Řízení životního cyklu politik pro ISO 27001, NIS2 a DORA
E-mail dorazil do schránky ředitelky informační bezpečnosti (CISO) Marie Petrovové s tichým žuchnutím, které působilo jako siréna. Přišel od externího auditora a obsahoval předběžný seznam požadavků pro kombinovaný dozorový audit ISO/IEC 27001:2022 a posouzení připravenosti na DORA. První položka vypadala jednoduše:
„Předložte prosím aktuální politiku bezpečnosti informací, její úplnou historii verzí, důkazy o schválení vedením pro každou verzi a záznamy o jejím sdělení relevantním zaměstnancům za posledních 24 měsíců.“
Mariina společnost, středně velká fintech platforma, politiky měla. Desítky politik. Měla politiku bezpečnosti informací, plán reakce na incidenty (IRP), bezpečnostní dotazník pro dodavatele, registr rizik, postup řízení přístupu, plán kontinuity provozu (BCP) a složku plnou auditních důkazů. Soubory však byly rozptýlené mezi weby SharePoint, staršími prostory Confluence, e-mailovými vlákny, přílohami ticketů a sdílenými disky vlastněnými lidmi, kteří už ve společnosti nepracovali.
Skutečný problém se ukázal, když dorazily doplňující otázky auditora.
Kdo schválil aktuální postup pro incidenty? Proč bezpečnostní politika dodavatelů v SharePoint uvádí verzi 2.1, zatímco nákup používá verzi 1.8? Která politika je namapována na opatření pro řízení rizik podle NIS2 Article 21? Kde je záznam dokládající, že zaměstnanci byli informováni o poslední aktualizaci politiky? Proč byla udělena výjimka pro privilegovaný přístup, kdo akceptoval zbytkové riziko a kdy výjimka vyprší? Jsou zastaralé dokumenty odstraněny z provozního používání? Jak dlouho se uchovávají auditní zprávy? Může společnost prokázat, že knihovna politik byla přezkoumána po poslední významné změně systému?
Maria měla opatření, ale neměla je pod kontrolou.
To je problém řízení životního cyklu politik v roce 2026. Organizace dnes u auditů neselhávají jen proto, že mají chybné pravidlo firewallu nebo chybějící test záloh. Selhávají proto, že dokumentované informace jsou roztříštěné, neauditovatelné, duplicitní, zastaralé, neřízené nebo odpojené od právních povinností. Podle kapitoly 7.5 ISO/IEC 27001:2022 nejsou dokumentované informace administrativní údržbou. Jsou provozní pamětí ISMS. Podle NIS2 podporují schválení a dohled řídicího orgánu. Podle DORA se stávají součástí rámce pro řízení rizik ICT a důkazní stopy odolnosti. Podle GDPR dokládají odpovědnost.
Pohled Clarysec je přímočarý: knihovna politik není odkladiště dokumentů. Je to řízený důkazní systém.
Proč je řízení životního cyklu politik tématem pro řídicí orgány
Řízení životního cyklu politik je disciplína tvorby, schvalování, publikace, komunikace, přezkumu, změn, vyřazování, uchovávání a dokládání politik a souvisejících záznamů. Odpovídá na otázky, které dnes auditoři, regulační orgány, zákazníci a řídicí orgány kladou rutinně:
- Kdo vlastní každou politiku?
- Kdo ji schvaluje?
- Které právní, smluvní a rizikové požadavky naplňuje?
- Která opatření a postupy ji implementují?
- Která verze je aktuální?
- Kdo byl informován, proškolen nebo povinen potvrdit seznámení?
- Které výjimky jsou s ní propojeny?
- Které záznamy dokazují, že funguje?
- Co se stane, když zastará?
ISO/IEC 27001:2022 podporuje tuto disciplínu prostřednictvím kapitoly 7.5 o dokumentovaných informacích, kapitoly 5 o vedení, kapitoly 6 o plánování a ošetření rizik, kapitoly 8 o provozním řízení a opatření přílohy A týkajících se politik, záznamů, právních požadavků, dodavatelů, incidentů, kontinuity, soukromí, protokolování, monitorování a řízení změn.
Regulační tlak je stejně přímý.
NIS2 Article 20 vyžaduje, aby řídicí orgány schvalovaly opatření pro řízení rizik kybernetické bezpečnosti, dohlížely na jejich implementaci a absolvovaly odpovídající školení. Article 21 vyžaduje technická, provozní a organizační opatření založená na rizicích, včetně bezpečnostních politik, zvládání incidentů, kontinuity provozu, bezpečnosti dodavatelského řetězce, bezpečného vývoje, posuzování účinnosti, kybernetické hygieny, kryptografie, bezpečnosti lidských zdrojů, řízení přístupu, správy aktiv a autentizace. Soubor politik bez důkazů o vlastnictví, schválení a přezkumu oslabuje příběh odpovědnosti vedení.
DORA se použije od 17. ledna 2025 a zavádí jednotný rámec EU pro řízení rizik ICT, hlášení incidentů, testování digitální provozní odolnosti, rizika třetích stran v oblasti ICT a smluvní požadavky. Pro finanční subjekty, které jsou zároveň základními nebo důležitými subjekty podle NIS2, se DORA považuje za odvětvový právní akt Unie pro odpovídající povinnosti kybernetické bezpečnosti. Article 5 vyžaduje odpovědnost řídicího orgánu za rámec řízení rizik ICT, politiky, odpovědnosti, plány kontinuity, audity, politiky pro třetí strany v oblasti ICT, oznamovací kanály a školení. Article 6 vyžaduje dobře dokumentovaný rámec řízení rizik ICT, který je u finančních subjektů mimo mikropodniky přezkoumáván nejméně jednou ročně a zlepšován na základě získaných poznatků.
GDPR přidává požadavek odpovědnosti. Article 5 vyžaduje, aby osobní údaje byly zpracovávány zákonně, korektně a transparentně, pro stanovené účely, s minimalizací, přesností, omezením uložení a zabezpečením. Article 5(2) činí správce odpovědným za doložení souladu. Toto doložení závisí na řízených záznamech: rozhodnutích o právním základu, harmonogramech uchovávání údajů, DPIA tam, kde se použijí, prověrce zpracovatelů, záznamech o porušení zabezpečení, přezkumech přístupových práv, záznamech o školení a schváleních politik.
Společným jmenovatelem jsou důkazy. Auditor se nebude ptát jen na to, zda politika existuje. Bude požadovat její rodný list, historii verzí, schvalovací stopu, záznam o komunikaci, související postupy a provozní záznamy dokazující, že funguje.
Páteř dokumentovaných informací podle ISO/IEC 27001:2022
Základem obhajitelné dokumentace je kapitola 7.5 ISO/IEC 27001:2022, Dokumentované informace. Vyžaduje, aby organizace vytvářely, aktualizovaly a řídily dokumentované informace potřebné pro ISMS a vyžadované normou.
Prakticky lze dokumentované informace rozdělit do tří vrstev:
| Vrstva | Příklady | Účel správy a řízení |
|---|---|---|
| Řídicí dokumenty | Rozsah ISMS, politika bezpečnosti informací, metodika hodnocení rizik, Prohlášení o aplikovatelnosti (SoA), plán ošetření rizik, cíle | Stanovují směr, pravomoci, požadavky a odpovědnost |
| Provozní dokumenty | Postupy, standardy, playbooky, runbooky, kontrolní seznamy, šablony | Převádějí politiku do opakovatelných činností |
| Záznamy | Posouzení rizik, záznamy o školení, zprávy o incidentech, auditní zprávy, schválení, zápisy z přezkoumání vedením, přezkumy přístupových práv, záznamy dodavatelů, rozhodnutí o výjimkách | Dokládají, že rozhodnutí byla přijata a opatření fungovala |
Clarysec Zenith Blueprint: 30kroková roadmapa auditora se tomu věnuje výslovně ve fázi základů ISMS a vedení, krok 6: Dokumentované informace a budování knihovny ISMS. Vysvětluje, že kapitola 7.5 pokrývá dokumentaci obecně, tvorbu a aktualizaci i řízení dokumentovaných informací.
Zenith Blueprint to převádí do praktického implementačního pokynu:
„Dokumenty musí mít řádnou identifikaci (název, případně číslo dokumentu nebo jedinečný identifikátor, autora), vhodný formát … a před použitím musí být přezkoumány a schváleny z hlediska přiměřenosti.“
Uvádí také provozní pravidlo, které mnoha organizacím uniká:
„Zajistěte, aby byla snadno dostupná pouze aktuální verze (zastaralé verze archivujte nebo je jasně označte jako nahrazené).“
Právě zde se mnoho implementací ISMS nenápadně rozpadá. Politika mohla být kdysi schválena, ale pokud zůstávají dostupné staré verze, zaměstnanci používají zastaralé postupy nebo auditoři nemohou vysledovat změny, dokument již není smysluplně řízen.
Zenith Blueprint doporučuje zřídit „knihovnu dokumentace ISMS“ se složkami pro politiky a postupy, posouzení rizik a SoA, záznamy o školení, audit a přezkum, záznamy o incidentech, aktiva a inventář a knihovnu opatření přílohy A. Zároveň uvádí, že repozitář musí být „přístupný, ale zabezpečený“, přičemž politiky mají být čitelné pro zaměstnance, zatímco důvěrné složky, jako jsou posouzení rizik a záznamy o incidentech, mají být omezeny.
Nejde jen o model ukládání. Je to architektura správy a řízení.
Model životního cyklu politik podle Clarysec
Clarysec strukturuje řízení životního cyklu politik ISO 27001 kolem uzavřené smyčky: požadavek, vlastník, dokument, schválení, zveřejnění, komunikace, důkaz, přezkum, změna, uchovávání a vyřazení. Tato smyčka brání klasickému auditnímu selhání, kdy společnost má dokumenty, ale neumí prokázat pravomoc, aktuálnost ani řízení.
| Fáze životního cyklu | Otázka správy a řízení | Důkazy očekávané auditory | Implementační opora Clarysec |
|---|---|---|---|
| Příjem požadavku | Která povinnost nebo riziko vyžaduje tuto politiku? | právní registr, požadavek zákazníka, záznam v registru rizik, mapování opatření | mapování právních a regulatorních požadavků plus rozsah ISMS |
| Vlastnictví | Kdo politiku udržuje? | pole vlastník politiky, RACI, přiřazení rolí | politika rolí a odpovědností v oblasti správy a řízení |
| Schválení | Kdo ji schválil před použitím? | záznam o schválení, zápis z jednání, elektronické schválení | přezkoumání vedením nebo delegovaná pravomoc |
| Řízení verzí | Která verze je aktuální? | historie verzí, přehled změn, metadata dokumentu | řízený repozitář ISMS |
| Komunikace | Kdo byl informován? | oznámení, potvrzení seznámení, záznam o školení | záznamy o povědomí a komunikaci |
| Provoz | Které postupy ji implementují? | SOP, kontrolní seznamy, tickety, záznamy o opatřeních | dokumentované provozní postupy |
| Výjimky | Jaké odchylky jsou povoleny? | registr výjimek, akceptace rizika, datum expirace | ošetření rizik a eskalace v rámci správy a řízení |
| Přezkum | Kdy byla přezkoumána a proč? | záznam o každoročním přezkumu, přezkum na základě spouštěcí události | kalendář přezkumů a potvrzení vlastníka politiky |
| Uchovávání | Jak dlouho se záznamy uchovávají? | harmonogram uchovávání údajů, archivní záznamy | monitorování auditu a souladu |
| Vyřazení | Jak jsou řízeny zastaralé dokumenty? | archiv nahrazených verzí, odstranění z aktivní knihovny | workflow řízení dokumentů |
Tento životní cyklus je silnější než jednorázové schválení, protože propojuje dokumenty s opatřeními, vlastníky a důkazy. Podporuje také křížový soulad. Jedna politika reakce na incidenty se může mapovat na opatření ISO/IEC 27001:2022 přílohy A pro incidenty, připravenost oznamování podle NIS2 Article 23, klasifikaci incidentů a postupy hlášení podle DORA, zvládání porušení zabezpečení osobních údajů podle GDPR, výsledky Respond podle NIST CSF 2.0 a očekávání správy a řízení podle COBIT 2019.
Co politiky Clarysec vyžadují pro přezkum, verzování a důkazy
Knihovna politik Clarysec je navržena tak, aby požadavky životního cyklu politik nebyly ponechány na výkladu.
Pro malé a střední podniky stanoví Politika bezpečnosti informací pro SME jasný spouštěč přezkumu:
„Tato politika musí být nejméně jednou ročně přezkoumána generálním ředitelem (GM), aby byl zajištěn trvalý soulad s požadavky certifikace ISO/IEC 27001, změnami právních předpisů (jako jsou GDPR, NIS2 a DORA) a vyvíjejícími se obchodními potřebami.“
Vyžaduje také dokumentované záznamy změn:
„Všechny přezkumy a změny politik musí být formálně dokumentovány s jasným uvedením data, povahy změn a schválení GM.“
A zachovává historickou dohledatelnost:
„Historický záznam verzí politik musí být bezpečně uchováván, aby bylo možné při auditech prokázat vývoj politik a soulad.“
Tyto tři doložky řeší běžný problém malých a středních podniků. Organizace nemusí mít rozsáhlou kancelář správy a řízení, ale stále potřebuje důkaz o přezkumu, schválení a historii verzí.
SME Politika rolí a odpovědností v oblasti správy a řízení doplňuje požadavek dohledatelnosti pro rozhodnutí v oblasti správy a řízení:
„Všechna významná bezpečnostní rozhodnutí, výjimky a eskalace musí být zaznamenány a dohledatelné.“
Tato doložka je zásadní pro výjimky z politik. Dočasná odchylka od MFA, odložený přezkum dodavatele nebo nouzová změna uchovávání logů nemají existovat pouze v e-mailových vláknech. Mají být propojeny s příslušnou politikou, opatřením, vlastníkem rizika, rozhodnutím o zbytkovém riziku a datem expirace.
Pro centralizaci důkazů SME Politika monitorování auditu a souladu stanoví:
„Veškeré důkazy musí být uloženy v centralizované auditní složce.“
V podnikovém prostředí politika Clarysec Politika bezpečnosti informací vyžaduje, aby politiky byly:
„vedené v režimu správy verzí a dokumentované“
a:
„sdělované všem dotčeným stranám prostřednictvím oficiálních komunikačních kanálů“
Podniková Politika rolí a odpovědností v oblasti správy a řízení obsahuje koncept:
„vlastník politiky a schvalovatel“
Podniková Politika monitorování auditu a souladu doplňuje očekávání uchovávání:
„Zprávy se uchovávají nejméně šest let (nebo déle, pokud to vyžaduje právní předpis), ukládají se bezpečně a podléhají řízení verzí podle Politiky správy dokumentů a záznamů (P6).“
Nakonec podniková Politika právního a regulatorního souladu propojuje právní povinnosti s ISMS:
„Všechny právní a regulatorní povinnosti musí být v rámci Systému řízení bezpečnosti informací (ISMS) namapovány na konkrétní politiky, opatření a vlastníky.“
Tento požadavek je mostem mezi řízením životního cyklu politik a důkazy pro NIS2, DORA a GDPR. Bez mapování povinností může mít společnost dokumenty, ale nemůže prokázat, že tyto dokumenty naplňují konkrétní právní, smluvní nebo rizikové požadavky.
Trojúhelník opatření: politiky, záznamy a provozní postupy
Clarysec Zenith Controls: průvodce křížovým souladem poskytuje pro toto téma kompas křížového souladu. U opatření ISO/IEC 27002:2022 5.1, Politiky bezpečnosti informací, Zenith Controls jej označuje za preventivní opatření podporující důvěrnost, integritu a dostupnost, sladěné s koncepty správy a identifikace v kybernetické bezpečnosti a propojené s provozními schopnostmi správy a řízení a správy politik.
To je důležité, protože správa politik není jen artefakt souladu. Je preventivní. Jasně vlastněná a komunikovaná politika řízení přístupu snižuje riziko neoprávněného přístupu ještě před vznikem incidentů. Řádně schválená bezpečnostní politika dodavatelů předchází neřízenému riziku outsourcingu. Řízený postup pro incidenty zlepšuje konzistentnost reakce dříve, než začne běžet první regulatorní oznamovací lhůta.
Zenith Controls také zdůrazňuje opatření ISO/IEC 27002:2022 5.33, Ochrana záznamů, jako preventivní opatření sladěné s právním a regulatorním souladem, správou aktiv a ochranou informací. To je pro auditní důkazy klíčové. Zenith Blueprint rozvíjí stejný koncept ve fázi Opatření v praxi, krok 23:
„Záznamy nejsou jen pozůstatky minulých rozhodnutí. Jsou důkazem souladu, činnosti a odpovědnosti.“
Pokračuje:
„Záznamy jsou přiměřeně chráněny před ztrátou, neoprávněným přístupem, manipulací a předčasným zničením.“
Relevantní je také opatření ISO/IEC 27002:2022 5.37, Dokumentované provozní postupy. Zenith Controls jej klasifikuje jako preventivní a nápravné opatření podporující ochranu a obnovu. Pro DORA a NIS2 jsou dokumentované provozní postupy způsobem, jak se politika mění v opakovatelnou činnost: triáž incidentů, obnova ze záloh, onboarding dodavatelů, zvládání zranitelností, bezpečný vývoj, řízení změn, sběr důkazů a krizová komunikace.
Společně tvoří 5.1, 5.33 a 5.37 trojúhelník opatření životního cyklu politik:
| Opatření ISO/IEC 27002:2022 | Role v životním cyklu | Co prokazuje |
|---|---|---|
| 5.1 Politiky bezpečnosti informací | Směr, schválení, vlastnictví a komunikace | Vedení stanovilo očekávání a přiřadilo odpovědnost |
| 5.33 Ochrana záznamů | Integrita důkazů, uchovávání a zabezpečený přístup | Záznamům o souladu lze důvěřovat |
| 5.37 Dokumentované provozní postupy | Opakovatelné provádění požadavků politik | Zaměstnanci vědí, jak provádět řízené činnosti |
Vyspělý ISMS potřebuje všechny tři prvky. Politiky bez záznamů jsou prohlášení. Záznamy bez postupů jsou nekonzistentní. Postupy bez směřování politik se mění v lokální zvyklosti, nikoli v řízená opatření.
Mapování křížového souladu pro ISO 27001, NIS2, DORA, GDPR, NIST a COBIT
Řízení politik odděleně pro ISO 27001, NIS2, DORA a GDPR vytváří duplicity, rozpory a důkazní únavu. Lepším modelem je udržovat jednu řízenou knihovnu ISMS s mapovacími metadaty. Jeden důkazní korpus tak může uspokojit více zainteresovaných stran v oblasti ujištění.
| Rodina požadavků | Co očekávají regulační orgány nebo auditoři | Důkazy životního cyklu politik |
|---|---|---|
| ISO/IEC 27001:2022 kapitola 7.5 | Dokumenty jsou identifikované, přezkoumané, schválené, dostupné, chráněné a řízené | registr dokumentů, záznamy o schválení, historie verzí, přístupová oprávnění, archiv zastaralých dokumentů |
| ISO/IEC 27002:2022 5.1 | Politiky bezpečnosti informací jsou definované, schválené, zveřejněné, komunikované a přezkoumávané | soubor politik, schvalovací workflow, záznamy o komunikaci, protokol přezkumů |
| ISO/IEC 27002:2022 5.33 | Záznamy jsou chráněny před ztrátou, zničením, falšováním, neoprávněným přístupem a uvolněním | harmonogram uchovávání údajů, zabezpečený repozitář, řízení přístupu, důkazy integrity |
| ISO/IEC 27002:2022 5.37 | Provozní postupy jsou dokumentované a dostupné zaměstnancům, kteří je potřebují | SOP, runbooky, playbooky, důkazy o přezkumu postupů |
| NIS2 Article 20 a Article 21 | Schválení a dohled vedení nad opatřeními pro řízení rizik kybernetické bezpečnosti | schválení řídicími orgány, mapování politik, záznamy o školení, zápisy z přezkumů, důkazy účinnosti opatření |
| NIS2 Article 23 | Připravenost na oznámení významných incidentů a důkazy o hlášení | politika incidentů, postup klasifikace, eskalační záznam, důkazy workflow pro 24hodinové a 72hodinové lhůty, šablona závěrečné zprávy |
| DORA Article 5 a Article 6 | Dobře dokumentovaný rámec rizik ICT schválený vedením a pod jeho dohledem | soubor politik ICT, strategie, rámec rizik, důkazy každoročního přezkumu, výsledky auditu, získané poznatky |
| DORA Article 17 až Article 19 | Proces incidentů pro detekci, klasifikaci, eskalaci, komunikaci a hlášení | registr incidentů, kritéria závažnosti, eskalační záznamy, šablony oznámení klientům, záznamy analýzy kořenové příčiny |
| DORA Article 28 až Article 30 | Politika rizik třetích stran v oblasti ICT, registr, smlouvy, prověrka a plánování ukončení | politika dodavatelů, registr smluv, posouzení rizik, práva na audit, důkazy strategie ukončení |
| GDPR Article 5(2) | Schopnost doložit soulad se zásadami ochrany soukromí | politika ochrany dat a soukromí, záznamy o zpracování, harmonogram uchovávání údajů, záznamy o porušení zabezpečení, logy přístupů, záznamy DPIA tam, kde se použijí |
| GDPR Article 32 | Přiměřená technická a organizační bezpečnostní opatření | bezpečnostní politiky, postupy řízení přístupu, standardy šifrování, záznamy zálohování, důkazy testování |
| NIST CSF 2.0 GOVERN | Politiky, role, ochota podstupovat riziko, právní povinnosti a dohled jsou zavedeny a aktualizovány | profil správy a řízení, záznamy o přezkumu politik, registr rizik, role a odpovědnosti |
| COBIT 2019 pohled ujištění | Cíle správy a řízení, vlastnictví, monitorování výkonnosti a důkazy o opatřeních | RACI, schválení vedením, důkazy provozu opatření, sledování nápravy problémů |
NIST CSF 2.0 je obzvlášť užitečný jako komunikační vrstva. Jeho funkce GOVERN očekává, že právní, regulatorní a smluvní povinnosti budou pochopeny, cíle řízení rizik a odpovědnosti budou definovány, politiky budou zavedeny a aktualizovány a výsledky budou vyhodnocovány. Metoda organizačního profilu poskytuje také praktický proces: vymezit rozsah profilu, shromáždit vstupy, jako jsou politiky, rizikové priority a požadavky, vytvořit aktuální a cílové profily, analyzovat mezery a implementovat prioritizovaný akční plán.
To úzce odpovídá přístupu Clarysec: vybudovat jeden provozní model podložený důkazy a poté jej mapovat směrem ven na NIS2, DORA, GDPR, NIST a COBIT, místo aby se udržovala oddělená sila souladu.
Týdenní sprint pro vytvoření balíčku kontrolních důkazů k politikám
Úplná transformace řízení politik vyžaduje čas, ale zaměřený týdenní sprint může odhalit mezery a vytvořit obhajitelný základ.
Den 1: Vytvořte registr dokumentů
Začněte tabulkou, systémem GRC nebo strukturovaným seznamem SharePoint. Registr dokumentů je index, který auditorům umožňuje orientovat se v důkazním korpusu.
| Pole | Příklad |
|---|---|
| ID dokumentu | P01 |
| Název dokumentu | Politika bezpečnosti informací |
| Typ | Politika |
| Vlastník | CISO |
| Schvalovatel | CEO |
| Aktuální verze | 3.0 |
| Datum účinnosti | 2026-02-01 |
| Datum příštího přezkumu | 2027-02-01 |
| Přezkum na základě spouštěcí události | Závažný incident, změna právních předpisů, fúze, nový kritický dodavatel |
| Klasifikace důvěrnosti | Interní použití |
| Primární opatření | ISO/IEC 27002:2022 5.1, 5.33, 5.37 |
| Právní mapování | NIS2 Article 21, DORA Article 6, GDPR Article 5 |
| Umístění důkazů | ISMS Documentation/Policies/P01 |
| Umístění zastaralých dokumentů | ISMS Documentation/Archive/P01 |
| Propojené výjimky | EX-2026-004 |
| Záznam o komunikaci | Kampaň na zvyšování povědomí AC-2026-02 |
Nekomplikujte to zbytečně. Pokud registr spolehlivě uvádí vlastníka, schvalovatele, verzi, datum přezkumu, mapování a umístění důkazů, řeší již mnoho problémů s dohledáním při auditu.
Den 2: Zaveďte repozitář
Postupujte podle struktury Zenith Blueprint kroku 6: politiky a postupy, posouzení rizik a SoA, záznamy o školení a povědomí, audit a přezkum, záznamy o incidentech, aktiva a inventář a knihovna opatření.
Uplatněte pravidla přístupu. Politiky mohou číst všichni zaměstnanci. Záznamy z posouzení rizik mají být omezeny na tým ISMS a vedení. Záznamy o incidentech mají být dostupné podle principu potřeby znát. Smlouvy s dodavateli mají být omezeny na nákup, právní oddělení, finance a bezpečnost. Zastaralé dokumenty mají být nedostupné pro každodenní používání, ale uchované pro auditní dohledatelnost.
Den 3: Standardizujte záhlaví a přehledy změn
Každá politika má obsahovat název dokumentu, vlastníka, schvalovatele, verzi, datum účinnosti, datum příštího přezkumu, klasifikaci, související opatření, související právní povinnosti a historii změn.
| Verze | Datum | Shrnutí změny | Přezkoumal | Schválil |
|---|---|---|---|---|
| 2.0 | 2025-09-15 | Doplněny odkazy na rizika třetích stran podle DORA | Vedoucí bezpečnosti | COO |
| 2.1 | 2025-11-20 | Aktualizovány role pro eskalaci incidentů | CISO | CEO |
| 3.0 | 2026-02-01 | Každoroční přezkum a obnovení mapování NIS2 | CISO | CEO |
To podporuje řízení dokumentovaných informací podle ISO/IEC 27001:2022, dohled vedení podle NIS2, očekávání přezkumu podle DORA a odpovědnost podle GDPR.
Den 4: Propojte výjimky s politikami
Vytvořte registr výjimek s ID výjimky, dotčenou politikou, dotčeným opatřením, obchodním odůvodněním, kompenzačními opatřeními, vlastníkem rizika, schválením, datem expirace a stavem přezkumu.
Například starší systém nemůže po dobu 60 dnů podporovat MFA. Výjimka se propojí s politikou řízení přístupu, evidencí aktiv, registrem rizik a plánem nápravy. Vlastník rizika schválí zbytkové riziko a výjimka automaticky vyprší, pokud není obnovena. Tím se implementuje požadavek správy a řízení Clarysec pro SME, aby významná rozhodnutí, výjimky a eskalace byly zaznamenané a dohledatelné.
Den 5: Vytvořte balíček auditních důkazů
Pro každou politiku nejvyšší úrovně vytvořte podsložku důkazů obsahující schválenou aktuální verzi, předchozí verzi a přehled změn, důkazy o schválení, důkazy o komunikaci, záznam o školení nebo potvrzení seznámení, související postup, související provozní záznam, výjimky, záznam o posledním přezkumu, datum příštího přezkumu a mapování na právní povinnosti a opatření.
Pro reakci na incidenty zahrňte záznamy tabletop cvičení, kritéria klasifikace incidentů, seznamy kontaktů, šablony přezkoumání po incidentu a záznamy rozhodnutí o oznámení. To podporuje připravenost na postupné hlášení podle NIS2 Article 23, klasifikaci incidentů podle DORA a odpovědnost za porušení zabezpečení podle GDPR.
Den 6: Otestujte vyhledání důkazů
Požádejte interního auditora nebo manažera souladu, aby dohledal důkazy pro tři otázky:
- Prokažte, že politika bezpečnosti informací byla schválena, komunikována a přezkoumána.
- Prokažte, že bezpečnostní povinnosti dodavatelů jsou namapovány na požadavky DORA a NIS2.
- Prokažte, že důkazy odpovědnosti podle GDPR jsou uchovávány a chráněny.
Pokud vyhledání trvá u jedné otázky déle než 30 minut, repozitář vyžaduje zlepšení.
Den 7: Předložte stav vedení
Shrňte stav životního cyklu politik v rámci přezkoumání vedením:
- Politiky aktuální, po termínu nebo splatné do 90 dnů
- Otevřené a expirované výjimky
- Mezery v důkazech
- Aktualizace regulatorního mapování
- Zjištění auditu
- Nápravná opatření
- Potřeby zdrojů
Tím se uzavírá smyčka s očekáváními vedení podle ISO/IEC 27001:2022, odpovědností řídicích orgánů podle NIS2 a dohledem řídicího orgánu podle DORA.
Jak budou auditoři zkoumat váš životní cyklus politik
Různí auditoři se na stejné důkazy dívají různou optikou.
Auditor ISO/IEC 27001:2022 začne řízením dokumentovaných informací. Ověří, zda požadované dokumenty existují, zda jsou schváleny před použitím, zda jsou verze řízeny, zda jsou dokumenty dostupné tam, kde jsou potřeba, zda jsou důvěrné záznamy chráněny a zda je zabráněno neúmyslnému použití zastaralých dokumentů. Propojí životní cyklus politik s vedením, ošetřením rizik, provozním řízením, interním auditem a přezkoumáním vedením.
Přezkoumávající osoba zaměřená na DORA bude orientována na odolnost. Bude zkoumat, zda je rámec řízení rizik ICT dobře dokumentovaný, schválený vedením, přezkoumávaný nejméně jednou ročně tam, kde se to použije, pravidelně auditovaný, zlepšovaný na základě získaných poznatků a propojený s hlášením incidentů, testováním, riziky třetích stran, kontinuitou a obnovou.
Regulační orgán podle NIS2 bude chtít vidět nepřerušený řetězec důkazů od identifikace rizik přes opatření pro řízení rizik kybernetické bezpečnosti až po schválení řídicím orgánem, implementaci a monitorování. Jakékoli přerušení tohoto řetězce může působit jako selhání řádné péče.
Auditor GDPR nebo přezkoumávající osoba ochrany soukromí se bude ptát, zda záznamy o správě osobních údajů dokládají odpovědnost: účely zpracování, právní základ, uchovávání, technická a organizační opatření, opatření pro zpracovatele, záznamy o porušení zabezpečení a důkazy o uplatňování politik.
Auditor ve stylu COBIT 2019 nebo ISACA se zaměří na komponenty systému správy a řízení: procesy, organizační struktury, informační toky, politiky, role, kulturu, dovednosti a služby. Bude se ptát, zda je definováno vlastnictví, zda vedení monitoruje výkonnost, zda jsou výjimky eskalovány a zda důkazy podporují provoz opatření a dohled vedení.
Stejný řízený repozitář důkazů může uspokojit všechny tyto potřeby, ale pouze pokud jsou dokumenty namapované, aktuální, chráněné a dohledatelné.
Běžná selhání životního cyklu politik, která je nutné odstranit před příchodem auditora
Většina selhání životního cyklu politik jsou základní slabiny správy a řízení opakující se napříč prostředími:
- Politiky existují, ale nemají jmenovaného vlastníka.
- Schvalovatelé jsou nejasní, zastaralí nebo příliš juniorní vzhledem k riziku.
- Politiky jsou schválené, ale nejsou komunikované.
- Termíny přezkumu jsou zmeškány bez eskalace.
- Zastaralé verze zůstávají dostupné ve sdílených složkách.
- Postupy jsou v rozporu s politikami.
- Výjimky jsou neformálně schvalovány e-mailem.
- Právní povinnosti jsou namapovány na rámce, ale ne na skutečná opatření nebo vlastníky.
- Auditní důkazy jsou rozptýleny po osobních discích, ticketovacích nástrojích a chatových zprávách.
- Doby uchovávání nejsou definovány nebo se uplatňují nekonzistentně.
- Záznamy jsou uchovávány, ale nejsou chráněny před neoprávněnou změnou.
- Politiky dodavatelů nejsou propojeny s registry smluv, prověrkou nebo plány ukončení.
- Postupy pro incidenty nejsou sladěny s rozhodovacími body pro oznámení podle NIS2, DORA nebo GDPR.
Tyto problémy vytvářejí auditní tření, protože narušují důvěru. Pokud auditor nemůže důvěřovat souboru politik, půjde hlouběji do provozu opatření.
Mariin plán nápravy nebyl napsat další politiku. Šlo o vytvoření jediného zdroje pravdy. Určila jednu oficiální knihovnu dokumentace ISMS, přesunula do ní aktuální politiky, archivovala neřízená umístění, standardizovala pole vlastníka a schvalovatele, vybudovala schvalovací workflow, namapovala politiky na povinnosti podle NIS2 a DORA a poskytla auditorům strukturovaný přístup k důkazům pouze pro čtení. To, co bylo zdrojem obav, se stalo demonstrací řízení.
Další postup podle Clarysec
Řízení životního cyklu politik není byrokratická režie. Je to provozní disciplína, díky níž jsou dokumentované informace ISO 27001, odpovědnost vedení podle NIS2, správa a řízení rizik ICT podle DORA a odpovědnost podle GDPR obhajitelné.
Použijte Zenith Blueprint: 30kroková roadmapa auditora k vybudování knihovny ISMS ve správné fázi a pořadí, zejména krok 6 pro dokumentované informace a krok 22 pro správu politik. Použijte politiky Clarysec pro SME a podnikové prostředí k definování požadavků na přezkum, schválení, řízení verzí, komunikaci, dohledatelnost, centralizaci důkazů a uchovávání. Použijte Zenith Controls: průvodce křížovým souladem k mapování opatření ISO/IEC 27002:2022, jako jsou 5.1, 5.33 a 5.37, na očekávání křížového souladu, atributy opatření a auditní perspektivy.
Než koupíte další nástroj nebo napíšete další politiku, odpovězte na jednu otázku:
Dokážete prokázat, že každá důležitá politika má vlastníka, je schválená, aktuální, komunikovaná, namapovaná, doložená, přezkoumaná, chráněná a správně vyřazená?
Pokud odpověď zatím zní ne, Clarysec vám může pomoci vybudovat důkazně připravenou knihovnu ISMS, workflow životního cyklu politik a mapování křížového souladu, které auditoři, řídicí orgány a zákazníci v roce 2026 očekávají. Stáhněte si Zenith Blueprint, prozkoumejte balíčky politik Clarysec pro SME a podnikové prostředí nebo si objednejte posouzení připravenosti a proměňte svou knihovnu politik v obhajitelné aktivum souladu.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
