ISO 27001:2022 ebaõnnestunud auditi taastamisplaan
E-kiri, mida keegi ei tahtnud saada
E-kiri saabub reede hilisõhtul teemareaga, mis kõlab kahjutult: „Üleminekuauditi tulemus.“
Sisu ei ole kahjutu. Sertifitseerimisasutus on tuvastanud olulise mittevastavuse. ISO/IEC 27001 sertifikaat on peatatud või üleminekuotsust ei saa sulgeda. Audiitori märkus on otsekohene: kohaldatavusavaldus ei põhjenda välistatud kontrollimeetmeid, riskihindamine ei kajasta kehtivat konteksti ning puudub piisav tõendusmaterjal selle kohta, et uusi regulatiivseid kohustusi on arvesse võetud.
Tunni jooksul ei ole teema enam üksnes vastavusprobleem. Müük küsib, kas avaliku sektori hange on nüüd ohus. Õigusfunktsioon vaatab läbi kliendilepingute klausleid. Infoturbejuht selgitab, miks SoA ei ühti riskikäsitlusplaaniga. Tegevjuht esitab ainsa olulise küsimuse: „Kui kiiresti saame selle korda teha?“
Paljude organisatsioonide jaoks ei tekitanud ISO 27001:2022 ülemineku tähtaja möödumine teoreetilist lünka. See tekitas reaalse talitluspidevuse probleemi. Tegemata jäänud või ebaõnnestunud ISO 27001:2022 üleminekuaudit võib mõjutada hankekõlblikkust, tarnijate kaasamist, küberkindlustust, kliendikindluse andmist, NIS2 valmisolekut, DORA ootusi, GDPR vastutust ja juhatuse usaldust.
Hea uudis on, et taastumine on võimalik. Halb uudis on, et dokumentide kosmeetiline muutmine ei toimi. Taastamist tuleb käsitleda distsiplineeritud ISMS-i parandusmeetmete programmina, mitte kiirustatud poliitika ümberkirjutamisena.
Clarysecis korraldame taastamise kolme seotud vara ümber:
- Zenith Blueprint: audiitori 30-sammuline tegevuskava, eriti auditi, läbivaatamise ja täiustamise etapp.
- Claryseci ettevõtete ja VKE-de poliitikakogu, mis muudab auditileiud juhitud kohustusteks.
- Zenith Controls: ristvastavuse juhend, mis aitab siduda ISO/IEC 27002:2022 kontrollimeetmete ootused NIS2, DORA, GDPR, NIST-põhise kindlustusloogika ja COBIT 2019 juhtimisperspektiividega.
See on praktiline taastamisplaan infoturbejuhtidele, vastavusjuhtidele, audiitoritele, asutajatele ja ettevõtte omanikele, kes jätsid ISO 27001:2022 ülemineku tähtaja mööda või kelle üleminekuaudit ebaõnnestus.
Esmalt tuvasta ebaõnnestumise tüüp
Enne ühegi poliitika muutmist liigita olukord. Igal ebaõnnestunud või tegemata jäänud üleminekul ei ole sama ärimõju ega taastetee. Esimese 24 tunni fookus peab olema auditiraporti, sertifitseerimisasutuse otsuse, mittevastavuse sõnastuse, tõendusmaterjali päringute, tähtaegade ja sertifikaadi kehtiva staatuse hankimisel.
| Olukord | Ärimõju | Viivitamatu tegevus |
|---|---|---|
| Üleminekuaudit ebaõnnestus olulise mittevastavusega | Sertifitseerimisotsus võib olla blokeeritud või sertifikaat võib olla peatatud kuni probleemi kõrvaldamiseni | Ava CAPA, tee algpõhjuse analüüs, kinnita sertifitseerimisasutusega tõendusmaterjali ootused |
| Üleminekuaudit läbiti väiksemate mittevastavustega | Sertifitseerimine võib jätkuda, kui parandusmeetmed aktsepteeritakse | Sulge väiksemad CAPA-d kiiresti ja ajakohasta ISMS-i tõendusmaterjali pakett |
| Üleminekut ei lõpetatud enne tähtaega | Sertifikaat ei pruugi enam kehtida või seda ei pruugita tunnustada | Kinnita staatus sertifitseerimisasutusega ja kavanda ülemineku või uuesti sertifitseerimise tee |
| Järelevalveaudit tõi esile nõrga üleminekutõendusmaterjali | Sertifitseerimine võib olla järgmises otsustuspunktis ohus | Tee prooviaudit ning ajakohasta SoA, riskikäsitlus, juhtkonna läbivaatamine ja siseauditi kirjed |
| Klient lükkas tagasi sertifikaadi või üleminekutõendusmaterjali | Äririsk, hankerisk ja usaldusmõju | Koosta kliendi kinnituste pakett auditi staatuse, CAPA plaani, sihtkuupäevade ja juhtkonna heakskiiduga |
Taastamisplaan sõltub ebaõnnestumise tüübist. Blokeeritud sertifitseerimisotsus nõuab sihipärast parandusmeetmete rakendamist. Peatatud sertifikaat nõuab kiiret juhtimise ja tõendusmaterjali korrastamist. Tühistatud või aegunud sertifikaat võib nõuda laiemat uuesti sertifitseerimise teed.
Igal juhul kaardista iga probleem asjakohase ISMS-i punkti, lisa A kontrollimeetme, riskikirje, poliitika omaniku, õigusliku või lepingulise kohustuse ja tõendusmaterjali allikaga.
Siin on ISO/IEC 27001:2022 oluline juhtimissüsteemina, mitte üksnes kontrollikataloogina. Punktid 4 kuni 10 nõuavad, et ISMS mõistaks konteksti, huvitatud pooli, kohaldamisala, eestvedamist, riskide kavandamist, tuge, toimimist, toimivuse hindamist ja pidevat täiustamist. Kui üleminek ebaõnnestus, on tavaliselt katki üks neist juhtimissüsteemi seostest.
Miks ISO 27001:2022 üleminekuauditid ebaõnnestuvad
Ebaõnnestunud üleminekuauditid koonduvad tavaliselt korduvate mustrite ümber. Paljud neist ei ole sügavalt tehnilised. Need on juhtimise, jälgitavuse, vastutuse ja tõendusmaterjali puudujäägid.
| Leiu muster | Mida audiitor näeb | Mida see tavaliselt tähendab |
|---|---|---|
| Kohaldatavusavaldust ei ole ajakohastatud või põhjendatud | Kontrollimeetmed on märgitud kohaldatavaks ilma põhjenduseta või välistatud ilma tõendusmaterjalita | Kontrollimeetmete valik ei ole jälgitav riskini, regulatsioonini või ärivajaduseni |
| Riskihindamine ei kajastanud kehtivaid kohustusi | NIS2, DORA, GDPR, kliendilepingud, pilvesõltuvused või tarnijarisk puuduvad | Konteksti ja riskikriteeriume ei ole ajakohastatud |
| Juhtkonna läbivaatamine on pealiskaudne | Protokollid on olemas, kuid otsuseid, ressursse, eesmärke, auditi tulemusi või riskimuutusi ei käsitleta | Juhtkonna vastutus ei toimi |
| Siseaudit ei testinud ülemineku kohaldamisala | Auditi kontrollnimekiri on üldine ega kata ajakohastatud kontrollimeetmeid, tarnijaid, pilve, toimepidevust ega õiguslikke kohustusi | Toimivuse hindamine ei ole piisav |
| Tarnija- ja pilvekontrollid on nõrgad | Puudub hoolsuskontroll, lepingu läbivaatamine, väljumisplaneerimine või pidev seire | Väljastpoolt osutatavate teenuste operatiivne ohje on puudulik |
| Intsidentidele reageerimine ei ole kooskõlas regulatiivse teavitamisega | Puudub 24 või 72 tunni eskaleerimisloogika, DORA või GDPR otsustuspuu ja õppuste tõendusmaterjal | Intsidendihaldus ei ole seotud õigusliku teatamisega |
| CAPA protsess on nõrk | Leiud suletakse ainult dokumendimuudatustega | Algpõhjust ei kõrvaldatud |
Ebaõnnestunud audit on signaal, et ISMS ei kohanenud piisavalt kiiresti organisatsiooni tegeliku tegevuskeskkonnaga.
ISO/IEC 27005:2022 on taastamisel kasulik, sest rõhutab konteksti määratlemise tähtsust õiguslike, regulatiivsete, sektoripõhiste, lepinguliste, sisemiste ja olemasolevate kontrollinõuete alusel. Samuti toetab see riskikriteeriume, mis võtavad arvesse õiguslikke kohustusi, tarnijaid, privaatsust, inimtegureid, ärieesmärke ja juhtkonna kinnitatud riskivalmidust.
Praktiliselt tähendab see, et ülemineku taastamine algab ajakohastatud kontekstist ja riskikriteeriumidest, mitte vana dokumendi uuest versiooninumbrist.
Samm 1: külmuta auditikirjed ja loo taastamise juhtimiskeskus
Esimene operatiivne viga pärast ebaõnnestunud auditit on tõendusmaterjali kaos. Meeskonnad hakkavad otsima postkastidest, ühisketastelt, piletihaldussüsteemidest, vestlussõnumitest, isiklikest kaustadest ja vanadest auditipakettidest. Audiitorid tõlgendavad seda märgina, et ISMS ei ole kontrolli all.
Claryseci VKE-de auditi ja vastavuse seire poliitika on tõendusmaterjali ohje suhtes selgesõnaline:
„Kogu tõendusmaterjal tuleb säilitada keskses auditikaustas.“
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.2.1.
Sellest kesksest auditikaustast saab taastamise juhtimiskeskus. See peaks sisaldama järgmist:
- Sertifitseerimisasutuse raport ja kirjavahetus.
- Sertifikaadi staatuse kinnitus.
- Mittevastavuste register.
- CAPA logi.
- Ajakohastatud riskihindamine.
- Ajakohastatud riskikäsitlusplaan.
- Ajakohastatud kohaldatavusavaldus.
- Siseauditi aruanne.
- Juhtkonna läbivaatamise protokollid.
- Poliitikate heakskiitmise kirjed.
- Tõendusmaterjal iga kohaldatava lisa A kontrollimeetme kohta.
- Kliendi kinnituste pakett, kui ärilised kohustused on mõjutatud.
Ettevõttekeskkondade jaoks seab Claryseci auditi ja vastavuse seire poliitika sama juhtimise ootuse:
„Kõik leiud peavad kaasa tooma dokumenteeritud CAPA, mis sisaldab järgmist:“
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.2.1.
See sõnastus loob struktureeritud parandusmeetmete ootuse. Põhimõte on lihtne: iga auditileid peab muutuma juhitud CAPA kirjeks, mitte mitteametlikuks ülesandeks kellegi märkmikus.
VKE-de puhul on juhtkonna kaasatus sama oluline:
„Tegevjuht peab parandusmeetmete plaani heaks kiitma ja jälgima selle rakendamist.“
Allikas auditi ja vastavuse seire poliitika - VKE, jaotis „Juhtimisnõuded“, poliitika punkt 5.4.2.
See on oluline, sest ISO 27001:2022 ei käsitle juhtimist sümboolsena. Tippjuhtkond peab kehtestama poliitika, viima eesmärgid kooskõlla äristrateegiaga, tagama ressursid, edastama infoturbe olulisust, määrama vastutused ja edendama pidevat täiustamist.
Kui ebaõnnestunud üleminekut käsitletakse kui „vastavusinimese probleemi“, paljastab järgmine audit nõrga juhtkonna vastutuse uuesti.
Samm 2: ehita uuesti üles kontekst, kohustused ja risk
Ebaõnnestunud üleminekuaudit tähendab sageli, et ISMS-i kontekst ei kajasta enam organisatsiooni tegelikkust. Ettevõte võib olla liikunud pilveplatvormidele, lisanud uusi tarnijaid, sisenenud reguleeritud turgudele, töödelda rohkem isikuandmeid või muutunud klientide jaoks NIS2 või DORA alusel asjakohaseks. Kui need muutused ISMS-is puuduvad, on riskihindamine ja SoA puudulikud.
Claryseci õigusnormidele vastavuse poliitika seab lähtealuse:
„Kõik õiguslikud ja regulatiivsed kohustused tuleb kaardistada konkreetsete poliitikate, kontrollimeetmete ja omanikega infoturbe juhtimissüsteemis (ISMS).“
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.2.1.
See punkt on pärast ülemineku ebaõnnestumist kriitiline. ISO 27001:2022 punktid 4.1 kuni 4.3 nõuavad, et organisatsioonid arvestaksid sisemisi ja väliseid teemasid, huvitatud pooli, nõudeid, liideseid, sõltuvusi ja kohaldamisala. Õiguslikud, regulatiivsed ja lepingulised kohustused ei ole kõrvalmärkused. Need kujundavad ISMS-i.
NIS2 Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid, sealhulgas riskianalüüsi, poliitikaid, intsidentide käsitlemist, varundamist, katastroofitaastet, kriisijuhtimist, tarneahela turvet, turvalist arendust, haavatavuste käsitlemist, tõhususe hindamisi, küberhügieeni, koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ja turvalist sidet. Article 20 asetab vastutuse juhtorgani tasandile. Article 23 loob etapiviisilise olulistest intsidentidest teatamise, sealhulgas varajase hoiatuse, intsidenditeavituse, uuendused ja lõpparuande.
DORA kohaldub finantsüksustele otse alates 17. jaanuarist 2025 ning hõlmab IKT-riski juhtimist, olulistest intsidentidest teatamist, toimepidevuse testimist, IKT kolmandate osapoolte riski, lepingulisi nõudeid ja kriitiliste IKT kolmanda osapoole teenusepakkujate järelevalvet. Kohaldamisalasse kuuluvate finantsüksuste jaoks muutub DORA IKT-juhtimise, tarnijaohje, testimise, intsidendi klassifitseerimise ja juhtkonna vastutuse põhialuseks.
GDPR lisab vastutuse isikuandmete eest. Article 5 nõuab seaduslikku, õiglast, läbipaistvat, piiratud, täpset, säilitamistähtaegu arvestavat ja turvalist töötlemist koos tõendatava vastavusega. Article 4 määratleb isikuandmetega seotud rikkumise viisil, mis mõjutab otseselt intsidendi klassifitseerimist. Article 6 nõuab õigusliku aluse kaardistamist ja Article 9 lisab rangemad nõuded eriliiki andmetele.
See ei tähenda eraldi vastavusuniversumite loomist. See tähendab ISO 27001:2022 kasutamist integreeritud juhtimissüsteemina ning kohustuste kaardistamist ühte riski- ja kontrolliarhitektuuri.
Claryseci riskijuhtimise poliitika seob riskikäsitluse otse kontrollimeetmete valikuga:
„Riskikäsitluse protsessist tulenevad kontrolliotsused peavad kajastuma SoA-s.“
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.5.1.
Ebaõnnestunud audit on ka põhjus vaadata üle riskijuhtimise protsess ise. Claryseci VKE-de riskijuhtimise poliitika määratleb selle päästikuna:
„Oluline intsident või auditileid paljastab puudujäägid riskijuhtimises“
Jaotisest „Läbivaatamise ja ajakohastamise nõuded“, poliitika punkt 9.2.1.1.
Taastamisrežiimis tähendab see, et riskiregister, riskikriteeriumid, riskikäsitlusplaan ja SoA tuleb uuesti üles ehitada koos.
Samm 3: paranda SoA kui jälgitavuse selgroog
Enamikus ebaõnnestunud üleminekutes on kohaldatavusavaldus esimene dokument, mida kontrollida. See on ka üks esimesi dokumente, mida audiitorid valimi alusel vaatavad. Nõrk SoA ütleb audiitorile, et kontrollimeetmete valik ei ole riskipõhine.
Zenith Blueprint annab praktilise juhise auditi, läbivaatamise ja täiustamise etapis, sammus 24, audit, läbivaatamine ja täiustamine:
„Teie SoA peaks olema kooskõlas riskiregistri ja riskikäsitlusplaaniga. Kontrollige üle, et iga kontrollimeede, mille valisite riskikäsitluseks, oleks SoA-s märgitud „Kohaldatav“. Vastupidi, kui kontrollimeede on SoA-s märgitud „Kohaldatav“, peab teil olema selle põhjendus – tavaliselt kaardistatud risk, õiguslik/regulatiivne nõue või ärivajadus.“
Allikas Zenith Blueprint: audiitori 30-sammuline tegevuskava, auditi, läbivaatamise ja täiustamise etapp, samm 24.
See on taastamise põhimõte. SoA ei ole formaalsus. See on jälgitavuse selgroog riskide, kohustuste, kontrollimeetmete, rakendamise tõendusmaterjali ja auditi järelduste vahel.
Praktiline SoA parandamise harjutus peab järgima seda järjestust:
- Ekspordi kehtiv SoA.
- Lisa veerud riski ID, regulatiivse kohustuse, ärinõude, poliitikaviite, tõendusmaterjali asukoha, omaniku, rakendamise seisu ja viimase testimise kuupäeva jaoks.
- Kaardista iga kohaldatava kontrollimeetme kohta vähemalt üks kaitstav põhjendus.
- Kirjuta iga välistatud kontrollimeetme kohta konkreetne välistamise põhjus.
- Vii SoA kooskõlla riskikäsitlusplaaniga.
- Vii SoA kooskõlla siseauditi tulemustega.
- Esita raske küsimus: kui audiitor valib selle rea, kas suudame selle viie minutiga tõendada?
Kaitstav SoA rida peaks välja nägema järgmiselt:
| SoA väli | Taastamise näidiskirje |
|---|---|
| Kontrollimeetme põhjendus | Kohaldatav pilvemajutuse, maksetöötleja, sisseostetud toe ja lepinguliste klienditurbe kohustuste tõttu |
| Riskiseos | R-014 kolmanda osapoole teenuse katkestus, R-021 tarnija andmete avalikustumine, R-027 regulatiivne rikkumine volitatud töötleja tõrke tõttu |
| Kohustuse seos | NIS2 tarneahela turve, DORA IKT kolmanda osapoole risk, kui kohaldatav, GDPR volitatud töötleja vastutus |
| Poliitika seos | Kolmandate osapoolte ja tarnijate turbepoliitika, lepingu läbivaatamise protseduur, tarnija hindamise kontrollnimekiri |
| Tõendusmaterjal | Tarnijaregister, riskihinnangud, hoolsuskontrolli küsimustik, allkirjastatud andmetöötlusleping, SOC aruande läbivaatamine, väljumisplaan, iga-aastase läbivaatamise kirje |
| Omanik | Tarnijahaldur, infoturbejuht, õigusfunktsioon |
| Testimine | Siseauditi valim viie kõige kriitilisema tarnija kohta lõpetatud, erandid CAPA-s logitud |
| Staatus | Rakendatud; lepingute ajakohastamiseks on avatud kaks parandusmeedet |
See rida jutustab taastamise loo. See näitab ärikonteksti, riskiloogikat, regulatiivset asjakohasust, vastutust, rakendamist, testimist ja allesjäänud tegevust.
Välistuste puhul kehtib sama distsipliin. Näiteks kui organisatsioon ei tee majasisest tarkvaraarendust, võib ISO/IEC 27002:2022 kontrollimeetme 8.25 turvalise arenduse elutsükkel ja kontrollimeetme 8.28 turvaline programmeerimine välistamine olla kaitstav, kuid ainult siis, kui see on tõene, dokumenteeritud ja toetatud tõendusmaterjaliga, et tarkvara on kommertsvalmistoode või täielikult allhankes koos kehtivate tarnijakontrollidega.
Samm 4: tee algpõhjuse analüüs, mitte dokumentide kosmeetikat
Ebaõnnestunud üleminekuaudit on harva põhjustatud ühest puuduvast failist. Tavaliselt on põhjuseks katkine protsess.
Zenith Blueprint, auditi, läbivaatamise ja täiustamise etapp, samm 27, auditileiud – analüüs ja algpõhjus, ütleb:
„Iga tuvastatud mittevastavuse (olulise või väiksema) puhul mõelge, miks see juhtus – see on tõhusa paranduse jaoks kriitiline.“
Allikas Zenith Blueprint, auditi, läbivaatamise ja täiustamise etapp, samm 27.
Kui leid ütleb „SoA põhjendused puuduvad“, võib parandus olla SoA ajakohastamine. Kuid algpõhjus võib olla see, et varaomanikud ei olnud riskihindamisse kaasatud, õiguslikke kohustusi ei kaardistatud või vastavusmeeskond haldas SoA-d eraldiseisvalt.
Kasulik taastamistabel eristab nõrgad parandused tegelikest parandusmeetmetest:
| Auditileid | Halb parandus | Õige algpõhjuse küsimus | Parem parandusmeede |
|---|---|---|---|
| SoA ei ole riskikäsitlusega kooskõlas | Uuendada SoA sõnastust | Miks SoA-d ei viidud riskikäsitlusega kooskõlla? | Lisada kord kvartalis SoA ja riskide kooskõlastamine ISMS-i juhi vastutusel |
| Tarnijate hindamised puuduvad | Laadida üles üks küsimustik | Miks tarnijaid ei vaadatud läbi? | Määrata tarnija omanik, kehtestada riskitasemed, teha läbivaatamised ja seirata igal aastal |
| Juhtkonna läbivaatamine on puudulik | Lisada päevakorrapunkt tagantjärele | Miks juhtkonna läbivaatamine ei käsitlenud ülemineku staatust? | Ajakohastada juhtkonna läbivaatamise malli ja ajastada kvartaalne juhtimisülevaatus |
| Intsidentidest teatamist ei testitud | Muuta intsidendiprotseduuri | Miks teavitamist ei harjutatud? | Korraldada lauaõppus NIS2, DORA ja GDPR otsustuspunktidega ning säilitada tõendusmaterjal |
| Siseaudit oli liiga kitsas | Laiendada kontrollnimekirja | Miks auditiplaan ülemineku kohaldamisala ei hõlmanud? | Kinnitada riskipõhine auditiplaan, mis katab regulatsioonid, tarnijad, pilve ja toimepidevuse |
Siin taastub usaldusväärsus. Audiitorid ei eelda täiuslikkust. Nad eeldavad kontrollitud süsteemi, mis tuvastab, parandab, õpib ja täiustub.
Samm 5: ehita CAPA, mida audiitor saab usaldada
Parandus- ja ennetusmeetmed on koht, kus paljud organisatsioonid taastavad kontrolli. CAPA register peaks muutuma taastamise teekaardiks ja esmaseks tõendusmaterjaliks selle kohta, et ebaõnnestunud auditit käsitleti süsteemselt.
Zenith Blueprint, auditi, läbivaatamise ja täiustamise etapp, samm 29, pidev täiustamine, selgitab struktuuri:
„Veenduge, et iga parandusmeede oleks konkreetne, määratav ja ajaliselt piiratud. Sisuliselt loote iga probleemi jaoks väikese projekti.“
Allikas Zenith Blueprint, auditi, läbivaatamise ja täiustamise etapp, samm 29.
Teie CAPA logi peab sisaldama järgmist:
- Leiu ID.
- Lähteaudit.
- Punkti või kontrollimeetme viide.
- Raskusaste.
- Probleemi kirjeldus.
- Vahetu parandus.
- Algpõhjus.
- Parandusmeede.
- Ennetav meede, kui asjakohane.
- Omanik.
- Tähtaeg.
- Nõutav tõendusmaterjal.
- Staatus.
- Tõhususe kontroll.
- Juhtkonna heakskiit.
Claryseci auditi ja vastavuse seire poliitika - VKE määratleb olulise mittevastavuse samuti läbivaatamise päästikuna:
„Sertifitseerimisaudit või järelevalveaudit toob kaasa olulise mittevastavuse“
Jaotisest „Läbivaatamise ja ajakohastamise nõuded“, poliitika punkt 9.2.2.
Kui üleminekuaudit tõi kaasa olulise mittevastavuse, vaata üle auditi ja vastavuse seire protsess ise. Miks siseaudit ei tuvastanud probleemi esimesena? Miks juhtkonna läbivaatamine seda ei eskaleerinud? Miks SoA ei paljastanud tõendusmaterjali lünka?
Nii muutub ebaõnnestunud audit tugevamaks ISMS-iks.
Samm 6: kasuta Zenith Controlsi ISO tõendusmaterjali sidumiseks ristvastavusega
Kordusaudit ei toimu eraldiseisvalt. Kliendid, regulaatorid, kindlustusandjad ja sisemised juhtimismeeskonnad võivad sama tõendusmaterjali vaadata eri nurkade alt. Siin on Zenith Controls väärtuslik ristvastavuse juhend. See aitab meeskondadel lõpetada ISO 27001, NIS2, DORA, GDPR, NIST-põhise kindlustusloogika ja COBIT 2019 juhtimise käsitlemise eraldi kontrollnimekirjadena.
Kolm ISO/IEC 27002:2022 kontrollimeedet on ülemineku taastamisel eriti asjakohased.
| ISO/IEC 27002:2022 kontrollimeede | Taastamise asjakohasus | Ettevalmistatav tõendusmaterjal |
|---|---|---|
| 5.31 Õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded | Kinnitab, et kohustused on tuvastatud, dokumenteeritud ja ISMS-iga seotud | Õigusregister, lepingulised kohustused, regulatiivne kaart, poliitikaomanike maatriks, SoA põhjendus |
| 5.35 Infoturbe sõltumatu läbivaatamine | Kinnitab, et läbivaatamistegevus on objektiivne, kohaldamisalasse sobiv, pädev ja sellele reageeritakse | Siseauditi plaan, sõltumatu läbivaatamise aruanne, audiitori pädevus, CAPA kirjed, juhtkonna aruandlus |
| 5.36 Vastavus infoturbe poliitikatele, reeglitele ja standarditele | Kinnitab, et poliitikad ei ole üksnes avaldatud, vaid nende täitmist seiratakse ja need rakendatakse | Poliitika kinnitused, erandilogid, seirearuanded, distsiplinaartöövoog, vastavuse testimine |
Zenith Controlsis on ISO/IEC 27002:2022 kontrollimeede 5.31 seotud otse privaatsuse ja isikut tuvastava teabega:
„5.34 hõlmab vastavust andmekaitseseadustele (nt GDPR), mis on üks õiguslike nõuete kategooria 5.31 all.“
Allikas Zenith Controls, kontrollimeede 5.31, seosed teiste kontrollimeetmetega.
Taastamisel tähendab see, et õigusregister ei tohi jääda ISMS-ist väljapoole. See peab juhtima SoA-d, riskikäsitlusplaani, poliitikakomplekti, kontrollimeetmete omanikke ja auditi tõendusmaterjali.
ISO/IEC 27002:2022 kontrollimeetme 5.35 puhul rõhutab Zenith Controls, et sõltumatu läbivaatamine ulatub sageli operatiivse tõendusmaterjalini:
„Sõltumatud läbivaatamised 5.35 alusel hindavad sageli logimise ja seiretegevuste piisavust.“
Allikas Zenith Controls, kontrollimeede 5.35, seosed teiste kontrollimeetmetega.
See on praktiline. Audiitor võib alustada juhtimisest ning seejärel võtta valimi logidest, teavitustest, seirekirjetest, juurdepääsuõiguste ülevaatamistest, intsidendipiletitest, taastamistestidest, tarnijate läbivaatamistest ja juhtkonna otsustest.
ISO/IEC 27002:2022 kontrollimeetme 5.36 puhul selgitab Zenith Controls seost sisemise poliitikajuhtimisega:
„Kontrollimeede 5.36 toimib 5.1 all määratletud reeglite rakendamise mehhanismina.“
Allikas Zenith Controls, kontrollimeede 5.36, seosed teiste kontrollimeetmetega.
Siin ebaõnnestuvad paljud üleminekuprogrammid. Poliitikad on olemas, kuid nende järgimist ei seirata. Protseduurid on olemas, kuid erandeid ei registreerita. Kontrollimeetmed on deklareeritud, kuid neid ei testita.
Samm 7: valmistu erinevateks auditivaadeteks
Tugev taastamispakett peab vastu pidama rohkem kui ühe audiitori vaatenurgale. ISO sertifitseerimisaudiitorid, DORA järelevalvajad, NIS2 hindajad, GDPR sidusrühmad, kliendikindluse meeskonnad, NIST-suunitlusega hindajad ja COBIT 2019 juhtimise läbivaatajad võivad sama tõendusmaterjali kohta küsida eri küsimusi.
| Audiitori vaade | Tõenäoline küsimus | Abistav tõendusmaterjal |
|---|---|---|
| ISO 27001:2022 audiitor | Kas ISMS on tõhus, riskipõhine, õigesti piiritletud, juhtkonna poolt läbi vaadatud ja pidevalt täiustatud? | Kohaldamisala, kontekst, huvitatud pooled, riskihindamine, SoA, käsitlusplaan, siseaudit, juhtkonna läbivaatamine, CAPA |
| NIST-suunitlusega hindaja | Kas juhtimise, riskide tuvastamise, kaitse, tuvastamise, reageerimise ja taaste tegevused toimivad kooskõlaliselt? | Varade register, riskiregister, juurdepääsukontrollid, logimine, seire, intsidenditööjuhised, taastamistestid |
| COBIT 2019 või ISACA-stiilis audiitor | Kas juhtimiseesmärgid, vastutus, toimivuse seire, riskijuhtimine ja vastavuse tagamine on juurutatud? | RACI, kinnitatud eesmärgid, mõõdikud, auditiplaan, juhtkonna aruandlus, kontrollimeetmete omanikud, probleemide jälgimine |
| NIS2 vastavuse hindaja | Kas juhtkond on proportsionaalsed küberturbe riskimeetmed ja intsidentidest teatamise töövood heaks kiitnud ning nende üle järelevalvet teinud? | Juhatuse protokollid, riskimeetmed, tarnijakontrollid, intsidendi eskaleerimine, koolitus, toimepidevuse ja kriisijuhtimise tõendusmaterjal |
| DORA hindaja | Kas IKT-riski juhtimine on dokumenteeritud, testitud, tarnijateadlik ja juhtimisse integreeritud? | IKT-riskiraamistik, toimepidevustestid, intsidendi klassifitseerimine, IKT lepinguregister, väljumisplaanid, auditeerimisõigused |
| GDPR hindaja | Kas organisatsioon suudab tõendada vastutust isikuandmete kaitse ja rikkumisele reageerimise eest? | RoPA, õigusliku aluse kaardistus, vajaduse korral DPIA-d, volitatud töötlejate lepingud, rikkumiste logid, tehnilised ja korralduslikud meetmed |
Eesmärk ei ole tõendusmaterjali dubleerimine. Üks SoA rida logimise ja seire kohta võib toetada ISO tõendusmaterjali, NIST-põhiseid tuvastusootusi, DORA intsidendikäsitlust, NIS2 tõhususe hindamist ja GDPR rikkumiste tuvastamist. Üks tarnijariski fail võib toetada ISO tarnijakontrolle, DORA IKT kolmanda osapoole riski, NIS2 tarneahela turvet ja GDPR volitatud töötleja vastutust.
See on ristvastavuse praktiline väärtus.
Samm 8: tee lõplik dokumentatsiooni läbivaatamine ja prooviaudit
Enne sertifitseerimisasutuse juurde naasmist tee tugev sisemine kontroll. Zenith Blueprint, auditi, läbivaatamise ja täiustamise etapp, samm 30, sertifitseerimiseks valmistumine – lõplik läbivaatamine ja prooviaudit, soovitab kontrollida ISO 27001:2022 punkte 4 kuni 10 ükshaaval ning valideerida tõendusmaterjal iga kohaldatava lisa A kontrollimeetme kohta.
See soovitab:
„Kontrollige lisa A kontrollimeetmeid: veenduge, et iga kontrollimeetme kohta, mille märkisite SoA-s „Kohaldatavaks“, on teil midagi ette näidata.“
Allikas Zenith Blueprint, auditi, läbivaatamise ja täiustamise etapp, samm 30.
Lõplik läbivaatamine peab olema otsekohene:
- Kas iga kohaldatavat kontrollimeedet saab selgitada?
- Kas iga välistatud kontrollimeedet saab põhjendada?
- Kas jääkriski aktsepteerimist saab näidata?
- Kas juhtkond vaatas läbi ülemineku ebaõnnestumise, ressursid, eesmärgid, auditi tulemused ja parandusmeetmed?
- Kas siseaudit testis ajakohastatud SoA-d ja riskikäsitlusplaani?
- Kas tarnija-, pilve-, toimepidevuse, intsidendi-, privaatsus-, juurdepääsu-, haavatavuse-, logimise- ja seirekontrollide kohta on tõendusmaterjal olemas?
- Kas poliitikad on heaks kiidetud, ajakohased, edastatud ja versioonihaldusega kajastatud?
- Kas CAPA-d on seotud algpõhjuste ja tõhususe kontrollidega?
- Kas tõendusmaterjal on keskses auditikaustas kiiresti leitav?
Claryseci infoturbepoliitika annab juhtimise lähtealuse:
„Organisatsioon peab rakendama ja hoidma toimivana infoturbe juhtimissüsteemi (ISMS) kooskõlas ISO/IEC 27001:2022 punktidega 4 kuni 10.“
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.1.1.
VKE-de puhul peab läbivaatamine jälgima ka sertifitseerimisnõudeid ja regulatiivseid muutusi. Claryseci infoturbepoliitika - VKE sätestab:
„Tegevjuht (GM) peab selle poliitika vähemalt kord aastas läbi vaatama, et tagada jätkuv vastavus ISO/IEC 27001 sertifitseerimisnõuetele, regulatiivsetele muudatustele (näiteks GDPR, NIS2 ja DORA) ning muutuvatele ärivajadustele.“
Jaotisest „Läbivaatamise ja ajakohastamise nõuded“, poliitika punkt 9.1.1.
Just selle jätsid paljud üleminekuprogrammid tähelepanuta: ISO, regulatsioon ja ärimuutus liiguvad koos.
Mida öelda klientidele taastamise ajal
Kui ebaõnnestunud või tegemata jäänud üleminek mõjutab kliendilepinguid, on vaikimine ohtlik. Te ei pea avaldama iga siseauditi detaili, kuid peate andma kontrollitud kindlust.
Kliendikommunikatsiooni pakett peab sisaldama järgmist:
- Sertifitseerimisasutuse kinnitatud kehtiv sertifitseerimisstaatus.
- Üleminekuauditi staatus ja kõrgetasemeline parandusmeetmete plaan.
- Kinnitus, et CAPA protsess on aktiivne ja juhtkonna heaks kiidetud.
- Parandusmeetmete ja auditi sulgemise sihtkuupäevad.
- Kinnitus, et ISMS toimib jätkuvalt.
- Turbekinnituste kontaktpunkt.
- Ajakohastatud infoturbepoliitika avaldus, kui asjakohane.
- Tõendusmaterjal kompenseerivate kontrollimeetmete kohta igas kõrge riskiga valdkonnas.
Väldi ebamääraseid väiteid, nagu „oleme täielikult nõuetele vastavad“, kuni audit on lahendamata. Ütle seda, mis on tõsi: ISMS toimib, parandusmeetmed on heaks kiidetud, tõendusmaterjali konsolideeritakse ja sulgemise läbivaatamine või kordusaudit on ajastatud.
See on eriti oluline, kui kliendid sõltuvad teist tarnijana NIS2-ga seotud sektorites, nagu digitaalne taristu, pilv, andmekeskused, sisu edastusvõrgud, DNS, usaldusteenused, avalik elektrooniline side, hallatud teenused või hallatud turbeteenused. Kui teie auditi staatus mõjutab nende tarneahela riski, vajavad nad usaldusväärset kindlust.
10-päevane praktiline taastamissprint
Ajagraafikud varieeruvad sõltuvalt sertifitseerimisasutusest, raskusastmest, kohaldamisalast ja tõendusmaterjali küpsusest. Kuid taastamise järjestus on usaldusväärne.
| Päev | Tegevus | Väljund |
|---|---|---|
| 1 | Kogu auditiraport, kinnita sertifikaadi staatus, ava keskne auditikaust | Taastamise juhtimiskeskus |
| 2 | Liigita leiud, määra omanikud, briifi juhtkonda | Heakskiidetud taastamisjuhtimine |
| 3 | Ajakohasta kontekst, kohustused, huvitatud pooled ja kohaldamisala eeldused | Ajakohastatud konteksti- ja vastavuskaart |
| 4 | Vii riskihindamine ja riskikäsitlusplaan kooskõlla | Ajakohastatud riskiregister ja käsitlusplaan |
| 5 | Paranda SoA põhjenduste, välistuste, tõendusmaterjali ja omanikega | Auditiks valmis SoA |
| 6 | Tee kõigi leidude algpõhjuse analüüs | Algpõhjuse logi |
| 7 | Koosta CAPA plaan sihtkuupäevade ja tõendusmaterjali nõuetega | CAPA register |
| 8 | Kogu ja testi prioriteetsete kontrollimeetmete tõendusmaterjal | Tõendusmaterjali pakett |
| 9 | Vii läbi juhtkonna läbivaatamine ja kinnita jääkriskid | Juhtkonna läbivaatamise protokoll |
| 10 | Tee prooviaudit ja valmista ette vastus sertifitseerimisasutusele | Kordusauditiks valmis pakett |
Ära esita vastust enne, kui see jutustab kooskõlalise loo. Audiitor peab suutma jälgida ahelat leiust algpõhjuseni, algpõhjusest parandusmeetmeni, parandusmeetmest tõendusmaterjalini ja tõendusmaterjalist juhtkonna läbivaatamiseni.
Claryseci taastamise töövoog
Kui Clarysec toetab tegemata jäänud või ebaõnnestunud ISO 27001:2022 üleminekut, korraldame töö fokusseeritud taastamise töövoona.
| Taastamisetapp | Claryseci vara | Väljund |
|---|---|---|
| Auditi triaaž | Zenith Blueprinti sammud 24, 27, 29, 30 | Leidude klassifitseerimine, tõendusmaterjali kaart, auditi sulgemise plaan |
| Juhtimise lähtestamine | Infoturbepoliitika, auditi ja vastavuse seire poliitika | Heakskiidetud vastutused, juhtkonna kaasatus, keskne tõendusmaterjali kaust |
| Riskide ajakohastamine | Riskijuhtimise poliitika, ISO/IEC 27005:2022 metoodika | Ajakohastatud kontekst, kriteeriumid, riskiregister, käsitlusplaan |
| SoA parandamine | Zenith Blueprinti samm 24, riskijuhtimise poliitika | Jälgitav SoA riski, kohustuse, omaniku, tõendusmaterjali ja staatusega |
| Ristvastavuse kaardistamine | Zenith Controls | NIS2, DORA, GDPR, NIST-põhise ja COBIT 2019 kindluse kooskõla |
| CAPA elluviimine | Zenith Blueprinti samm 29, auditi poliitikad | Algpõhjus, parandusmeede, omanik, tähtaeg, tõhususe kontroll |
| Prooviaudit | Zenith Blueprinti samm 30 | Kordusauditiks valmis pakett ja kliendi kinnituste pakett |
See ei ole paberimajanduse tootmine. See on usalduse taastamine, et ISMS on juhitud, riskipõhine, tõendusmaterjaliga kaetud ja täiustuv.
Lõplik soovitus: käsitle ebaõnnestunud üleminekut stressitestina
Möödalastud ISO 27001:2022 ülemineku tähtaeg või ebaõnnestunud üleminekuaudit tundub kriisina, kuid see on ka diagnostiline võimalus. See näitab, kas teie ISMS suudab muutusi vastu võtta, õiguslikke kohustusi integreerida, tarnijaid hallata, kontrollimeetmete toimimist tõendada ja ebaõnnestumisest õppida.
Kõige kiiremini taastuvad organisatsioonid teevad kolm asja hästi:
- Nad koondavad tõendusmaterjali keskselt ja lõpetavad kaose.
- Nad ehitavad uuesti üles jälgitavuse riski, SoA, kontrollimeetmete, poliitikate ja kohustuste vahel.
- Nad käsitlevad auditileide distsiplineeritud CAPA ja juhtkonna läbivaatamise kaudu.
Organisatsioonid, kellel on raskusi, püüavad probleemi lahendada dokumente muutes, parandamata vastutust, seiret, tõendusmaterjali või algpõhjust.
Kui jätsid tähtaja mööda või sinu üleminekuaudit ebaõnnestus, ei ole järgmine samm paanika. See on struktureeritud taastamine.
Clarysec saab aidata sul teha üleminekuauditi triaaži, ehitada SoA uuesti üles, kaardistada NIS2, DORA, GDPR, NIST-põhised ja COBIT 2019 ootused Zenith Controlsi kaudu, viia parandusmeetmed ellu Zenith Blueprintiga ning viia poliitikate tõendusmaterjal kooskõlla infoturbepoliitika, auditi ja vastavuse seire poliitika, riskijuhtimise poliitika ning õigusnormidele vastavuse poliitika abil.
Sertifikaadiprobleemi saab parandada. Teie ISMS võib muutuda tugevamaks, kui see oli enne auditit. Kui üleminekuaudit on lahendamata, alusta taastamise hindamist kohe, koonda tõendusmaterjal ja valmista ette kordusauditi pakett, mis tõendab, et teie ISMS ei ole üksnes dokumenteeritud, vaid toimib.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
