентация в SharePoint не е достатъчна. Съхранявайте предоставената версия.
Организациите не успяват да свържат обучението с третирането на риска. Ако ransomware, измами с плащания, неправилна конфигурация на облак или изтичане на данни са сред най-значимите рискове, планът за обучение трябва да показва целево третиране за съответните роли.
Къде се вписва Clarysec
Clarysec помага на организациите да изградят една защитима програма вместо пет несвързани пътеки за съответствие.
Политика за осведоменост и обучение по информационна сигурност — МСП дава на по-малките организации практичен базов набор: ролево базирани очаквания, документирани записи, годишни актуализации, обучение, задействано от промени, и срок за съхранение от минимум три години.
Корпоративната Политика за осведоменост и обучение по информационна сигурност дава на по-големите организации по-силно управление: структурирана, базирана на риска осведоменост, въвеждащо обучение, ежегодни опреснителни обучения, ролево базирани модули, собственост на CISO върху записите и готовност за регулаторни проверки по GDPR, DORA и NIS2.
Zenith Blueprint казва на екипите по внедряване какво да правят последователно. Step 5 вгражда компетентността и осведомеността в основата на СУИС. Step 15 операционализира ISO/IEC 27002:2022 control 6.3 с годишно обучение, ролево-специфични модули, въвеждащо обучение, фишинг симулации, доказателства за участие, целеви бюлетини, обучение на външни изпълнители и поведенческо затвърждаване. Step 16 свързва осведомеността с докладване на инциденти, водено от персонала.
Zenith Controls предоставя на екипите по съответствието съпоставката между рамките. То свързва ISO/IEC 27002:2022 control 6.3 с роли, докладване на събития, мониторинг на съответствието, рискове, свързани с човешкия фактор по ISO/IEC 27005:2024, очаквания за обучение по GDPR, NIS2 Article 21, ИКТ обучение по DORA, контроли за осведоменост по NIST и одитни методологии. Свързва също control 5.2 с управленските отговорности и control 5.36 с мониторинг на съответствието и коригиращо действие.
Заедно тези ресурси позволяват на CISO да обясни не само какво обучение се е случило, а защо се е случило, кой го е изисквал, какъв риск е третирало, как е доказано и как се подобрява.
Направете доказателствата за обучение по сигурност готови за одит сега
Ако текущите ви доказателства са електронна таблица, набор от слайдове и надежда, че служителите помнят имейла за докладване, сега е моментът да ги развиете.
Започнете с четири действия тази седмица:
- Създайте матрица за ролево базирано обучение, свързана с отговорностите в СУИС, системния достъп и регулаторните задължения.
- Приемете или актуализирайте политиката си за осведоменост на Clarysec, като използвате Политика за осведоменост и обучение по информационна сигурност — МСП или Политика за осведоменост и обучение по информационна сигурност.
- Изградете пакета с доказателства от шест папки за управление, картиране на роли, съдържание, завършване, ефективност и подобрение.
- Използвайте Zenith Blueprint и Zenith Controls, за да съпоставите доказателствата за обучение с одитните очаквания по ISO/IEC 27001:2022, NIS2, DORA, GDPR и NIST.
Осведомеността по сигурността е ценна, когато променя поведението. Доказателствата за съответствие са ценни, когато доказват това поведение последователно.
Clarysec ви помага да изградите и двете.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
