ISO 27001 siseaudit NIS2 ja DORA nõuete toetamiseks
On 2026. aasta auditikomitee esimene koosolek. Kiiresti kasvava SaaS- ja FinTech-teenusepakkuja FinSecure infoturbejuhil Sarah’l on päevakorras viisteist minutit. Juhtorganil on viis küsimust.
Kas oleme valmis oma ISO/IEC 27001:2022 järelevalveauditiks? Kas NIS2 kohaldub meile kui hallatud teenuse osutajale? Kas DORA mõjutab meid, sest toetame finantssektori kliente? Kas suudame tõendada, et intsidentidest teavitamine, tarnijate taustakontroll ja talitluspidevus toimivad? Ja miks leidis eelmise kvartali juurdepääsuõiguste läbivaatamine endiselt kontosid, mis oleks pidanud olema eemaldatud?
Sarah’l on tõendusmaterjal olemas, kuid see on killustunud. Arendusmeeskonnal on haavatavuse skannimise ekspordid. Hankeüksusel on tarnijate küsimustikud. Õigusosakonnal on lepingutingimused. Vastavusjuhil on GDPR-i jälgimisfail. SOC-il on intsidentide piletid. Ükski neist ei ole ilmselgelt vale, kuid ükski ei moodusta sidusat kindlustandvat tervikpilti.
See on hetk, mil ISO 27001 siseauditi programmist saab kas strateegiline tõendusmootor või jääb see kord aastas toimuvaks kiirustamiseks.
NIS2 ja DORA mõjualasse kuuluvate organisatsioonide jaoks ei saa siseaudit enam olla formaalne kontrollnimekiri. Sellest peab saama riskipõhine kindlustandmise süsteem, mis kinnitab, kas ISMS-i kohaldamisala on õige, kas kontrollimeetmed toimivad praktikas, kas regulatiivsed nõuded on kaardistatud, kas leiud klassifitseeritakse järjepidevalt ja kas parandusmeetmed jõuavad juhtkonna läbivaatamisele. 2026. aastal ei küsi tugevamad programmid ainult: „Kas tegime auditi?“ Nad küsivad: „Kas suudame kuust kuusse tõendada, et küberturbe juhtimine, IKT-kerksus, tarnijate turve ja intsidentideks valmisolek toimivad?“
Just sellise lähenemise on Clarysec sisse ehitanud lahendustesse Zenith Blueprint: audiitori 30-sammuline teekaart, Zenith Controls: raamistikeülene vastavusjuhend ja Clarysec poliitikapaketti. Eesmärk ei ole luua eraldi ISO, NIS2 ja DORA projekte. Eesmärk on täiendada ISMS-i nii, et üks auditiprogramm looks korduskasutatavat tõendusmaterjali mitme kindlustandva nõude jaoks.
Miks peavad 2026. aasta siseauditi programmid muutuma
NIS2 ja DORA nihutasid auditivestluse dokumentatsioonilt juhitud kerksusele.
NIS2 kohaldub paljudele keskmistele ja suurtele organisatsioonidele kriitilistes ja olulistes sektorites, sealhulgas digitaristule, pilveteenuse osutajatele, andmekeskuse teenuse osutajatele, hallatud teenuse osutajatele, hallatud turvateenuse osutajatele, veebiturgudele, interneti otsingumootoritele ja sotsiaalvõrgustiku platvormidele. Liikmesriigid hakkasid riiklikke meetmeid kohaldama 2024. aasta oktoobrist ning 2026. aastaks tegutsevad paljud organisatsioonid NIS2 küpsete ootuste esimesel täisaastal.
DORA kohaldub alates 17. jaanuarist 2025 laiale finantssektori üksuste ringile, sealhulgas krediidiasutustele, makseasutustele, e-raha asutustele, investeerimisühingutele, krüptovarateenuse osutajatele, kindlustus- ja edasikindlustusandjatele, ühisrahastusteenuse osutajatele ning asjakohastele IKT kolmandatest isikutest teenuseosutajatele. DORA on sektoripõhine digitaalse tegevuskerksuse režiim hõlmatud finantssektori üksustele. Finantssektori üksusi teenindavad IKT-teenuseosutajad võivad DORA mõju tunda ka lepingute, auditeerimisõiguste, testimises osalemise, intsidentide toe, alltöövõtu kontrollimeetmete ja väljumisnõuete kaudu.
Mõlemad regulatsioonid suurendavad vastutust. NIS2 Article 20 nõuab, et juhtorganid kiidaksid heaks küberturbe riskijuhtimise meetmed ja teeksid nende üle järelevalvet ning läbiksid küberturbe koolituse. DORA Article 5 paneb juhtorganile lõpliku vastutuse IKT-riski eest, sealhulgas digitaalse tegevuskerksuse strateegia, IKT-poliitikate, talitluspidevuse korralduse ning kolmandate isikute riskide heakskiitmise ja järelevalve eest.
ISO 27001 sobib sellesse keskkonda hästi, sest see on juhtimissüsteem. See nõuab, et organisatsioon mõistaks oma konteksti, määratleks huvitatud osapooled ja nõuded, kehtestaks ISMS-i kohaldamisala, hindaks ja käsitleks riske, seiraks toimivust, viiks läbi siseauditeid ning tagaks pideva parendamise. Eesmärk ei ole suruda NIS2 ja DORA ISO-kujulisse raamistikku. Eesmärk on kasutada ISO 27001 korratava kindlustandmise toimemudelina.
Alusta kohaldamisalast: auditeeri süsteemi, millele juhtorgan tugineb
Nõrk siseauditi programm algab ebamäärasest kohaldamisalast, näiteks „infoturve“. Tugev programm algab äri- ja regulatiivsest piirist.
ISO 27001 nõuab, et ISMS-i kohaldamisala arvestaks sisemisi ja väliseid asjaolusid, huvitatud osapoolte nõudeid ning liideseid või sõltuvusi teiste organisatsioonidega. See on oluline, sest NIS2 ja DORA kohustused paiknevad sageli organisatsiooni piirialadel: pilveplatvormid, sisseostetud SOC-i teenuseosutajad, hallatud tuvastus- ja reageerimisteenus, maksesüsteemid, fintech-rakendusliidesed, klientide andmetöötlus, varundusteenused ja intsidentide eskaleerimise partnerid.
Clarysec’i Auditi ja vastavusseire poliitika VKE-dele määrab juhtimise lähtetaseme:
Tegevjuht (GM) peab heaks kiitma iga-aastase auditiplaani.
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.1.1.
Suuremate keskkondade puhul tõstab Clarysec’i Auditi ja vastavusseire poliitika ootust:
Riskipõhine auditiplaan tuleb koostada ja heaks kiita kord aastas, võttes arvesse:
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.2.
Seetõttu ei ole kohaldamisala pelgalt audiitori eelistus. See on juhtkonna heakskiidetud kindlustandmise kohustus.
- aasta ISO 27001 siseauditi programm, mis toetab NIS2 ja DORA nõudeid, peaks hõlmama järgmist:
- ISMS-i punktid ja protsessid, sealhulgas kontekst, juhtimine, riskijuhtimine, eesmärgid, tugi, tegevused, toimivuse hindamine ja parendamine.
- Asjakohased ISO/IEC 27001:2022 Annex A kontrollivaldkonnad, sealhulgas tarnijasuhted, intsidendihaldus, talitluspidevus, õiguslikud kohustused, privaatsus, logimine, seire, haavatavuste haldus, juurdepääsukontroll, krüptograafia, turvaline arendus, muudatuste haldus ja pilvekeskkonna juhtimine.
- Regulatiivsed kihid, sealhulgas NIS2 Articles 20, 21 ja 23, DORA Articles 5, 6, 8 to 14, 17 to 19, 24 to 27 ja 28 to 30 ning GDPR-i turbe- ja vastutuskohustused.
- Võtmeteenused ja äriprotsessid, eelkõige kriitilised või olulised funktsioonid, hädavajalikud teenused, kliendile suunatud platvormid ning reguleeritud kliente toetavad süsteemid.
- Kolmandatest isikutest sõltuvused, sealhulgas IKT-tarnijad, pilveteenuse pakkujad, sisseostetud arendus, SOC, MSSP, andmetöötlejad ja kriitilised alltöövõtjad.
- Tõendusmaterjali loovad protsessid, sealhulgas riskihindamised, juurdepääsuõiguste ülevaatused, haavatavuste kõrvaldamine, intsidendiõppused, varukoopiate taastamistestid, tarnijate läbivaatamised, talitluspidevuse testid ja juhtkonna läbivaatamised.
Zenith Blueprint tugevdab seda auditi, läbivaatamise ja parendamise etapis, sammus 25, siseauditi programm:
Otsustage oma siseauditi programmi kohaldamisala. Lõppkokkuvõttes peate aasta jooksul katma kõik asjakohased ISMS-i protsessid ja kontrollimeetmed.
Auditi, läbivaatamise ja parendamise etapist, samm 25: siseauditi programm.
Kõike ei pea auditeerima iga kuu. Kuid aastase tsükli jooksul peaksite katma kõik asjakohased ISMS-i protsessid ja kontrollimeetmed ning tegema sagedasemat tööd kõrge riskiga ja reguleeritud valdkondades.
Koosta auditiuniversum NIS2 ja DORA kontrolliteemade ümber
NIS2 Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid. Selle baastase hõlmab riskianalüüsi, turbepoliitikaid, intsidentide käsitlemist, talitluspidevust, varundushaldust, katastroofitaastet, kriisijuhtimist, tarneahela turvet, turvalist hankimist ja arendust, haavatavuste käsitlemist, tõhususe hindamist, küberhügieeni, koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust, MFA-d või vajaduse korral pidevat autentimist ning turvalist sidet.
DORA-l on sarnane operatiivne elutsükkel. See nõuab, et finantssektori üksused tuvastaksid ja klassifitseeriksid IKT-toega ärifunktsioonid, teabevarad, IKT-varad, sõltuvused ja kolmandate isikute ühendused. Samuti nõuab see kaitset, tuvastamist, intsidentide klassifitseerimist, reageerimist, taastamist, varundamist, taasteid, testimist, intsidendijärgset õppimist, kommunikatsiooni ja IKT kolmandate isikute riskijuhtimist.
Ühtne auditiuniversum hoiab ära levinud vea, kus ISO 27001 auditeeritakse NIS2-st ja DORA-st eraldi.
| Auditi valdkond | ISO 27001 auditi alus | NIS2 ja DORA asjakohasus | Tüüpiline tõendusmaterjal |
|---|---|---|---|
| Juhtimine ja õiguslikud kohustused | Kontekst, juhtimine, riskikäsitlus, õiguslikud ja lepingulised nõuded | NIS2 juhtorgani järelevalve, DORA juhtorgani vastutus, GDPR-i vastutus | Õigusregister, huvitatud osapoolte register, ISMS-i kohaldamisala, riskivalmidus, juhtorgani protokollid, juhtkonna läbivaatamine |
| Riskihindamine ja riskikäsitlus | Riskihindamine, kohaldatavusavaldus, käsitlusplaan | NIS2 asjakohased ja proportsionaalsed meetmed, DORA IKT-riski juhtimise raamistik | Riskiregister, riskikriteeriumid, käsitluse heakskiidud, jääkriski aktsepteerimine |
| Varade ja sõltuvuste register | Varahaldus, pilveteenuste juhtimine, tarnijate teenused | DORA IKT-varad ja ühendused, NIS2 teenuse osutamise süsteemid | CMDB, andmevoogude kaardid, tarnijaregister, pilveteenuste register, kriitilisuse klassifikatsioon |
| Juurdepääsukontroll ja identiteet | Personaliturve, juurdepääsuhaldus, MFA, privilegeeritud juurdepääs | NIS2 juurdepääsukontroll ja MFA, DORA vähima privileegi põhimõte ja tugev autentimine | Tööleasujate, rolli vahetajate ja lahkujate piletid, juurdepääsuõiguste ülevaatused, MFA aruanded, privilegeeritud kontode logid |
| Logimine, seire ja tuvastamine | Logimine, seire, sündmuste hindamine | DORA anomaaliatuvastus ja intsidentide klassifitseerimine, NIS2 intsidentideks valmisolek | SIEM-i teavitused, tuvastusreeglid, intsidentide esmase hindamise kirjed, seire juhtpaneelid |
| Intsidendihaldus | Intsidentide planeerimine, reageerimine, tõendite kogumine, õppetunnid | NIS2 teavitustöövoog, DORA IKT-intsidendi elutsükkel | Intsidendilogi, tõsidusmaatriks, teavitusmallid, algpõhjuse aruanded, õppuste kirjed |
| Talitluspidevus ja taaste | IKT-valmisolek, varukoopiad, häirekindlus | NIS2 varundus ja kriisijuhtimine, DORA talitluspidevus ja taaste | BIA, talitluspidevuse plaanid, varukoopiate testid, RTO ja RPO kirjed, kriisikommunikatsiooni test |
| Tarnija ja IKT kolmandast isikust teenuseosutaja risk | Tarnijalepingud, IKT tarneahel, pilveteenuste hankimine ja lõpetamine | NIS2 tarneahela turve, DORA IKT kolmandate isikute register ja lepingutingimused | Tarnija hoolsuskontroll, lepingud, auditeerimisõigused, väljumiskavad, kontsentratsiooniriski analüüs |
| Turvaline arendus ja haavatavused | Turvaline hankimine, arendus, muudatused, haavatavuste haldus | NIS2 haavatavuste käsitlemine, DORA paikamine ja testimine | Haavatavuse skannimised, parandusmeetmete SLA-d, muudatuste piletid, koodi läbivaatus, penetratsioonitestimise aruanded |
| Vastavusseire ja parandusmeetmed | Seire, siseaudit, mittevastavus ja parandusmeetmed | NIS2 parandusmeetmed, DORA audit ja parandusmeetmete järeltegevus | Auditiaruanded, CAPA jälgija, KPI juhtpaneel, juhtkonna läbivaatamise tegevused |
See struktuur muudab iga auditi valdkonna ühiseks kindlustandvaks objektiks. Siseaudiitor testib ISO 27001 nõuet ja registreerib seejärel, kas sama tõendusmaterjal toetab ka NIS2, DORA, GDPR, NIST CSF ja COBIT 2019 ootusi.
Planeeri aasta riski, mitte paberitöö ümber
Zenith Blueprint annab meeskondadele praktilise järjestuse, kuidas muuta audit parenduseks:
- Samm 25, siseauditi programm: kavanda kohaldamisala, sagedus, sõltumatus ja riskipõhised prioriteedid.
- Samm 26, auditi läbiviimine: kogu objektiivset tõendusmaterjali intervjuude, dokumentide läbivaatamise, vaatlemise ja valimite kaudu.
- Samm 27, auditileiud, analüüs ja algpõhjus: klassifitseeri leiud ja tuvasta algpõhjus.
- Samm 28, juhtkonna läbivaatamine: suuna auditi tulemused, intsidendid, mittevastavused, eesmärgid, riskid ja ressursivajadused juhtkonna läbivaatamisele.
- Samm 29, pidev parendamine: koosta parandusmeetmed, mis kõrvaldavad põhjused, mitte ainult sümptomid.
Zenith Blueprint on sõltumatuse osas selgesõnaline:
Ideaalis ei peaks siseaudiitor auditeerima omaenda tööd.
Auditi, läbivaatamise ja parendamise etapist, samm 25: siseauditi programm.
Väiksema SaaS- või fintech-ettevõtte puhul võib see tähendada, et turbeprotsesse auditeerib mõne teise funktsiooni juht, kontrollimeetmete omanikke roteeritakse või kasutatakse välist konsultanti. Oluline on dokumenteerida pädevus ja sõltumatus, eriti kui kliendid, regulaatorid, järelevalveasutused või välisaudiitorid võivad hiljem NIS2 ja DORA tõendusmaterjali üle vaadata.
Auditi ja vastavusseire poliitika VKE-dele määratleb ka minimaalse auditistruktuuri:
Igal auditil peab olema määratletud kohaldamisala, eesmärgid, vastutav personal ja nõutav tõendusmaterjal.
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.2.3.
Kiiresti kasvava SaaS- või IKT-teenuseosutaja praktiline kvartalistruktuur võiks olla järgmine:
| Kvartal | Peamine auditifookus | Regulatiivne rõhuasetus | Peamised väljundid |
|---|---|---|---|
| Q1 | Intsidendihaldus ja teavitamine | NIS2 Article 23, DORA Articles 17 to 19 | Intsidendiauditi aruanne, teavitustöövoo test, tõsidusmaatriksi läbivaatamine |
| Q2 | IKT kolmandate isikute riskijuhtimine | NIS2 Article 21, DORA Articles 28 to 30 | Tarnijate valim, lepingute läbivaatamine, hoolsuskontrolli tõendusmaterjal, väljumiskavade läbivaatamine |
| Q3 | Talitluspidevus ja kerksuse testimine | NIS2 Article 21, DORA Articles 11, 12, 24 to 27 | Varukoopiate taastamise tõendusmaterjal, talitluspidevuse õppus, kerksustesti parandusmeetmed |
| Q4 | Juhtimine, risk ja vastavus | NIS2 Article 20, DORA Articles 5 and 6, ISO 27001 punktid 5, 9 ja 10 | Juhtkonna läbivaatamise pakett, CAPA staatus, jääkriski otsused, järgmise aasta auditiplaan |
See ei asenda igakuist tõendusmaterjali kogumist. See annab aastale selge kindlustandva rütmi.
Valimi moodustamine: kui palju tõendusmaterjali on piisav?
Valimi moodustamine on koht, kus paljud siseauditid muutuvad kas liiga pealiskaudseks või liiga kulukaks. Reguleeritud IKT-keskkondades peab valimi moodustamine olema riskipõhine, põhjendatav ja dokumenteeritud.
Zenith Blueprint, samm 26, annab praktilise põhimõtte:
Tee valimeid ja pistelisi kontrolle: kõike ei saa kontrollida, seega kasuta valimit.
Auditi, läbivaatamise ja parendamise etapist, samm 26: auditi läbiviimine.
Clarysec’i ettevõttepoliitika muudab selle auditeeritavaks:
Valimistrateegia, auditi kohaldamisala ja piirangute dokumenteerimine
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.5.3.
NIS2 ja DORA puhul peaks valimi moodustamisel arvestama kriitilisust, riski, tarnija olulisust, ajaperioodi, intsidentide ajalugu, geograafiat ning seda, kas valimisse võetud protsess toetab kriitilisi või olulisi funktsioone.
| Kontrollivaldkond | Üldkogum | Soovituslik valim | Riskipõhine kohandus |
|---|---|---|---|
| Juurdepääsuõiguste andmine | Kõik kvartalis loodud uued kasutajakontod | 10 kontot või 10 protsenti, olenevalt sellest, kumb on suurem | Kaasa kõik privilegeeritud kontod ja kriitiliste rakenduste administraatorid |
| Lahkujate juurdepääsu eemaldamine | Kõik kvartalis töölt lahkunud kasutajad | 100 protsenti privilegeeritud kasutajatest, 10 tavakasutajat | Suurenda valimit, kui HR- või IAM-integratsioon muutus |
| Tarnija hoolsuskontroll | Aktiivsed IKT-tarnijad | Kõik kriitilised tarnijad, 5 keskmise riskiga tarnijat, 3 madala riskiga tarnijat | Kaasa tarnijad, kes toetavad finantskliente või hädavajalikke teenuseid |
| Haavatavuste kõrvaldamine | Kvartalis suletud kriitilised ja kõrged leiud | 15 piletit eri süsteemidest | Kaasa internetile avatud süsteemid ja korduvad erandid |
| Intsidendihaldus | Kõik kvartali turbeintsidendid | Kõik olulised intsidendid, 5 väiksemat intsidenti, 3 valepositiivse esmase hindamise näidet | Kaasa intsidendid, millel on seos isikuandmete, kliendimõju või piiriülese mõjuga |
| Varukoopiate taastamine | Kvartalis tehtud varukoopiate testid | Kõik kriitiliste süsteemide testid, 3 mittekriitilist süsteemi | Kaasa süsteemid, mis toetavad kriitilisi või olulisi funktsioone |
| Muudatuste haldus | Kvartali tootmiskeskkonna muudatused | 15 muudatust, sealhulgas erakorralised muudatused | Kaasa muudatused, mis mõjutavad autentimist, logimist, krüptimist või kliendiandmeid |
| Turvakoolitus | Perioodil aktiivsed töötajad ja töövõtjad | 20 kasutajat eri talitustest | Kaasa juhtorgani liikmed ja privilegeeritud tehnilised rollid |
DORA mõjutatud keskkondades väärib testimise tõendusmaterjal erilist tähelepanu. DORA nõuab finantssektori üksustelt digitaalse tegevuskerksuse testimist ning valitud üksustelt vähemalt iga kolme aasta järel arenenumat testimist, näiteks ohupõhist penetratsioonitestimist. Auditi valim peaks hõlmama mitte ainult testiaruandeid, vaid ka tõendusmaterjali selle kohta, et leiud prioritiseeriti, kõrvaldati ja testiti uuesti.
Praktiline auditi näide: IKT kolmanda isiku risk
Tarnijate turve on sageli kiireim viis tuua esile lõhed dokumentatsiooni ja operatiivse tegelikkuse vahel. DORA Articles 28 to 30 nõuavad IKT kolmandate isikute riskijuhtimist, lepingulist sisu ja teaberegistreid. NIS2 Article 21 nõuab tarneahela turvet, mis arvestab otseste tarnijate haavatavusi ja tavasid.
Q2 auditis võtab Sarah valimisse viis kriitilist tarnijat, kolm viimase kuue kuu jooksul kaasatud uut tarnijat ja kaks hiljuti uuendatud lepinguga tarnijat. Audiitor intervjueerib hankeüksust, õigusosakonda, teenuseomanikke ja turbekontrollide omanikke.
| DORA või NIS2 nõue | ISO 27001:2022 kontrolli alus | Auditi küsimus | Kogutav tõendusmaterjal |
|---|---|---|---|
| DORA Article 28, IKT kolmandate isikute register | A.5.19 Infoturve tarnijasuhetes | Kas IKT kolmandast isikust teenuseosutajatega sõlmitud kokkulepete register on täielik ja ajakohane? | Aktiivne tarnijaregister ja valimisse võetud kriitiliste tarnijate kirjed |
| DORA Article 28, lepingueelne riskihindamine | A.5.19 Infoturve tarnijasuhetes | Kas hoolsuskontroll tehti enne tarnijalepingute sõlmimist või uuendamist? | Hoolsuskontrolli aruanded, riskihindamised ja heakskiidukirjed |
| DORA Article 30, lepinguline sisu | A.5.20 Infoturbe käsitlemine tarnijalepingutes | Kas lepingud sisaldavad nõutud juhtudel turbemeetmeid, auditeerimisõigusi, intsidendiabi ja lõpetamistuge? | Lepingud, lisad, turbelisad ja õigusliku läbivaatamise märkused |
| NIS2 Article 21, tarneahela turve | A.5.21 Infoturbe juhtimine IKT tarneahelas | Kas tarnijate turbetavad, alltöövõtt ja teenusesõltuvused on arusaadavad? | Tarnijate küsimustikud, alltöövõtjate avalikustused ja sõltuvuskaardid |
| Pidev tarnijaseire | A.5.22 Tarnijateenuste seire, läbivaatamine ja muudatuste juhtimine | Kas tarnijate toimivust ja turvet vaadatakse aja jooksul üle? | QBR-i protokollid, SLA aruanded, auditiaruanded ja iga-aastase läbivaatamise kirjed |
See tabel ei juhenda üksnes tõendusmaterjali kogumist. See tõendab, et organisatsioon on regulatiivse teksti tõlkinud ISO-ga kooskõlas olevateks auditi kriteeriumideks ja konkreetseks tõendusmaterjaliks.
Leiud: sõnasta need nii, et juhtkond saaks tegutseda
Auditileid ei tohiks kõlada ebamäärase etteheitena. See peab olema piisavalt struktureeritud, et juhtkond mõistaks riski, määraks vastutuse ja kiidaks parandusmeetme heaks.
Auditi ja vastavusseire poliitika VKE-dele sätestab:
Kõik auditileiud tuleb dokumenteerida koos riskihinnangute ja kavandatud tegevustega.
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.4.1.
Ettevõtte Auditi ja vastavusseire poliitika lisab parandusmeetmete distsipliini:
Kõik leiud peavad viima dokumenteeritud CAPA-ni, mis sisaldab järgmist:
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.2.1.
Zenith Blueprint soovitab sammus 27 liigitada leiud olulisteks mittevastavusteks, väiksemateks mittevastavusteks või tähelepanekuteks ning seejärel teha algpõhjuse analüüs. Oluline mittevastavus viitab tõsisele puudusele või süsteemsele tõrkele. Väiksem mittevastavus on üksik kõrvalekalle muidu nõuetele vastavas protsessis. Tähelepanek on parendusvõimalus.
Tugev leid sisaldab järgmist:
- Nõue või kontrollimeetme ootus.
- Täheldatud olukord.
- Valimisse võetud tõendusmaterjal.
- Risk ja ärimõju.
- Regulatiivne asjakohasus.
- Klassifikatsioon ja riskihinnang.
- Algpõhjus.
- Parandusmeetme omanik ja tähtaeg.
Näidisleid:
Leid NC-2026-07, väike mittevastavus, tarnija turbeülevaatuse hilinemine
Nõue: kriitiliste IKT-teenuseosutajate tarnijaturbe ülevaatused tuleb teha vähemalt kord aastas, toetades ISO 27001 tarnijakontrolle, NIS2 tarneahela ootusi ja DORA IKT kolmandate isikute riskikohustusi.
Olukord: kahel kaheteistkümnest kriitilisest IKT-tarnijast ei olnud 2026. aasta turbeülevaatus nõutud tähtajaks lõpetatud.
Tõendusmaterjal: tarnijaregistri eksport 15. juunist 2026, tarnija ülevaatuste jälgija, intervjuu hankejuhiga ja kahe puuduva ülevaatuse kirjed.
Risk: tarnija ülevaatuse hilinemine võib takistada haavatavuste, alltöövõtu muudatuste, intsidenditoe puudujääkide või kriitilisi teenuseid mõjutava lepingulise mittevastavuse õigeaegset tuvastamist.
Algpõhjus: hankeüksust ei teavitatud automaatselt tarnijate ülevaatuste tähtaja lähenemisest ning DORA-ga seotud tarnijatõendite omanikku ei olnud määratud.
Parandusmeede: seadistada automaatsed läbivaatamise meeldetuletused, määrata kõigile kriitilistele IKT-tarnijatele nimelised kontrollimeetmete omanikud, lõpetada tähtaja ületanud ülevaatused 31. juuliks 2026 ja teha kvartaalset valimipõhist kontrolli.
Algpõhjuse analüüsiks on kasulik „5 miks“ meetod. Kui lepingueelne hindamine jäi tegemata, ei pruugi tegelik põhjus olla üksikisiku viga. Põhjus võib olla see, et hanketöövoog lubas väikese väärtusega IKT-lepingutel turbeülevaatusest mööda minna, kuigi DORA ja NIS2 ootused kohalduvad riski ja sõltuvuse, mitte ainult kulutuse alusel.
2026. aasta tõenduskalender
- aasta tõenduskalender muudab siseauditi töökorralduse rütmiks. See jaotab tõendusmaterjali loomise kogu aastale ja väldib aasta lõpu kiirustamist.
Clarysec’i Infoturbepoliitika eeldab juhtimistasandi läbivaatamist järgmistes küsimustes:
Turbe võtmetulemusnäitajate (KPI-d), intsidentide, auditileidude ja riskistaatuse läbivaatamine
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.3.2.
Tõendusmaterjali ei koguta ainult audiitorite jaoks. See toetab otsuseid riskide, eelarve, ressursside, tarnijate, tööriistade, koolituse ja parandusmeetmete kohta.
| Kuu | Auditi ja tõendusmaterjali fookus | Peamised tõendusväljundid |
|---|---|---|
| Jaanuar | Regulatiivse kohaldamisala, ISMS-i kohaldamisala ja 2026. aasta auditiplaani kinnitamine | Heakskiidetud auditiplaan, ISMS-i kohaldamisala läbivaatamine, NIS2 ja DORA kohaldatavuse hindamine, õigusregistri ajakohastamine |
| Veebruar | Juhtimine, riskivalmidus ja juhtorgani koolitus | Juhtorgani protokollid, koolituse läbimise kirjed, riskikriteeriumid, ajakohastatud riskiregister |
| Märts | Varade, andmete ja sõltuvuste register | CMDB eksport, andmevoogude kaardid, kriitiliste teenuste loend, IKT-tarnijate ühenduste kaart |
| Aprill | Juurdepääsukontroll ja MFA audit | Juurdepääsuõiguste ülevaatuse kirjed, privilegeeritud juurdepääsu valim, MFA katvuse aruanne, lahkujate testimine |
| Mai | Haavatavused, paikamine ja turvaline muudatuste haldus | Haavatavuste mõõdikud, parandusmeetmete tõendusmaterjal, muudatuste piletite valim, erandite heakskiidud |
| Juuni | Tarnijate ja pilveteenuste juhtimine | Tarnija hoolsuskontrolli valim, lepingupunktide läbivaatamine, auditeerimisõigused, väljumiskavad, kontsentratsiooniriski märkused |
| Juuli | Intsidendihaldus ja teavitusharjutus | Intsidendi simulatsioon, tõsiduse klassifitseerimine, NIS2 teavitustöövoo test, DORA intsidendi eskaleerimise test |
| August | Logimine, seire ja tuvastamine | SIEM-i kasutusjuhud, teavituste häälestamine, seire katvus, eskaleerimise valim |
| September | Varundus, taastamine ja talitluspidevus | Varundustesti kirjed, RTO ja RPO tõendusmaterjal, talitluspidevuse õppus, kriisikommunikatsiooni test |
| Oktoober | Turvaline arendus ja rakendusturve | SDLC tõendusmaterjal, koodi läbivaatuse valim, turbetestide tulemused, sisseostetud arenduse läbivaatamine |
| November | Täielik ISMS-i siseaudit ja raamistikeülene läbivaatamine | Siseauditi aruanne, leidude register, NIS2 ja DORA kaardistus, GDPR-i vastutuse tõendusmaterjal |
| Detsember | Juhtkonna läbivaatamine ja parandusmeetmete sulgemine | Juhtkonna läbivaatamise protokoll, CAPA staatus, jääkriski aktsepteerimine, sisendid 2027. aasta auditiplaani |
See kalender annab auditikomiteele ettevaatava kindlustandmise plaani ning annab kontrollimeetmete omanikele aega luua tõendusmaterjali tavapärase töö käigus.
ISO 27002:2022 selgroog: 5.31, 5.35 ja 5.36
Zenith Controls on Clarysec’i raamistikeülene vastavusjuhend. See kaardistab ISO/IEC 27001:2022 ja ISO/IEC 27002:2022 kontrollivaldkonnad teiste standardite, regulatsioonide, auditiootuste ja tõendusmustritega. See on eriti kasulik sisemise läbivaatamise, õiguslike kohustuste ja poliitika järgimise ühendamiseks.
Ühtse siseauditi programmi selgroo moodustavad kolm ISO/IEC 27002:2022 kontrollivaldkonda:
| ISO 27002:2022 valdkond, mida Zenith Controls esile tõstab | Auditi küsimus | NIS2 ja DORA väärtus |
|---|---|---|
| 5.31 Õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded | Kas teame, millised kohustused kohalduvad, ning kas oleme need kaardistanud kontrollimeetmete ja tõendusmaterjaliga? | Toetab NIS2 kohaldatavust, DORA IKT-kohustusi, kliendilepinguid ja GDPR-i vastutust |
| 5.35 Infoturbe sõltumatu läbivaatamine | Kas läbivaatamised on objektiivsed, kavandatud, pädevad ja nende põhjal tegutsetakse? | Toetab kindlust küberturbe meetmete, IKT-kerksuse testimise ja juhtkonna järelevalve üle |
| 5.36 Vastavus infoturbe poliitikatele, reeglitele ja standarditele | Kas sisereegleid järgitakse praktikas ja seiratakse pidevalt? | Toetab poliitika rakendamist, küberhügieeni, juurdepääsukontrolli, intsidentideks valmisolekut ja parandusmeetmeid |
Kontroll 5.35 on kindlustandmise nurgakivi, sest see valideerib, kas ISMS-i vaadatakse sõltumatult läbi. Kontroll 5.36 kinnitab, et poliitikad ei ole üksnes heaks kiidetud, vaid neid ka tegelikult järgitakse. Kontroll 5.31 seob ISMS-i õiguslike, regulatiivsete ja lepinguliste kohustustega, sealhulgas NIS2, DORA, GDPR ja klientide turbenõuetega.
Raamistikeülene kaardistus: üks audit, mitu kindlustandvat vaadet
Küps siseauditi töödokument peaks selgelt näitama, kuidas üks tõendusmaterjali element toetab mitut kindlustandvat ootust.
| Auditi tõendusmaterjal | ISO 27001 kindlus | NIS2 asjakohasus | DORA asjakohasus | GDPR, NIST ja COBIT asjakohasus |
|---|---|---|---|---|
| Õigus- ja regulatiivregister | Kontekst ja vastavuskohustused | Kohaldamisala, üksuse staatus, Article 21 ajendid | Sektoripõhised IKT-kerksuse kohustused | GDPR-i vastutus, NIST CSF GOVERN, COBIT väline vastavus |
| Riskiregister ja riski käsitlemise plaan | Riskihindamine, riskikäsitlus, kohaldatavusavaldus | Asjakohased ja proportsionaalsed meetmed | IKT-riski juhtimise raamistik ja taluvus | NIST riskijuhtimine, COBIT riskide optimeerimine |
| Intsidendi lauaõppuse aruanne | Intsidentideks valmisolek ja õppetunnid | Teavitustöövoo valmisolek | Klassifitseerimine, eskaleerimine, teavitamine ja algpõhjus | GDPR-i rikkumiseks valmisolek, NIST CSF RESPOND, COBIT hallatud intsidendid |
| Tarnija hoolsuskontrolli toimik | Tarnijasuhe ja IKT tarneahel | Tarnijate haavatavused ja praktikad | IKT kolmandate isikute register, hoolsuskontroll, väljumiskavandamine | NIST C-SCRM, COBIT tarnijajuhtimine |
| Varukoopia taastamistest | IKT-valmisolek ja talitluspidevus | Varundus, katastroofitaaste, kriisijuhtimine | Taaste-eesmärgid, taastamine ja tervikluse kontrollid | GDPR-i käideldavus, NIST CSF RECOVER, COBIT talitluspidevus |
| Juurdepääsuõiguste läbivaatamine | Juurdepääsukontroll ja personaliturve | Juurdepääsukontroll ja MFA ootused | Vähima privileegi põhimõte ja tugev autentimine | GDPR-i terviklus ja konfidentsiaalsus, NIST CSF PROTECT |
See võimaldab infoturbejuhil öelda juhtorganile: „Meie juulikuu intsidendiaudit lõi tõendusmaterjali ISO 27001, NIS2, DORA kliendikindluse, GDPR-i rikkumiseks valmisoleku, NIST CSF reageerimistulemuste ja COBIT intsidendijuhtimise jaoks.“
Juhtkonna läbivaatamine: koht, kus auditist saab vastutus
Siseauditil on vähe väärtust, kui leiud ei jõua juhtkonnani. ISO 27001 juhtkonna läbivaatamine annab selle mehhanismi ning NIS2 ja DORA muudavad juhtimisootuse selgesõnaliseks.
Auditi ja vastavusseire poliitika VKE-dele nõuab:
Auditileiud ja staatuse uuendused tuleb lisada ISMS-i juhtkonna läbivaatamise protsessi.
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.4.3.
See sätestab ka:
GM peab heaks kiitma parandusmeetmete plaani ja jälgima selle rakendamist.
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.4.2.
Juhtkonna läbivaatamine peaks vastama järgmistele küsimustele:
- Kas NIS2, DORA, GDPR ja lepingulised kohustused kajastuvad endiselt korrektselt ISMS-i kohaldamisalas?
- Kas kõrge riskiga kontrollimeetmeid auditeeritakse piisavalt sageli?
- Millised leiud viitavad süsteemsele nõrkusele, mitte üksikule veale?
- Kas parandusmeetmed on tähtaja ületanud?
- Kas riskiomanikud aktsepteerivad jääkriski teadlikult?
- Kas tarnijatele, intsidentidest teavitamisele, talitluspidevusele ja testimisele on eraldatud piisavad ressursid?
- Kas audititrendid viitavad vajadusele muuta poliitikat, tööriistu, eelarvet või koolitust?
Kui need vastused ei ole dokumenteeritud, võib organisatsioonil olla tegevuse tõendusmaterjal, kuid mitte juhtimise tõendusmaterjal.
Levinud vead, mida 2026. aastal vältida
Kõige levinum läbikukkumine on ISO 27001 siseauditi käsitlemine regulatiivsest kindlustandmisest eraldi. See tekitab dubleerimist ja pimealasid.
Muud vead on järgmised:
- Kohaldamisala välistab kriitilised tarnijad, pilveplatvormid või sisseostetud SOC-teenused.
- NIS2 või DORA kohaldatavus ei ole õigusregistris dokumenteeritud.
- Juhtkond ei ole auditiplaani heaks kiitnud.
- Valim moodustatakse, kuid seda ei dokumenteerita.
- Siseaudiitorid vaatavad omaenda tööd üle ilma maandamismeetmeteta.
- Leiud kirjeldavad sümptomeid, mitte algpõhjuseid.
- Parandusmeetmed ajakohastavad dokumente, kuid ei paranda protsesse.
- Juhtkonna läbivaatamine saab auditi tulemused, kuid ei tee otsuseid.
- Intsidendiõppused testivad tehnilist reageerimist, kuid mitte regulatiivset teavitamist.
- Tarnijaauditid vaatavad üle küsimustikud, kuid mitte lepinguid, väljumiskavasid ega kontsentratsiooniriski.
- Varunduse tõendusmaterjal näitab edukaid töid, kuid mitte taastamise terviklust.
- Juurdepääsuõiguste ülevaatused tehakse, kuid erandeid ei jälgita sulgemiseni.
Iga selline puudus võib sõltuvalt tõsidusest ja süsteemsest mõjust muutuda väiksemaks või oluliseks mittevastavuseks. Veel olulisem on see, et igaüks neist nõrgestab organisatsiooni suutlikkust tõendada kerksust NIS2, DORA ja klientide kontrolli all.
Muuda oma 2026. aasta auditiplaan tõendusmootoriks
Kui sinu siseauditi programm on endiselt üks iga-aastane sündmus, on nüüd aeg see ümber kujundada.
Alusta juhtkonna heakskiidetud auditiplaanist. Määratle ISMS-i kohaldamisala tegelike teenuste, reguleeritud kohustuste ja kolmandatest isikutest sõltuvuste ümber. Koosta riskipõhine auditiuniversum. Dokumenteeri valimi moodustamine. Klassifitseeri leiud järjepidevalt. Kasuta algpõhjuse analüüsi. Jälgi CAPA-d. Suuna tulemused juhtkonna läbivaatamisele. Hoia igakuist tõenduskalendrit.
Clarysec aitab kiiremini edasi liikuda järgmiste lahendustega:
- Zenith Blueprint: audiitori 30-sammuline teekaart auditi kavandamiseks, läbiviimiseks, leidude käsitlemiseks, juhtkonna läbivaatamiseks ja pidevaks parendamiseks.
- Zenith Controls: raamistikeülene vastavusjuhend ISO 27001 kindlustandmise kaardistamiseks NIS2, DORA, GDPR, NIST CSF ja COBIT ootustega.
- Auditi ja vastavusseire poliitika ja Auditi ja vastavusseire poliitika VKE-dele juhtimisvalmis auditi planeerimiseks ja leidude halduseks.
- Infoturbepoliitika KPI-de, intsidentide, auditileidude ja riskistaatuse läbivaatamiseks juhtimistasandil.
Vali üks kõrge riskiga valdkond, näiteks intsidentidest teavitamine või IKT tarnijate juhtimine, ning vii läbi fokuseeritud siseaudit, kasutades Clarysec’i kohaldamisala, valimi ja leidude struktuuri. Ühe tsükli jooksul saad teada, kas sinu tõendusmaterjal on auditiks valmis, kas kontrollimeetmed toimivad ja kas juhtorganil on küberriski juhtimiseks vajalik teave.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
