ISO 27001:2022: Σχέδιο ανάκαμψης μετά από αποτυχημένη επιθεώρηση

Το email που κανείς δεν ήθελε να λάβει

Το email φτάνει αργά την Παρασκευή με ένα θέμα που ακούγεται αθώο: «Αποτέλεσμα επιθεώρησης μετάβασης».

Το περιεχόμενο δεν είναι αθώο. Ο φορέας πιστοποίησης έχει καταγράψει μείζονα μη συμμόρφωση. Το πιστοποιητικό ISO/IEC 27001 έχει ανασταλεί ή η απόφαση μετάβασης δεν μπορεί να κλείσει. Η παρατήρηση του επιθεωρητή είναι σαφής: η Δήλωση Εφαρμοσιμότητας δεν αιτιολογεί τους εξαιρούμενους ελέγχους, η αξιολόγηση κινδύνων δεν αποτυπώνει το τρέχον πλαίσιο και δεν υπάρχουν επαρκή τεκμήρια ότι εξετάστηκαν οι νέες ρυθμιστικές υποχρεώσεις.

Μέσα σε μία ώρα, το ζήτημα δεν είναι πλέον απλώς πρόβλημα συμμόρφωσης. Οι πωλήσεις ρωτούν αν πλέον κινδυνεύει ένας διαγωνισμός του δημόσιου τομέα. Το Νομικό Τμήμα εξετάζει ρήτρες συμβάσεων πελατών. Ο Υπεύθυνος Ασφάλειας Πληροφοριών (CISO) εξηγεί γιατί η SoA δεν συμφωνεί με το σχέδιο αντιμετώπισης κινδύνων. Ο Διευθύνων Σύμβουλος θέτει το μόνο ερώτημα που έχει σημασία: «Πόσο γρήγορα μπορούμε να το διορθώσουμε;»

Για πολλούς οργανισμούς, η παρέλευση της προθεσμίας μετάβασης στο ISO 27001:2022 δεν δημιούργησε ένα θεωρητικό κενό. Δημιούργησε ένα ενεργό ζήτημα επιχειρησιακής συνέχειας. Μια χαμένη ή αποτυχημένη επιθεώρηση μετάβασης στο ISO 27001:2022 μπορεί να επηρεάσει την επιλεξιμότητα σε διαγωνισμούς, την ένταξη ως προμηθευτή, την κυβερνοασφάλιση, τη διαβεβαίωση προς πελάτες, την ετοιμότητα για NIS2, τις προσδοκίες DORA, τη λογοδοσία GDPR και την εμπιστοσύνη του Διοικητικού Συμβουλίου.

Το θετικό είναι ότι η ανάκαμψη είναι εφικτή. Το αρνητικό είναι ότι οι επιφανειακές αλλαγές στα έγγραφα δεν αρκούν. Η ανάκαμψη πρέπει να αντιμετωπιστεί ως πειθαρχημένο πρόγραμμα διορθωτικών ενεργειών του ISMS, όχι ως βιαστική αναδιατύπωση πολιτικών.

Στην Clarysec, οργανώνουμε αυτή την ανάκαμψη γύρω από τρία συνδεδεμένα στοιχεία:

1. Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για επιθεωρητές, ιδίως τη φάση Επιθεώρηση, ανασκόπηση και βελτίωση.
2. Τη βιβλιοθήκη πολιτικών της Clarysec για επιχειρήσεις και ΜΜΕ, η οποία μετατρέπει τα ευρήματα επιθεώρησης σε διακυβερνώμενες υποχρεώσεις.
3. Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης, ο οποίος βοηθά στη σύνδεση των προσδοκιών ελέγχων του ISO/IEC 27002:2022 με NIS2, DORA, GDPR, συλλογιστική διασφάλισης τύπου NIST και οπτικές διακυβέρνησης COBIT 2019.

Αυτό είναι το πρακτικό σχέδιο ανάκαμψης για Υπευθύνους Ασφάλειας Πληροφοριών, Διευθυντές Συμμόρφωσης, επιθεωρητές, ιδρυτές και ιδιοκτήτες επιχειρήσεων που έχασαν την προθεσμία μετάβασης στο ISO 27001:2022 ή απέτυχαν στην επιθεώρηση μετάβασης.

Πρώτα, διαγνώστε τον τύπο της αποτυχίας

Πριν επεξεργαστείτε έστω και μία πολιτική, ταξινομήστε την κατάσταση. Δεν έχουν όλες οι αποτυχημένες ή χαμένες μεταβάσεις τον ίδιο επιχειρησιακό αντίκτυπο ή την ίδια διαδρομή ανάκαμψης. Οι πρώτες 24 ώρες πρέπει να επικεντρωθούν στη λήψη της έκθεσης επιθεώρησης, της απόφασης του φορέα πιστοποίησης, της διατύπωσης της μη συμμόρφωσης, των αιτημάτων τεκμηρίων, των προθεσμιών και της τρέχουσας κατάστασης του πιστοποιητικού.

Το σχέδιο ανάκαμψης εξαρτάται από τον τύπο αποτυχίας. Μια ανασταλμένη απόφαση πιστοποίησης απαιτεί στοχευμένη αποκατάσταση. Ένα πιστοποιητικό σε αναστολή απαιτεί επείγουσα αποκατάσταση διακυβέρνησης και τεκμηρίων. Ένα ανακληθέν ή ληγμένο πιστοποιητικό μπορεί να απαιτεί ευρύτερη διαδρομή επαναπιστοποίησης.

Σε κάθε περίπτωση, χαρτογραφήστε κάθε ζήτημα στη σχετική ρήτρα του ISMS, στον έλεγχο του Παραρτήματος A, στην εγγραφή κινδύνου, στον ιδιοκτήτη πολιτικής, στη νομική ή συμβατική υποχρέωση και στην πηγή τεκμηρίων.

Εδώ το ISO/IEC 27001:2022 έχει σημασία ως σύστημα διαχείρισης, όχι απλώς ως κατάλογος ελέγχων. Οι ρήτρες 4 έως 10 απαιτούν από το ISMS να κατανοεί το πλαίσιο, τα ενδιαφερόμενα μέρη, το πεδίο εφαρμογής, την ηγεσία, τον σχεδιασμό κινδύνων, την υποστήριξη, τη λειτουργία, την αξιολόγηση επιδόσεων και τη συνεχή βελτίωση. Αν η μετάβαση απέτυχε, συνήθως έχει σπάσει ένας από αυτούς τους συνδέσμους του συστήματος διαχείρισης.

Γιατί αποτυγχάνουν οι επιθεωρήσεις μετάβασης στο ISO 27001:2022

Οι αποτυχημένες επιθεωρήσεις μετάβασης συνήθως συγκεντρώνονται γύρω από επαναλαμβανόμενα μοτίβα. Πολλά δεν είναι βαθιά τεχνικά. Είναι αποτυχίες διακυβέρνησης, ιχνηλασιμότητας, ιδιοκτησίας και τεκμηρίων.

Ο αποτυχημένος έλεγχος αποτελεί ένδειξη ότι το ISMS δεν προσαρμόστηκε αρκετά γρήγορα στο πραγματικό λειτουργικό περιβάλλον του οργανισμού.

Το ISO/IEC 27005:2022 είναι χρήσιμο στην ανάκαμψη, επειδή ενισχύει τη σημασία του καθορισμού πλαισίου με βάση νομικές, ρυθμιστικές, κλαδικές, συμβατικές, εσωτερικές και υφιστάμενες απαιτήσεις ελέγχων. Υποστηρίζει επίσης κριτήρια κινδύνου που λαμβάνουν υπόψη νομικές υποχρεώσεις, προμηθευτές, ιδιωτικότητα, ανθρώπινους παράγοντες, επιχειρησιακούς στόχους και εγκεκριμένη από τη διοίκηση διάθεση ανάληψης κινδύνου.

Στην πράξη, η ανάκαμψη μετάβασης ξεκινά με επικαιροποιημένο πλαίσιο και κριτήρια κινδύνου, όχι με νέο αριθμό έκδοσης σε παλαιό έγγραφο.

Βήμα 1: Παγώστε το αρχείο επιθεώρησης και δημιουργήστε κέντρο συντονισμού ανάκαμψης

Το πρώτο επιχειρησιακό λάθος μετά από αποτυχημένη επιθεώρηση είναι το χάος στα τεκμήρια. Οι ομάδες αρχίζουν να αναζητούν σε εισερχόμενα email, κοινόχρηστους δίσκους, συστήματα διαχείρισης αιτημάτων, μηνύματα συνομιλίας, προσωπικούς φακέλους και παλαιά πακέτα επιθεώρησης. Οι επιθεωρητές το ερμηνεύουν ως ένδειξη ότι το ISMS δεν είναι ελεγχόμενο.

Η πολιτική της Clarysec για ΜΜΕ Πολιτική Επιθεώρησης και Παρακολούθησης Συμμόρφωσης - ΜΜΕ είναι σαφής ως προς τον έλεγχο τεκμηρίων:

«Όλα τα τεκμήρια πρέπει να αποθηκεύονται σε κεντρικοποιημένο φάκελο επιθεώρησης.»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.2.1.

Αυτός ο κεντρικοποιημένος φάκελος επιθεώρησης γίνεται το επιχειρησιακό κέντρο της ανάκαμψης. Πρέπει να περιλαμβάνει:

• Έκθεση και αλληλογραφία του φορέα πιστοποίησης.
• Επιβεβαίωση κατάστασης πιστοποιητικού.
• Μητρώο μη συμμορφώσεων.
• Αρχείο CAPA.
• Επικαιροποιημένη αξιολόγηση κινδύνων.
• Επικαιροποιημένο σχέδιο αντιμετώπισης κινδύνων.
• Επικαιροποιημένη Δήλωση Εφαρμοσιμότητας.
• Έκθεση εσωτερικής επιθεώρησης.
• Πρακτικά ανασκόπησης της Διοίκησης.
• Αρχεία έγκρισης πολιτικών.
• Τεκμήρια για κάθε εφαρμοστέο έλεγχο του Παραρτήματος A.
• Πακέτο διαβεβαίωσης προς πελάτες, εφόσον επηρεάζονται εμπορικές δεσμεύσεις.

Για επιχειρησιακά περιβάλλοντα, η Πολιτική Επιθεώρησης και Παρακολούθησης Συμμόρφωσης της Clarysec ορίζει την ίδια προσδοκία διακυβέρνησης:

«Όλα τα ευρήματα πρέπει να οδηγούν σε τεκμηριωμένη CAPA που περιλαμβάνει:»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.2.1.

Η διατύπωση εισάγει προσδοκία δομημένης διορθωτικής ενέργειας. Το ουσιώδες είναι απλό: κάθε εύρημα επιθεώρησης πρέπει να γίνεται αντικείμενο CAPA υπό διακυβέρνηση, όχι ανεπίσημη εργασία σε κάποιο σημειωματάριο.

Για τις ΜΜΕ, η συμμετοχή της ηγεσίας είναι εξίσου σημαντική:

«Ο Γενικός Διευθυντής (GM) πρέπει να εγκρίνει σχέδιο διορθωτικών ενεργειών και να παρακολουθεί την υλοποίησή του.»

Από την Πολιτική Επιθεώρησης και Παρακολούθησης Συμμόρφωσης - ΜΜΕ, ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.4.2.

Αυτό έχει σημασία επειδή το ISO 27001:2022 δεν αντιμετωπίζει την ηγεσία ως συμβολική. Η Ανώτατη Διοίκηση πρέπει να θεσπίζει πολιτική, να ευθυγραμμίζει τους στόχους με την επιχειρησιακή στρατηγική, να παρέχει πόρους, να επικοινωνεί τη σημασία της ασφάλειας πληροφοριών, να αναθέτει αρμοδιότητες και να προάγει τη συνεχή βελτίωση.

Αν η αποτυχημένη μετάβαση αντιμετωπιστεί ως «ζήτημα του υπευθύνου συμμόρφωσης», ο επόμενος έλεγχος θα αναδείξει ξανά αδύναμη λογοδοσία της ηγεσίας.

Βήμα 2: Αναδομήστε το πλαίσιο, τις υποχρεώσεις και τον κίνδυνο

Μια αποτυχημένη επιθεώρηση μετάβασης συχνά σημαίνει ότι το πλαίσιο του ISMS δεν αποτυπώνει πλέον την πραγματικότητα του οργανισμού. Η επιχείρηση μπορεί να έχει μετακινηθεί σε πλατφόρμες νέφους, να έχει προσθέσει νέους προμηθευτές, να έχει εισέλθει σε ρυθμιζόμενες αγορές, να επεξεργάζεται περισσότερα δεδομένα προσωπικού χαρακτήρα ή να έχει καταστεί σχετική για πελάτες βάσει NIS2 ή DORA. Αν αυτές οι αλλαγές λείπουν από το ISMS, η αξιολόγηση κινδύνων και η SoA θα είναι ελλιπείς.

Η Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης της Clarysec θέτει τη βασική γραμμή:

«Όλες οι νομικές και ρυθμιστικές υποχρεώσεις πρέπει να χαρτογραφούνται σε συγκεκριμένες πολιτικές, ελέγχους και ιδιοκτήτες εντός του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ISMS).»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.2.1.

Αυτή η ρήτρα είναι κρίσιμη μετά από αποτυχία μετάβασης. Οι ρήτρες 4.1 έως 4.3 του ISO 27001:2022 απαιτούν από τους οργανισμούς να εξετάζουν εσωτερικά και εξωτερικά ζητήματα, ενδιαφερόμενα μέρη, απαιτήσεις, διεπαφές, εξαρτήσεις και πεδίο εφαρμογής. Οι νομικές, ρυθμιστικές και συμβατικές υποχρεώσεις δεν είναι δευτερεύουσες σημειώσεις. Διαμορφώνουν το ISMS.

Το NIS2 Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα, συμπεριλαμβανομένης της ανάλυσης κινδύνου, πολιτικών, χειρισμού περιστατικών, αντιγράφων ασφαλείας, ανάκαμψης από καταστροφή, διαχείρισης κρίσεων, ασφάλειας εφοδιαστικής αλυσίδας, ασφαλούς ανάπτυξης, χειρισμού ευπαθειών, αξιολογήσεων αποτελεσματικότητας, κυβερνοϋγιεινής, εκπαίδευσης, κρυπτογραφίας, ασφάλειας ανθρώπινου δυναμικού, ελέγχου πρόσβασης, διαχείρισης περιουσιακών στοιχείων και ασφαλών επικοινωνιών. Το Article 20 τοποθετεί την ευθύνη σε επίπεδο οργάνου διοίκησης. Το Article 23 δημιουργεί κλιμακωτή αναφορά σημαντικών περιστατικών, συμπεριλαμβανομένης έγκαιρης προειδοποίησης, κοινοποίησης περιστατικού, επικαιροποιήσεων και τελικής αναφοράς.

Ο DORA εφαρμόζεται άμεσα σε χρηματοπιστωτικές οντότητες από τις 17 Ιανουαρίου 2025 και καλύπτει διαχείριση κινδύνων ΤΠΕ, αναφορά μείζονων περιστατικών, δοκιμές ανθεκτικότητας, κίνδυνο τρίτων παρόχων υπηρεσιών ΤΠΕ, συμβατικές απαιτήσεις και εποπτεία κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ. Για τις χρηματοπιστωτικές οντότητες εντός πεδίου εφαρμογής, ο DORA γίνεται βασικός παράγοντας διακυβέρνησης ΤΠΕ, ελέγχου προμηθευτών, δοκιμών, ταξινόμησης περιστατικών και λογοδοσίας της διοίκησης.

Το GDPR προσθέτει λογοδοσία για τα δεδομένα προσωπικού χαρακτήρα. Το Article 5 απαιτεί νόμιμη, θεμιτή, διαφανή, περιορισμένη, ακριβή επεξεργασία, με επίγνωση της διατήρησης και με ασφάλεια, καθώς και δυνατότητα απόδειξης της συμμόρφωσης. Το Article 4 ορίζει την παραβίαση δεδομένων προσωπικού χαρακτήρα με τρόπο που επηρεάζει άμεσα την ταξινόμηση περιστατικών. Το Article 6 απαιτεί χαρτογράφηση νομικής βάσης και το Article 9 προσθέτει αυξημένες απαιτήσεις για ειδικές κατηγορίες δεδομένων.

Αυτό δεν σημαίνει δημιουργία ξεχωριστών συμπάντων συμμόρφωσης. Σημαίνει χρήση του ISO 27001:2022 ως ενοποιημένου συστήματος διαχείρισης και χαρτογράφηση των υποχρεώσεων σε μία αρχιτεκτονική κινδύνων και ελέγχων.

Η Πολιτική Διαχείρισης Κινδύνων της Clarysec συνδέει άμεσα την αντιμετώπιση κινδύνων με την επιλογή ελέγχων:

«Οι αποφάσεις ελέγχων που προκύπτουν από τη διαδικασία αντιμετώπισης κινδύνων πρέπει να αποτυπώνονται στη SoA.»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.5.1.

Μια αποτυχημένη επιθεώρηση αποτελεί επίσης λόγο ανασκόπησης της ίδιας της διαδικασίας διαχείρισης κινδύνων. Η Πολιτική Διαχείρισης Κινδύνων - ΜΜΕ της Clarysec προσδιορίζει αυτό το έναυσμα:

«Ένα μείζον περιστατικό ή εύρημα επιθεώρησης αποκαλύπτει κενά στη διαχείριση κινδύνων»

Από την ενότητα «Απαιτήσεις ανασκόπησης και επικαιροποίησης», ρήτρα πολιτικής 9.2.1.1.

Σε λειτουργία ανάκαμψης, αυτό σημαίνει ότι το μητρώο κινδύνων, τα κριτήρια κινδύνου, το σχέδιο αντιμετώπισης και η SoA πρέπει να αναδομηθούν μαζί.

Βήμα 3: Αποκαταστήστε τη SoA ως ραχοκοκαλιά ιχνηλασιμότητας

Στις περισσότερες αποτυχημένες μεταβάσεις, η Δήλωση Εφαρμοσιμότητας είναι το πρώτο έγγραφο που πρέπει να εξεταστεί. Είναι επίσης ένα από τα πρώτα έγγραφα που δειγματοληπτούν οι επιθεωρητές. Μια αδύναμη SoA δείχνει στον επιθεωρητή ότι η επιλογή ελέγχων δεν βασίζεται στον κίνδυνο.

Το Zenith Blueprint παρέχει πρακτική οδηγία στη φάση Επιθεώρηση, ανασκόπηση και βελτίωση, Βήμα 24, Επιθεώρηση, ανασκόπηση και βελτίωση:

«Η SoA σας πρέπει να είναι συνεπής με το Μητρώο Κινδύνων και το Σχέδιο Αντιμετώπισης Κινδύνων. Ελέγξτε διπλά ότι κάθε έλεγχος που επιλέξατε ως αντιμετώπιση κινδύνου έχει επισημανθεί ως “Εφαρμοστέος” στη SoA. Αντίστροφα, αν ένας έλεγχος έχει επισημανθεί ως “Εφαρμοστέος” στη SoA, πρέπει να έχετε αιτιολόγηση γι’ αυτόν - συνήθως έναν χαρτογραφημένο κίνδυνο, μια νομική/ρυθμιστική απαίτηση ή μια επιχειρησιακή ανάγκη.»

Από το Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για επιθεωρητές, φάση Επιθεώρηση, ανασκόπηση και βελτίωση, Βήμα 24.

Αυτή είναι η αρχή ανάκαμψης. Η SoA δεν είναι τυπικότητα. Είναι η ραχοκοκαλιά ιχνηλασιμότητας μεταξύ κινδύνων, υποχρεώσεων, ελέγχων, τεκμηρίων υλοποίησης και συμπερασμάτων επιθεώρησης.

Μια πρακτική άσκηση αποκατάστασης SoA πρέπει να ακολουθεί την εξής ακολουθία:

1. Εξαγάγετε την τρέχουσα SoA.
2. Προσθέστε στήλες για αναγνωριστικό κινδύνου, ρυθμιστική υποχρέωση, επιχειρησιακή απαίτηση, αναφορά πολιτικής, τοποθεσία τεκμηρίων, ιδιοκτήτη, κατάσταση υλοποίησης και ημερομηνία τελευταίας δοκιμής.
3. Για κάθε εφαρμοστέο έλεγχο, χαρτογραφήστε τουλάχιστον μία τεκμηριωμένη αιτιολόγηση.
4. Για κάθε εξαιρούμενο έλεγχο, γράψτε συγκεκριμένο λόγο εξαίρεσης.
5. Συμφωνήστε τη SoA με το σχέδιο αντιμετώπισης κινδύνων.
6. Συμφωνήστε τη SoA με τα αποτελέσματα εσωτερικής επιθεώρησης.
7. Θέστε το δύσκολο ερώτημα: αν ένας επιθεωρητής δειγματοληπτήσει αυτή τη γραμμή, μπορούμε να το αποδείξουμε σε πέντε λεπτά;

Μια τεκμηριωμένη γραμμή SoA πρέπει να μοιάζει ως εξής:

Αυτή η γραμμή αφηγείται μια ιστορία ανάκαμψης. Δείχνει επιχειρησιακό πλαίσιο, λογική κινδύνου, κανονιστική συνάφεια, ιδιοκτησία, υλοποίηση, δοκιμή και υπολειπόμενη ενέργεια.

Για τις εξαιρέσεις ισχύει η ίδια πειθαρχία. Για παράδειγμα, αν ο οργανισμός δεν εκτελεί εσωτερική ανάπτυξη λογισμικού, μια εξαίρεση για τον έλεγχο ISO/IEC 27002:2022 8.25 Secure development life cycle και τον έλεγχο 8.28 Secure coding μπορεί να είναι τεκμηριωμένη, αλλά μόνο αν είναι αληθής, τεκμηριωμένη και υποστηρίζεται από τεκμήρια ότι το λογισμικό είναι εμπορικό έτοιμο προϊόν ή πλήρως εξωτερικά ανατεθειμένο με ελέγχους προμηθευτών σε ισχύ.

Βήμα 4: Πραγματοποιήστε ανάλυση βασικής αιτίας, όχι επιφανειακές αλλαγές εγγράφων

Μια αποτυχημένη επιθεώρηση μετάβασης σπάνια προκαλείται από ένα αρχείο που λείπει. Συνήθως προκαλείται από σπασμένη διαδικασία.

Το Zenith Blueprint, φάση Επιθεώρηση, ανασκόπηση και βελτίωση, Βήμα 27, Ευρήματα επιθεώρησης - ανάλυση και βασική αιτία, αναφέρει:

«Για κάθε μη συμμόρφωση (μείζονα ή ελάσσονα) που εντοπίζεται, σκεφτείτε γιατί συνέβη - αυτό είναι κρίσιμο για αποτελεσματική διόρθωση.»

Από το Zenith Blueprint, φάση Επιθεώρηση, ανασκόπηση και βελτίωση, Βήμα 27.

Αν το εύρημα αναφέρει «Λείπουν αιτιολογήσεις SoA», η διόρθωση μπορεί να είναι η επικαιροποίηση της SoA. Όμως η βασική αιτία μπορεί να είναι ότι οι ιδιοκτήτες περιουσιακών στοιχείων δεν συμμετείχαν στην αξιολόγηση κινδύνων, οι νομικές υποχρεώσεις δεν χαρτογραφήθηκαν ή η ομάδα συμμόρφωσης διατηρούσε τη SoA απομονωμένα.

Ένας χρήσιμος πίνακας ανάκαμψης διαχωρίζει τις αδύναμες διορθώσεις από την πραγματική διορθωτική ενέργεια:

Εδώ επανέρχεται η αξιοπιστία. Οι επιθεωρητές δεν αναμένουν τελειότητα. Αναμένουν ένα ελεγχόμενο σύστημα που εντοπίζει, διορθώνει, μαθαίνει και βελτιώνεται.

Βήμα 5: Δημιουργήστε CAPA που μπορεί να εμπιστευθεί ένας επιθεωρητής

Οι διορθωτικές και προληπτικές ενέργειες είναι το σημείο όπου πολλοί οργανισμοί ανακτούν τον έλεγχο. Το μητρώο CAPA πρέπει να γίνει ο οδικός χάρτης ανάκαμψης και το κύριο τεκμήριο ότι η αποτυχημένη επιθεώρηση αντιμετωπίστηκε συστηματικά.

Το Zenith Blueprint, φάση Επιθεώρηση, ανασκόπηση και βελτίωση, Βήμα 29, Συνεχής βελτίωση, εξηγεί τη δομή:

«Βεβαιωθείτε ότι κάθε διορθωτική ενέργεια είναι συγκεκριμένη, αναθέσιμη και χρονικά περιορισμένη. Ουσιαστικά, δημιουργείτε ένα μικρό έργο για κάθε ζήτημα.»

Από το Zenith Blueprint, φάση Επιθεώρηση, ανασκόπηση και βελτίωση, Βήμα 29.

Το αρχείο CAPA πρέπει να περιλαμβάνει:

• Αναγνωριστικό ευρήματος.
• Επιθεώρηση προέλευσης.
• Αναφορά ρήτρας ή ελέγχου.
• Σοβαρότητα.
• Περιγραφή ζητήματος.
• Άμεση διόρθωση.
• Βασική αιτία.
• Διορθωτική ενέργεια.
• Προληπτική ενέργεια, όπου απαιτείται.
• Ιδιοκτήτη.
• Καταληκτική ημερομηνία.
• Απαιτούμενα τεκμήρια.
• Κατάσταση.
• Έλεγχο αποτελεσματικότητας.
• Έγκριση διοίκησης.

Η Πολιτική Επιθεώρησης και Παρακολούθησης Συμμόρφωσης - ΜΜΕ της Clarysec προσδιορίζει επίσης τη μείζονα μη συμμόρφωση ως έναυσμα ανασκόπησης:

«Μια επιθεώρηση πιστοποίησης ή επιθεώρηση επιτήρησης οδηγεί σε μείζονα μη συμμόρφωση»

Από την ενότητα «Απαιτήσεις ανασκόπησης και επικαιροποίησης», ρήτρα πολιτικής 9.2.2.

Αν η επιθεώρηση μετάβασης παρήγαγε μείζονα μη συμμόρφωση, ανασκοπήστε την ίδια τη διαδικασία επιθεώρησης και παρακολούθησης συμμόρφωσης. Γιατί η εσωτερική επιθεώρηση δεν εντόπισε πρώτη το ζήτημα; Γιατί η ανασκόπηση της Διοίκησης δεν το κλιμάκωσε; Γιατί η SoA δεν αποκάλυψε το κενό τεκμηρίων;

Έτσι μια αποτυχημένη επιθεώρηση γίνεται ισχυρότερο ISMS.

Βήμα 6: Χρησιμοποιήστε το Zenith Controls για να συνδέσετε τα τεκμήρια ISO με τη διασταυρούμενη συμμόρφωση

Μια επανεπιθεώρηση δεν γίνεται σε απομόνωση. Πελάτες, ρυθμιστικές αρχές, ασφαλιστές και εσωτερικές ομάδες διακυβέρνησης μπορεί να εξετάσουν τα ίδια τεκμήρια από διαφορετικές οπτικές. Εδώ το Zenith Controls είναι πολύτιμο ως οδηγός διασταυρούμενης συμμόρφωσης. Βοηθά τις ομάδες να σταματήσουν να αντιμετωπίζουν τα ISO 27001, NIS2, DORA, GDPR, διασφάλιση τύπου NIST και διακυβέρνηση COBIT 2019 ως ξεχωριστές λίστες ελέγχου.

Τρεις έλεγχοι ISO/IEC 27002:2022 είναι ιδιαίτερα σχετικοί στην ανάκαμψη μετάβασης.

Στο Zenith Controls, ο έλεγχος ISO/IEC 27002:2022 5.31 συνδέεται άμεσα με την ιδιωτικότητα και τα δεδομένα προσωπικού χαρακτήρα:

«Ο 5.34 καλύπτει τη συμμόρφωση με νόμους προστασίας δεδομένων (π.χ. GDPR), η οποία αποτελεί μία κατηγορία νομικών απαιτήσεων υπό τον 5.31.»

Από το Zenith Controls, έλεγχος 5.31, συνδέσεις με άλλους ελέγχους.

Για την ανάκαμψη, αυτό σημαίνει ότι το νομικό μητρώο δεν πρέπει να βρίσκεται εκτός του ISMS. Πρέπει να καθοδηγεί τη SoA, το σχέδιο αντιμετώπισης κινδύνων, το σύνολο πολιτικών, την ιδιοκτησία ελέγχων και τα τεκμήρια επιθεώρησης.

Για τον έλεγχο ISO/IEC 27002:2022 5.35, το Zenith Controls αναδεικνύει ότι η ανεξάρτητη ανασκόπηση συχνά φτάνει σε επιχειρησιακά τεκμήρια:

«Οι ανεξάρτητες ανασκοπήσεις υπό τον 5.35 συχνά αξιολογούν την επάρκεια των δραστηριοτήτων καταγραφής και παρακολούθησης.»

Από το Zenith Controls, έλεγχος 5.35, συνδέσεις με άλλους ελέγχους.

Αυτό είναι πρακτικό. Ένας επιθεωρητής μπορεί να ξεκινήσει από τη διακυβέρνηση και στη συνέχεια να δειγματοληπτήσει αρχεία καταγραφής, ειδοποιήσεις, αρχεία παρακολούθησης, αναθεωρήσεις δικαιωμάτων πρόσβασης, αιτήματα περιστατικών, δοκιμές αντιγράφων ασφαλείας, ανασκοπήσεις προμηθευτών και αποφάσεις διοίκησης.

Για τον έλεγχο ISO/IEC 27002:2022 5.36, το Zenith Controls εξηγεί τη σχέση με την εσωτερική διακυβέρνηση πολιτικών:

«Ο έλεγχος 5.36 λειτουργεί ως μηχανισμός εφαρμογής για τους κανόνες που ορίζονται υπό τον 5.1.»

Από το Zenith Controls, έλεγχος 5.36, συνδέσεις με άλλους ελέγχους.

Εδώ αποτυγχάνουν πολλά προγράμματα μετάβασης. Οι πολιτικές υπάρχουν, αλλά η τήρησή τους δεν παρακολουθείται. Οι διαδικασίες υπάρχουν, αλλά οι εξαιρέσεις δεν καταγράφονται. Οι έλεγχοι δηλώνονται, αλλά δεν δοκιμάζονται.

Βήμα 7: Προετοιμαστείτε για διαφορετικές οπτικές επιθεώρησης

Ένα ισχυρό πακέτο ανάκαμψης πρέπει να αντέχει σε περισσότερες από μία οπτικές επιθεώρησης. Επιθεωρητές πιστοποίησης ISO, εποπτικές αρχές DORA, αξιολογητές NIS2, ενδιαφερόμενα μέρη GDPR, ομάδες διαβεβαίωσης πελατών, αξιολογητές προσανατολισμένοι στο NIST και αξιολογητές διακυβέρνησης COBIT 2019 μπορεί όλοι να θέσουν διαφορετικά ερωτήματα για τα ίδια τεκμήρια.

Ο στόχος δεν είναι η διπλή παραγωγή τεκμηρίων. Μία γραμμή SoA για την καταγραφή και παρακολούθηση μπορεί να υποστηρίξει τεκμήρια ISO, προσδοκίες ανίχνευσης τύπου NIST, χειρισμό περιστατικών DORA, αξιολόγηση αποτελεσματικότητας NIS2 και ανίχνευση παραβίασης GDPR. Ένας φάκελος κινδύνου προμηθευτή μπορεί να υποστηρίξει ελέγχους προμηθευτών ISO, κίνδυνο τρίτων μερών ΤΠΕ DORA, ασφάλεια εφοδιαστικής αλυσίδας NIS2 και λογοδοσία εκτελούντος την επεξεργασία βάσει GDPR.

Αυτή είναι η πρακτική αξία της διασταυρούμενης συμμόρφωσης.

Βήμα 8: Εκτελέστε τελική ανασκόπηση τεκμηρίωσης και δοκιμαστική επιθεώρηση

Πριν επιστρέψετε στον φορέα πιστοποίησης, εκτελέστε αυστηρή εσωτερική πρόκληση. Το Zenith Blueprint, φάση Επιθεώρηση, ανασκόπηση και βελτίωση, Βήμα 30, Προετοιμασία πιστοποίησης - τελική ανασκόπηση και δοκιμαστική επιθεώρηση, συνιστά έλεγχο των ρητρών 4 έως 10 του ISO 27001:2022 μία προς μία και επικύρωση τεκμηρίων για κάθε εφαρμοστέο έλεγχο του Παραρτήματος A.

Συμβουλεύει:

«Ελέγξτε τους ελέγχους του Παραρτήματος A: βεβαιωθείτε ότι για κάθε έλεγχο που επισημάνατε ως “Εφαρμοστέο” στη SoA, έχετε κάτι να παρουσιάσετε.»

Από το Zenith Blueprint, φάση Επιθεώρηση, ανασκόπηση και βελτίωση, Βήμα 30.

Η τελική ανασκόπηση πρέπει να είναι άμεση:

• Μπορεί να εξηγηθεί κάθε εφαρμοστέος έλεγχος;
• Μπορεί να αιτιολογηθεί κάθε εξαιρούμενος έλεγχος;
• Μπορεί να παρουσιαστεί αποδοχή υπολειπόμενου κινδύνου;
• Ανασκόπησε η διοίκηση την αποτυχία μετάβασης, τους πόρους, τους στόχους, τα αποτελέσματα επιθεώρησης και τις διορθωτικές ενέργειες;
• Δοκίμασε η εσωτερική επιθεώρηση την επικαιροποιημένη SoA και το σχέδιο αντιμετώπισης κινδύνων;
• Υπάρχουν τεκμήρια για ελέγχους προμηθευτών, περιβάλλοντος νέφους, συνέχειας, περιστατικών, ιδιωτικότητας, πρόσβασης, ευπαθειών, καταγραφής και παρακολούθησης;
• Είναι οι πολιτικές εγκεκριμένες, ενημερωμένες, κοινοποιημένες και υπό έλεγχο εκδόσεων;
• Συνδέονται οι CAPA με βασικές αιτίες και ελέγχους αποτελεσματικότητας;
• Μπορούν τα τεκμήρια να εντοπιστούν γρήγορα στον κεντρικοποιημένο φάκελο επιθεώρησης;

Η Πολιτική Ασφάλειας Πληροφοριών της Clarysec παρέχει τη βασική γραμμή διακυβέρνησης:

«Ο οργανισμός πρέπει να εφαρμόζει και να διατηρεί Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) σύμφωνα με τις ρήτρες 4 έως 10 του ISO/IEC 27001:2022.»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.1.1.

Για τις ΜΜΕ, η ανασκόπηση πρέπει επίσης να παρακολουθεί τις απαιτήσεις πιστοποίησης και τις ρυθμιστικές αλλαγές. Η Πολιτική Ασφάλειας Πληροφοριών - ΜΜΕ της Clarysec αναφέρει:

«Η παρούσα πολιτική πρέπει να ανασκοπείται από τον Γενικό Διευθυντή (GM) τουλάχιστον ετησίως, ώστε να διασφαλίζεται η συνεχής συμμόρφωση με τις απαιτήσεις πιστοποίησης ISO/IEC 27001, τις ρυθμιστικές αλλαγές (όπως GDPR, NIS2 και DORA) και τις εξελισσόμενες επιχειρησιακές ανάγκες.»

Από την ενότητα «Απαιτήσεις ανασκόπησης και επικαιροποίησης», ρήτρα πολιτικής 9.1.1.

Αυτό ακριβώς έχασαν πολλά προγράμματα μετάβασης: το ISO, οι κανονιστικές απαιτήσεις και η επιχειρησιακή αλλαγή κινούνται μαζί.

Τι να πείτε στους πελάτες όσο ανακάμπτετε

Αν μια αποτυχημένη ή χαμένη μετάβαση επηρεάζει συμβάσεις πελατών, η σιωπή είναι επικίνδυνη. Δεν χρειάζεται να αποκαλύψετε κάθε λεπτομέρεια εσωτερικής επιθεώρησης, αλλά πρέπει να παρέχετε ελεγχόμενη διαβεβαίωση.

Ένα πακέτο επικοινωνίας προς πελάτες πρέπει να περιλαμβάνει:

• Τρέχουσα κατάσταση πιστοποίησης επιβεβαιωμένη από τον φορέα πιστοποίησης.
• Κατάσταση επιθεώρησης μετάβασης και υψηλού επιπέδου σχέδιο αποκατάστασης.
• Επιβεβαίωση ότι η διαδικασία CAPA είναι ενεργή και εγκεκριμένη από τη διοίκηση.
• Ημερομηνίες-στόχους για διορθωτικές ενέργειες και κλείσιμο επιθεώρησης.
• Δήλωση ότι το ISMS παραμένει λειτουργικό.
• Σημείο επαφής για διαβεβαίωση ασφάλειας.
• Επικαιροποιημένη δήλωση πολιτικής ασφάλειας, αν απαιτείται.
• Τεκμήρια αντισταθμιστικών ελέγχων για κάθε περιοχή υψηλού κινδύνου.

Αποφύγετε ασαφείς ισχυρισμούς όπως «είμαστε πλήρως συμμορφωμένοι» όσο η επιθεώρηση παραμένει ανοικτή. Πείτε αυτό που είναι αληθές: το ISMS λειτουργεί, η διορθωτική ενέργεια έχει εγκριθεί, τα τεκμήρια ενοποιούνται και έχει προγραμματιστεί ανασκόπηση κλεισίματος ή επανεπιθεώρηση.

Αυτό είναι ιδιαίτερα σημαντικό αν οι πελάτες βασίζονται σε εσάς ως προμηθευτή σε τομείς συναφείς με το NIS2, όπως ψηφιακή υποδομή, υπηρεσίες νέφους, κέντρα δεδομένων, δίκτυα διανομής περιεχομένου, DNS, υπηρεσίες εμπιστοσύνης, δημόσιες ηλεκτρονικές επικοινωνίες, διαχειριζόμενες υπηρεσίες ή διαχειριζόμενες υπηρεσίες ασφάλειας. Αν η κατάσταση της επιθεώρησής σας επηρεάζει τον κίνδυνο της εφοδιαστικής τους αλυσίδας, χρειάζονται αξιόπιστη διαβεβαίωση.

Πρακτικός δεκαήμερος κύκλος ταχείας ανάκαμψης

Τα χρονοδιαγράμματα διαφέρουν ανάλογα με τον φορέα πιστοποίησης, τη σοβαρότητα, το πεδίο εφαρμογής και την ωριμότητα των τεκμηρίων. Όμως η ακολουθία ανάκαμψης είναι αξιόπιστη.

Μην υποβάλετε την απάντηση μέχρι να αφηγείται μια συνεκτική ιστορία. Ο επιθεωρητής πρέπει να μπορεί να ακολουθήσει την αλυσίδα από το εύρημα στη βασική αιτία, από τη βασική αιτία στη διορθωτική ενέργεια, από τη διορθωτική ενέργεια στα τεκμήρια και από τα τεκμήρια στην ανασκόπηση της Διοίκησης.

Η ροή εργασίας ανάκαμψης της Clarysec

Όταν η Clarysec υποστηρίζει μια χαμένη ή αποτυχημένη μετάβαση ISO 27001:2022, οργανώνουμε την εργασία σε εστιασμένη ροή ανάκαμψης.

Δεν πρόκειται για παραγωγή εγγράφων για τα μάτια της επιθεώρησης. Πρόκειται για αποκατάσταση της εμπιστοσύνης ότι το ISMS τελεί υπό διακυβέρνηση, βασίζεται στον κίνδυνο, τεκμηριώνεται και βελτιώνεται.

Τελική συμβουλή: αντιμετωπίστε την αποτυχημένη μετάβαση ως δοκιμή αντοχής

Μια χαμένη προθεσμία μετάβασης στο ISO 27001:2022 ή μια αποτυχημένη επιθεώρηση μετάβασης μοιάζει με κρίση, αλλά είναι επίσης διαγνωστική ευκαιρία. Δείχνει αν το ISMS σας μπορεί να απορροφήσει αλλαγές, να ενσωματώσει νομικές υποχρεώσεις, να διαχειριστεί προμηθευτές, να αποδείξει τη λειτουργία ελέγχων και να μάθει από την αποτυχία.

Οι οργανισμοί που ανακάμπτουν ταχύτερα κάνουν καλά τρία πράγματα:

1. Κεντρικοποιούν τα τεκμήρια και σταματούν το χάος.
2. Αναδομούν την ιχνηλασιμότητα μεταξύ κινδύνου, SoA, ελέγχων, πολιτικών και υποχρεώσεων.
3. Διαχειρίζονται τα ευρήματα επιθεώρησης μέσω πειθαρχημένης CAPA και ανασκόπησης της Διοίκησης.

Οι οργανισμοί που δυσκολεύονται προσπαθούν να λύσουν το πρόβλημα επεξεργαζόμενοι έγγραφα χωρίς να διορθώνουν ιδιοκτησία, παρακολούθηση, τεκμήρια ή βασική αιτία.

Αν χάσατε την προθεσμία ή αποτύχατε στην επιθεώρηση μετάβασης, το επόμενο βήμα σας δεν είναι ο πανικός. Είναι η δομημένη ανάκαμψη.

Η Clarysec μπορεί να σας βοηθήσει να εκτελέσετε αρχική αξιολόγηση επιθεώρησης μετάβασης, να αναδομήσετε τη SoA σας, να χαρτογραφήσετε προσδοκίες NIS2, DORA, GDPR, τύπου NIST και COBIT 2019 μέσω του Zenith Controls, να εκτελέσετε διορθωτικές ενέργειες με το Zenith Blueprint και να ευθυγραμμίσετε τεκμήρια πολιτικών χρησιμοποιώντας την Πολιτική Ασφάλειας Πληροφοριών, την Πολιτική Επιθεώρησης και Παρακολούθησης Συμμόρφωσης, την Πολιτική Διαχείρισης Κινδύνων και την Πολιτική Νομικής και Κανονιστικής Συμμόρφωσης.

Το ζήτημα του πιστοποιητικού σας μπορεί να αποκατασταθεί. Το ISMS σας μπορεί να γίνει ισχυρότερο από ό,τι ήταν πριν από την επιθεώρηση. Αν η επιθεώρηση μετάβασής σας παραμένει ανοικτή, ξεκινήστε τώρα την αξιολόγηση ανάκαμψης, ενοποιήστε τα τεκμήριά σας και προετοιμάστε πακέτο επανεπιθεώρησης που αποδεικνύει ότι το ISMS σας δεν είναι απλώς τεκμηριωμένο, αλλά λειτουργεί.