Plán obnovy po neúspěšném auditu ISO 27001:2022
E-mail, který nikdo nechtěl dostat
E-mail přijde pozdě v pátek s předmětem, který zní neškodně: „Výsledek přechodového auditu.“
Text zprávy neškodný není. Certifikační orgán vznesl závažnou neshodu. Certifikát ISO/IEC 27001 je pozastaven nebo nelze uzavřít rozhodnutí o přechodu. Poznámka auditora je přímočará: Prohlášení o použitelnosti neodůvodňuje vyloučená opatření, posouzení rizik neodráží aktuální kontext a neexistují dostatečné důkazy, že byly zohledněny nové regulatorní povinnosti.
Během hodiny už nejde jen o problém souladu. Obchodní tým se ptá, zda je nyní ohrožena veřejná zakázka. Právní oddělení přezkoumává ustanovení zákaznických smluv. CISO vysvětluje, proč SoA nesedí na plán ošetření rizik. CEO položí jedinou otázku, na které záleží: „Jak rychle to dokážeme napravit?“
Pro mnoho organizací neznamenalo uplynutí termínu přechodu na ISO 27001:2022 teoretickou mezeru. Vytvořilo skutečný problém kontinuity činností. Zmeškaný nebo neúspěšný přechodový audit ISO 27001:2022 může ovlivnit způsobilost k účasti ve výběrových řízeních, onboarding dodavatele, kybernetické pojištění, programy zákaznického ujištění, připravenost na NIS2, očekávání DORA, odpovědnost podle GDPR a důvěru řídicích orgánů.
Dobrou zprávou je, že obnova je možná. Špatnou zprávou je, že kosmetické úpravy dokumentů nepomohou. Obnova musí být řízena jako disciplinovaný program nápravných opatření v ISMS, nikoli jako uspěchané přepsání politik.
V Clarysec tuto obnovu stavíme na třech propojených aktivech:
- Zenith Blueprint: 30krokový plán auditora, zejména na fázi Audit, přezkum a zlepšování.
- Knihovně podnikových politik a politik pro malé a střední podniky Clarysec, která převádí auditní zjištění na řízené povinnosti.
- Zenith Controls: průvodce průřezovým souladem, který pomáhá propojit očekávání opatření ISO/IEC 27002:2022 s NIS2, DORA, GDPR, ujišťováním ve stylu NIST a perspektivami správy a řízení podle COBIT 2019.
Toto je praktický plán obnovy pro CISO, manažery compliance, auditory, zakladatele a vlastníky společností, kteří zmeškali termín přechodu na ISO 27001:2022 nebo neuspěli v přechodovém auditu.
Nejprve diagnostikujte typ selhání
Než upravíte jedinou politiku, klasifikujte situaci. Ne každý neúspěšný nebo zmeškaný přechod má stejný dopad na organizaci ani stejnou cestu obnovy. Prvních 24 hodin se musí zaměřit na získání zprávy z auditu, rozhodnutí certifikačního orgánu, přesného znění neshody, požadavků na důkazy, termínů a aktuálního stavu certifikátu.
| Situace | Dopad na organizaci | Okamžitý krok |
|---|---|---|
| Přechodový audit selhal se závažnou neshodou | Certifikační rozhodnutí může být zablokováno nebo certifikát může být pozastaven, dokud nebude problém odstraněn | Otevřít CAPA, provést analýzu kořenové příčiny, potvrdit očekávání ohledně důkazů s certifikačním orgánem |
| Přechodový audit prošel s drobnými neshodami | Certifikace může pokračovat, pokud jsou nápravná opatření akceptována | Rychle uzavřít drobné CAPA a aktualizovat důkazní balíček ISMS |
| Přechod nebyl dokončen před termínem | Certifikát již nemusí být platný nebo uznávaný | Potvrdit stav u certifikačního orgánu a naplánovat cestu přechodu nebo recertifikace |
| Dozorový audit odhalil slabé důkazy k přechodu | Certifikace může být ohrožena při dalším rozhodovacím bodu | Provést simulovaný audit a aktualizovat SoA, ošetření rizik, přezkoumání vedením a záznamy interního auditu |
| Zákazník odmítl váš certifikát nebo důkazy k přechodu | Obchodní riziko, riziko výběrového řízení a dopad na důvěru | Připravit balíček ujištění pro zákazníka se stavem auditu, plánem CAPA, cílovými termíny a schválením v rámci správy a řízení |
Plán obnovy závisí na typu selhání. Zablokované certifikační rozhodnutí vyžaduje cílenou nápravu. Pozastavený certifikát vyžaduje urgentní obnovu správy a řízení důkazů. Odebraný nebo expirovaný certifikát může vyžadovat širší recertifikační postup.
V každém případě namapujte každý problém na příslušnou kapitolu ISMS, opatření Annex A, záznam rizika, vlastníka politiky, právní nebo smluvní povinnost a zdroj důkazů.
Zde je ISO/IEC 27001:2022 důležitá jako systém řízení, nikoli pouze jako katalog opatření. Kapitoly 4 až 10 vyžadují, aby ISMS rozuměl kontextu, zainteresovaným stranám, rozsahu, vedení, plánování rizik, podpoře, provozu, hodnocení výkonnosti a neustálému zlepšování. Pokud přechod selhal, obvykle je přerušen některý z těchto článků systému řízení.
Proč přechodové audity ISO 27001:2022 selhávají
Neúspěšné přechodové audity se obvykle soustředí kolem opakujících se vzorců. Mnohé z nich nejsou hluboce technické. Jde o selhání správy a řízení, dohledatelnosti, vlastnictví a důkazů.
| Vzorec zjištění | Co auditor vidí | Co to obvykle znamená |
|---|---|---|
| Prohlášení o použitelnosti není aktualizované nebo odůvodněné | Opatření jsou označena jako použitelná bez odůvodnění nebo vyloučena bez důkazů | Výběr opatření není dohledatelný k riziku, regulaci nebo obchodní potřebě |
| Posouzení rizik neodráží aktuální povinnosti | Chybí NIS2, DORA, GDPR, zákaznické smlouvy, cloudové závislosti nebo dodavatelské riziko | Kontext a kritéria rizik nebyly aktualizovány |
| Přezkoumání vedením je povrchní | Zápisy existují, ale neřeší rozhodnutí, zdroje, cíle, výsledky auditu ani změny rizik | Odpovědnost vedení v praxi nefunguje |
| Interní audit netestoval rozsah přechodu | Kontrolní seznam auditu je obecný a nepokrývá aktualizovaná opatření, dodavatele, cloud, odolnost ani právní povinnosti | Hodnocení výkonnosti není dostatečné |
| Opatření pro dodavatele a cloud jsou slabá | Chybí náležitá péče, přezkum smluv, plánování ukončení nebo průběžné monitorování | Provozní řízení externě poskytovaných služeb není úplné |
| Reakce na incidenty není sladěna s regulatorním oznamováním | Chybí eskalační logika 24 hodin nebo 72 hodin, rozhodovací strom DORA nebo GDPR, důkazy o cvičeních | Řízení incidentů není propojeno s právním oznamováním |
| Proces CAPA je slabý | Zjištění jsou uzavírána pouze úpravami dokumentů | Kořenová příčina nebyla odstraněna |
Neúspěšný audit signalizuje, že se ISMS nepřizpůsobil dostatečně rychle skutečnému provoznímu prostředí organizace.
ISO/IEC 27005:2022 je při obnově užitečná, protože zdůrazňuje význam stanovení kontextu pomocí právních, regulatorních, odvětvových, smluvních, interních a stávajících požadavků na opatření. Podporuje také kritéria rizik, která zohledňují právní povinnosti, dodavatele, ochranu soukromí, lidské faktory, obchodní cíle a ochotu podstupovat riziko schválenou vedením.
Prakticky řečeno, obnova po přechodu začíná aktualizovaným kontextem a kritérii rizik, nikoli novým číslem verze na starém dokumentu.
Krok 1: Stabilizujte auditní stopu a vytvořte řídicí centrum obnovy
První provozní chybou po neúspěšném auditu je chaos v důkazech. Týmy začnou prohledávat e-mailové schránky, sdílené disky, ticketovací systémy, chatové zprávy, osobní složky a staré auditní balíčky. Auditoři to vykládají jako známku toho, že ISMS není řízený.
Verze pro malé a střední podniky Politiky monitorování auditu a souladu od Clarysec je ohledně řízení důkazů jednoznačná:
„Veškeré důkazy musí být uloženy v centralizované auditní složce.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.1.
Tato centralizovaná auditní složka se stává řídicím centrem obnovy. Měla by obsahovat:
- Zprávu certifikačního orgánu a korespondenci.
- Potvrzení stavu certifikátu.
- Registr neshod.
- Evidenci CAPA.
- Aktualizované posouzení rizik.
- Aktualizovaný plán ošetření rizik.
- Aktualizované Prohlášení o použitelnosti.
- Zprávu interního auditu.
- Zápis z přezkoumání vedením.
- Záznamy o schválení politik.
- Důkazy pro každé použitelné opatření Annex A.
- Balíček ujištění pro zákazníka, pokud jsou dotčeny obchodní závazky.
Pro podniková prostředí stanovuje Politika monitorování auditu a souladu od Clarysec stejná očekávání v oblasti správy a řízení:
„Všechna zjištění musí vést k dokumentovanému CAPA, které zahrnuje:“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.1.
Formulace zavádí strukturované očekávání pro nápravná opatření. Podstata je jednoduchá: každé zjištění auditu se musí stát řízenou položkou CAPA, nikoli neformálním úkolem v něčím zápisníku.
U malých a středních podniků je stejně důležité zapojení vedení:
„Generální ředitel (GM) musí schválit plán nápravných opatření a sledovat jeho implementaci.“
Z Politiky monitorování auditu a souladu pro malé a střední podniky, sekce „Požadavky na správu a řízení“, ustanovení politiky 5.4.2.
Je to důležité, protože ISO 27001:2022 nepovažuje vedení za symbolickou roli. Vrcholové vedení musí stanovit politiku, sladit cíle s obchodní strategií, poskytnout zdroje, komunikovat význam bezpečnosti informací, přiřadit odpovědnosti a podporovat neustálé zlepšování.
Pokud je neúspěšný přechod pojat jako „problém člověka odpovědného za compliance“, další audit znovu odhalí slabou odpovědnost vedení.
Krok 2: Znovu sestavte kontext, povinnosti a riziko
Neúspěšný přechodový audit často znamená, že kontext ISMS již neodráží realitu organizace. Organizace se mohla přesunout na cloudové platformy, přidat nové dodavatele, vstoupit na regulované trhy, zpracovávat více osobních údajů nebo se stát relevantním dodavatelem pro zákazníky podléhající NIS2 nebo DORA. Pokud tyto změny v ISMS chybí, posouzení rizik a SoA budou neúplné.
Politika právního a regulatorního souladu od Clarysec stanovuje základní požadavek:
„Všechny právní a regulatorní povinnosti musí být namapovány na konkrétní politiky, opatření a vlastníky v rámci systému řízení bezpečnosti informací (ISMS).“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.1.
Toto ustanovení je po selhání přechodu zásadní. Kapitoly ISO 27001:2022 4.1 až 4.3 vyžadují, aby organizace zohlednila interní a externí otázky, zainteresované strany, požadavky, rozhraní, závislosti a rozsah. Právní, regulatorní a smluvní povinnosti nejsou poznámky na okraji. Utvářejí ISMS.
NIS2 Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření, včetně analýzy rizik, politik, zvládání incidentů, zálohování, obnovy po havárii, krizového řízení, zabezpečení dodavatelského řetězce, bezpečného vývoje, zvládání zranitelností, posuzování účinnosti, kybernetické hygieny, školení, kryptografie, personální bezpečnosti, řízení přístupu, správy aktiv a bezpečné komunikace. Article 20 ukládá odpovědnost na úrovni řídicích orgánů. Article 23 zavádí postupné oznamování významných incidentů, včetně včasného varování, oznámení incidentu, průběžných aktualizací a závěrečné zprávy.
DORA se přímo použije na finanční subjekty od 17. ledna 2025 a pokrývá řízení rizik v oblasti ICT, hlášení závažných incidentů, testování odolnosti, riziko třetích stran v oblasti ICT, smluvní požadavky a dohled nad kritickými poskytovateli ICT služeb z řad třetích stran. Pro finanční subjekty v působnosti se DORA stává klíčovým hybatelem správy ICT, řízení dodavatelů, testování, klasifikace incidentů a odpovědnosti vedení.
GDPR doplňuje odpovědnost za osobní údaje. Article 5 vyžaduje zákonné, korektní, transparentní, účelově omezené, přesné a bezpečné zpracování se zohledněním omezení uložení a prokazatelnosti souladu. Article 4 definuje porušení zabezpečení osobních údajů způsobem, který přímo ovlivňuje klasifikaci incidentů. Article 6 vyžaduje mapování právního základu a Article 9 doplňuje zvýšené požadavky pro zvláštní kategorie údajů.
To neznamená vytvářet oddělené světy compliance. Znamená to používat ISO 27001:2022 jako integrovaný systém řízení a mapovat povinnosti do jedné architektury rizik a opatření.
Politika řízení rizik od Clarysec propojuje ošetření rizik přímo s výběrem opatření:
„Rozhodnutí o opatřeních vyplývající z procesu ošetření rizik musí být promítnuta do SoA.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.5.1.
Neúspěšný audit je také důvodem k přezkumu samotného procesu řízení rizik. Verze Politiky řízení rizik pro malé a střední podniky od Clarysec identifikuje tento spouštěč:
„Závažný incident nebo zjištění auditu odhalí mezery v řízení rizik“
Ze sekce „Požadavky na přezkoumávání a aktualizaci“, ustanovení politiky 9.2.1.1.
V režimu obnovy to znamená, že registr rizik, kritéria rizik, plán ošetření a SoA musí být znovu sestaveny společně.
Krok 3: Opravte SoA jako páteř dohledatelnosti
U většiny neúspěšných přechodů je Prohlášení o použitelnosti prvním dokumentem ke kontrole. Je také jedním z prvních dokumentů, které auditoři vzorkují. Slabé SoA auditorovi říká, že výběr opatření není založen na rizicích.
Zenith Blueprint poskytuje praktickou instrukci ve fázi Audit, přezkum a zlepšování, krok 24, Audit, přezkum a zlepšování:
„Vaše SoA by mělo být konzistentní s registrem rizik a plánem ošetření rizik. Znovu ověřte, že každé opatření, které jste zvolili jako ošetření rizika, je v SoA označeno jako ‚použitelné‘. Naopak, pokud je opatření v SoA označeno jako ‚použitelné‘, měli byste pro něj mít odůvodnění – obvykle namapované riziko, právní/regulatorní požadavek nebo obchodní potřebu.“
Ze Zenith Blueprint: 30krokový plán auditora, fáze Audit, přezkum a zlepšování, krok 24.
To je princip obnovy. SoA není formalita. Je to páteř dohledatelnosti mezi riziky, povinnostmi, opatřeními, důkazy implementace a auditními závěry.
Praktická oprava SoA by měla proběhnout v tomto pořadí:
- Exportujte aktuální SoA.
- Přidejte sloupce pro ID rizika, regulatorní povinnost, obchodní požadavek, odkaz na politiku, umístění důkazů, vlastníka, stav implementace a datum posledního testování.
- U každého použitelného opatření namapujte alespoň jedno obhajitelné odůvodnění.
- U každého vyloučeného opatření napište konkrétní důvod vyloučení.
- Sesúlaďte SoA s plánem ošetření rizik.
- Sesúlaďte SoA s výsledky interního auditu.
- Položte si tvrdou otázku: pokud auditor vybere tento řádek, dokážeme jej prokázat do pěti minut?
Obhajitelný řádek SoA by měl vypadat takto:
| Pole SoA | Příklad záznamu při obnově |
|---|---|
| Odůvodnění opatření | Použitelné z důvodu cloudového hostingu, zpracovatele plateb, outsourcované podpory a smluvních bezpečnostních závazků vůči zákazníkům |
| Vazba na riziko | R-014 narušení služby třetí strany, R-021 expozice dat u dodavatele, R-027 regulatorní porušení způsobené selháním zpracovatele |
| Vazba na povinnost | zabezpečení dodavatelského řetězce podle NIS2, riziko třetích stran v oblasti ICT podle DORA, kde je relevantní, odpovědnost zpracovatele podle GDPR |
| Vazba na politiku | bezpečnostní politika pro dodavatele a poskytovatele služeb třetích stran, postup přezkumu smluv, kontrolní seznam hodnocení dodavatele |
| Důkazy | registr dodavatelů, hodnocení rizik, dotazník náležité péče, podepsaná DPA, přezkum zprávy SOC, plán ukončení, záznam každoročního přezkumu |
| Vlastník | manažer dodavatelů, CISO, právní oddělení |
| Testování | dokončen vzorek interního auditu pěti nejvýznamnějších kritických dodavatelů, výjimky zaznamenány v CAPA |
| Stav | Implementováno se dvěma otevřenými nápravnými opatřeními pro aktualizace smluv |
Tento řádek vypráví příběh obnovy. Ukazuje obchodní kontext, logiku rizik, regulatorní relevanci, vlastnictví, implementaci, testování a zbývající opatření.
U vyloučení platí stejná disciplína. Pokud například organizace neprovádí interní vývoj softwaru, vyloučení opatření ISO/IEC 27002:2022 8.25 Secure development life cycle a opatření 8.28 Secure coding může být obhajitelné, ale pouze tehdy, pokud je to pravdivé, zdokumentované a podložené důkazy, že software je komerční hotový produkt nebo je plně outsourcován s příslušnými opatřeními pro dodavatele.
Krok 4: Proveďte analýzu kořenové příčiny, ne kosmetické úpravy dokumentů
Neúspěšný přechodový audit je zřídka způsoben jedním chybějícím souborem. Obvykle je způsoben nefunkčním procesem.
Zenith Blueprint, fáze Audit, přezkum a zlepšování, krok 27, Zjištění auditu – analýza a kořenová příčina, uvádí:
„U každé identifikované neshody (závažné nebo drobné) přemýšlejte, proč k ní došlo – to je klíčové pro účinnou nápravu.“
Ze Zenith Blueprint, fáze Audit, přezkum a zlepšování, krok 27.
Pokud zjištění říká „chybí odůvodnění v SoA“, korekcí může být aktualizace SoA. Kořenovou příčinou však může být to, že vlastníci aktiv nebyli zapojeni do posouzení rizik, právní povinnosti nebyly namapovány nebo tým compliance udržoval SoA izolovaně.
Užitečná tabulka obnovy odděluje slabé korekce od skutečných nápravných opatření:
| Zjištění auditu | Špatná korekce | Správná otázka ke kořenové příčině | Lepší nápravné opatření |
|---|---|---|---|
| SoA není sladěno s ošetřením rizik | Aktualizovat formulaci v SoA | Proč SoA nebylo sladěno s ošetřením rizik? | Zavést čtvrtletní sesouhlasení SoA a rizik ve vlastnictví manažera ISMS |
| Žádná hodnocení dodavatelů | Nahrát jeden dotazník | Proč nebyli dodavatelé přezkoumáni? | Přiřadit vlastníka dodavatele, definovat rizikové úrovně, dokončit přezkumy, každoročně monitorovat |
| Přezkoumání vedením je neúplné | Zpětně doplnit bod programu | Proč přezkoumání vedením nepokrývalo stav přechodu? | Aktualizovat šablonu přezkoumání vedením a naplánovat čtvrtletní přezkum správy a řízení |
| Hlášení incidentů nebylo testováno | Upravit postup pro incidenty | Proč nebylo oznamování procvičeno? | Provést tabletop cvičení s rozhodovacími body NIS2, DORA a GDPR a uchovat důkazy |
| Interní audit byl příliš úzký | Rozšířit kontrolní seznam | Proč plánování auditu minulo rozsah přechodu? | Schválit plán auditu založený na rizicích pokrývající regulaci, dodavatele, cloud a odolnost |
Zde se vrací důvěryhodnost. Auditoři neočekávají dokonalost. Očekávají řízený systém, který detekuje, opravuje, učí se a zlepšuje.
Krok 5: Vybudujte CAPA, kterému auditor může důvěřovat
Nápravná a preventivní opatření jsou oblastí, kde mnoho organizací znovu získá kontrolu. Registr CAPA by se měl stát plánem obnovy a hlavním důkazem, že neúspěšný audit byl řešen systematicky.
Zenith Blueprint, fáze Audit, přezkum a zlepšování, krok 29, Neustálé zlepšování, vysvětluje strukturu:
„Ujistěte se, že každé nápravné opatření je konkrétní, přiřaditelné a časově omezené. V podstatě vytváříte malý projekt pro každý problém.“
Ze Zenith Blueprint, fáze Audit, přezkum a zlepšování, krok 29.
Vaše evidence CAPA by měla obsahovat:
- ID zjištění.
- Zdrojový audit.
- Odkaz na kapitolu nebo opatření.
- Závažnost.
- Popis problému.
- Okamžitou korekci.
- Kořenovou příčinu.
- Nápravné opatření.
- Preventivní opatření, pokud je relevantní.
- Vlastníka.
- Termín splnění.
- Požadované důkazy.
- Stav.
- Ověření účinnosti.
- Schválení vedením.
Politika monitorování auditu a souladu pro malé a střední podniky od Clarysec také identifikuje závažnou neshodu jako spouštěč přezkumu:
„Certifikační audit nebo dozorový audit vede k závažné neshodě“
Ze sekce „Požadavky na přezkoumávání a aktualizaci“, ustanovení politiky 9.2.2.
Pokud přechodový audit vytvořil závažnou neshodu, přezkoumejte samotný proces monitorování auditu a souladu. Proč interní audit problém nezjistil dříve? Proč jej přezkoumání vedením neeskalovalo? Proč SoA neodhalilo mezeru v důkazech?
Tak se neúspěšný audit stává silnějším ISMS.
Krok 6: Použijte Zenith Controls k propojení ISO důkazů s průřezovým souladem
Opakovaný audit neprobíhá izolovaně. Zákazníci, regulátoři, pojišťovny a interní týmy správy a řízení mohou na stejné důkazy nahlížet z různých úhlů. Zde má Zenith Controls hodnotu jako průvodce průřezovým souladem. Pomáhá týmům přestat zacházet s ISO 27001, NIS2, DORA, GDPR, ujišťováním ve stylu NIST a správou podle COBIT 2019 jako s oddělenými kontrolními seznamy.
Tři opatření ISO/IEC 27002:2022 jsou při obnově po přechodu zvlášť relevantní.
| Opatření ISO/IEC 27002:2022 | Relevance pro obnovu | Důkazy k přípravě |
|---|---|---|
| 5.31 Právní, zákonné, regulatorní a smluvní požadavky | Potvrzuje, že povinnosti jsou identifikovány, dokumentovány a propojeny do ISMS | právní registr, smluvní povinnosti, regulatorní mapa, matice vlastníků politik, odůvodnění SoA |
| 5.35 Nezávislý přezkum bezpečnosti informací | Potvrzuje, že přezkum je objektivní, má vymezený rozsah, je kompetentní a že na jeho výstupy bylo reagováno | plán interního auditu, zpráva z nezávislého přezkumu, způsobilost auditora, záznamy CAPA, reportování vedení |
| 5.36 Soulad s politikami, pravidly a normami pro bezpečnost informací | Potvrzuje, že politiky nejsou pouze publikované, ale také monitorované a prosazované | potvrzení seznámení s politikou, záznamy o výjimkách, monitorovací reporty, disciplinární pracovní postup, testování souladu |
V Zenith Controls je opatření ISO/IEC 27002:2022 5.31 přímo provázáno s ochranou soukromí a osobně identifikovatelnými údaji (PII):
„5.34 pokrývá soulad s právními předpisy na ochranu osobních údajů (např. GDPR), což je jedna kategorie právních požadavků podle 5.31.“
Ze Zenith Controls, opatření 5.31, vazby na jiná opatření.
Pro obnovu to znamená, že právní registr nesmí stát mimo ISMS. Musí řídit SoA, plán ošetření rizik, sadu politik, vlastnictví opatření a auditní důkazy.
U opatření ISO/IEC 27002:2022 5.35 Zenith Controls zdůrazňuje, že nezávislý přezkum často zasahuje do provozních důkazů:
„Nezávislé přezkumy podle 5.35 často posuzují přiměřenost protokolování a monitorování.“
Ze Zenith Controls, opatření 5.35, vazby na jiná opatření.
To je praktické. Auditor může začít u správy a řízení a následně vzorkovat logy, upozornění, monitorovací záznamy, přezkum přístupových práv, tikety incidentů, testy záloh, přezkumy dodavatelů a rozhodnutí vedení.
U opatření ISO/IEC 27002:2022 5.36 Zenith Controls vysvětluje vztah k interní správě politik:
„Opatření 5.36 slouží jako mechanismus prosazování pravidel definovaných v 5.1.“
Ze Zenith Controls, opatření 5.36, vazby na jiná opatření.
Právě zde mnoho programů přechodu selhává. Politiky existují, ale jejich dodržování není monitorováno. Postupy existují, ale výjimky nejsou zachyceny. Opatření jsou deklarována, ale nejsou testována.
Krok 7: Připravte se na různé auditní pohledy
Silný balíček obnovy musí obstát před více než jednou auditorskou perspektivou. Certifikační auditoři ISO, dozorové orgány DORA, posuzovatelé NIS2, zainteresované strany GDPR, týmy zákaznického ujištění, hodnotitelé orientovaní na NIST a přezkoumávající osoby správy a řízení podle COBIT 2019 mohou klást různé otázky ke stejným důkazům.
| Auditní pohled | Pravděpodobná otázka | Důkazy, které pomáhají |
|---|---|---|
| Auditor ISO 27001:2022 | Je ISMS účinný, založený na rizicích, správně vymezený, přezkoumávaný vedením a neustále zlepšovaný? | rozsah, kontext, zainteresované strany, posouzení rizik, SoA, plán ošetření, interní audit, přezkoumání vedením, CAPA |
| Hodnotitel orientovaný na NIST | Fungují činnosti správy a řízení, identifikace rizik, ochrany, detekce, reakce a obnovy soudržně? | evidence aktiv, registr rizik, řízení přístupu, protokolování, monitorování, playbooky pro incidenty, testy obnovy |
| Auditor ve stylu COBIT 2019 nebo ISACA | Jsou cíle správy a řízení, vlastnictví, monitorování výkonnosti, řízení rizik a zajištění souladu začleněny do praxe? | RACI, schválené cíle, metriky, plán auditu, reportování vedení, vlastnictví opatření, sledování problémů |
| Posuzovatel souladu s NIS2 | Schválilo vedení přiměřená opatření k řízení kybernetických rizik a pracovní postup hlášení incidentů a dohlíží na ně? | zápisy řídicích orgánů, opatření ke zmírňování rizik, kontroly dodavatelů, eskalace incidentů, školení, důkazy kontinuity a krizového řízení |
| Posuzovatel DORA | Je řízení rizik v oblasti ICT dokumentované, testované, zohledňuje dodavatele a je integrováno do správy a řízení? | rámec rizik ICT, testy odolnosti, klasifikace incidentů, registr smluv ICT, plány ukončení, práva na audit |
| Posuzovatel GDPR | Může organizace prokázat odpovědnost za ochranu osobních údajů a reakci na porušení zabezpečení? | RoPA, mapování právních základů, DPIA podle potřeby, smlouvy se zpracovateli, evidence porušení zabezpečení, technická a organizační opatření |
Cílem není duplicitní evidence. Jeden řádek SoA pro protokolování a monitorování může podpořit ISO důkazy, očekávání detekce ve stylu NIST, zvládání incidentů podle DORA, posouzení účinnosti podle NIS2 a detekci porušení zabezpečení podle GDPR. Jeden soubor k dodavatelskému riziku může podpořit ISO opatření pro dodavatele, riziko třetích stran v oblasti ICT podle DORA, zabezpečení dodavatelského řetězce podle NIS2 a odpovědnost zpracovatele podle GDPR.
To je praktická hodnota průřezového souladu.
Krok 8: Proveďte závěrečný přezkum dokumentace a simulovaný audit
Než se vrátíte k certifikačnímu orgánu, proveďte tvrdou interní oponenturu. Zenith Blueprint, fáze Audit, přezkum a zlepšování, krok 30, Příprava na certifikaci – závěrečný přezkum a simulovaný audit, doporučuje projít kapitoly ISO 27001:2022 4 až 10 jednu po druhé a ověřit důkazy pro každé použitelné opatření Annex A.
Doporučuje:
„Zkontrolujte opatření Annex A: ujistěte se, že pro každé opatření, které jste v SoA označili jako ‚použitelné‘, máte něco, co můžete předložit.“
Ze Zenith Blueprint, fáze Audit, přezkum a zlepšování, krok 30.
Závěrečný přezkum má být přímý:
- Lze vysvětlit každé použitelné opatření?
- Lze odůvodnit každé vyloučené opatření?
- Lze doložit přijetí zbytkového rizika?
- Přezkoumalo vedení selhání přechodu, zdroje, cíle, výsledky auditu a nápravná opatření?
- Otestoval interní audit aktualizované SoA a plán ošetření rizik?
- Jsou doložena opatření pro dodavatele, cloud, kontinuitu, incidenty, ochranu soukromí, přístup, zranitelnosti, protokolování a monitorování?
- Jsou politiky schválené, aktuální, komunikované a řízené v režimu správy verzí?
- Jsou CAPA propojena s kořenovými příčinami a ověřením účinnosti?
- Lze důkazy rychle najít v centralizované auditní složce?
Politika bezpečnosti informací od Clarysec poskytuje výchozí rámec správy a řízení:
„Organizace musí implementovat a udržovat systém řízení bezpečnosti informací (ISMS) v souladu s kapitolami ISO/IEC 27001:2022 4 až 10.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.1.1.
U malých a středních podniků musí přezkum sledovat také certifikační požadavky a regulatorní změny. Politika bezpečnosti informací pro malé a střední podniky od Clarysec uvádí:
„Tato politika musí být přezkoumána generálním ředitelem (GM) nejméně jednou ročně, aby byl zajištěn trvalý soulad s požadavky certifikace ISO/IEC 27001, regulatorními změnami (například GDPR, NIS2 a DORA) a vyvíjejícími se obchodními potřebami.“
Ze sekce „Požadavky na přezkoumávání a aktualizaci“, ustanovení politiky 9.1.1.
Právě to mnoho programů přechodu opomenulo: ISO, regulace a obchodní změny se pohybují společně.
Co říct zákazníkům během obnovy
Pokud neúspěšný nebo zmeškaný přechod ovlivňuje zákaznické smlouvy, mlčení je nebezpečné. Nemusíte zveřejnit každý detail interního auditu, ale měli byste poskytnout řízené ujištění.
Komunikační balíček pro zákazníka by měl obsahovat:
- Aktuální stav certifikace potvrzený certifikačním orgánem.
- Stav přechodového auditu a plán nápravy na vysoké úrovni.
- Potvrzení, že proces CAPA je aktivní a schválený vedením.
- Cílové termíny nápravných opatření a uzavření auditu.
- Prohlášení, že ISMS zůstává v provozu.
- Kontaktní bod pro bezpečnostní ujištění.
- Aktualizované prohlášení politiky bezpečnosti, pokud je to vhodné.
- Důkazy o kompenzačních opatřeních pro každou vysoce rizikovou oblast.
Vyhněte se vágním tvrzením typu „jsme plně v souladu“, dokud audit není vyřešen. Řekněte, co je pravda: ISMS funguje, nápravné opatření je schváleno, důkazy se konsolidují a je naplánován uzavírací přezkum nebo opakovaný audit.
To je zvlášť důležité, pokud se na vás zákazníci spoléhají jako na dodavatele v sektorech relevantních pro NIS2, jako je digitální infrastruktura, cloud, datová centra, sítě pro doručování obsahu, DNS, služby vytvářející důvěru, veřejné elektronické komunikace, řízené služby nebo řízené bezpečnostní služby. Pokud váš stav auditu ovlivňuje jejich riziko dodavatelského řetězce, potřebují důvěryhodné ujištění.
Praktický 10denní sprint obnovy
Časové rámce se liší podle certifikačního orgánu, závažnosti, rozsahu a vyspělosti důkazů. Sekvence obnovy je však spolehlivá.
| Den | Aktivita | Výstup |
|---|---|---|
| 1 | Shromáždit zprávu z auditu, potvrdit stav certifikátu, otevřít centralizovanou auditní složku | řídicí centrum obnovy |
| 2 | Klasifikovat zjištění, přiřadit vlastníky, informovat vedení | schválená správa a řízení obnovy |
| 3 | Aktualizovat kontext, povinnosti, zainteresované strany a předpoklady rozsahu | aktualizovaný kontext a mapa souladu |
| 4 | Sesouhlasit posouzení rizik a plán ošetření rizik | aktualizovaný registr rizik a plán ošetření |
| 5 | Opravit SoA s odůvodněním, vyloučeními, důkazy a vlastníky | SoA připravené na audit |
| 6 | Provést analýzu kořenové příčiny pro všechna zjištění | evidence kořenových příčin |
| 7 | Sestavit plán CAPA s cílovými termíny a požadavky na důkazy | registr CAPA |
| 8 | Shromáždit a otestovat důkazy pro prioritní opatření | důkazní balíček |
| 9 | Provést přezkoumání vedením a schválit zbytková rizika | zápis z přezkoumání vedením |
| 10 | Provést simulovaný audit a připravit odpověď certifikačnímu orgánu | balíček připravenosti na opakovaný audit |
Odpověď neodesílejte, dokud nevypráví soudržný příběh. Auditor musí být schopen sledovat řetězec od zjištění ke kořenové příčině, od kořenové příčiny k nápravnému opatření, od nápravného opatření k důkazům a od důkazů k přezkoumání vedením.
Pracovní postup obnovy Clarysec
Když Clarysec podporuje zmeškaný nebo neúspěšný přechod na ISO 27001:2022, organizujeme práci do cíleného pracovního postupu obnovy.
| Fáze obnovy | Aktivum Clarysec | Výstup |
|---|---|---|
| Triáž auditu | Zenith Blueprint kroky 24, 27, 29, 30 | klasifikace zjištění, mapa důkazů, plán uzavření auditu |
| Obnova správy a řízení | Politika bezpečnosti informací, Politika monitorování auditu a souladu | schválené odpovědnosti, zapojení vedení, centralizovaná složka důkazů |
| Aktualizace rizik | Politika řízení rizik, metoda ISO/IEC 27005:2022 | aktualizovaný kontext, kritéria, registr rizik, plán ošetření |
| Oprava SoA | Zenith Blueprint krok 24, Politika řízení rizik | dohledatelné SoA s rizikem, povinností, vlastníkem, důkazem a stavem |
| Mapování průřezového souladu | Zenith Controls | sladění ujištění NIS2, DORA, GDPR, ve stylu NIST a COBIT 2019 |
| Realizace CAPA | Zenith Blueprint krok 29, auditní politiky | kořenová příčina, nápravné opatření, vlastník, termín, ověření účinnosti |
| Simulovaný audit | Zenith Blueprint krok 30 | balíček připravenosti na opakovaný audit a balíček ujištění pro zákazníka |
Nejde o výrobu dokumentace. Jde o obnovení důvěry, že ISMS je řízený, založený na rizicích, doložený důkazy a zlepšuje se.
Závěrečné doporučení: berte neúspěšný přechod jako zátěžový test
Zmeškaný termín přechodu na ISO 27001:2022 nebo neúspěšný přechodový audit působí jako krize, ale je také diagnostickou příležitostí. Ukazuje, zda váš ISMS dokáže absorbovat změnu, integrovat právní povinnosti, řídit dodavatele, prokázat fungování opatření a poučit se ze selhání.
Organizace, které se zotaví nejrychleji, zvládají dobře tři věci:
- Centralizují důkazy a zastaví chaos.
- Obnoví dohledatelnost mezi riziky, SoA, opatřeními, politikami a povinnostmi.
- Řeší auditní zjištění prostřednictvím disciplinovaného CAPA a přezkoumání vedením.
Organizace, které se trápí, se snaží problém vyřešit úpravami dokumentů, aniž by opravily vlastnictví, monitorování, důkazy nebo kořenovou příčinu.
Pokud jste zmeškali termín nebo neuspěli v přechodovém auditu, vaším dalším krokem není panika. Je to strukturovaná obnova.
Clarysec vám může pomoci provést triáž přechodového auditu, znovu sestavit SoA, namapovat očekávání NIS2, DORA, GDPR, přístupů ve stylu NIST a COBIT 2019 prostřednictvím Zenith Controls, realizovat nápravná opatření pomocí Zenith Blueprint a sladit důkazy politik s využitím Politiky bezpečnosti informací, Politiky monitorování auditu a souladu, Politiky řízení rizik a Politiky právního a regulatorního souladu.
Problém s vaším certifikátem lze napravit. Váš ISMS může být silnější než před auditem. Pokud váš přechodový audit zůstává nevyřešený, zahajte posouzení obnovy nyní, konsolidujte důkazy a připravte balíček pro opakovaný audit, který prokáže, že váš ISMS není jen zdokumentovaný, ale skutečně funguje.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
