Vom Cloud-Chaos zur Auditfähigkeit: Aufbau eines ISO 27001:2022-Cloud-Sicherheitsprogramms mit dem Clarysec Zenith Toolkit
Die Compliance-Kluft: reales Cloud-Chaos im Fokus des Audits
Für cloudgetriebene Unternehmen ist es ein vertrautes Albtraumszenario. Die Benachrichtigung landet im Posteingang von CISO Maria: „Pre-Audit Observation: Publicly Accessible S3 Bucket.“ Die Anspannung steigt. Nur wenige Tage zuvor hatte der CEO für einen Großkunden den vollständigen Nachweis der Konformität mit ISO 27001:2022 angefordert. Jedes Asset, jeder Lieferant und jeder Zugriffspfad liegt im Geltungsbereich; zugleich erhöhen regulatorische Anforderungen aus NIS2, GDPR, DORA und NIST die Komplexität.
Marias Team verfügt über ausgeprägte technische Kompetenz. Die Cloud-Migration war hochmodern. Doch Security Engineering allein reicht nicht aus. Die eigentliche Herausforderung liegt in der Lücke zwischen dem Umsetzen von Sicherheit — MFA-Konfigurationen, Asset-Tags, Bucket-Richtlinien — und dem Nachweisen von Sicherheit durch zugeordnete Richtlinien, auditierbare Aufzeichnungen und die Ausrichtung über mehrere Rahmenwerke hinweg.
Verteilte Skripte und Tabellen erfüllen die Erwartungen eines Audits nicht. Auditoren und Großkunden erwarten dauerhafte Compliance mit Nachweisen, die jede Kontrolle den für den jeweiligen Sektor geltenden Standards zuordnen. Genau das ist die Compliance-Kluft: der Unterschied zwischen Cloud-Betrieb und echter, auditfähiger Sicherheitsgovernance.
Wie schließen Unternehmen diese Lücke und entwickeln sich von reaktiver Bereinigung zu einer belastbaren Architektur für rahmenwerksübergreifende Compliance? Die Antwort lautet: strukturierte Rahmenwerke, zugeordnete Standards und operative Toolkits, gebündelt im Clarysec Zenith Blueprint.
Phase eins: Präzise Abgrenzung Ihres Cloud-ISMS als erste Verteidigungslinie im Audit
Bevor technische Kontrollen eingeführt werden, muss Ihr Informationssicherheits-Managementsystem (ISMS) präzise definiert sein. Eine grundlegende Auditfrage lautet: „Was liegt im Geltungsbereich?“ Eine vage Antwort wie „unsere AWS-Umgebung“ ist ein unmittelbares Warnsignal.
Marias Team scheiterte zunächst genau an diesem Punkt: Der Geltungsbereich bestand aus einem einzigen Satz. Mit Clarysecs Zenith Blueprint Zenith Blueprint änderte sich das:
Phase 2: Scoping und Richtliniengrundlage. Schritt 7: ISMS-Geltungsbereich definieren. Für Cloud-Umgebungen müssen Sie dokumentieren, welche Services, Plattformen, Datenbestände und Geschäftsprozesse einbezogen sind — bis hin zu VPCs, Regionen und Schlüsselpersonen.
Wie Klarheit zum Geltungsbereich die Compliance verbessert:
- Sie setzt präzise Grenzen für technische Kontrollen und das Risikomanagement.
- Sie stellt sicher, dass jedes Cloud-Asset und jeder Datenfluss innerhalb des Audit-Perimeters liegt.
- Sie zeigt dem Auditor exakt, was zu prüfen ist, und ermöglicht Ihrem Team, die Wirksamkeit jeder Kontrolle nachzuverfolgen.
Beispiel: Tabelle zum ISMS-Geltungsbereich
| Element | Im Geltungsbereich enthalten | Details |
|---|---|---|
| AWS-Regionen | Ja | eu-west-1, us-east-2 |
| VPCs/Subnetze | Ja | Nur Produktions-VPCs/-Subnetze |
| Anwendungen | Ja | CRM, Datenflüsse mit Kunden-PII |
| Lieferantenintegrationen | Ja | SSO-Anbieter, Abrechnungs-SaaS |
| Administratives Personal | Ja | CloudOps, SecOps, CISO |
Diese Klarheit bildet die Grundlage für jeden weiteren Schritt zur Compliance.
Governance von Cloud und Lieferanten: ISO 27001 Maßnahme 5.23 und das Modell der gemeinsamen Verantwortung
Cloud-Anbieter gehören zu Ihren kritischsten Lieferanten. Dennoch behandeln viele Organisationen Cloud-Verträge wie reine IT-Versorgungsleistungen und vernachlässigen Governance, Risiko und Rollenzuweisung. ISO/IEC 27001:2022 ISO/IEC 27001:2022 adressiert dies mit Maßnahme 5.23: Informationssicherheit bei der Nutzung von Cloud-Services.
Wie der Leitfaden Zenith Controls Zenith Controls erläutert, geht es bei wirksamer Governance nicht nur um technische Einstellungen, sondern um von der Geschäftsleitung genehmigte Richtlinien und klar abgegrenzte Verantwortlichkeiten.
Legen Sie eine themenspezifische, vom Management genehmigte Richtlinie zur Cloud-Nutzung fest, die zulässige Nutzung, Datenklassifizierung und Due Diligence für jeden Cloud-Service definiert. Alle Cloud-Servicevereinbarungen müssen Sicherheitsrollen und die gemeinsame Verantwortung für Kontrollen ausweisen.
Clarysecs Richtlinie zur Lieferanten- und Drittparteiensicherheit stellt maßgebliche Musterklauseln bereit:
Alle Lieferanten, die auf Cloud-Ressourcen zugreifen, müssen eine Risikobeurteilung und Genehmigung durchlaufen; vertragliche Bedingungen müssen Anforderungen an Compliance und Mitwirkung bei Audits festlegen. Lieferantenzugriff ist zeitlich zu begrenzen, und die Beendigung erfordert dokumentierte Nachweise.
KMU und die Hyperscaler-Herausforderung:
Wenn Verhandlungen über Vertragsbedingungen mit AWS oder Azure nicht möglich sind, dokumentieren Sie Ihre Verantwortung unter den Standardbedingungen des Anbieters und ordnen Sie jede Kontrolle dem Modell der gemeinsamen Verantwortung zu. Dies dient als zentraler Auditnachweis.
Die kontrollübergreifende Zuordnung muss umfassen:
- Maßnahme 5.22: Überwachung und Überprüfung von Änderungen an Lieferantendiensten.
- Maßnahme 5.30: IKT-Bereitschaft für die Aufrechterhaltung des Geschäftsbetriebs, einschließlich Cloud-Exit-Strategie.
- Maßnahme 8.32: Änderungsmanagement, wesentlich für Cloud-Services.
Praxisnahe Governance-Tabelle: Lieferantensicherheit und Cloud-Verträge
| Lieferantenname | Zugegriffenes Asset | Vertragsklausel | Risikobeurteilung durchgeführt | Beendigungsprozess dokumentiert |
|---|---|---|---|---|
| AWS | S3, EC2 | Lieferantenrichtlinie 3.1 | Ja | Ja |
| Okta | Identitätsmanagement | Standardbedingungen | Ja | Ja |
| Stripe | Abrechnungsdaten | Standardbedingungen | Ja | Ja |
Konfigurationsmanagement (Maßnahme 8.9): Von der Richtlinie zur auditierbaren Praxis
Viele Auditfeststellungen entstehen durch Defizite im Konfigurationsmanagement. Ein fehlerhaft konfigurierter S3-Bucket brachte Marias Unternehmen nicht deshalb in Schwierigkeiten, weil es dem Team an Fachwissen fehlte, sondern weil verbindliche, dokumentierte Baselines und ein wirksames Änderungsmanagement fehlten.
ISO/IEC 27002:2022 Maßnahme 8.9, Konfigurationsmanagement, verlangt dokumentierte sichere Baselines und gesteuerte Änderungen für alle IT-Assets. Clarysecs Konfigurationsmanagement-Richtlinie Konfigurationsmanagement-Richtlinie legt fest:
Sichere Baseline-Konfigurationen sind für alle Systeme, Netzwerkgeräte und Software zu entwickeln, zu dokumentieren und aufrechtzuerhalten. Jede Abweichung von diesen Baselines muss formal über den Änderungsmanagementprozess gesteuert werden.
Schritte für eine auditsichere Praxis:
- Baselines dokumentieren: Definieren Sie den sicheren Sollzustand für jeden Cloud-Service (S3-Bucket, EC2-Instanz, GCP-VM).
- Über Infrastructure-as-Code umsetzen: Setzen Sie Baselines über Terraform oder andere Bereitstellungsmodule durch.
- Konfigurationsdrift überwachen: Nutzen Sie cloudnative oder Drittanbieter-Werkzeuge (AWS Config, GCP Asset Inventory) für Echtzeitprüfungen der Compliance.
Beispiel: Baseline-Tabelle für sichere S3-Buckets
| Einstellung | Erforderlicher Wert | Begründung |
|---|---|---|
| block_public_acls | true | Verhindert versehentliche öffentliche Exponierung auf ACL-Ebene |
| block_public_policy | true | Verhindert öffentliche Exponierung über Bucket-Richtlinien |
| ignore_public_acls | true | Ergänzt Defense-in-Depth |
| restrict_public_buckets | true | Beschränkt öffentlichen Zugriff auf bestimmte Prinzipale |
| server_side_encryption | AES256 | Stellt die Verschlüsselung ruhender Daten sicher |
| versioning | Aktiviert | Schützt vor Fehlern durch Löschung oder Änderung |
Mit Clarysecs Zenith Blueprint:
- Phase 4, Schritt 18: Annex-A-Kontrollen für Konfigurationsmanagement umsetzen.
- Schritte 19–22: Baselines mit Warnmeldungen zu Abweichungen von der Baseline-Konfiguration überwachen und Protokolle mit Aufzeichnungen aus dem Änderungsmanagement verknüpfen.
Ganzheitliches Asset-Management: Zuordnung von ISO, NIST und regulatorischen Nachweisen
Das Rückgrat der Compliance ist Ihr Asset-Inventar. ISO/IEC 27001:2022 A.5.9 verlangt ein aktuelles Inventar für alle Cloud- und Lieferanten-Assets. Die Audit-Leitlinien der Zenith Controls Zenith Controls konkretisieren kontinuierliche Aktualisierungen, automatisierte Erkennung und die Zuordnung von Verantwortlichkeiten.
Audit-Tabelle zum Asset-Inventar
| Asset-Typ | Standort | Verantwortlicher | Geschäftskritisch | Lieferantenbezug | Letzter Scan | Konfigurationsnachweis |
|---|---|---|---|---|---|---|
| S3 Bucket X | AWS EU | John Doe | Hoch | Ja | 2025-09-16 | MFA, Verschlüsselung, Public Block |
| GCP VM123 | GCP DE | IT-Betrieb | Mittel | Nein | 2025-09-15 | Gehärtetes Image |
| SaaS Connector | Azure FR | Beschaffung | Kritisch | Ja | 2025-09-18 | Lieferantenvertrag, Zugriffsprotokoll |
Zuordnung für Auditoren:
- ISO erwartet die Zuweisung von Verantwortlichen, Geschäftskritikalität und Nachweisverknüpfungen.
- NIST verlangt automatisierte Erkennung und Response-Protokolle.
- COBIT erwartet Governance-Zuordnung und Bewertung der Risikoauswirkungen.
Clarysecs Zenith Blueprint führt Sie durch die Etablierung dieser Baselines, die Prüfung von Discovery-Werkzeugen und die Verknüpfung jedes Assets mit seiner Audit-Aufzeichnung.
Zugriffskontrolle: Technische Durchsetzung trifft Richtlinien-Governance (Maßnahmen A.5.15–A.5.17)
Zugriffsmanagement steht im Zentrum von Cloud-Risiken und regulatorischer Prüfung. Multi-Faktor-Authentifizierung, das Prinzip der minimalen Rechtevergabe und regelmäßige Berechtigungsüberprüfungen werden über mehrere Rahmenwerke hinweg gefordert.
Leitlinie der Zenith Controls (A.5.15, A.5.16, A.5.17):
MFA in Cloud-Umgebungen muss durch Konfigurationsnachweise belegt und genehmigten Unternehmensrichtlinien zugeordnet werden. Zugriffsrechte müssen Geschäftsrollen zugeordnet und regelmäßig überprüft werden; Ausnahmen sind zu protokollieren.
Clarysecs Richtlinie zum Identitäts- und Zugriffsmanagement Richtlinie zum Identitäts- und Zugriffsmanagement legt fest:
Zugriffsrechte auf Cloud-Services müssen entsprechend den geschäftlichen Anforderungen und dokumentierten Rollen bereitgestellt, überwacht und entzogen werden. Protokolle werden regelmäßig überprüft; Ausnahmen sind zu begründen.
Schritte im Clarysec Blueprint:
- Privilegierte Konten identifizieren und zuordnen.
- MFA mit exportierbaren Protokollen für das Audit validieren.
- Regelmäßige Berechtigungsüberprüfungen durchführen und Feststellungen den Attributen der Zenith Controls zuordnen.
Protokollierung, Überwachung und Incident Response: Auditsicherheit über Rahmenwerke hinweg
Wirksame Protokollierung und Überwachung sind nicht nur technische Aufgaben; sie müssen richtliniengesteuert erfolgen und für jedes wesentliche Geschäftssystem auditierbar sein. ISO/IEC 27001:2022 A.8.16 und zugehörige Kontrollen verlangen zentrale Aggregation, Anomalieerkennung und richtliniengebundene Aufbewahrung.
Zenith Controls (A.8.16) stellt fest:
Cloud-Protokolle müssen zentral aggregiert, Anomalieerkennung aktiviert und Aufbewahrungsrichtlinien durchgesetzt werden. Protokollierung bildet die Nachweisgrundlage für Incident Response über ISO 27035, GDPR Article 33, NIS2 und NIST SP 800-92 hinweg.
Marias Team machte, unterstützt durch Clarysecs Playbook zu Protokollierung und Überwachung, jedes SIEM-Protokoll verwertbar und ordnete es Audit-Kontrollen zu:
Tabelle zu Protokollierungsnachweisen
| System | Log-Aggregation | Aufbewahrungsrichtlinie | Anomalieerkennung | Letztes Audit | Vorfallszuordnung |
|---|---|---|---|---|---|
| Azure SIEM | Zentralisiert | 1 Jahr | Aktiviert | 2025-09-20 | Enthalten |
| AWS CloudTrail | Zentralisiert | 1 Jahr | Aktiviert | 2025-09-20 | Enthalten |
Clarysecs Blueprint, Phase 4 (Schritte 19–22):
- Protokolle aller Cloud-Anbieter aggregieren.
- Protokolle Informationssicherheitsvorfällen, Meldungen von Verstößen und Richtlinienklauseln zuordnen.
- Nachweis-Exportpakete für Audits automatisieren.
Datenschutz und Privatsphäre: Verschlüsselung, Rechte und Nachweise zu Verstößen
Cloud-Sicherheit ist untrennbar mit Datenschutzpflichten verbunden, insbesondere in regulierten Rechtsräumen (GDPR, NIS2, sektorspezifische Vorschriften). ISO/IEC 27001:2022 A.8.24 und datenschutzbezogene Kontrollen verlangen nachgewiesene, richtliniengestützte Verschlüsselung, Pseudonymisierung und Protokollierung von Betroffenenanfragen.
Zusammenfassung der Zenith Controls (A.8.24):
Datenschutzkontrollen müssen für alle in der Cloud gespeicherten Assets gelten und auf ISO/IEC 27701, 27018 sowie GDPR für Meldungen von Verstößen und die Bewertung von Auftragsverarbeitern verweisen.
Clarysecs Richtlinie zu Datenschutz und Privatsphäre Richtlinie zu Datenschutz und Privatsphäre:
Alle personenbezogenen und sensiblen Daten in Cloud-Umgebungen werden mit genehmigten Algorithmen verschlüsselt. Datenschutzrechte werden gewahrt; Zugriffsprotokolle unterstützen die Nachverfolgbarkeit von Anfragen.
Blueprint-Schritte:
- Das gesamte Verschlüsselungs- und Schlüsselmanagement überprüfen und protokollieren.
- Zugriffsprotokolle exportieren, die die Nachverfolgung von GDPR-Anfragen unterstützen.
- Workflows zur Meldung von Verstößen simulieren, um Auditnachweise zu erzeugen.
Crosswalk-Tabelle zum Datenschutz
| Maßnahme | Attribut | ISO/IEC-Standards | Regulatorische Überlagerung | Auditnachweis |
|---|---|---|---|---|
| A.8.24 | Verschlüsselung, Datenschutz | 27018, 27701 | GDPR Art.32, NIS2 | Verschlüsselungskonfiguration, Zugriffsaufzeichnung, Verstoßprotokoll |
Rahmenwerksübergreifendes Compliance-Mapping: Effizienz über Rahmenwerke maximieren
Marias Unternehmen stand vor überschneidenden Verpflichtungen (ISO 27001, DORA, NIS2, NIST CSF, COBIT 2019). Mit Zenith Controls Zenith Controls werden Kontrollen so zugeordnet, dass sie über mehrere Rahmenwerke hinweg nutzbar sind.
Framework-Mapping-Tabelle
| Rahmenwerk | Klausel/Artikel | Adressierte ISO 27001-Maßnahme | Bereitgestellter Auditnachweis |
|---|---|---|---|
| DORA | Article 9 (IKT-Risiko) | 5.23 (Cloud-Lieferant) | Lieferantenrichtlinie, Vertragsprotokolle |
| NIS2 | Article 21 (Lieferkette) | 5.23 (Lieferantenmanagement), 8.9 (Konfigurationen) | Prüfpfad zu Assets und Lieferanten |
| NIST CSF | PR.IP-1 (Baselines) | 8.9 (Konfigurationsmanagement) | Sichere Baseline, Änderungsprotokoll |
| COBIT 2019 | BAI10 (Konfigurationsmanagement) | 8.9 (Konfigurationsmanagement) | CMDB, Prozesskennzahlen |
Jede Kontrolle, die mit auditfähigen Nachweisen umgesetzt wird, bedient mehrere Rahmenwerke. Dadurch steigt die Compliance-Effizienz erheblich, und die Resilienz in einer sich verändernden regulatorischen Landschaft wird gestärkt.
Dem Auditor begegnen: Interne Vorbereitung über verschiedene Methoden hinweg
Ein Audit erfolgt nie aus nur einer Perspektive. Ob ISO 27001, NIST, DORA oder COBIT: Jeder Auditor prüft mit eigenem Schwerpunkt. Mit Clarysecs Toolkit sind Ihre Nachweise für alle Perspektiven zugeordnet und paketiert:
Beispielfragen von Auditoren und passende Nachweisantworten
| Auditorentyp | Schwerpunktbereiche | Beispielanforderungen | Zugeordnete Clarysec-Nachweise |
|---|---|---|---|
| ISO 27001 | Richtlinie, Asset, protokollierte Kontrolle | Geltungsbereichsdokumente, Zugriffsprotokolle | Zenith Blueprint, zugeordnete Richtlinien |
| NIST-Assessor | Betrieb, Änderungslebenszyklus | Baseline-Aktualisierungen, Vorfallsprotokolle | Änderungsmanagementprotokoll, Incident-Playbook |
| COBIT/ISACA | Governance, Kennzahlen, Prozessverantwortlicher | CMDB, KPI-Dashboard | Governance-Zuordnungen, Verantwortlichkeitsprotokolle |
Wenn Ihr Team jede Perspektive vorwegnimmt, weist es nicht nur Compliance nach, sondern auch operative Exzellenz.
Fallstricke und Schutz: Wie Clarysec typische Auditfehler verhindert
Typische Fehltritte ohne Clarysec:
- Veraltete Asset-Inventare.
- Nicht abgestimmte Zugriffskontrollen.
- Fehlende vertragliche Compliance-Klauseln.
- Kontrollen ohne Zuordnung zu DORA, NIS2 und GDPR.
Mit Clarysecs Zenith Blueprint und Toolkit:
- Zugeordnete Checklisten, die an operativen Schritten ausgerichtet sind.
- Automatisierte Sammlung von Nachweisen (MFA, Asset-Erkennung, Lieferantenüberprüfung).
- Beispielhafte Auditpakete für jedes wesentliche Rahmenwerk.
- Jedes „Was“ ist im „Warum“ verankert: Richtlinie und Standard-Crosswalk.
Clarysec-Nachweistabelle
| Audit-Schritt | Nachweisart | Zuordnung zu Zenith Controls | Rahmenwerke | Richtlinienreferenz |
|---|---|---|---|---|
| Asset-Inventar | CMDB-Export | A.5.9 | ISO, NIS2, COBIT | Richtlinie zum Asset-Management |
| MFA-Validierung | Protokolldateien, Screenshots | A.5.15.7 | ISO, NIST, GDPR | Richtlinie zum Zugriffsmanagement |
| Lieferantenüberprüfung | Vertragsscans, Zugriffsprotokolle | A.5.19, A.5.20 | ISO, DORA, GDPR | Richtlinie zur Lieferantensicherheit |
| Protokollierungs-Audit | SIEM-Ausgaben, Aufbewahrungsnachweis | A.8.16 | ISO, NIST, GDPR | Überwachungsrichtlinie |
| Datenschutz | Verschlüsselungsschlüssel, Aufzeichnungen zu Verstößen | A.8.24 | ISO, GDPR, NIS2 | Datenschutzrichtlinie |
Ende-zu-Ende-Auditsimulation: Von der Architektur zum Nachweis
Clarysecs Toolkit führt durch jede Phase:
- Start: Asset-Liste exportieren und Richtlinien sowie Kontrollen zuordnen.
- Zugriff: MFA mit Nachweisen validieren und mit Verfahren zum Zugriffsmanagement verknüpfen.
- Lieferant: Verträge mit der Checkliste der Lieferantenrichtlinie abgleichen.
- Protokollierung: Exporte zur Protokollaufbewahrung für die Prüfung bereitstellen.
- Datenschutz: Verschlüsseltes Asset-Register und Paket zur Reaktion auf Verstöße vorlegen.
Jedes Nachweiselement lässt sich auf Attribute der Zenith Controls zurückführen, ist mit Richtlinienklauseln querverknüpft und unterstützt jedes geforderte Rahmenwerk.
Ergebnis: Das Audit wird sicher bestanden und belegt Resilienz in der rahmenwerksübergreifenden Compliance sowie operative Reife.
Fazit und nächster Schritt: Vom Chaos zur dauerhaften Compliance
Marias Weg — vom reaktiven Patchen hin zu proaktiver Governance — ist eine Roadmap für jede cloudgetriebene Organisation. Konfiguration, Lieferantensicherheit, Asset-Management und Datenschutz können nicht isoliert bestehen. Sie müssen strengen Standards zugeordnet, durch dokumentierte Richtlinien durchgesetzt und für jedes Auditszenario nachgewiesen werden.
Drei Säulen bestimmen den Erfolg:
- Klarer Geltungsbereich: Definieren Sie klare Auditgrenzen mit dem Zenith Blueprint.
- Starke Richtlinien: Nutzen Sie Clarysecs Richtlinienvorlagen für jede kritische Kontrolle.
- Überprüfbare Kontrollen: Überführen Sie technische Einstellungen in auditierbare Aufzeichnungen, die Standards zugeordnet sind.
Ihre Organisation muss nicht auf die nächste Auditbenachrichtigung warten, die akuten Handlungsdruck auslöst. Bauen Sie jetzt Resilienz auf: mit Clarysecs einheitlichen Toolkits, Zenith Blueprint und regulatorischem Cross-Mapping für auditsichere, dauerhafte Compliance.
Bereit, Ihre Compliance-Kluft zu schließen und sichere Cloud-Operationen führend zu gestalten?
Entdecken Sie Clarysecs Zenith Blueprint und laden Sie unsere Toolkits und Richtlinienvorlagen herunter, um Ihr auditfähiges Cloud-Programm zu entwerfen. Fordern Sie eine Bewertung oder Demo an und entwickeln Sie sich vom Cloud-Chaos zu einer dauerhaften Compliance-Architektur.
Referenzen:
- Zenith Blueprint: 30-Schritte-Roadmap für Auditoren Zenith Blueprint
- Zenith Controls: Der Leitfaden für rahmenwerksübergreifende Compliance Zenith Controls
- Konfigurationsmanagement-Richtlinie Konfigurationsmanagement-Richtlinie
- Richtlinie zum Identitäts- und Zugriffsmanagement Richtlinie zum Identitäts- und Zugriffsmanagement
- Richtlinie zur Lieferanten- und Drittparteiensicherheit Richtlinie zur Lieferanten- und Drittparteiensicherheit
- Richtlinie zu Datenschutz und Privatsphäre Richtlinie zu Datenschutz und Privatsphäre
- ISO/IEC 27001:2022
- ISO/IEC 27002:2022
- ISO/IEC 27036-2:2023
- ISO/IEC 27701:2019
- NIS2, GDPR, DORA, NIST, COBIT 2019
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
