NIST CSF 2.0 Govern pro malé a střední podniky a ISO 27001
Sarah, nově jmenovaná ředitelka pro bezpečnost informací (CISO) rychle rostoucího fintechového malého a středního podniku, měla tabuli plnou rámců a termín, který nešlo posunout. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Rizika dodavatelů. Odpovědnost představenstva. Prověrka významného zákazníka.
Spouštěč byl známý: tabulka od významného zákazníka z finančních služeb. Nákupní oddělení chtělo důkazy o modelu správy a řízení kybernetické bezpečnosti, apetitu k riziku, programu bezpečnosti dodavatelů, mapování právních a regulačních povinností, procesu eskalace incidentů a souladu s ISO 27001:2022.
Generální ředitelka nechtěla přednášku o souladu. Chtěla jednoduchou odpověď na obtížnou otázku: „Jak prokážeme našemu představenstvu, klientům a regulačním orgánům, že máme kybernetické riziko pod kontrolou?“
To je problém správy a řízení, kterému čelí mnoho malých a středních podniků. Zákaznický dotazník je jen zřídka pouze zákaznický dotazník. Často jde o pět rozhovorů o souladu sloučených do jedné žádosti. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, dodavatelská očekávání vyvolaná DORA, cloudová odolnost, dohled představenstva a smluvní závazky jsou skryty v jedné žádosti o důkazy.
Mnoho malých a středních podniků reaguje vytvářením samostatných artefaktů: tabulky pro NIST, složky pro certifikaci ISO, evidence GDPR, registru dodavatelských rizik a plánu reakce na incidenty, které spolu nejsou propojené. O šest měsíců později nikdo neví, který dokument je závazným zdrojem pravdy.
Přístup Clarysec je jiný. Použijte funkci NIST CSF 2.0 Govern jako vrstvu správy a řízení pro vrcholové vedení a následně ji namapujte na politiky ISO 27001:2022, ošetření rizik, Prohlášení o použitelnosti, dohled nad dodavateli, přezkoumání vedením a auditní důkazy. Výsledkem není více práce v oblasti souladu. Je to jeden provozní model, který dokáže odpovídat auditorům, zákazníkům, regulačním orgánům i vedení stejnou sadou důkazů.
Proč je funkce NIST CSF 2.0 Govern důležitá pro malé a střední podniky
NIST CSF 2.0 povyšuje správu a řízení na samostatnou funkci vedle funkcí Identify, Protect, Detect, Respond a Recover. Tato změna je důležitá, protože většina selhání bezpečnosti v malých a středních podnicích není způsobena absencí dalšího nástroje. Je způsobena nejasnou odpovědností, slabými rozhodnutími o rizicích, nedokumentovanými výjimkami, nekonzistentním dohledem nad dodavateli a politikami, které byly sice jednou schváleny, ale nikdy nebyly uvedeny do provozní praxe.
Funkce NIST CSF 2.0 Govern mění otázku z „jaká opatření máme?“ na „kdo je odpovědný, jaké povinnosti se uplatní, jak se rizika prioritizují a jak se přezkoumává výkonnost?“
Pro malé a střední podniky poskytují výstupy Govern praktický mandát:
- Porozumět právním, regulačním, smluvním povinnostem, povinnostem v oblasti soukromí a občanských svobod a řídit je.
- Stanovit apetit k riziku, toleranci rizika, skórování rizik, prioritizaci a možnosti reakce na riziko.
- Definovat role, odpovědnosti, pravomoci, eskalační cesty a zajištění zdrojů v oblasti kybernetické bezpečnosti.
- Zavést, komunikovat, prosazovat, přezkoumávat a aktualizovat politiky kybernetické bezpečnosti.
- Přezkoumávat strategii kybernetické bezpečnosti, výkonnost a odpovědnost vedení.
- Řídit kybernetické riziko dodavatelů a třetích stran od náležité péče až po ukončení spolupráce.
Proto je NIST CSF 2.0 Govern tak silným vstupním bodem pro ISO 27001:2022. NIST dává vedení jazyk správy a řízení. ISO 27001:2022 poskytuje auditovatelný systém řízení.
Kapitoly 4 až 10 ISO 27001:2022 vyžadují, aby organizace porozuměly kontextu, definovaly zainteresované strany, stanovily rozsah ISMS, prokázaly vedení, naplánovaly posouzení rizik a ošetření rizik, podporovaly dokumentované informace, provozovaly opatření, vyhodnocovaly výkonnost, prováděly interní audity a přezkoumání vedením a neustále se zlepšovaly. Příloha A následně poskytuje referenční soubor opatření, včetně politik, odpovědností vedení, právních povinností, ochrany soukromí, dodavatelských vztahů, cloudových služeb, řízení incidentů a připravenosti ICT pro kontinuitu činností.
Podniková politika bezpečnosti informací politika bezpečnosti informací od Clarysec uvádí:
Organizace musí udržovat formální model správy a řízení pro dohled nad ISMS, sladěný s kapitolami 5.1 a 9.3 ISO/IEC 27001.
Tento požadavek z kapitoly 5.1 politiky bezpečnosti informací je praktickým mostem mezi odpovědností podle NIST GV a očekáváními ISO 27001:2022 v oblasti vedení. Správa a řízení není každoroční prezentace. Je to formální model, který propojuje rozhodnutí, politiky, role, rizika, opatření, důkazy a přezkum.
Základní mapování: NIST CSF 2.0 Govern na důkazy ISO 27001:2022
Nejrychlejší způsob, jak učinit NIST CSF 2.0 užitečným, je převést výstupy Govern na vlastnictví politik a auditní důkazy. Níže uvedená tabulka představuje strukturu, kterou Clarysec používá s malými a středními podniky připravujícími se na certifikaci ISO 27001:2022, prověrku ze strany podnikových zákazníků, připravenost na NIS2, zákaznické ujištění DORA a odpovědnost podle GDPR.
| Oblast NIST CSF 2.0 Govern | Otázka správy a řízení pro malé a střední podniky | Sladění s ISO 27001:2022 | Kotva politiky Clarysec | Důkazy očekávané auditory a zákazníky |
|---|---|---|---|---|
| GV.OC, organizační kontext | Známe své právní, regulační, smluvní povinnosti, povinnosti v oblasti soukromí a obchodní povinnosti? | Kapitoly 4.1 až 4.4, příloha A 5.31 a 5.34 | Politika právního a regulačního souladu | Registr souladu, rozsah ISMS, registr zainteresovaných stran, mapa zákaznických povinností, registr ochrany soukromí |
| GV.RM, strategie řízení rizik | Jak definujeme, skórujeme, prioritizujeme, přijímáme a ošetřujeme kybernetická rizika? | Kapitoly 6.1.1 až 6.1.3, 8.2 a 8.3 | Politika řízení rizik | Metodika hodnocení rizik, registr rizik, plán ošetření rizik, schválení vlastníků rizik, mapování SoA |
| GV.RR, role a odpovědnosti | Kdo vlastní rozhodnutí o kybernetické bezpečnosti, výjimky, zdroje a reporting? | Kapitoly 5.1 až 5.3, příloha A 5.2 a 5.4 | Politika rolí a odpovědností v oblasti správy a řízení pro MSP | RACI matice, popisy rolí, zápisy z jednání, schválení výjimek, záznamy o školení |
| GV.PO, politika | Jsou politiky schváleny, komunikovány, prosazovány, přezkoumávány a aktualizovány? | Kapitoly 5.2, 7.5 a 9.3, příloha A 5.1 | Politika bezpečnosti informací | Registr politik, záznamy o schválení, historie verzí, potvrzení seznámení zaměstnanců, zápisy z přezkumů politik |
| GV.OV, dohled | Jsou strategie a výkonnost kybernetické bezpečnosti přezkoumávány a upravovány? | Kapitoly 9.1, 9.2, 9.3, 10.1 a 10.2 | Politika monitorování auditu a souladu | Řídicí panel KPI, plán interních auditů, výstupy přezkoumání vedením, nápravná opatření |
| GV.SC, riziko dodavatelského řetězce | Jsou dodavatelé známi, prioritizováni, posuzováni, smluvně ošetřeni, monitorováni a řádně ukončováni? | Příloha A 5.19 až 5.23 a 5.30 | Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran pro MSP | Inventář dodavatelů, záznamy o náležité péči, smluvní doložky, záznamy o přezkumech, plány ukončení, kontakty pro incidenty |
Toto mapování je záměrně orientované na důkazy. Nevyžaduje, aby malý nebo střední podnik vytvořil 40 dokumentů. Klade pět provozních otázek:
- Jaké rozhodnutí se přijímá?
- Kdo je jeho vlastníkem?
- Která politika je řídí?
- Která kapitola ISO 27001:2022 nebo opatření přílohy A je podporuje?
- Jaký důkaz prokazuje, že k němu došlo?
Politika rolí a odpovědností v oblasti správy a řízení pro MSP Politika rolí a odpovědností v oblasti správy a řízení pro MSP tuto dohledatelnost výslovně stanoví:
Všechna významná bezpečnostní rozhodnutí, výjimky a eskalace musí být zaznamenány a dohledatelné.
Tato citace pochází z kapitoly 5.5 Politiky rolí a odpovědností v oblasti správy a řízení pro MSP. Převádí NIST GV.RR z principu správy a řízení na auditovatelné provozní pravidlo.
Začněte profilem CSF Govern, nikoli tabulkou opatření
Organizační profily NIST CSF 2.0 pomáhají organizacím popsat aktuální a cílové výstupy kybernetické bezpečnosti. Pro malé a střední podniky je profil místem, kde se správa a řízení stává zvládnutelnou.
Praktický workshop k profilu Govern by měl odpovědět na pět otázek:
- Co je v rozsahu: celá společnost, SaaS platforma, regulovaný produkt nebo zákaznické prostředí?
- Které povinnosti profil řídí: zákaznické smlouvy, GDPR, expozice vůči NIS2, zákaznická očekávání vyvolaná DORA, certifikace ISO 27001:2022 nebo prověrka investorů?
- Co prokazují aktuální důkazy, nikoli co lidé věří, že existuje?
- Jaký cílový stav je realistický pro příštích 90 dnů a příštích 12 měsíců?
- Která rizika, politiky, dodavatelé a záznamy SoA se musí změnit?
Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint to podporuje ve fázi Základy a vedení ISMS, krok 6, „Dokumentované informace a budování knihovny ISMS“. Doporučuje připravit SoA včas a používat jej jako knihovnu opatření:
✓ Dodatečná opatření: Existují mimo přílohu A opatření, která byste mohli zahrnout? ISO 27001 umožňuje přidat do SoA další opatření. Například můžete chtít zahrnout soulad s NIST CSF nebo konkrétní opatření ochrany soukromí z ISO 27701. Obecně je příloha A komplexní, ale můžete připojit jakákoli jedinečná opatření, která plánujete
✓ Použijte tabulku (SoA Builder): Praktickým přístupem je připravit tabulku SoA již nyní. Připravili jsme šablonu SoA_Builder.xlsx, která uvádí všechna opatření přílohy A se sloupci pro použitelnost, stav implementace a poznámky.
Pro malý nebo střední podnik je to důležité. Nemusíte NIST CSF 2.0 vtlačovat do přílohy A ISO, jako by byly totožné. Výstupy CSF Govern můžete zahrnout jako dodatečné požadavky správy a řízení do své knihovny SoA, namapovat je na kapitoly ISO 27001:2022 a opatření přílohy A a využít je ke zlepšení přezkoumání vedením, řízení dodavatelů, reportingu rizik a monitorování souladu.
Vytvořte registr důkazů Govern
Registr důkazů Govern je praktický nástroj, který převádí rámce na důkazy. Měl by propojit každý výstup NIST s referencí ISO, vlastníkem politiky, položkou důkazu, periodicitou přezkumu, mezerou a opatřením.
| Pole | Příklad záznamu |
|---|---|
| Výstup CSF | GV.OC-03 |
| Otázka správy a řízení | Jsou právní, regulační, smluvní povinnosti, povinnosti v oblasti soukromí a občanských svobod pochopeny a řízeny? |
| Reference ISO 27001:2022 | Kapitoly 4.2, 4.3 a 6.1.3, příloha A 5.31 a 5.34 |
| Politika Clarysec | Politika právního a regulačního souladu |
| Vlastník důkazů | Manažer souladu |
| Důkazy | Registr souladu v1.4, mapa zákaznických povinností, registr zpracování GDPR |
| Periodicita přezkumu | Čtvrtletně a při změně trhu, zákazníka nebo produktu |
| Mezera | Doložky DORA přenášené zákazníkem nejsou namapovány na smlouvy s dodavateli |
| Opatření | Aktualizovat šablonu dodavatelské smlouvy a poznámky SoA |
| Termín splnění | 30 dnů |
Podniková Politika právního a regulačního souladu Politika právního a regulačního souladu od Clarysec stanoví řídicí požadavek:
Všechny právní a regulační povinnosti musí být v rámci systému řízení bezpečnosti informací (ISMS) namapovány na konkrétní politiky, opatření a vlastníky.
Toto je kapitola 6.2.1 Politiky právního a regulačního souladu. Pro malé a střední podniky přidává Politika právního a regulačního souladu pro MSP Politika právního a regulačního souladu pro MSP praktický požadavek na křížové mapování:
Pokud se právní předpis vztahuje na více oblastí (např. GDPR se vztahuje na uchovávání, bezpečnost a soukromí), musí to být jasně namapováno v Registru souladu a školicích materiálech.
Tato citace pochází z kapitoly 5.2.2 Politiky právního a regulačního souladu pro MSP. Společně tyto kapitoly převádějí GV.OC-03 na řízený, přezkoumatelný proces připravený pro audit.
Propojte skórování rizik s ošetřením rizik a SoA
NIST GV.RM vyžaduje cíle v oblasti rizik, apetit k riziku, toleranci rizika, standardizovaný výpočet rizik, možnosti reakce a komunikační linie. ISO 27001:2022 to operacionalizuje prostřednictvím posouzení rizik, ošetření rizik, schválení vlastníkem rizika, přijetí zbytkového rizika a Prohlášení o použitelnosti.
Politika řízení rizik pro MSP Politika řízení rizik pro MSP je záměrně konkrétní:
Každý záznam rizika musí obsahovat: popis, pravděpodobnost, dopad, skóre, vlastníka a plán ošetření.
Toto pochází z kapitoly 5.1.2 Politiky řízení rizik pro MSP. Podniková Politika řízení rizik Politika řízení rizik posiluje vazbu na SoA:
Prohlášení o použitelnosti (SoA) musí odrážet všechna rozhodnutí o ošetření a musí být aktualizováno vždy, když se změní pokrytí kontrolami.
Toto je kapitola 5.4 Politiky řízení rizik.
Zvažte reálné riziko malého nebo středního podniku: neoprávněný přístup k produkčním zákaznickým datům v důsledku nekonzistentního vynucování MFA napříč účty pro správu cloudu.
Silné mapování Govern by zahrnovalo:
- NIST GV.RM pro standardizovanou dokumentaci rizik a prioritizaci.
- NIST GV.RR pro vlastnictví rolí a pravomoc vynucovat řízení přístupu.
- NIST GV.PO pro prosazování a přezkum politik.
- Kapitoly ISO 27001:2022 6.1.2, 6.1.3, 8.2 a 8.3.
- Opatření přílohy A pro řízení přístupu, správu identit, autentizační informace, protokolování, monitorování, konfiguraci a cloudové služby.
- Důkazy, jako je záznam v registru rizik, export konfigurace MFA, schválení výjimky, přezkum cloudového IAM, rozhodnutí z přezkoumání vedením a aktualizovaná poznámka SoA.
Zenith Blueprint, fáze Řízení rizik, krok 13, „Plánování ošetření rizik a Prohlášení o použitelnosti“, vysvětluje vazbu:
✓ Zajistěte sladění s registrem rizik: každé zmírňující opatření, které jste zapsali do Plánu ošetření rizik, by mělo odpovídat opatření přílohy A označenému jako „Applicable“. Naopak, pokud je opatření označeno jako použitelné, měli byste mít buď riziko, nebo požadavek, který je jeho důvodem.
To je rozdíl mezi tvrzením „používáme MFA“ a prokázáním „máme řízený, na riziku založený důvod pro MFA sladěný s ISO 27001:2022, s důkazem, vlastníkem a periodicitou přezkumu“.
Řiďte dodavatelské riziko bez nadměrné složitosti programu
NIST GV.SC je jednou z nejužitečnějších částí funkce Govern pro malé a střední podniky, protože moderní malé a střední podniky jsou silně závislé na dodavatelích: poskytovatelích cloudových služeb, zpracovatelích plateb, HR platformách, helpdeskových systémech, repozitářích kódu, nástrojích CI/CD, monitorovacích nástrojích a řízených bezpečnostních službách.
Příloha A ISO 27001:2022 to podporuje prostřednictvím opatření pro dodavatele a cloud, včetně 5.19 Bezpečnost informací v dodavatelských vztazích, 5.20 řešení bezpečnosti informací ve smlouvách s dodavateli, 5.21 řízení bezpečnosti informací v dodavatelském řetězci ICT, 5.22 Monitorování, přezkum a řízení změn služeb dodavatelů, 5.23 Bezpečnost informací při používání cloudových služeb a 5.30 Připravenost ICT pro kontinuitu činností.
Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran pro MSP Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran pro MSP jasně stanoví požadavek na důkazy:
Tyto přezkumy musí být dokumentovány a uchovávány se záznamem dodavatele. Následná opatření musí být jasně sledována.
Toto je kapitola 6.3.2 Bezpečnostní politiky dodavatelů a poskytovatelů služeb třetích stran pro MSP.
Štíhlý dodavatelský model pro malý a střední podnik může používat tři úrovně:
| Úroveň dodavatele | Kritéria | Minimální důkazy | Periodicita přezkumu |
|---|---|---|---|
| Kritický | Podporuje produkční prostředí, zákaznická data, autentizaci, monitorování bezpečnosti, platební tok nebo poskytování regulované služby | Dotazník náležité péče, bezpečnostní doložky ve smlouvě, SLA, kontakt pro incidenty, plán ukončení, přezkum rizik | Ročně a při podstatné změně |
| Důležitý | Podporuje činnosti organizace nebo interní citlivé informace, ale nepodporuje přímo poskytování kritické služby | Bezpečnostní souhrn, podmínky zpracování údajů, přezkum přístupových práv, akceptace rizika při existenci mezer | Každých 18 měsíců |
| Standardní | Nízko rizikové nástroje bez citlivých dat nebo kritické závislosti | Schválení vlastníkem obchodního procesu, základní kontrola dat a přístupů | Při onboardingu a obnovení |
Tento jednoduchý model podporuje NIST GV.SC, dodavatelská opatření ISO 27001:2022, zákaznickou prověrku a smluvní očekávání vyvolaná DORA ze strany finančních zákazníků.
Ukončení spolupráce s dodavatelem si zaslouží zvláštní pozornost. NIST GV.SC očekává správu a řízení napříč celým životním cyklem dodavatele, včetně ukončení vztahu. Důkazy by měly zahrnovat vrácení nebo výmaz dat, odebrání přístupů, plánování přechodu služby, uchovávané smluvní záznamy a přezkum zbytkového rizika.
Používejte Zenith Controls pro průřezový soulad, nikoli jako samostatnou sadu opatření
Zenith Controls: The Cross-Compliance Guide Zenith Controls od Clarysec je průvodce průřezovým souladem pro mapování témat opatření ISO/IEC 27002:2022 na více rámců a auditních pohledů. Nejde o samostatná „opatření Zenith“. Jsou to opatření ISO/IEC 27002:2022 analyzovaná v rámci Zenith Controls pro použití v průřezovém souladu.
Pro NIST CSF 2.0 Govern jsou zvláště důležité tři oblasti opatření ISO/IEC 27002:2022:
| Oblast opatření ISO/IEC 27002:2022 v Zenith Controls | Vazba na NIST CSF 2.0 Govern | Praktická interpretace pro malé a střední podniky |
|---|---|---|
| 5.1 Politiky bezpečnosti informací | GV.PO | Politiky musí být schváleny, komunikovány, prosazovány, přezkoumávány a aktualizovány, když se mění hrozby, technologie, právo nebo obchodní cíle |
| 5.4 Odpovědnosti vedení | GV.RR a GV.OV | Bezpečnostní odpovědnosti musí být přiřazeny na úrovni vedení i provozu, včetně zdrojů, reportingu a přezkumu |
| 5.31 Právní, zákonné, regulační a smluvní požadavky | GV.OC-03 | Povinnosti musí být identifikovány, namapovány na opatření a vlastníky, monitorovány z hlediska změn a doloženy |
Zenith Blueprint, fáze Opatření v praxi, krok 22, „Organizační opatření“, poskytuje provozní model:
Formalizujte správu a řízení bezpečnosti informací
Zajistěte, aby vaše politiky bezpečnosti informací (5.1) byly finalizovány, schváleny a vedeny v režimu správy verzí. Přiřaďte pojmenované vlastníky pro každou doménu politik (např. přístup, šifrování, zálohování) a dokumentujte role a odpovědnosti napříč ISMS (5.2). Přezkoumejte oddělení povinností (5.3) ve vysoce rizikových oblastech, jako jsou finance, správa systémů a řízení změn. Vytvořte jednoduchou mapu správy a řízení, která ukazuje, kdo schvaluje, kdo implementuje a kdo monitoruje bezpečnostní politiku.
Tato mapa správy a řízení je jedním z nejhodnotnějších artefaktů, které může malý nebo střední podnik vytvořit. Odpovídá na NIST GV.RR, požadavky ISO 27001:2022 na vedení, očekávání NIS2 týkající se odpovědnosti vedení a zákaznické otázky, kdo vlastní kybernetické riziko.
Jeden model správy a řízení pro NIS2, DORA, GDPR, NIST a ISO
Funkce Govern má největší hodnotu, když malý nebo střední podnik čelí překrývajícím se požadavkům.
NIS2 vyžaduje, aby základní a důležité subjekty v rozsahu přijaly vhodná a přiměřená opatření k řízení rizik kybernetické bezpečnosti. Zároveň ukládá odpovědnost řídicím orgánům za schvalování opatření k řízení rizik kybernetické bezpečnosti, dohled nad implementací a absolvování školení. NIST GV.RR podporuje odpovědnost vedení. GV.RM podporuje opatření založená na rizicích. GV.SC podporuje zabezpečení dodavatelského řetězce. GV.PO podporuje politiky. GV.OV podporuje přezkum výkonnosti.
Správa incidentů podle NIS2 také zavádí odstupňovaná očekávání pro oznamování, včetně včasného varování do 24 hodin, oznámení incidentu do 72 hodin a závěrečného hlášení do jednoho měsíce u významných incidentů. Tyto lhůty musí být promítnuty do postupů reakce na incidenty, eskalačních cest, komunikačních plánů a reportingu vedení.
DORA se vztahuje od 17. ledna 2025 na finanční subjekty EU, ale mnoho malých a středních podniků pociťuje její dopad prostřednictvím zákaznických smluv. Finanční zákazníci mohou přenášet požadavky DORA na poskytovatele ICT, dodavatele softwaru, poskytovatele řízených služeb a dodavatele závislé na cloudu. DORA se zaměřuje na řízení rizik v oblasti ICT, odpovědnost řídicího orgánu, hlášení incidentů, testování odolnosti, riziko třetích stran v oblasti ICT, smluvní požadavky a dohled.
GDPR přidává odpovědnost za zpracování osobních údajů. Malé a střední podniky musí rozumět tomu, zda jsou správci, zpracovatelé, nebo obojí, jaké osobní údaje zpracovávají, které systémy a dodavatelé jsou zapojeni, jaké právní základy se uplatní a které scénáře incidentů by se mohly stát porušením zabezpečení osobních údajů.
Zenith Blueprint, fáze Řízení rizik, krok 14, doporučuje křížově referencovat požadavky DORA, NIS2 a GDPR do souboru opatření ISO 27001:2022:
U každého právního předpisu, pokud je použitelný, můžete vytvořit jednoduchou mapovací tabulku (může být přílohou zprávy), která uvádí klíčové bezpečnostní požadavky daného právního předpisu a odpovídající opatření/politiky ve vašem ISMS. V ISO 27001 to není povinné, ale je to užitečné interní cvičení, které pomáhá zajistit, že nic nepropadlo mezi prsty.
Praktická mapa průřezového souladu může vypadat takto:
| Požadavek správy a řízení | NIST CSF 2.0 Govern | Kotva ISO 27001:2022 | Relevance NIS2, DORA, GDPR | Primární důkazy |
|---|---|---|---|---|
| Odpovědnost vedení | GV.RR a GV.OV | Kapitoly 5.1, 5.3 a 9.3, příloha A 5.4 | Dohled řídicího orgánu podle NIS2, odpovědnost řídicího orgánu podle DORA | Mapa správy a řízení, RACI matice, zápisy z přezkoumání vedením |
| Právní a smluvní povinnosti | GV.OC-03 | Kapitoly 4.2, 4.3 a 6.1.3, příloha A 5.31 a 5.34 | Odpovědnost podle GDPR, právní rozsah NIS2, smluvní přenesené požadavky DORA | Registr souladu, mapa zákaznických povinností, registr ochrany soukromí |
| Bezpečnostní opatření založená na riziku | GV.RM | Kapitoly 6.1.2, 6.1.3, 8.2 a 8.3 | Opatření k rizikům podle NIS2, rámec rizik ICT podle DORA, zabezpečení zpracování podle GDPR | Registr rizik, plán ošetření rizik, SoA |
| Řízení dodavatelů | GV.SC | Příloha A 5.19 až 5.23 a 5.30 | Zabezpečení dodavatelského řetězce podle NIS2, riziko třetích stran v oblasti ICT podle DORA, zpracovatelé podle GDPR | Inventář dodavatelů, náležitá péče, smlouvy, záznamy o přezkumech |
| Správa politik | GV.PO | Kapitola 5.2 a příloha A 5.1 | Všechny rámce očekávají dokumentovaná, schválená a komunikovaná pravidla | Registr politik, historie verzí, potvrzení seznámení |
| Audit a zlepšování | GV.OV | Kapitoly 9.1, 9.2, 9.3, 10.1 a 10.2 | Testování a náprava podle DORA, účinnost podle NIS2, odpovědnost podle GDPR | Zprávy z interního auditu, KPI, nápravná opatření |
Hodnota spočívá v efektivitě. Jeden dobře provozovaný ISMS podle ISO 27001:2022, vedený funkcí NIST CSF 2.0 Govern, dokáže generovat znovupoužitelné důkazy pro několik rámců najednou.
Pohled auditora: jak prokázat, že správa a řízení je skutečná
Politika uložená v šuplíku není správa a řízení. Auditoři a hodnotitelé hledají zlatou nit: politiku na vysoké úrovni, definovaný proces, provozní záznam, přezkoumání vedením a opatření ke zlepšení.
Různí přezkoumávající tuto nit testují odlišně.
| Pohled auditora | Na co se zaměří | Důkazy, které fungují dobře |
|---|---|---|
| Auditor ISO 27001:2022 | Zda je správa a řízení začleněna do ISMS, ošetření rizik je dohledatelné, rozhodnutí v SoA jsou odůvodněná a dokumentované informace jsou řízeny | Rozsah ISMS, registr politik, registr rizik, SoA, zápisy z přezkoumání vedením, zprávy z interního auditu, nápravná opatření |
| Hodnotitel NIST CSF 2.0 | Zda existují aktuální a cílové profily, mezery jsou prioritizovány a výstupy Govern jsou propojeny s obchodním rizikem a dohledem | Profil CSF, analýza mezer, POA&M, prohlášení o apetitu k riziku, řídicí panel vedení, cílový profil dodavatelů |
| Auditor ve stylu COBIT 2019 nebo ISACA | Zda jsou definovány cíle správy a řízení, rozhodovací pravomoci, výkonnostní měřítka, vlastnictví opatření a činnosti zajištění | Mapa správy a řízení, RACI matice, řídicí panel KPI a KRI, potvrzení vlastníků opatření, plán auditů, sledování zjištění |
| Přezkoumávající GDPR | Zda jsou identifikovány povinnosti v oblasti ochrany soukromí, zpracování je namapováno, bezpečnostní opatření jsou přiměřená a existují důkazy odpovědnosti | Registr zpracování, mapování právních základů, DPIA tam, kde je potřeba, proces reakce na porušení zabezpečení, podmínky zpracování údajů s dodavateli |
| Hodnotitel bezpečnosti zákazníka | Zda malý nebo střední podnik dokáže bez nadměrného zdržení prokázat provozní bezpečnost, kontrolu dodavatelů, připravenost na incidenty a odpovědnost vrcholového vedení | Balíček důkazů, politiky, přezkumy dodavatelů, výstupy tabletop cvičení incidentů, přezkum přístupových práv, testy záloh, bezpečnostní plán |
Podniková Politika rolí a odpovědností v oblasti správy a řízení Politika rolí a odpovědností v oblasti správy a řízení od Clarysec uvádí:
Správa a řízení musí podporovat integraci s dalšími disciplínami (např. rizika, právní oblast, IT, HR) a rozhodnutí ISMS musí být dohledatelná ke svému zdroji (např. auditní záznamy, logy přezkumů, zápisy z jednání).
Toto je kapitola 5.5 Politiky rolí a odpovědností v oblasti správy a řízení. Zachycuje podstatu průřezového souladu: rozhodnutí správy a řízení musí být dohledatelná.
Politika monitorování auditu a souladu pro MSP Politika monitorování auditu a souladu pro MSP přidává kritickou disciplínu pro práci s důkazy:
Metadata (např. kdo je shromáždil, kdy a z jakého systému) musí být dokumentována.
Tato citace pochází z kapitoly 6.2.3 Politiky monitorování auditu a souladu pro MSP. Metadata důkazů často odlišují složku screenshotů od důkazů v auditní kvalitě.
Podniková Politika monitorování auditu a souladu Politika monitorování auditu a souladu přidává požadavek na úrovni programu:
Organizace musí udržovat strukturovaný program monitorování auditu a souladu začleněný do ISMS, který pokrývá:
Toto je kapitola 5.1 Politiky monitorování auditu a souladu. Dopad na správu a řízení je přímý: audit není každoroční improvizace. Je součástí provozu ISMS.
Časté chyby malých a středních podniků při mapování NIST Govern na ISO 27001:2022
První chybou je nadměrná dokumentace bez vlastnictví. Malý nebo střední podnik napíše politiky, ale nepřiřadí vlastníky pro ošetření rizik, přezkumy dodavatelů, schvalování výjimek nebo reporting vedení.
Druhou chybou je nakládání s právními povinnostmi jako s něčím odděleným od ISMS. NIST GV.OC-03 vyžaduje, aby povinnosti byly pochopeny a řízeny. ISO 27001:2022 vyžaduje, aby relevantní požadavky zainteresovaných stran a právní, regulační a smluvní povinnosti byly zohledněny v ISMS.
Třetí chybou je slabé odůvodnění SoA. SoA není pouze seznam použitelných opatření. Je to logický soubor vysvětlující, proč jsou opatření zahrnuta, vyloučena nebo implementována.
Čtvrtou chybou jsou chybějící důkazy o životním cyklu dodavatele. Řízení dodavatelů zahrnuje onboarding, smlouvy, monitorování, incidenty, změny a ukončení spolupráce.
Pátou chybou je neaktualizování cílového profilu. Profil CSF by se měl změnit, když podnik vstoupí do nové geografie, podepíše významného zákazníka, přijme kritického dodavatele, spustí regulovaný produkt, změní cloudovou architekturu nebo utrpí incident.
30denní plán NIST CSF 2.0 Govern pro malé a střední podniky
Pokud se malý nebo střední podnik potřebuje rychle posunout, začněte cíleným 30denním implementačním plánem.
| Dny | Činnost | Výstup |
|---|---|---|
| 1 až 3 | Definovat rozsah CSF Govern a shromáždit existující politiky, smlouvy, záznamy o rizicích, seznamy dodavatelů a auditní důkazy | Poznámka k rozsahu a inventář důkazů |
| 4 až 7 | Vytvořit registr důkazů Govern pro GV.OC, GV.RM, GV.RR, GV.PO, GV.OV a GV.SC | Aktuální profil a počáteční mezery |
| 8 až 12 | Namapovat povinnosti na politiky ISO 27001:2022, oblasti opatření přílohy A a vlastníky | Registr souladu a mapa vlastnictví politik |
| 13 až 17 | Aktualizovat registr rizik a plán ošetření rizik, poté sladit záznamy SoA | Registr rizik, plán ošetření, aktualizace SoA |
| 18 až 22 | Prioritizovat řízení dodavatelů, včetně klasifikace kritických dodavatelů, mezer ve smlouvách a důkazů o přezkumu | Registr dodavatelských rizik a evidence opatření |
| 23 až 26 | Připravit balíček auditních důkazů s metadaty, schváleními, záznamy o přezkumech a rozhodnutími vedení | Balíček důkazů a auditní index |
| 27 až 30 | Provést přezkoumání vedením a schválit plán cílového profilu | Zápisy z přezkoumání vedením, rozhodnutí, plán |
Tento plán vytváří dostatek důkazů správy a řízení pro zodpovězení závažných zákaznických a auditních otázek a zároveň buduje základ pro certifikaci ISO 27001:2022, připravenost na NIS2, zákaznické ujištění DORA a odpovědnost podle GDPR.
Praktický výsledek: jeden příběh správy a řízení, mnoho použití pro soulad
Když se Sarah vrátí před představenstvo, už nemá pět nepropojených pracovních proudů v oblasti souladu. Má jeden příběh správy a řízení.
Výstupy NIST CSF 2.0 Govern jsou namapovány na politiky ISO 27001:2022, vlastníky, rizika, opatření a důkazy. Rozsah ISMS zahrnuje zákaznické, dodavatelské, cloudové, právní, regulační, soukromí a smluvní závislosti. Registr rizik řídí rozhodnutí o ošetření a použitelnost SoA. Politiky jsou schválené, vedené v režimu správy verzí, mají vlastníky, jsou komunikované a přezkoumávané. Dodavatelská rizika jsou zařazena do úrovní, smluvně ošetřena, monitorována a sledována. Povinnosti zpracování podle GDPR, očekávání NIS2 týkající se odpovědnosti a zákazníkem přenesené požadavky DORA jsou křížově referencovány tam, kde se uplatní. Auditní důkazy zahrnují metadata, záznamy rozhodnutí a výstupy přezkoumání vedením.
Tak vypadá správa a řízení, když je provozní.
Další krok: vytvořte svůj balíček důkazů Govern pro malý nebo střední podnik s Clarysec
Pokud se připravujete na ISO 27001:2022, odpovídáte na prověrku ze strany podnikového zákazníka, mapujete výstupy NIST CSF 2.0 Govern nebo se snažíte sladit NIS2, DORA a GDPR bez budování samostatných programů, začněte vrstvou správy a řízení.
Clarysec vám pomůže vytvořit:
- Aktuální a cílový profil NIST CSF 2.0 Govern.
- Mapování politik ISO 27001:2022 a SoA.
- Registr povinností pro průřezový soulad s využitím Zenith Controls Zenith Controls.
- 30krokový plán implementace ISMS s využitím Zenith Blueprint Zenith Blueprint.
- Důkazy politik připravené pro malé a střední podniky s využitím sady politik Clarysec, včetně Politiky rolí a odpovědností v oblasti správy a řízení pro MSP Politika rolí a odpovědností v oblasti správy a řízení pro MSP, Politiky řízení rizik pro MSP Politika řízení rizik pro MSP, Politiky právního a regulačního souladu pro MSP Politika právního a regulačního souladu pro MSP, Bezpečnostní politiky dodavatelů a poskytovatelů služeb třetích stran pro MSP Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran pro MSP a Politiky monitorování auditu a souladu pro MSP Politika monitorování auditu a souladu pro MSP.
Nejrychlejší cesta není další tabulka. Je to řízený, na riziku založený ISMS připravený na důkazy, který vašemu malému nebo střednímu podniku umožní sebejistě odpovědět na jednu otázku:
Dokážete prokázat, že kybernetická bezpečnost je řízena, má vlastníky, je přezkoumávána a průběžně zlepšována?
S Clarysec je odpověď ano.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
