ISO 27001 NIS2 ja DORA tõenduspõhise kontrolliraamistiku alusena
Esmaspäeva hommikune nõuetelevastavuse kokkupõrge
Esmaspäeval kell 08:12 saab Euroopa maksetöötleja infoturbejuht Maria kolm pealtnäha omavahel seostamata sõnumit.
Siseauditi juht küsib tõendeid selle kohta, et ISO 27001:2022 kohaldatavusdeklaratsioon on ajakohane. Õigusosakond edastab panganduspartneri küsimustiku DORA IKT kolmandate osapoolte riski järelevalve kohta. Tegevusjuht küsib, kas sama intsidendijuhend toetab NIS2 teavitamise ootusi hiljuti omandatud EL-i äriüksuses.
Kell 09:00 on Maria kabineti tahvel täis lühendeid: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. Tema organisatsioonil on kontrollimeetmed olemas. Olemas on juurdepääsuhaldus, varukoopiad, tarnijate küsimustikud, krüpteerimine, intsidentidele reageerimine, poliitikate kinnitused, juhtkonnapoolsed ülevaatused ja koolituskirjed. Puudu on üks auditivalmis tõendite alusraamistik, mis selgitaks, miks need kontrollimeetmed olemas on, milliseid riske need käsitlevad, milliseid regulatsioone need toetavad, kes nende eest vastutab ja kus tõendid asuvad.
See probleem muutub Euroopas üha tavalisemaks. NIS2 rõhutab küberturvalisuse riskijuhtimist, juhtimist, intsidentide käsitlemist ja tarneahela kerksust. DORA lisab finantsüksustele üksikasjalikud nõuded IKT-riski juhtimise, digitaalse tegevuskerksuse testimise, intsidentidest teavitamise ja IKT kolmandate osapoolte järelevalve kohta. GDPR nõuab jätkuvalt vastutuse tõendatavust, töötlemise turvalisust, volitatud töötlejate juhtimist ja isikuandmetega seotud rikkumiste hindamist.
Vale vastus on luua kolm paralleelset nõuetelevastavuse programmi. See tekitab dubleeritud kontrollimeetmeid, vastuolulisi tõendeid ja kurnatud meeskondi.
Tugevam vastus on kasutada ISO 27001:2022 standardit kontrolliraamistiku alusena. Mitte seinal rippuva sertifikaadina, vaid riskide, poliitikate, tarnijajuhtimise, intsidentidele reageerimise, vastavusvastenduse ja auditi tõendite toimimismudelina.
Claryseci praktiline mudel on lihtne: kasuta ISO 27001:2022 ISMS-i korraldava süsteemina, kohaldatavusdeklaratsiooni sillana, poliitikaid jõustatavate tööreeglitena ning Zenith Controls: ristvastavuse juhendit ristvastavuse kompassina. Loo üks kord, vastenda hoolikalt, tõenda pidevalt.
Miks ISO 27001:2022 sobib nõuetelevastavuse alusraamistikuks
NIS2 ja DORA erinevad kohaldamisala, õiguslike mehhanismide ja järelevalvemudelite poolest. NIS2 kohaldub olulistele ja tähtsatele üksustele eri sektorites. DORA kohaldub finantsüksustele ning kehtestab üksikasjalikud nõuded digitaalsele tegevuskerksusele. GDPR keskendub isikuandmete töötlemisele ja vastutuse tõendatavusele.
Nende raamistike taga olevad tegevuslikud küsimused kattuvad siiski:
- Kas küberturvalisust juhitakse juhtkonna kinnitatud poliitikate alusel?
- Kas infoturbe- ja IKT-riskid tuvastatakse, hinnatakse ja käsitletakse?
- Kas kontrollimeetmed valitakse riski, ärikonteksti ja õiguslike kohustuste põhjal?
- Kas tarnijaid juhitakse hoolsuskontrolli, lepingute, seire ja väljumiskontrollide kaudu?
- Kas töötajad suudavad turbesündmusi varakult ära tunda ja neist teatada?
- Kas intsidente saab esmaselt hinnata, eskaleerida, uurida ja regulatiivse teavitamise vajaduse seisukohalt hinnata?
- Kas organisatsioon saab auditi, kliendiülevaatuse või järelevalveasutuse päringu korral tõendid kiiresti kätte?
ISO 27001:2022 annab juhtkonnale juhtimissüsteemi nendele küsimustele järjepidevaks vastamiseks. ISO/IEC 27007:2022 käsitleb kohaldatavusdeklaratsiooni kui auditeeritavat valitud infoturbe kontrollimeetmete loendit, mis hõlmab ISO 27001:2022 Lisa A kontrollimeetmeid, muude standardite kontrollimeetmeid või organisatsioonipõhiseid meetmeid koos dokumenteeritud põhjendusega nende kaasamiseks või välistamiseks. ISO/IEC 27006-1:2024 kinnitab, et SoA ja seotud ISMS-i dokumentatsioon moodustavad põhilise tõendibaasi, mille abil näidata, milliseid kontrollimeetmeid nõutakse, kuidas vastutused on määratud ning kuidas poliitikaid rakendatakse ja kommunikeeritakse.
Seetõttu on SoA palju enamat kui arvutustabel. Sellest saab kontrollimeetmete kokkulepe riskijuhtimise, nõuetelevastavuse, tegevuse, õiguse, hangete, auditi ja juhatuse vahel.
Claryseci [P01] Infoturbepoliitika kinnistab selle juhtimisnõude:
Organisatsioon peab rakendama ja hoidma toimivana infoturbe juhtimissüsteemi (ISMS) kooskõlas ISO/IEC 27001:2022 punktidega 4 kuni 10.
Jaotisest “Poliitika rakendamise nõuded”, poliitika punkt 6.1.1.
See on oluline, sest NIS2 ja DORA tõendipäringud ei saabu tavaliselt ISO keeles. Regulaator, klient või juhatuse komitee võib küsida tõendeid küberturvalisuse riskijuhtimise, IKT-juhtimise, kolmandate osapoolte sõltuvuste järelevalve, intsidendi eskaleerimise või tegevuskerksuse testimise kohta. ISO 27001:2022 ISMS annab neile vastustele struktuuri.
SoA on sild, mitte paberitöö
Zenith Blueprint: audiitori 30-sammuline teekaart käsitleb riskijuhtimise faasi sammus 13 SoA-d peamise jälgitavusmehhanismina riskikäsitluse ja rakendatud kontrollimeetmete vahel:
SoA on sisuliselt silddokument: see seob teie riskihindamise/riskikäsitluse tegelike kontrollimeetmetega.
See lause on ristvastavuse keskmes. Kontrollimeede ilma jälgitavuseta muutub eraldiseisvaks objektiks. Kontrollimeede, mis on seotud riski, õigusliku kohustuse, poliitika, omaniku, tõendikirje ja testitulemusega, on auditivalmis.
Samm 13 soovitab lisada riskistsenaariumidele ka kontrollimeetmete viited, näiteks siduda kliendiandmebaasi rikkumise stsenaarium juurdepääsukontrolli, krüptograafia, haavatavuste halduse, intsidentidele reageerimise ja tarnijakontrollidega. Samuti soovitab see märkida, millal kontrollimeetmed toetavad väliseid nõudeid, nagu GDPR, NIS2 või DORA.
Claryseci [P06] Riskijuhtimise poliitika teeb selle tööreegli selgesõnaliseks:
Riskikäsitluse protsessist tulenevad kontrollimeetmete otsused peavad kajastuma SoA-s.
Jaotisest “Poliitika rakendamise nõuded”, poliitika punkt 6.5.1.
Väiksemate organisatsioonide jaoks kasutab Riskijuhtimise poliitika SME-le sama loogikat:
See tagab, et riskijuhtimine on aktiivne osa planeerimisest, projekti elluviimisest, tarnijate valikust ja intsidentidele reageerimisest kooskõlas ISO 27001, ISO 31000 ja kohaldatavate regulatiivsete nõuetega.
Jaotisest “Eesmärk”, poliitika punkt 1.2.
Kui DORA kolmanda osapoole riskikäsitlus, NIS2 intsidendi käsitlemise meede või GDPR volitatud töötleja turbenõue ei kajastu SoA-s või seotud vastavusregistris, võib organisatsioon tööd küll teha. Kuid tal on raske seda tööd terviklikult tõendada.
Praktiline ISO 27001:2022 vastendustabel NIS2 ja DORA jaoks
Järgmine vastendustabel ei ole õigusnõuanne. See on praktiline tõendimudel infoturbejuhtidele, vastavusjuhtidele, siseaudiitoritele ja äriprotsesside omanikele, kes peavad ühildama ISO 27001:2022 tõendid NIS2 ja DORA ootustega.
ENISA on koostöös Euroopa Komisjoni ja NIS koostöörühmaga avaldanud nõuandvaid ristviidete juhiseid, mis aitavad ühildada EL-i küberturvalisuse nõudeid rahvusvaheliste ja riiklike standarditega, sealhulgas ISO 27001-ga. Need juhised ei ole õiguslikult siduvad ning neid tuleb täiendada riiklike pädevate asutuste juhiste, sektorireeglite ja õigusliku läbivaatusega. Siiski toetavad need kaitstavat vastendusmeetodit.
| Vastavusküsimus | ISO 27001:2022 alusraamistiku tõendid | NIS2 asjakohasus | DORA asjakohasus | Claryseci tõend |
|---|---|---|---|---|
| Kas küberturvalisust juhitakse juhtkonna kinnitatud poliitikate alusel? | Infoturbepoliitika, ISMS-i kohaldamisala, rollid, juhtkonnapoolse ülevaatuse kirjed, SoA | Küberturvalisuse riskijuhtimise ja juhtimise ootused | IKT-juhtimine ja IKT-riski juhtimise raamistik | Infoturbepoliitika, SoA, juhtkonnapoolse ülevaatuse pakett |
| Kas riske hinnatakse ja käsitletakse? | Riskiregister, riskikäsitlusplaan, SoA põhjendused, jääkriski aktsepteerimised | Riskipõhised küberturvalisuse meetmed Article 21 alusel | IKT-riskide tuvastamine, kaitse, ennetus, tuvastus, reageerimine ja taaste | Riskiregister, riskikäsitlusplaan, SoA_Builder.xlsx |
| Kas tarnijad on kontrolli all? | Tarnijapoliitika, hoolsuskontrolli kirjed, lepingud, auditeerimisõigused, rikkumisest teavitamise klauslid | Tarneahela küberturvalisus Article 21(2)(d) alusel | IKT kolmandate osapoolte riskijuhtimine Articles 28 to 30 alusel | Kolmandate osapoolte ja tarnijate turbepoliitika, tarnijaregister |
| Kas intsidente tuvastatakse, eskaleeritakse ja neist teatatakse? | Intsidentidele reageerimise plaan, teavituskanal, esmase hindamise kirjed, lauaõppuste testid, õppetunnid | Oluliste intsidentide käsitlemine ja teavitamine Article 23 alusel | IKT-ga seotud intsidentide haldus ja teavitamine Articles 17 to 19 alusel | Intsidentidele reageerimise poliitika, intsidendipiletid, õppuse aruanne |
| Kas tõendid on keskselt hallatud ja auditiks sobivad? | Siseauditi programm, tõendihoidla, vastavusregister, parandusmeetmed | Valmisolek järelevalveasutuse tõendipäringuteks | Valmisolek regulatiivseteks ja järelevalvelisteks kontrollideks | Auditi ja nõuetelevastavuse seire poliitika, keskne auditikaust |
Vastendustabel toimib, sest see ei loo iga regulatsiooni jaoks dubleeritud kontrollimeetmeid. See kasutab ISO 27001:2022 standardit kontrolliraamistiku alusena ning lisab regulatiivsed märgendid, omanikud ja tõendite ootused.
Kolm ISO 27001:2022 kontrollimeedet, mis avavad alusraamistiku
NIS2 ja DORA jaoks on olulisi kontrollimeetmeid mitu, kuid kolm ISO/IEC 27002:2022 kontrollimeedet kujunevad sageli tõendimudeli selgrooks: 5.1, 5.19 ja 5.24. Neljas kontrollimeede, 6.8, määrab sageli, kas intsidentidest teatamine tegelikkuses toimib.
| ISO/IEC 27002:2022 kontrollimeede | Miks see on oluline | Ristvastavuse väärtus |
|---|---|---|
| 5.1 Infoturbe poliitikad | Kehtestab juhtkonna kinnitatud turbesuuna ja vastutuse | Toetab NIS2 juhtimist, DORA IKT-juhtimist, GDPR vastutuse tõendatavust ja ISO 27001 poliitika tõendeid |
| 5.19 Infoturve tarnijasuhetes | Määratleb tarnijate turbeootused kogu kaasamise, seire ja suhtehalduse ulatuses | Toetab NIS2 tarneahela küberturvalisust, DORA IKT kolmanda osapoole riski ja GDPR volitatud töötlejate järelevalvet |
| 5.24 Infoturbeintsidentide halduse kavandamine ja ettevalmistus | Loob intsidendihalduse raamistiku, rollid, eskaleerimisteed ja valmisolekutegevused | Toetab NIS2 intsidentide käsitlemist, DORA IKT-ga seotud intsidentidest teavitamist ja GDPR rikkumise hindamist |
| 6.8 Infoturbesündmustest teatamine | Tagab, et töötajad saavad kahtlustatavatest sündmustest kiiresti selgete kanalite kaudu teatada | Toetab varajast tuvastamist, eskaleerimist, teavitamise hindamist ja intsidendi tõendite kvaliteeti |
Zenith Controls kirjeldab ISO/IEC 27002:2022 kontrollimeedet 5.1, Infoturbe poliitikad, ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning mille põhilised tegevuslikud võimekused on juhtimine ja poliitikate haldus. Ristvastendus selgitab, et GDPR Articles 5(2), 24 ja 32 nõuavad vastutuse tõendatavust, vastutust ja töötlemise turvalisust. Sama kontrollimeede vastendatakse ka NIS2 küberturvalisuse riskijuhtimise ja juhtimise ootustega ning DORA IKT-juhtimise ja riskijuhtimise raamistiku nõuetega.
Seetõttu ei ole infoturbepoliitika lihtsalt järjekordne poliitika. NIS2 hindaja võib käsitleda seda juhtimise tõendina. DORA järelevalvaja võib käsitleda seda IKT-riski raamistiku tõendina. GDPR läbivaataja võib käsitleda seda vastutuse tõendatavuse tõendina. ISO 27001:2022 audiitor võib käsitleda seda ISMS-i poliitikastruktuuri osana.
Kontrollimeede 5.19, Infoturve tarnijasuhetes, on koht, kus kohtuvad hanked, õigus, turve, privaatsus ja kerksus. Zenith Controls vastendab selle GDPR volitatud töötleja kohustuste, NIS2 tarneahela küberturvalisuse ja DORA IKT kolmanda osapoole riskijuhtimisega. DORA puhul muutuvad need tõendid veel tugevamaks, kui neid toetavad kontrollimeetmed 5.20, Infoturbe käsitlemine tarnijate lepingutes, 5.21, Infoturbe haldamine IKT tarneahelas, ja 5.23, Infoturve pilveteenuste kasutamisel.
Kontrollimeede 5.24, Infoturbeintsidentide halduse kavandamine ja ettevalmistus, on intsidentideks valmisoleku tegevuslik mootor. Zenith Controls vastendab selle NIS2 intsidentide käsitlemise ja teavitamise, GDPR isikuandmetega seotud rikkumisest teavitamise ning DORA IKT-ga seotud intsidentide halduse ja teavitamisega. Selle tõendid ei piirdu intsidentidele reageerimise poliitikaga. Need hõlmavad teavituskanaleid, esmase hindamise kriteeriume, eskaleerimiskirjeid, õiguslikke teavitushinnanguid, lauaõppusi, intsidendipileteid ja õppetunde.
Kontrollimeede 6.8, Infoturbesündmustest teatamine, sulgeb lünga kirjaliku plaani ja inimkäitumise vahel. Kui töötajad ei tea, kuidas teatada kahtlustatavast andmepüügist, andmelekkest, tarnijakatkestustest või kahtlasest süsteemitegevusest, võib organisatsioon kaotada kriitilist aega enne, kui õiguslikud või regulatiivsed teavitushinnangud üldse algavad.
Üks tarnijaintsident, üks koordineeritud tõendusahel
Kujutame ette, et Maria maksetöötleja kasutatav pilveanalüütika pakkuja tuvastab loata juurdepääsu tugiteenuse portaalile. Teenusepakkuja majutab pseudonüümitud klientide kasutusandmeid ja toetab ärikriitilist aruandlustöövoogu. Intsident võib mõjutada isikuandmeid, reguleeritud IKT tegevuskerksust ja teenuse käideldavust.
Killustunud nõuetelevastavuse programm avab kolm eraldi töövoogu: GDPR rikkumise hindamise, DORA IKT intsidendi ülevaatuse ja ISO 27001 tarnijapileti. Iga meeskond küsib sarnaseid tõendeid eri vormingus. Hanked otsivad lepingut. Õigusosakond küsib, kas teenusepakkuja on volitatud töötleja. Turbeüksus küsib, kas intsident ületab teavitamislävendid. Vastavusfunktsioon alustab uut arvutustabelit.
Küps ISO 27001:2022 alusraamistik avab ühe koordineeritud tõendusahela.
Esiteks logitakse sündmus intsidentidele reageerimise protsessi alusel. Teavitaja kasutab määratletud kanalit, turbemeeskond hindab sündmust esmaselt ja õigusfunktsioon hindab teavitamiskohustusi. Claryseci [P30] Intsidentidele reageerimise poliitika nõuab, et õigusosakond ja andmekaitsespetsialist hindaksid reguleeritud andmeid puudutavaid intsidente:
Kui intsidendi tulemuseks on isikuandmete või muude reguleeritud andmete kinnitatud või tõenäoline avalikuks saamine, peavad õigusosakond ja andmekaitsespetsialist hindama kohaldatavust:
Jaotisest “Poliitika rakendamise nõuded”, poliitika punkt 6.4.1.
Väiksemate organisatsioonide jaoks määrab Intsidentidele reageerimise poliitika SME-le sama praktilise otsustuspunkti:
Kui kaasatud on kliendiandmed, peab peadirektor hindama õiguslikke teavitamiskohustusi GDPR, NIS2 või DORA kohaldatavuse alusel.
Jaotisest “Riskikäsitlus ja erandid”, poliitika punkt 7.4.1.
Teiseks vaadatakse läbi tarnijasuhe. Kas teenusepakkuja oli liigitatud kriitiliseks? Kas leping sisaldas rikkumisest teavitamise kohustusi, auditeerimisõigusi, andmekaitsealaseid vastutusi, teenuse järjepidevuse ootusi ja väljumissätteid? Claryseci kolmandate osapoolte ja tarnijate turbepoliitika kehtestab selle ootuse:
Lisada kõikidesse tarnijalepingutesse standardiseeritud turbenõuded, sealhulgas rikkumisest teavitamise kohustused, auditeerimisõigused ja andmekaitsealased vastutused.
Jaotisest “Eesmärgid”, poliitika punkt 3.2.
VKE-de jaoks teeb Kolmandate osapoolte ja tarnijate turbepoliitika SME-le ristvastavuse eesmärgi selgesõnaliseks:
Toetada vastavust ISO/IEC 27001:2022, GDPR, NIS2 ja DORA kohustustele, mis on seotud tarnijajuhtimisega.
Jaotisest “Eesmärgid”, poliitika punkt 3.6.
Kolmandaks ajakohastatakse riskiregistrit, riskikäsitlusplaani ja SoA-d, kui intsident paljastab lünga. Võib-olla puudub tarnijalepingus konkreetne regulatiivse teavitamise tähtaeg. Võib-olla on tarnijaseire sagedus kriitilise IKT-teenusepakkuja jaoks liiga madal. Võib-olla ei erista intsidentidele reageerimise plaan piisavalt selgelt isikuandmetega seotud rikkumise kriteeriume IKT teenusekatkestuse kriteeriumidest.
Eesmärk ei ole luua uut nõuetelevastavuse universumit. Eesmärk on ajakohastada üht integreeritud tõendusahelat, et samad kirjed saaksid vastata mitmele auditiküsimusele.
SoA muutmine NIS2 ja DORA tõendikaardiks
Tavaline SoA vastab sageli hästi ISO küsimustele: millised kontrollimeetmed on kohaldatavad, miks need on valitud ja kas need on rakendatud. Et muuta see praktiliseks NIS2 ja DORA tõendikaardiks, täienda seda regulatiivsete ja tegevuslike tõendiväljadega.
Ava Zenith Blueprintis viidatud Audit Ready Toolkitist fail SoA_Builder.xlsx, auditi, läbivaatamise ja parendamise faasi samm 24. Samm 24 selgitab, et audiitorid võtavad sageli SoA-st kontrollimeetme valimi ja küsivad, miks see rakendati. Põhjenduse veerg ning seotud risk või nõue peavad sellele küsimusele vastama.
Lisa järgmised veerud:
| Uus SoA veerg | Eesmärk | Näidiskirje |
|---|---|---|
| Regulatiivne ajend | Näitab, kas kontrollimeede toetab NIS2, DORA, GDPR, kliendilepinguid või kerksust | NIS2, DORA, GDPR |
| Vastendatud riski ID | Seob kontrollimeetme riskiregistriga | R-017 Tarnija katkestus, mis mõjutab reguleeritud aruandlust |
| Tõendi omanik | Määrab, kes tõendeid haldab | Turbeoperatsioonide juht |
| Esmane tõend | Määratleb tõendi, mida audiitorid peaksid esimesena kontrollima | Intsidentidele reageerimise plaan ja intsidendipiletite logi |
| Toimimise tõend | Näitab, et kontrollimeede toimib aja jooksul | Lauaõppuse aruanne, tarnija rikkumisest teavitamise test |
| Auditi staatus | Jälgib valmisolekut | Testitud, lünk avatud, parandusmeetme tähtaeg saabumas |
Rakenda seda nüüd põhikontrollide kogumile.
| ISO/IEC 27002:2022 kontrollimeede | Regulatiivne ajend | Esmane tõend | Toimimise tõend | Audiitori järeldus |
|---|---|---|---|---|
| 5.1 Infoturbe poliitikad | NIS2, DORA, GDPR | Kinnitatud infoturbepoliitika, ISMS-i kohaldamisala, rollimäärangud | Poliitika läbivaatamise kirje, koolituse tutvumiskinnitus, juhtkonnapoolse ülevaatuse protokollid | Juhtimine on olemas, juhtkond on suuna kinnitanud, vastutus on dokumenteeritud |
| 5.19 Infoturve tarnijasuhetes | NIS2, DORA, GDPR | Tarnijapoliitika, tarnijaregister, tarnijate klassifikatsioon | Hoolsuskontrolli ülevaatused, kriitilisuse hindamised, lepingute ülevaatused, auditeerimisõiguse tõendid | Kolmanda osapoole riski juhitakse kaasamisest lepingute, seire ja väljumiseni |
| 5.20 Infoturbe käsitlemine tarnijate lepingutes | NIS2, DORA, GDPR | Standardlepinguklauslid, turbelisa, andmetöötlustingimused | Lepingute valimkontroll, klauslierandite kinnitused, õigusliku läbivaatuse kirjed | Turbenõuded on tarnijate lepingutesse sisse viidud |
| 5.23 Infoturve pilveteenuste kasutamisel | DORA, NIS2, GDPR | Pilveturbe standard, pilveriski hindamine, arhitektuuri kinnitus | Pilvetarnija ülevaatus, kontsentratsiooniriski ülevaatus, pilveintsidendi test | Pilveteenuse risk on tuvastatud, juhitud, seiratud ja testitud |
| 5.24 Infoturbeintsidentide halduse kavandamine ja ettevalmistus | NIS2, DORA, GDPR | Intsidentidele reageerimise poliitika, eskaleerimismaatriks, teavitamisotsuste puu | Intsidendipiletid, lauaõppuste aruanded, õppetunnid, teavitushinnangud | Intsidente saab tuvastada, esmaselt hinnata, eskaleerida ja regulatiivse teavitamise jaoks hinnata |
| 6.8 Infoturbesündmustest teatamine | NIS2, DORA, GDPR | Teavituskanal, teadlikkuse materjal, sündmustest teatamise protseduur | Andmepüügi teavitused, infoliini logid, simulatsioonikirjed, töötajate intervjuud | Töötajad teavad, kuidas kahtlustatavatest turbesündmustest kiiresti teatada |
Seejärel tee näidisjälitus. Vali üks eelmise aasta tarnijaintsident ja jälgi seda intsidendipiletist tarnijalepinguni, tarnija klassifikatsioonist riskiregistrini, riskikäsitlusest SoA-ni ning SoA-st juhtkonnapoolse ülevaatuseni.
Kui ahel katkeb, ei ole see läbikukkumine. See on täpne parandusmeede enne, kui audiitor, klient, regulaator või juhatuse komitee lünga leiab.
Keskne tõendihoidla on alahinnatud kiirendi
Paljudel organisatsioonidel on piisavad kontrollimeetmed, kuid tõendite kättesaamine on nõrk. Tõendid on laiali e-kirjades, piletihaldussüsteemides, SharePointi kaustades, lepingurepositooriumides, HR-platvormidel, GRC-tööriistades ja tarnijaportaalides. Auditihooajal kulutab vastavusmeeskond nädalaid ekraanipiltide tagaajamisele.
See ei ole auditivalmis olek. See on auditi taastetöö.
Claryseci [P33S] Auditi ja nõuetelevastavuse seire poliitika SME-le sätestab:
Kogu tõendusmaterjal tuleb säilitada keskses auditikaustas.
Jaotisest “Poliitika rakendamise nõuded”, poliitika punkt 6.2.1.
Keskne auditikaust ei tähenda kontrollimatut prügikasti. See tähendab struktureeritud hoidlat, mis on joondatud ISMS-i, SoA, riskiregistri, auditiplaani ja vastavusregistriga.
| Kaust | Sisu | Ristvastavuse kasutus |
|---|---|---|
| 01 Juhtimine | ISMS-i kohaldamisala, infoturbepoliitika, rollimäärangud, juhtkonnapoolse ülevaatuse protokollid | NIS2 juhtimine, DORA IKT-juhtimine, GDPR vastutuse tõendatavus |
| 02 Riskid ja SoA | Riskiregister, riskikäsitlusplaan, SoA, jääkriski aktsepteerimised | NIS2 riskijuhtimine, DORA IKT-riski juhtimine |
| 03 Tarnijad | Tarnijaregister, hoolsuskontroll, lepingud, kriitilisuse hinnangud, läbivaatuse kirjed | NIS2 tarneahel, DORA IKT kolmanda osapoole risk, GDPR volitatud töötlejad |
| 04 Intsidendid | Intsidendipiletid, rikkumise hinnangud, teavitamisotsused, lauaõppused | NIS2 teavitamine, DORA intsidendihaldus, GDPR rikkumisest teavitamine |
| 05 Audit ja parendamine | Siseauditi aruanded, parandusmeetmed, tõendite valimid, juhtkonna järeltegevused | ISO 27001:2022 auditivalmidus, järelevalvevalmidus |
Claryseci Õigusnormidele vastavuse poliitika SME-le käsitleb vastendusprobleemi otse:
Kui regulatsioon kohaldub mitmele valdkonnale (nt GDPR kohaldub säilitamisele, turbele ja privaatsusele), tuleb see selgelt vastendada vastavusregistris ja koolitusmaterjalides.
Jaotisest “Juhtimisnõuded”, poliitika punkt 5.2.2.
Täpselt nii muutub ISO 27001:2022 NIS2 ja DORA kontrollimeetmete alusraamistikuks. Sa ei toetu suulisele pärimusele. Sa vastendad regulatsioonid protsesside, poliitikate, kontrollimeetmete, tõendite ja koolitusega.
Intsidentidest teatamine algab inimestest, mitte portaalidest
Tavaline auditi nõrkus ilmneb siis, kui intsidentidele reageerimise plaan näib tugev, kuid töötajad ei tea, millal või kuidas teatada. See on NIS2, DORA ja GDPR jaoks ohtlik, sest regulatiivse hindamise tähtajad sõltuvad tuvastamisest, eskaleerimisest ja klassifitseerimisest.
Zenith Blueprint rõhutab kontrollide rakendamise faasi sammus 16 ISO/IEC 27002:2022 kontrollimeetme 6.8 alusel töötajapõhist intsidentidest teatamist. Juhis ütleb, et intsidentidele reageerimine algab inimestest. Organisatsioonid peavad looma selge, lihtsa ja kättesaadava teavituskanali, näiteks seiratava e-posti aadressi, siseportaali, infoliini või piletikategooria. Samuti soovitab see teadlikkuskoolitust, süüdistamisvaba teavituskultuuri, konfidentsiaalsust, madala lävendiga teavitamist ja perioodilisi simulatsioone.
Ristvastavuse mõju on otsene. Zenith Blueprint seob selle töötajapõhise teavitusvõimekuse GDPR Article 33, NIS2 Article 23 ja DORA Article 17 nõuetega. Kui töötajad kõhklevad kahtlasest tegevusest teatamast, võib organisatsioon kaotada kriitilist aega enne, kui õigus-, turbe- või regulatiivmeeskonnad saavad teavitamiskohustusi hinnata.
Praktiline kontrollimeetme test on lihtne:
- Küsi viielt töötajalt, kuidas teatada kahtlustatavast andmepüügikirjast.
- Kontrolli, kas teavituskanalit seiratakse.
- Kinnita, kas piletihaldussüsteemis on turbeintsidendi kategooria.
- Vaata läbi viimane simulatsioon või lauaõppus.
- Kontrolli, kas õppetunnid vaadati juhtkonnapoolsel ülevaatusel läbi.
Kui mõni vastus on ebaselge, ajakohasta intsidendijuhend, koolitusmaterjal, teavituskanal ja SoA tõendiviide.
Kuidas eri audiitorid kontrollivad sama alusraamistikku
Ristvastavuse tõendid peavad vastu pidama erinevatele auditi vaatenurkadele. Sama kontrollimeedet võidakse testida erinevalt sõltuvalt läbivaataja mandaadist.
| Audiitori vaatenurk | Tõenäoline küsimus | Oodatavad tõendid | Levinud puudus |
|---|---|---|---|
| ISO 27001:2022 audiitor | Miks see kontrollimeede on kohaldatav ja kas see toimib kirjeldatud viisil? | SoA põhjendus, riskikäsitluse seos, poliitika, toimimiskirjed, siseauditi tulemused | Kontrollimeede on olemas, kuid SoA põhjendus on ebamäärane või aegunud |
| NIS2-keskne hindaja | Kas suudate tõendada riskipõhiseid küberturvalisuse meetmeid ja intsidentide koordineerimist? | Riskiregister, juhtimispoliitika, intsidendiplaan, teavitustöövoog, tarnijariski tõendid | NIS2 vastendus on slaidipakis, kuid mitte tegevuslikes tõendites |
| DORA-keskne järelevalvaja | Kas suudate tõendada IKT-riski juhtimist, intsidendi klassifitseerimist, testimist ja kolmandate osapoolte järelevalvet? | IKT riskiregister, tarnija kriitilisus, intsidendi klassifikatsioon, kerksustestid, lepinguklauslid | Tarnijakirjed ei erista kriitilisi IKT-teenusepakkujaid tavalistest tarnijatest |
| GDPR-keskne läbivaataja | Kas suudate tõendada vastutuse tõendatavust, töötlemise turvalisust, volitatud töötleja kontrollimeetmeid ja rikkumise hindamist? | Andmekaitse vastendus, volitatud töötleja klauslid, rikkumise hindamise kirjed, juurdepääsu ja krüpteerimise tõendid | Turbekontrollid on rakendatud, kuid pole seotud isikuandmete riskidega |
| NIST-keskne audiitor | Kas suudate näidata juhtimist, riskide tuvastamist, kaitset, tuvastust, reageerimist ja taastet? | Poliitikate juhtimine, varade ja riskide kirjed, tuvastuslogid, intsidendi ja taaste tõendid | Tehnilised tõendid on olemas, kuid juhtimisvastutus on nõrk |
| COBIT 2019 või ISACA-laadne audiitor | Kas juhtimise eesmärgid, vastutused, toimivuse seire ja kindlustandvad tegevused on määratletud? | RACI, kontrollimeetmete omanikud, juhtkonna aruandlus, auditiplaan, mõõdikud, parandusmeetmed | Kontrollimeetmed on tehnilised, kuid neid ei juhita mõõdetava vastutuse kaudu |
Siin loob Zenith Controls väärtust enam kui lihtne vastendustabel. See aitab tõlkida ISO/IEC 27002:2022 kontrollimeetmed auditi seisukohalt asjakohasteks vaatenurkadeks, sealhulgas kontrollimeetmete atribuutideks, regulatiivseteks seosteks ja tõendiootusteks. Kontrollimeetme 5.1 puhul toetavad atribuudid juhtimist, poliitikate haldust, vastutuse tõendatavust ja turbe-eesmärke. Kontrollimeetme 5.24 puhul toetavad atribuudid reageerimise ja taastamise kontseptsioone, intsidentideks valmisolekut ja parandusmeetmeid. Kontrollimeetme 5.19 puhul seovad tarnijasuhete atribuudid juhtimise, ökosüsteemi riski, kaitse ja kolmandate osapoolte järelevalve.
Mida juhatus peaks nägema
Juhatus ei vaja iga SoA reaüksust. Küll aga vajab juhatus lugu, mida SoA jutustab.
Tugev juhatuse pakett ISO 27001:2022, NIS2 ja DORA kooskõla kohta peaks sisaldama järgmist:
- ISMS-i kohaldamisala ja hõlmatud äriteenused.
- Peamised infoturbe- ja IKT-riskid.
- Kohaldatavate kontrollimeetmete kokkuvõte valdkondade lõikes.
- NIS2, DORA ja GDPR vastenduse staatus.
- Kriitilised tarnijad ja kontsentratsiooniriskid.
- Intsidentidest teatamise mõõdikud ja lauaõppuste tulemused.
- Avatud parandusmeetmed ja tähtaja ületanud riskikäsitlused.
- Otsused, mida on vaja riski aktsepteerimise, eelarve, omandi ja ressursside kohta.
See muudab nõuetelevastavuse juhtimise tõendiks. Samuti joondub see Zenith Controls kontrollimeetme 5.1 eesmärgiga, mille kohaselt infoturbe poliitikad toetavad juhtkonna tasandi suunda, vastutuse tõendatavust ja turbe-eesmärke.
Levinud vead, mida vältida
Esimene viga on eeldada, et ISO 27001:2022 sertifitseerimine tõendab automaatselt NIS2 või DORA nõuetele vastavust. See ei tõenda. ISO 27001:2022 annab tugeva juhtimissüsteemi ja kontrolliraamistiku, kuid vaja on ka regulatiivse kohaldamisala määratlemist, õiguslikku analüüsi, sektoripõhist tõlgendust, teavitustöövooge ja teadlikkust riiklike pädevate asutuste ootustest.
Teine viga on käsitleda SoA-d staatilisena. SoA peab arenema, kui tekivad uued tarnijad, süsteemid, intsidendid, regulatsioonid, teenused või riskid. Zenith Blueprint, samm 24, soovitab kontrollida SoA-d riskiregistri ja riskikäsitlusplaani suhtes ning tagada, et igal valitud kontrollimeetmel oleks põhjendus, mis põhineb vastendatud riskil, õiguslikul nõudel või ärivajadusel.
Kolmas viga on liiga üldine vastendamine. Slaid, mis ütleb „ISO 27001 vastendub DORA-ga“, ei ole auditi tõend. Konkreetne SoA kirje, mis seob tarnijasuhete turbe kriitilise IKT tarnijariski, lepinguklausli, tarnija ülevaatuse kirje ja DORA kolmanda osapoole järelevalve ootusega, on palju tugevam.
Neljas viga on tõendite keskse koondamise puudumine. Kui vastavusjuht kulutab enne iga auditit kaks nädalat ekraanipiltide kogumisele, on organisatsioonil tõendite kättesaamise probleem.
Viies viga on inimressurssidega seotud kontrollide eiramine. Intsidentidest teatamine, tarnija kaasamine, juurdepääsuõiguste ülevaatamine, poliitika aktsepteerimine ja eskaleerimine sõltuvad kõik inimkäitumisest. Lihvitud protsess, mida keegi ei järgi, variseb auditi valimkontrolli all kokku.
Claryseci toimimismudel ristvastavuse jaoks
Claryseci meetod seob vastavusloo strateegiast tõenditeni:
- Zenith Blueprinti riskijuhtimise faasi sammus 13 vastendad kontrollimeetmed riskidega ja lood SoA silddokumendina.
- Zenith Blueprinti riskijuhtimise faasi sammus 14 ristviitad GDPR, NIS2 ja DORA nõuded poliitikate ja kontrollimeetmetega.
- Zenith Blueprinti kontrollide rakendamise faasi sammus 16 rakendad töötajapõhise intsidentidest teatamise, et eskaleerimine algaks varakult.
- Zenith Blueprinti auditi, läbivaatamise ja parendamise faasi sammus 24 viimistled ja testid SoA-d, kontrollid seda riskikäsitlusplaani suhtes ning valmistad selle ette ühe esimese dokumendina, mida audiitor küsib.
Seda meetodit toetavad Claryseci poliitikad, mis muudavad põhimõtted tööreegliteks: infoturbe juhtimine, riskikäsitlus, tarnijate turve, intsidentidele reageerimine, õiguslik ja regulatiivne vastendus ning tõendite säilitamine.
Tulemus ei ole üksnes ISO 27001:2022 valmisolek. See on korduskasutatav nõuetelevastavuse tõendisüsteem NIS2, DORA, GDPR, klientide kindlustunde, siseauditi ja juhatuse järelevalve jaoks.
Järgmised sammud: loo üks kord, tõenda korduvalt
Kui sinu organisatsioon seisab silmitsi NIS2, DORA, GDPR, kliendiauditite või ISO 27001:2022 sertifitseerimise survega, alusta alusraamistikust.
- Vaata läbi oma SoA ja lisa NIS2, DORA ning GDPR jaoks regulatiivse ajendi veerud.
- Kontrolli SoA-d riskiregistri ja riskikäsitlusplaani suhtes.
- Vastenda kriitilised tarnijad tarnijate turbekontrollide, lepinguklauslite ja seiretõenditega.
- Testi intsidentidest teatamise töövoogu lauaõppusega.
- Koonda auditi tõendid kontrollimeetme, regulatsiooni, omaniku ja testimise staatuse järgi.
- Kasuta Zenith Controls, et tõlkida ISO/IEC 27002:2022 kontrollimeetmed ristvastavuse tõenditeks.
- Kasuta Zenith Blueprint, et liikuda riskikäsitlusest auditivalmis SoA valideerimiseni.
- Rakenda Claryseci poliitikakomplekt, sealhulgas Infoturbepoliitika, Riskijuhtimise poliitika, Kolmandate osapoolte ja tarnijate turbepoliitika ning Intsidentidele reageerimise poliitika, et kiirendada rakendamist.
Kiireim tee ei ole rohkem eraldiseisvaid kontrollnimekirju. See on üks integreeritud ISMS, üks jälgitav SoA, üks keskne tõendimudel ja üks ristvastavuse töörütm.
Clarysec saab aidata muuta ISO 27001:2022 sertifitseerimisprojekti praktiliseks kontrolliraamistikuks NIS2 ja DORA jaoks. Laadi alla Zenith Blueprint, tutvu Zenith Controls lahendusega või broneeri Claryseci hindamine, et luua auditivalmis tõendimudel enne, kui järgmine regulaator, klient või juhatuse komitee tõendeid küsib.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
