ISO 27001:2022: auditní důkazy o školení pro NIS2 a DORA
Je úterý ráno v únoru 2026, 09:12. Finanční analytik v rychle rostoucí fintechové společnosti obdrží e-mail, který se tváří, že pochází od finančního ředitele (CFO), a žádá o urgentní kontrolu souboru s platbou dodavateli. Příloha otevře přesvědčivou přihlašovací stránku Microsoft. Analytik zaváhá, vzpomene si na phishingovou simulaci a modul k platebním podvodům z minulého měsíce a místo zadání přihlašovacích údajů nahlásí e-mail přes bezpečnostní portál.
Pro CISO je toto jediné rozhodnutí důkazem, že bezpečnostní opatření funguje v praxi.
Pro auditora tento příběh nestačí.
O týden později dorazí žádost o důkazy: „Předložte důkazy o komplexním programu povědomí a školení v oblasti bezpečnosti informací podle rolí, včetně metrik účinnosti a záznamů dokládajících pokrytí veškerého personálu, včetně vedení.“
Tato věta mění celou diskusi. Tabulka se stavem „Absolvováno“ u 97 procent zaměstnanců již nestačí. Auditor se zeptá, kdo analytika školil, kdy bylo školení přiřazeno, zda bylo povinné, zda bylo založené na rolích, zda finance absolvovaly doplňkové povědomí o platebních podvodech, zda byli zahrnuti noví zaměstnanci a dodavatelé, zda vedení program schválilo, zda se školení změnilo po poslední phishingové kampani a zda byly záznamy o absolvování uchovány.
V roce 2026 stojí důkazy o školení bezpečnostního povědomí na průsečíku ISO/IEC 27001:2022, NIS2, DORA, GDPR a NIST CSF 2.0. Už nejde o každoroční HR aktivitu. Jde o správu a řízení na úrovni řídicích orgánů, ošetření rizik, připravenost na incidenty, právní odpovědnost a auditní důkazy.
Clarysec chápe bezpečnostní povědomí jako provozní systém důkazů, nikoli jako sadu prezentací. Zenith Blueprint: 30krokový plán auditora Zenith Blueprint, Zenith Controls: průvodce napříč požadavky souladu Zenith Controls, Politika povědomí o bezpečnosti informací a školení - SME Politika povědomí o bezpečnosti informací a školení - SME a Politika povědomí o bezpečnosti informací a školení Politika povědomí o bezpečnosti informací a školení propojují školení podle rolí s ISMS, regulatorními povinnostmi, reakcí na incidenty, přístupem dodavatelů a přezkoumáním vedením.
Proč obecné školení bezpečnostního povědomí v roce 2026 selhává
Regulatorní posun je zřejmý. NIS2 stanoví, že kybernetická bezpečnost je odpovědností vedení základních a významných subjektů. Article 20 vyžaduje, aby řídicí orgány schvalovaly opatření pro řízení rizik v oblasti kybernetické bezpečnosti, dohlížely na jejich implementaci a absolvovaly školení. Article 21 zahrnuje základní kybernetickou hygienu a školení kybernetické bezpečnosti jako součást požadovaného základního souboru opatření pro řízení rizik. Pro poskytovatele cloudových služeb, poskytovatele datových center, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele DNS, registry TLD, online tržiště a vyhledávače se školení stalo tématem na úrovni řídicích orgánů.
DORA zvyšuje požadavky na finanční subjekty a poskytovatele služeb IKT obsluhující finanční sektor. Použije se od 17. ledna 2025 a vyžaduje, aby finanční subjekty udržovaly interní rámec správy, řízení a kontroly pro řízení rizik v oblasti IKT. Řídicí orgány musí dohlížet na rizika IKT, rozpočty, audity, ujednání s třetími stranami, kontinuitu činností, plány reakce a obnovy a digitální provozní odolnost. DORA Articles 17 to 19 také vyžadují, aby incidenty související s IKT byly detekovány, klasifikovány, eskalovány, komunikovány a hlášeny. Školení zajišťuje, že tyto postupy lze pod tlakem skutečně provést.
ISO/IEC 27001:2022 poskytuje organizacím páteř systému řízení. Kapitoly 4 až 10 pokrývají kontext, zainteresované strany, vedení, posouzení rizik, ošetření rizik, kompetence, povědomí, dokumentované informace, hodnocení výkonnosti a zlepšování. Norma je škálovatelná napříč odvětvími i velikostmi organizací, proto ji Clarysec používá jako provozní model pro integrované sladění ISO, NIS2, DORA, GDPR a NIST ISO/IEC 27001:2022.
GDPR přidává vrstvu odpovědnosti. Organizace musí doložit, že osobní údaje jsou zpracovávány zákonně, korektně, bezpečně a s odpovídajícími technickými a organizačními opatřeními. Zaměstnanci, kteří nakládají s osobními údaji, spravují systémy, vyvíjejí software, podporují zákazníky nebo vyšetřují incidenty, potřebují školení v oblasti ochrany soukromí, ochrany osobních údajů a eskalace porušení zabezpečení.
NIST CSF 2.0 potvrzuje stejný směr. Jeho funkce GOVERN propojuje právní, regulatorní, smluvní požadavky, požadavky na ochranu soukromí a požadavky zainteresovaných stran s rolemi, odpovědnostmi, politikami, zdroji, dohledem a řízením podnikových rizik. Profily NIST CSF také pomáhají převést povinnosti školení do plánů zlepšení aktuálního a cílového stavu.
Výsledek je jednoduchý: auditně připravené školení bezpečnostního povědomí musí prokázat, že lidé znají své odpovědnosti, že školení odpovídá roli a riziku a že důkazy jsou dostatečně úplné pro auditory, regulátory, zákazníky i vedení.
Auditní problém: „proškolili jsme všechny“ není důkaz
Mnoho organizací neuspěje u auditu nikoli proto, že by neškolily, ale proto, že nedokážou doložit, že školení bylo navrženo, přiřazeno, absolvováno, přezkoumáno a zlepšeno.
Slabý balíček důkazů obvykle obsahuje jeden výroční PDF soubor, tabulku o absolvování bez dat, žádné důkazy o onboardingu, žádné pokrytí dodavatelů, žádné školení privilegovaných uživatelů, žádné školení vedení, žádné moduly podle rolí pro vývojáře nebo finance, žádnou vazbu na posouzení rizik a žádný důkaz, že školení bylo aktualizováno po incidentech nebo regulatorních změnách.
Auditoři nechtějí motivační plakát. Chtějí řetězec důkazů.
Politika SME společnosti Clarysec tento požadavek výslovně stanoví. Politika povědomí o bezpečnosti informací a školení - SME, Cíle, článek 3.3, vyžaduje, aby organizace:
„Zavedly dokumentované záznamy o absolvování k doložení souladu s právními, smluvními a auditními požadavky.“
Stejná politika SME mění školení na uchovávané dokumentované informace. Požadavky na implementaci politiky, článek 6.3.2, stanoví:
„Centrální tabulka nebo personální informační systém musí tyto záznamy uchovávat po dobu nejméně tří let.“
Pro podniková prostředí stanoví Politika povědomí o bezpečnosti informací a školení, Účel, článek 1.2, strukturovanější očekávání:
„Tato politika podporuje ISO/IEC 27001 kapitolu 7.3 a opatření přílohy A 6.3 tím, že vyžaduje strukturovaný, riziky řízený rámec povědomí a školení přizpůsobený organizačním rolím a vyvíjejícím se hrozbám.“
Tato formulace je důležitá: strukturované, založené na rizicích, přizpůsobené rolím a zohledňující hrozby. To je rozdíl mezi divadlem bezpečnostního povědomí a obhajitelnou kompetencí.
Začněte rolemi, ne kurzy
Nejčastější chybou je nákup obsahu před definováním odpovědností. V integrovaném programu souladu není správnou první otázkou „Jakou školicí platformu použijeme?“ Správná otázka zní: „Které role vytvářejí, spravují, schvalují, zpracovávají, zabezpečují nebo obnovují informační aktiva?“
ISO/IEC 27001:2022 kapitola 5.3 vyžaduje přiřazení a komunikaci odpovědností a pravomocí pro role v oblasti bezpečnosti informací. Kapitola 7.2 vyžaduje kompetence osob vykonávajících práci pod řízením organizace, a to na základě vzdělání, školení nebo zkušeností. Kapitola 7.3 vyžaduje povědomí o politice bezpečnosti informací, příspěvku k účinnosti ISMS a důsledcích neshod.
V Zenith Blueprint, ISMS Foundation & Leadership, krok 5: Komunikace, povědomí a kompetence, převádí Clarysec tento požadavek do implementačního jazyka:
„Identifikujte požadované kompetence: určete, jaké znalosti a dovednosti jsou nezbytné pro různé role ve vašem ISMS.“
Blueprint uvádí praktické příklady: pracovníci IT mohou potřebovat bezpečnou konfiguraci serverů, vývojáři bezpečné kódování, HR bezpečné nakládání s osobními údaji a běžní zaměstnanci povědomí o phishingu. Zdůrazňuje také záznamy:
„Udržujte záznamy o kompetencích: kapitola 7.2 očekává, že budete uchovávat dokumentované informace jako důkaz kompetence.“
To znamená, že školicí program má začínat maticí rolí a rizik.
| Skupina rolí | Zaměření školení | Uchovávané důkazy | Hodnota pro soulad |
|---|---|---|---|
| Všichni zaměstnanci | Phishing, hygiena hesel, MFA, přípustné užívání, zabezpečení zařízení, hlášení incidentů | Sestava o absolvování, skóre kvízu, potvrzení seznámení s politikou, verze obsahu | ISO/IEC 27001:2022 kapitola 7.3, ISO/IEC 27002:2022 opatření 6.3, NIS2 Article 21 |
| Vrcholové vedení a řídicí orgány | Správa kybernetických rizik, povinnosti podle NIS2 Article 20, dohled podle DORA, ochota podstupovat riziko, krizová rozhodnutí | Záznam o účasti, podklady pro řídicí orgány, zápisy, schválení programu | NIS2 Article 20, DORA Article 5, důkazy o vedení podle ISO/IEC 27001:2022 |
| Vývojáři | Bezpečné kódování, OWASP Top 10, bezpečný SDLC, zabezpečení API, zvládání zranitelností, nástroje pro správu tajemství | Absolvování modulu, výsledky laboratorních úloh, kontrolní seznam bezpečného kódování, důkazy o nápravě | ISO/IEC 27002:2022 opatření 8.25 and 8.28, očekávání DORA pro rizika IKT |
| IT a správci systémů | Privilegovaný přístup, protokolování, řízení zranitelností, obnova ze záloh, řízení změn, hardening | Záznam o absolvování, vazba na přezkum přístupových práv, účast na stolním cvičení | ISO/IEC 27002:2022 opatření 8.8 and 8.13, připravenost odolnosti podle DORA |
| HR | Důvěrnost, onboarding a offboarding, disciplinární proces, nakládání se zvláštními kategoriemi údajů | Záznam o školení HR, kontrolní seznam pro onboarding, potvrzení seznámení s politikou | Odpovědnost podle GDPR, ISO/IEC 27002:2022 opatření týkající se osob |
| Finance | Platební podvody, vydávání se za dodavatele, oddělení povinností, eskalace podezřelých požadavků | Absolvování cíleného modulu, výsledky phishingové simulace | Snížení rizika podvodů, připravenost na incidenty podle NIS2 a DORA |
| Zákaznická podpora | Ověřování identity, bezpečné zpracování tiketů, ochrana osobních údajů, eskalační cesty | Absolvování modulu podle role, vzorek přezkumu tiketů, potvrzení seznámení s požadavky na ochranu soukromí | Odpovědnost zpracovatele podle GDPR, ujištění zákazníků |
| Týmy reakce na incidenty | Klasifikace, eskalace, uchování důkazů, regulatorní oznamovací lhůty, získané poznatky | Záznam ze cvičení, zpráva ke scénáři, přiřazení rolí, evidence opatření | NIS2 Article 23, DORA Articles 17 to 19, incidentová opatření podle ISO/IEC 27002:2022 |
| Dodavatelé se systémovým přístupem | Přípustné užívání, kanál pro hlášení, nakládání s daty, podmínky přístupu | Potvrzení dodavatele, záznam o onboardingu, vazba na schválení přístupu | Ujištění dodavatelů, správa přístupu, soulad se smluvními požadavky |
Tato matice není jen harmonogram školení. Je to mapa souladu, která ukazuje, proč různé skupiny dostávají různé školení.
Propojte školení s řetězcem opatření
V Zenith Controls je ISO/IEC 27002:2022 opatření 6.3, Povědomí, vzdělávání a školení v oblasti bezpečnosti informací, kategorizováno jako preventivní opatření podporující důvěrnost, integritu a dostupnost. Jeho koncept kybernetické bezpečnosti je Protect, provozní schopností je Human Resource Security a bezpečnostními doménami jsou Governance a Ecosystem.
Interpretace napříč požadavky souladu v Zenith Controls je přímá:
„Opatření 6.3 řeší požadavek NIS2 na bezpečnostní školení a povědomí implementací strukturovaného programu povědomí pokrývajícího kybernetickou hygienu, nově vznikající hrozby a odpovědnosti pracovníků.“
Stejné mapování propojuje ISO/IEC 27002:2022 opatření 6.3 s očekáváními GDPR pro zaměstnance nakládající s osobními údaji, se školením bezpečnosti IKT podle rolí v DORA a s NIST SP 800-53 Rev.5 AT-2, AT-3 a AT-4 pro školení gramotnosti a povědomí, školení podle rolí a záznamy o školení.
Klíčové je, že opatření 6.3 nestojí samostatně. Zenith Controls jej propojuje s ISO/IEC 27002:2022 opatřením 5.2, Role a odpovědnosti v oblasti bezpečnosti informací, protože role určují, kdo potřebuje jaké školení. Propojuje jej s opatřením 6.8, Hlášení událostí bezpečnosti informací, protože zaměstnanci nemohou hlásit to, co neumějí rozpoznat. Propojuje jej také s opatřením 5.36, Soulad s politikami, pravidly a normami pro bezpečnost informací, protože soulad závisí na tom, zda lidé pravidla znají.
Tím vzniká praktický řetězec opatření:
- Definovat odpovědnosti.
- Přiřadit základní školení a školení podle rolí.
- Doložit absolvování.
- Ověřit porozumění.
- Monitorovat soulad.
- Odstraňovat mezery.
- Promítnout získané poznatky do ošetření rizik a přezkoumání vedením.
To je důležité pro NIS2, protože Article 21 vyžaduje analýzu rizik, politiky, zvládání incidentů, kontinuitu činností, zabezpečení dodavatelského řetězce, bezpečné pořizování a údržbu, posouzení účinnosti kontrol, kybernetickou hygienu a školení, kryptografii, bezpečnost HR, řízení přístupu, správu aktiv a MFA nebo bezpečnou autentizaci tam, kde je to vhodné.
Je to důležité i pro DORA, protože správa, řízení incidentů, reakce a obnova, riziko třetích stran a testování odolnosti fungují pouze tehdy, když lidé vědí, co mají udělat ještě před incidentem.
Vytvořte auditně připravený balíček důkazů
Vyspělý balíček důkazů obsahuje více než záznamy o účasti. Ukazuje správu a řízení, návrh, realizaci, absolvování, účinnost a zlepšování. Clarysec doporučuje strukturu šesti složek.
| Složka důkazů | Co obsahuje | Proč je důležitá |
|---|---|---|
| 01 Správa a řízení | Schválená politika, cíle školení, schválení vedením, rozpočet, roční plán | Dokládá závazek vedení a dohled |
| 02 Mapování rolí | Evidence rolí, matice kompetencí, pravidla přiřazení školení, rozsah dodavatelů | Prokazuje návrh založený na rizicích a rolích |
| 03 Obsah školení | Prezentace ke kurzům, moduly LMS, phishingové šablony, bezpečnostní bulletiny, historie verzí | Dokládá, co bylo pracovníkům skutečně vyučováno |
| 04 Záznamy o absolvování | Exporty z LMS, záznamy HRIS, záznamy o účasti, výsledky kvízů, potvrzení | Dokládá účast a uchované dokumentované informace |
| 05 Důkazy o účinnosti | Metriky phishingových simulací, výsledky rozhovorů, trendy hlášení incidentů, výsledky stolních cvičení | Ukazuje, zda školení změnilo chování |
| 06 Zlepšování | Nápravná opatření, aktualizované moduly, získané poznatky, vstupy pro přezkoumání vedením | Dokládá neustálé zlepšování |
Podniková politika Clarysec vyžaduje onboarding, každoroční opakovací školení a moduly podle rolí. Politika povědomí o bezpečnosti informací a školení, Požadavky na správu a řízení, článek 5.1.1.2, stanoví:
„Zahrnout onboarding, každoroční opakovací školení a školicí moduly podle rolí“
Stejná politika přiřazuje vlastnictví důkazů. Požadavky na správu a řízení, články 5.3.1 and 5.3.1.1, stanoví:
„CISO nebo pověřená osoba musí udržovat:“
„Záznamy o absolvování pro každého uživatele“
Pro malé a střední organizace doplňuje politika SME praktickou kadenci. Politika povědomí o bezpečnosti informací a školení - SME, Požadavky na implementaci politiky, článek 6.1.1, stanoví:
„Materiály musí být praktické, přiměřené roli a každoročně aktualizované.“
Pokrývá také školení vyvolaná změnou. Článek 6.5.1 stanoví:
„Při změně pracovních rolí nebo zavedení systémů může být vyžadováno cílené školení povědomí (např. bezpečné sdílení souborů, nové požadavky na ochranu údajů a minimalizaci údajů).“
Toto ustanovení je v roce 2026 zvláště důležité, protože migrace do cloudu, nástroje AI, nové platební integrace, noví zpracovatelé a změny v regulatorním oznamování mohou měnit riziko rychleji než roční cyklus.
Týdenní záchranný plán před auditem
Představte si poskytovatele SaaS nebo FinTech o 180 lidech, který se připravuje na dozorový audit ISO/IEC 27001:2022, zákaznickou due diligence podle DORA, přezkum odpovědnosti podle GDPR a zákaznické dotazy vyvolané NIS2. CISO má jeden týden na to, aby z obecných záznamů o absolvování vytvořil obhajitelný balíček důkazů.
Den 1: Potvrďte rozsah a povinnosti
Použijte ISO/IEC 27001:2022 kapitoly 4.1 až 4.4 k potvrzení kontextu, zainteresovaných stran a rozsahu ISMS. Zachyťte smluvní závazky vůči zákazníkům, povinnosti správce nebo zpracovatele podle GDPR, očekávání NIS2 od kritických zákazníků a požadavky na due diligence dodavatelů IKT související s DORA.
Poté tyto povinnosti převeďte na potřeby školení. GDPR vyžaduje, aby pracovníci nakládající s osobními údaji rozuměli důvěrnosti, minimalizaci, uchovávání a eskalaci porušení zabezpečení. NIS2 vyžaduje kybernetickou hygienu, školení zaměstnanců a dohled vedení. Zákazníci řízení DORA budou očekávat důkazy, že týmy podporující kritické služby rozumějí eskalaci incidentů, odolnosti, řízení přístupu, zálohování a obnově a koordinaci s třetími stranami.
Den 2: Vytvořte matici podle rolí
Použijte pokyny v Zenith Blueprint a mapování v Zenith Controls pro ISO/IEC 27002:2022 opatření 5.2 and 6.3. Zahrňte zaměstnance, dodavatele, privilegované uživatele, vývojáře, podpůrné týmy, HR, finance, vrcholové vedení a týmy reakce na incidenty.
Propojte každou roli se systémy a riziky. Vývojáři dostanou bezpečné kódování a zvládání zranitelností. Podpůrné týmy dostanou ověřování identity a bezpečné zpracování tiketů. Finance dostanou platební podvody a ověřování změn dodavatelů. Vrcholové vedení dostane správu a řízení, právní odpovědnost, ochotu podstupovat riziko a krizové rozhodování.
Den 3: Slaďte politiku a přiřazení
Přijměte nebo aktualizujte odpovídající politiku Clarysec. Použijte politiku SME pro lehký provozní model nebo podnikovou politiku pro silnější správu a vlastnictví důkazů. Ověřte, že politika zahrnuje onboarding, každoroční opakovací školení, moduly podle rolí, uchovávání důkazů, pokrytí dodavatelů a školení vyvolané změnou.
Zveřejněte politiku, shromážděte potvrzení seznámení a propojte školicí moduly s rodinami pracovních pozic v HRIS nebo LMS.
Den 4: Realizujte cílené školení
Neškolte všechny ve všem. Všechny proškolte v základních kontrolách a následně přiřaďte moduly specifické pro role.
Základní modul má pokrývat phishing a sociální inženýrství, hygienu hesel a MFA, přípustné užívání, bezpečné nakládání s informacemi, kanály pro hlášení incidentů, hlášení ztraceného zařízení a základy ochrany osobních údajů.
Moduly specifické pro role mají pokrývat bezpečný SDLC pro vývojáře, privilegovaný přístup a obnovu ze záloh pro IT, údaje zaměstnanců pro HR, platební podvody pro finance, klasifikaci incidentů pro týmy reakce a správu NIS2 a DORA pro vrcholové vedení.
Den 5: Exportujte a ověřte důkazy
Vytvořte balíček důkazů se šesti složkami. Exportujte sestavy o absolvování, skóre kvízů, čísla verzí kurzů, potvrzení seznámení s politikou a harmonogramy školení. Identifikujte neabsolvovaná školení a otevřete nápravná opatření.
Poté ověřte porozumění pomocí rozhovorů. Zeptejte se zaměstnanců z různých oddělení:
- Jaké bezpečnostní školení jste absolvoval/a?
- Jak nahlásíte podezřelý e-mail?
- Co uděláte, když ztratíte notebook?
- Kde najdete politiku bezpečnosti informací?
- S jakými osobními údaji ve své roli nakládáte?
Výsledky zaznamenejte jako vzorek interního auditu. Auditoři často používají rozhovory k ověření, zda bylo povědomí skutečně osvojeno, nejen doručeno.
Den 6: Propojte školení s reakcí na incidenty
Použijte školení hlášení incidentů jako most k ISO/IEC 27002:2022 opatření 6.8, NIS2 Article 23 a DORA Articles 17 to 19.
NIS2 Article 23 vyžaduje postupné hlášení významných incidentů, včetně včasného varování do 24 hodin od zjištění, oznámení do 72 hodin a závěrečné zprávy do jednoho měsíce. DORA vyžaduje, aby významné incidenty související s IKT byly klasifikovány, eskalovány, komunikovány a hlášeny v rámci požadovaného životního cyklu oznamování.
Zaměstnanci si nemusejí pamatovat právní lhůty, ale musí podezřelé incidenty hlásit dostatečně rychle, aby je organizace mohla splnit.
V Zenith Blueprint, Controls in Action, krok 16: Opatření týkající se osob II, Clarysec uvádí:
„Účinný systém reakce na incidenty nezačíná nástroji, ale lidmi.“
To není měkké doporučení. Je to provozní odolnost.
Den 7: Připravte auditní narativ
Závěrečný auditní narativ má být krátký a podložený důkazy:
„Identifikovali jsme potřeby školení na základě rolí ISMS, právních a smluvních povinností, výsledků posouzení rizik a systémového přístupu. Prostřednictvím LMS jsme přiřadili základní moduly i moduly podle rolí. Uchovali jsme záznamy o absolvování, skóre kvízů, verze obsahu a potvrzení seznámení. Účinnost jsme ověřili pomocí phishingových simulací, rozhovorů a metrik hlášení incidentů. Neabsolvování je sledováno jako nápravné opatření. Vedení program každoročně přezkoumává a přezkoumává jej také po významných změnách.“
Podložený důkazy tento narativ obstojí při otázkách auditu ISO/IEC 27001:2022, přezkumu správy podle NIS2, zákaznické due diligence podle DORA, přezkumu odpovědnosti podle GDPR i posouzení kontrol ve stylu NIST.
Mapování školení bezpečnostního povědomí napříč požadavky souladu
Bezpečnostní povědomí je často nesprávně zařazeno jako úkol HR. V praxi jde o kontrolu napříč požadavky souladu, která zasahuje správu a řízení, řízení rizik, ochranu soukromí, reakci na incidenty, ujištění dodavatelů a odolnost.
| Rámec nebo právní předpis | Relevance školení | Implementační bod Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetence, povědomí, vedení, přiřazení rolí, dokumentované informace, monitorování, interní audit a zlepšování | Zenith Blueprint krok 5 and krok 15, ustanovení politik o onboardingu, každoročních opakovacích školeních, školení podle rolí a důkazech |
| ISO/IEC 27002:2022 | Opatření 6.3 povědomí, vzdělávání a školení, propojené s 5.2 rolemi, 6.8 hlášením událostí a 5.36 monitorováním souladu | Zenith Controls mapuje atributy, související opatření, auditní očekávání a sladění napříč rámci |
| NIS2 | Školení vedení, školení kybernetické bezpečnosti zaměstnanců, kybernetická hygiena, připravenost na incidenty a odpovědnost za správu | Modul pro řídicí orgány, základní modul pro zaměstnance, modul hlášení incidentů, důkazy o schválení vedením |
| DORA | Správa IKT, dohled vedení, učení a průběžný rozvoj, eskalace incidentů, testování odolnosti a očekávání vůči třetím stranám | Školení vrcholového vedení, moduly pro role IKT, školení týmů reakce na incidenty, balíček důkazů pro dodavatele a zákazníky |
| GDPR | Odpovědnost, zabezpečené zpracování, povědomí o rolích v oblasti ochrany soukromí, rozpoznání porušení zabezpečení a nakládání s osobními údaji | Školení ochrany soukromí pro HR, podporu, obchod, engineering a incidentní týmy |
| NIST CSF 2.0 | Funkce GOVERN, role, politiky, právní povinnosti, dohled, profily a plánování zlepšení | Aktuální a cílový profil školení, registr mezer a prioritizovaný akční plán |
| NIST SP 800-53 Rev.5 | Školení povědomí, školení podle rolí a záznamy o školení | Mapování na AT-2, AT-3 a AT-4 prostřednictvím Zenith Controls |
| Zajištění vycházející z COBIT 2019 | Cíle správy a řízení, odpovědnost, schopnost, metriky výkonnosti a reportování vedení | KPI školení, vlastnictví rolí, přezkoumání vedením a uzavírání nápravných opatření |
NIST CSF 2.0 je zvláště užitečný pro organizace, které potřebují vysvětlit vyspělost zainteresovaným stranám mimo ISO. Jeho metoda organizačních profilů podporuje plánování aktuálního a cílového stavu. Aktuální profil může například uvádět, že základní povědomí existuje, ale školení bezpečného kódování pro vývojáře není úplné. Cílový profil může vyžadovat, aby všichni vývojáři do Q3 absolvovali školení bezpečného kódování, oznamování zranitelností a správy tajemství.
Jak auditoři a regulátoři testují důkazy o školení
Různí hodnotitelé kladou různé otázky, ale všichni ověřují stejnou skutečnost: ví organizace, co mají lidé dělat, a dokáže prokázat, že jsou na to připraveni?
Auditor ISO/IEC 27001:2022 propojí důkazy o školení s kapitolami 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 and 10.2 a s opatřeními přílohy A. Očekávejte otázky, jak byly stanoveny požadavky na kompetence, jak zaměstnanci znají politiku bezpečnosti informací, jak jsou školeni noví zaměstnanci a dodavatelé, jak se řeší neabsolvování, jak školení podle rolí souvisí s posouzením rizik a Prohlášením o použitelnosti a jak se hodnotí účinnost.
Zenith Controls uvádí, že auditoři používající ISO/IEC 19011:2018 přezkoumají osnovy, harmonogramy, materiály, záznamy o účasti, certifikáty o absolvování a kompetence školitelů. Uvádí také, že auditoři podle ISO/IEC 27007:2020 mohou použít rozhovory ke zjištění, zda zaměstnanci vědí, jak hlásit incidenty, a zda si vybavují klíčová sdělení školení.
Přezkum zaměřený na NIS2 půjde nad rámec míry absolvování. Bude se ptát, zda řídicí orgán schválil opatření pro řízení rizik v oblasti kybernetické bezpečnosti a dohlížel na ně, zda vedení absolvovalo školení, zda je školení kybernetické hygieny pracovníků pravidelné a zda je hlášení incidentů pochopeno. Article 21 také vyžaduje postupy k posouzení účinnosti opatření pro řízení rizik v oblasti kybernetické bezpečnosti, takže metriky phishingu, trendy hlášení incidentů a zjištění auditu se stávají důkazy o účinnosti kontrol.
Přezkum DORA, zejména ze strany finančního zákazníka posuzujícího poskytovatele IKT, se zaměří na provozní odolnost. Očekávejte otázky na personál podporující kritické finanční služby, záznamy o školení týmů spravujících platební systémy, školení vedení k riziku třetích stran v oblasti IKT, klasifikaci incidentů podle DORA Article 18 a školení dodavatelů pro přístup do zákaznických prostředí.
Přezkum GDPR se zaměří na odpovědnost. Organizace musí prokázat, že pracovníci nakládající s osobními údaji rozumějí zákonnému zpracování, důvěrnosti, minimalizaci, uchovávání, bezpečnému nakládání a eskalaci porušení zabezpečení. Pro SaaS, FinTech a poskytovatele řízených služeb jsou důkazy o školení součástí prokázání, že požadavky na ochranu soukromí jsou začleněny do provozního chování.
Metriky, které prokazují účinnost kontrol
Absolvování je nezbytné, ale nestačí. Silnější řídicí panel pro rok 2026 ukazuje, zda školení zlepšilo chování.
| Metrika | Co ukazuje | Auditní interpretace |
|---|---|---|
| Absolvování podle role | Zda přiřazené skupiny absolvovaly požadované moduly | Základní soulad a pokrytí |
| Absolvování novými zaměstnanci v cílové lhůtě | Zda fungují kontroly onboardingu | Vyspělost HR a správy přístupu |
| Absolvování školení privilegovanými uživateli | Zda jsou uživatelé s vysokým rizikem připraveni | Prioritizace podle rizik |
| Míra kliknutí a hlášení ve phishingových simulacích | Zda se chování zlepšuje | Účinnost povědomí |
| Hlášení incidentů od zaměstnanců | Zda lidé rozpoznávají a hlásí události | Vazba na připravenost na incidenty |
| Čas od podezřelého e-mailu k nahlášení | Zda hlášení podporuje regulatorní lhůty | Připravenost na NIS2 a DORA |
| Opakované neabsolvování | Zda funguje prosazování a eskalace | Monitorování souladu |
| Aktualizace školení po incidentech nebo změnách | Zda získané poznatky vedou ke zlepšení | Neustálé zlepšování |
Tyto metriky podporují ISO/IEC 27001:2022 kapitolu 9.1 pro monitorování a měření, kapitolu 9.2 pro interní audit, kapitolu 10.1 pro neustálé zlepšování a kapitolu 10.2 pro neshody a nápravná opatření. ISO/IEC 27002:2022 opatření 5.36 zdůrazňuje, že soulad s politikami, pravidly a normami musí být monitorován, hodnocen a napravován.
Častá zjištění, která Clarysec vidí u auditů
Stejné slabiny se opakují.
Organizace školí zaměstnance, ale zapomínají na vrcholové vedení. Podle NIS2 a DORA je školení vedení součástí správy a řízení, nikoli bonus za vyspělost.
Organizace realizují každoroční školení, ale ignorují změny rolí. Podpůrný inženýr přecházející do DevOps potřebuje školení k privilegovanému přístupu, protokolování, zálohování a eskalaci incidentů.
Organizace zahrnují zaměstnance, ale zapomínají na dodavatele. Zenith Blueprint krok 15 doporučuje rozšířit školení na dodavatele nebo třetí strany, které mají přístup k systémům nebo datům.
Organizace vyučují hlášení incidentů, ale vytvářejí strach. Pokud se pracovníci domnívají, že budou potrestáni za kliknutí na phishingový odkaz, mohou mlčet. Zenith Blueprint krok 16 zdůrazňuje jednoduché kanály pro hlášení, hlášení podpořené povědomím a kulturu bez hledání viníka.
Organizace nedokážou prokázat verzování obsahu. Pokud se auditor zeptá, co zaměstnanci absolvovali v březnu, aktuální prezentace na SharePointu nestačí. Uchovávejte verzi, která byla doručena.
Organizace nepropojují školení s ošetřením rizik. Pokud jsou ransomware, platební podvody, chybná konfigurace cloudu nebo únik dat mezi nejvýznamnějšími riziky, plán školení má ukazovat cílené ošetření pro příslušné role.
Kde zapadá Clarysec
Clarysec pomáhá organizacím vybudovat jeden obhajitelný program místo pěti oddělených linií souladu.
Politika povědomí o bezpečnosti informací a školení - SME poskytuje menším organizacím praktický základ: očekávání podle rolí, dokumentované záznamy, každoroční aktualizace, školení vyvolané změnou a uchovávání po dobu nejméně tří let.
Podniková Politika povědomí o bezpečnosti informací a školení poskytuje větším organizacím silnější správu: strukturované povědomí založené na rizicích, onboarding, každoroční opakovací školení, moduly podle rolí, vlastnictví záznamů ze strany CISO a připravenost na regulatorní kontroly podle GDPR, DORA a NIS2.
Zenith Blueprint říká implementačním týmům, co dělat v jakém pořadí. Krok 5 začleňuje kompetence a povědomí do základů ISMS. Krok 15 operacionalizuje ISO/IEC 27002:2022 opatření 6.3 pomocí každoročního školení, modulů specifických pro role, onboardingu, phishingových simulací, důkazů o účasti, cílených bulletinů, školení dodavatelů a posilování žádoucího chování. Krok 16 propojuje povědomí s hlášením incidentů řízeným personálem.
Zenith Controls poskytuje týmům pro compliance mapování. Propojuje ISO/IEC 27002:2022 opatření 6.3 s rolemi, hlášením událostí, monitorováním souladu, riziky lidského faktoru podle ISO/IEC 27005:2024, očekáváními GDPR pro školení, NIS2 Article 21, školením IKT podle DORA, opatřeními povědomí NIST a metodikami auditu. Propojuje také opatření 5.2 s odpovědnostmi v oblasti správy a opatření 5.36 s monitorováním souladu a nápravnými opatřeními.
Společně tyto zdroje umožňují CISO vysvětlit nejen to, jaké školení proběhlo, ale také proč proběhlo, kdo jej vyžadoval, jaké riziko ošetřilo, jak bylo doloženo a jak se zlepšuje.
Připravte důkazy o bezpečnostním školení na audit nyní
Pokud jsou vaše současné důkazy tabulka, sada prezentací a naděje, že si zaměstnanci pamatují e-mailovou adresu pro hlášení, je čas je posunout na vyšší úroveň.
Začněte tento týden čtyřmi kroky:
- Vytvořte matici školení podle rolí propojenou s odpovědnostmi ISMS, systémovým přístupem a regulatorními povinnostmi.
- Přijměte nebo aktualizujte svou politiku povědomí Clarysec pomocí Politika povědomí o bezpečnosti informací a školení - SME nebo Politika povědomí o bezpečnosti informací a školení.
- Vytvořte balíček důkazů se šesti složkami pro správu, mapování rolí, obsah, absolvování, účinnost a zlepšování.
- Použijte Zenith Blueprint a Zenith Controls k namapování důkazů o školení na auditní očekávání ISO/IEC 27001:2022, NIS2, DORA, GDPR a NIST.
Bezpečnostní povědomí má hodnotu tehdy, když mění chování. Důkazy o souladu mají hodnotu tehdy, když toto chování prokazují konzistentně.
Clarysec vám pomáhá vybudovat obojí.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
