Auditointivalmis ISO 27001 -riskienarviointi NIS2- ja DORA-vaatimuksiin
Sarahin työpöydällä oleva kahvi oli jäähtynyt.
Nopeasti kasvavan fintech-yhtiön CISO:na hän oli tottunut paineeseen. Yhtiö oli juuri saanut merkittävän pankkikumppanin, ja näytöllä oleva due diligence -kysely olisi pitänyt olla muodollisuus. Ensimmäiset kysymykset olivat tuttuja: toimittakaa ISO/IEC 27001:2022 -soveltuvuuslausunto, jakakaa viimeisin riskirekisteri ja selittäkää riskienarviointimenetelmänne.
Sitten kysely muuttui.
Osoittakaa, miten riskienhallintaohjelmanne huomioi DORA:n. Selittäkää NIS2-valmiutenne, mukaan lukien johdon vastuu ja toimitusketjuriskien hallintatoimet. Toimittakaa näyttö siitä, että kriittiset ICT-toimittajat arvioidaan ja niitä seurataan ja että ne on huomioitu tietoturvapoikkeamiin reagoinnin ja liiketoiminnan jatkuvuussuunnitelmissa.
Maanantaiaamuun mennessä sama asia oli hallituksen riskivaliokunnan esityslistalla. ISO 27001 -sertifiointiauditointi olisi kahdeksan viikon kuluttua. Finanssisektorin asiakkaat edellyttivät DORA-valmiutta. Pilvipohjaisen palvelulinjan laajentuminen EU:hun nosti esiin NIS2-luokittelukysymyksiä. Hankinta kertoi, että toimittajakatselmointeja oli tehty, mutta näyttö oli hajallaan sähköposteissa, sopimuskansioissa ja toimittajataulukossa. Lakiasiat totesi, että sääntelykartoitus oli vielä kesken. Tuotekehitys sanoi, että riskirekisteri oli pääosin valmis.
Hallitus esitti ainoan kysymyksen, jolla oli merkitystä:
Voimmeko osoittaa, että riskienarviointimme ja riskienkäsittelysuunnitelmamme ovat riittäviä?
Tämä on todellinen ongelma SaaS-, fintech-, hallinnoitujen palvelujen, pilvipalvelujen ja digitaalisten alustojen yrityksille. Kyse ei ole siitä, onko riskirekisteri olemassa. Kyse ei ole siitä, onko liite A:n kontrollit kopioitu laskentataulukkoon. Kyse on siitä, pystyykö organisaatio osoittamaan auditointi- ja asiakaspaineessa, että sen ISO 27001 -riskienarviointiprosessi on toistettava, riskiperusteinen, riskinomistajien hyväksymä, sidottu käsittelytoimiin, kartoitettu lakisääteisiin velvoitteisiin ja aidosti käytössä operatiivisessa toiminnassa.
Hyvin toteutettuna yksi ISO 27001 -riskienarviointi ja yksi riskienkäsittelysuunnitelma voivat tukea ISO/IEC 27001:2022 -sertifiointia, NIS2 Article 21:n kyberturvallisuuden riskienhallintatoimenpiteitä, DORA:n ICT-riskienhallinnan vaatimuksia, GDPR:n osoitusvelvollisuutta, toimittajavarmennusta, poikkeamavalmiutta ja hallitusraportointia.
Huonosti toteutettuna siitä tulee laskentataulukko, jonka auditoijat purkavat kolmessakymmenessä minuutissa.
Tässä oppaassa kuvataan, miten Clarysec rakentaa auditointivalmista ISO 27001 -riskienarvioinnin ja riskien käsittelyn näyttöä hyödyntämällä Zenith Blueprint: auditoijan 30 vaiheen tiekarttaa, Clarysec-politiikkoja ja Zenith Controls: vaatimustenmukaisuuksien välistä opasta.
Miksi ISO 27001 -riskienarvioinnista on tullut vaatimustenmukaisuuden keskus
EU:n sääntely-ympäristö lähestyy samaa yksinkertaista periaatetta: kyberturvallisuusriskiä on hallittava, dokumentoitava, testattava ja vastuutettava.
ISO/IEC 27001:2022 toimii jo tällä tavalla. Kohdat 4.1–4.4 edellyttävät, että organisaatio ymmärtää toimintaympäristönsä, sidosryhmänsä, ISMS:n soveltamisalan ja prosessien väliset yhteydet ennen riskien arviointia. Kohdat 6.1.2 ja 6.1.3 edellyttävät määriteltyä tietoturvariskien arviointi- ja käsittelyprosessia. Kohdat 8.2 ja 8.3 edellyttävät, että organisaatio suorittaa riskienarviointeja, toteuttaa riskienkäsittelysuunnitelman ja säilyttää dokumentoitua tietoa.
NIS2 ja DORA tekevät samasta riskiperusteisesta logiikasta kiireellisemmän.
NIS2 Article 20 edellyttää, että keskeisten ja tärkeiden toimijoiden johtoelimet hyväksyvät kyberturvallisuuden riskienhallintatoimenpiteet, valvovat niiden toteutusta ja osallistuvat kyberturvallisuuskoulutukseen. Article 21 edellyttää asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä verkko- ja tietojärjestelmiin kohdistuvien riskien hallitsemiseksi. Näihin toimenpiteisiin kuuluvat riskianalyysi, poikkeamien käsittely, liiketoiminnan jatkuvuus, toimitusketjun turvallisuus, turvallinen kehittäminen, haavoittuvuuksien käsittely, vaikuttavuuden arviointi, kyberhygienia, kryptografia, henkilöstöturvallisuus, pääsynhallinta, omaisuudenhallinta sekä tarvittaessa monivaiheinen tunnistautuminen tai suojattu viestintä.
DORA kohdistaa vastaavaa painetta finanssialan toimijoihin. Articles 5 and 6 edellyttävät, että hallintoelin määrittää, hyväksyy ja valvoo ICT-riskienhallinnan järjestelyjä ja vastaa niistä edelleen. DORA edellyttää dokumentoitua ICT-riskienhallinnan viitekehystä, joka on integroitu kokonaisriskienhallintaan ja jota tukevat politiikat, menettelyt, protokollat, työkalut, sisäinen tarkastus, korjaavat toimenpiteet, jatkuvuus, testaus, poikkeamien hallinta ja ICT-palveluihin liittyvien kolmansien osapuolten hallinta.
Johtopäätös on käytännöllinen ja väistämätön: riskirekisteri ei ole enää teknisen tiimin työtaulukko. Se on hallinnon näyttöä.
Clarysecin Enterprise Riskienhallintapolitiikka tekee tästä odotuksesta nimenomaisen:
Muodollista riskienhallintaprosessia on ylläpidettävä ISO/IEC 27005:n ja ISO 31000:n mukaisesti, ja sen on katettava riskien tunnistaminen, analysointi, arviointi, käsittely, seuranta ja viestintä.
Enterprise Riskienhallintapolitiikka, kohta ”Hallintavaatimukset”, politiikkalauseke 5.1.
Sama politiikka määrittää auditointivalmiin lopputuloksen:
Keskitettyä ja versionhallittua riskirekisteriä ja riskienkäsittelysuunnitelmaa on ylläpidettävä siten, että ne kuvaavat riskien nykytilaa, kontrollien kattavuutta ja riskien pienentämisen etenemistä.
Enterprise Riskienhallintapolitiikka, kohta ”Tavoitteet”, politiikkalauseke 3.3.
Ilmaus ”riskien nykytila, kontrollien kattavuus ja riskien pienentämisen eteneminen” erottaa staattisen vaatimustenmukaisuustiedoston puolustettavasta riskienhallintaohjelmasta.
Aloita soveltamisalasta, velvoitteista ja riskikriteereistä
Monet heikot ISO 27001 -riskienarvioinnit alkavat kontrollien tarkistuslistasta. Se on väärä järjestys.
ISO 27001 edellyttää, että organisaatio määrittää toimintaympäristön, sidosryhmien vaatimukset, ISMS:n soveltamisalan, johdon vastuut ja riskienhallinnan suunnittelun ennen kontrollien valintaa. ISO/IEC 27005:2022 vahvistaa tätä ohjeistamalla organisaatioita tunnistamaan sidosryhmien perusvaatimukset ennen riskienarviointia. Nämä vaatimukset voivat perustua ISO-standardeihin, toimialasääntelyyn, kansallisiin lakeihin, asiakassopimuksiin, sisäisiin politiikkoihin, aiempiin käsittelytoimiin ja toimittajavelvoitteisiin.
EU-markkinoille suuntautuvan SaaS- tai fintech-yhtiön riskiprosessin tulisi alkaa vaatimustenmukaisuus- ja velvoiteinventaarilla.
| Vaatimuksen lähde | Miksi se vaikuttaa ISO 27001 -riskienarviointiin | Näyttöartefakti |
|---|---|---|
| ISO/IEC 27001:2022 kohdat 4, 5, 6, 8, 9 ja 10 | Määrittää toimintaympäristön, johtajuuden, riskienarvioinnin, riskien käsittelyn, operatiivisen ohjauksen, suorituskyvyn arvioinnin ja parantamisen | ISMS:n soveltamisala, riskimenetelmä, riskirekisteri, riskienkäsittelysuunnitelma, SoA, johdon katselmuksen tallenteet |
| NIS2 Articles 20, 21, and 23 | Lisää johdon vastuun, kaikki uhkat huomioivat kyberturvallisuustoimenpiteet ja poikkeamaraportoinnin odotukset | Hallituksen hyväksyntä, Article 21 -kartoitus, poikkeamaraportoinnin pelikirja, jatkuvuusnäyttö |
| DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28, and 30 | Edellyttää ICT-riskien hallintaa, jatkuvuutta, varmuuskopiointia ja palautusta, poikkeaman elinkaarta, testausta sekä ICT-palveluihin liittyvien kolmansien osapuolten riskienhallintakontrolleja | ICT-riskien viitekehys, BCP-testit, poikkeamarekisteri, häiriönsietokyvyn testitallenteet, ICT-toimittajarekisteri |
| GDPR Articles 3, 4, 5, 6, 9, 10, 25, 32, 33, and 34 | Edellyttää osoitusvelvollisuutta, lainmukaista käsittelyä, sisäänrakennettua tietosuojaa, asianmukaista turvallisuutta ja tietoturvaloukkauksen arviointia | Tietoaineistorekisteri, oikeusperusteen kartoitus, tietosuojariskimerkinnät, DPIA-linkit, tietoturvaloukkauksen arviointitallenteet |
| Toimittaja- ja asiakassopimukset | Muuttaa kaupalliset sitoumukset riskikriteereiksi, kontrolleiksi, näytöksi ja määräajoiksi | Sopimusrekisteri, due diligence -tallenteet, auditointioikeudet, SLA:t, exit-lausekkeet |
Pk-yrityksille Clarysecin Laki- ja sääntelyvaatimusten noudattamisen politiikka - SME asettaa lähtökohdan:
Toimitusjohtajan on ylläpidettävä yksinkertaista ja jäsenneltyä vaatimustenmukaisuusrekisteriä, jossa luetellaan:
SME Laki- ja sääntelyvaatimusten noudattamisen politiikka, kohta ”Hallintavaatimukset”, politiikkalauseke 5.1.1.
Tämä yksinkertainen rekisteri toimii siltana vaatimustenmukaisuuden ja riskienhallinnan välillä. Jos siinä todetaan, että GDPR soveltuu, koska EU:n henkilötietoja käsitellään, NIS2 voi soveltua, koska organisaatio tarjoaa digitaalisia tai hallinnoituja palveluja, tai DORA on merkityksellinen finanssisektorin asiakkaiden kautta, näiden velvoitteiden on vaikutettava riskikriteereihin ja riskien käsittelyn prioriteetteihin.
Zenith Blueprint käsittelee tätä suoraan Riskienhallinta-vaiheen Step 10:ssä ”Riskikriteerien ja vaikutusmatriisin määrittäminen”:
Huomioi hyväksymiskriteereissä myös lakisääteiset ja sääntelyyn perustuvat vaatimukset. Jotkin riskit voivat olla hyväksymättömiä todennäköisyydestä riippumatta lakien vuoksi.
Zenith Blueprint, Riskienhallinta-vaihe, Step 10.
Se antaa myös käytännön säännön työpajoihin:
”Kaikki riskit, jotka voivat johtaa sovellettavien lakien noudattamatta jättämiseen (GDPR jne.), eivät ole hyväksyttäviä, ja ne on lievennettävä.”
Zenith Blueprint, Riskienhallinta-vaihe, Step 10.
Sarahin fintech-yhtiössä tämä muuttaa pisteytysmallia. Toimittajan ohjelmointirajapinnan haavoittuvuuden todennäköisyys voi olla pieni, mutta jos sen hyväksikäyttö voisi laukaista DORA:n mukaisen merkittävän ICT:hen liittyvän poikkeaman, NIS2:n mukaisen merkittävän poikkeaman, GDPR:n mukaisen tietoturvaloukkauksen arvioinnin, asiakkaan SLA:n epäonnistumisen tai hallitustason eskaloinnin, vaikutus on suuri tai kriittinen. Vaatimustenmukaisuusaltistus kuuluu riskilogiikkaan, ei erilliseen laskentataulukkoon.
Rakenna riskirekisteri, jota auditoijat voivat testata
Auditoijat eivät kysy vain, mitkä ovat merkittävimmät riskinne. He testaavat, onko menetelmä määritelty, toistettava, jäljitettävä ja noudatettu.
He kysyvät:
- Miten nämä riskit tunnistettiin?
- Mitkä omaisuuserät, palvelut, toimittajat, tietotyypit ja prosessit olivat soveltamisalassa?
- Mitä kriteerejä käytettiin todennäköisyyden ja vaikutuksen arviointiin?
- Kuka omistaa kunkin riskin?
- Mitkä nykyiset kontrollit pienentävät riskiä?
- Miksi valittu käsittelypäätös tehtiin?
- Missä on näyttö siitä, että käsittely toteutettiin?
- Kuka hyväksyi jäännösriskin?
- Milloin riski arvioidaan uudelleen?
Clarysecin Riskienhallintapolitiikka - SME kuvaa riskimerkinnän vähimmäissisällön auditointia varten:
Jokaisen riskimerkinnän on sisällettävä kuvaus, todennäköisyys, vaikutus, pisteytys, omistaja ja riskienkäsittelysuunnitelma.
SME Riskienhallintapolitiikka, kohta ”Hallintavaatimukset”, politiikkalauseke 5.1.2.
Yritystason ohjelmissa Zenith Blueprint laajentaa rakennetta Riskienhallinta-vaiheen Step 11:ssä ”Riskirekisterin rakentaminen ja dokumentointi”. Se suosittelee sarakkeita, kuten riskitunnus, omaisuuserä, uhka, haavoittuvuus, riskikuvaus, todennäköisyys, vaikutus, riskitaso, nykyiset kontrollit, riskinomistaja, käsittelypäätös, riskienkäsittelysuunnitelma tai kontrollit sekä tila.
Vahva riskimerkintä näyttää tältä:
| Kenttä | Esimerkkimerkintä |
|---|---|
| Riskitunnus | R-042 |
| Omaisuuserä tai prosessi | Asiakastietojen käsittely kolmannen osapuolen maksu-API:n ja tuotantotietokannan kautta |
| Uhka | Kriittisen haavoittuvuuden hyväksikäyttö toimittajan API:ssa tai sitä tukevassa pilvitietokantapalvelussa |
| Haavoittuvuus | Rajallinen näkyvyys toimittajan haavoittuvuuksien hallintaan, puutteellinen palautustestaus ja testaamaton toimittajaloukkauksen pelikirja |
| Riskikuvaus | Toimittajan tai pilvipalvelun vaarantuminen voisi paljastaa taloudellisia tietoja, häiritä palvelua, laukaista sääntelyraportoinnin ja rikkoa asiakassopimuksia |
| Nykyiset kontrollit | SSO, roolipohjainen pääsy, toimittajasopimus, tuotannon lokitus, päivittäiset varmuuskopiot, neljännesvuosittainen käyttöoikeuskatselmointi |
| Todennäköisyys | Keskitaso |
| Vaikutus | Kriittinen |
| Riskitaso | Kriittinen |
| Riskinomistaja | CTO ja alustakehityksen johtaja |
| Käsittelypäätös | Lievennä |
| Sääntelykartoitus | ISO 27001 liite A:n toimittaja-, pilvi-, poikkeama-, lokitus-, pääsy-, jatkuvuus-, varmuuskopiointi- sekä laki- ja vaatimustenmukaisuuskontrollit; NIS2 Articles 20, 21, and 23; DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28, and 30; GDPR Articles 32, 33, and 34 |
| Näyttö | Toimittajan due diligence, auditointioikeuspyyntö, palautustestiraportti, SIEM-seurantasääntö, poikkeaman pöytäharjoitus, päivitetty SoA, johdon katselmuksen pöytäkirja |
Tämä eroaa olennaisesti merkinnästä ”Kolmannen osapuolen riski, korkea, lievennä”. Auditointivalmis versio yhdistää omaisuuserän, uhan, haavoittuvuuden, seurauksen, nykyiset kontrollit, omistajan, sääntelyn, näytön ja hallinnon.
Muuta riskien käsittely näyttösuunnitelmaksi
Riskienkäsittelysuunnitelman on vastattava neljään operatiiviseen kysymykseen:
- Mitä teemme?
- Kuka omistaa sen?
- Milloin se valmistuu?
- Miten osoitamme, että se pienensi riskiä?
ISO/IEC 27001:2022 kohta 6.1.3 edellyttää, että organisaatio valitsee riskien käsittelyvaihtoehdot, määrittää tarvittavat kontrollit, vertaa niitä liite A:han puutteiden välttämiseksi, tuottaa soveltuvuuslausunnon, laatii riskienkäsittelysuunnitelman ja hankkii riskinomistajan hyväksynnän suunnitelmalle ja jäännösriskeille. Kohta 8.3 edellyttää tämän jälkeen riskienkäsittelysuunnitelman toteutusta ja tuloksia koskevan dokumentoidun tiedon säilyttämistä.
Enterprise Riskienhallintapolitiikka tekee tästä käytännöllistä:
Riskivastaavan on varmistettava, että käsittelytoimet ovat realistisia, aikarajattuja ja kartoitettu ISO/IEC 27001 liite A:n kontrolleihin.
Enterprise Riskienhallintapolitiikka, kohta ”Politiikan toteutusvaatimukset”, politiikkalauseke 6.4.2.
SME-politiikka selventää myös, ettei hyväksyntä ole oikotie:
Hyväksy: Perustele, miksi lisätoimia ei tarvita, ja kirjaa jäännösriski.
SME Riskienhallintapolitiikka, kohta ”Politiikan toteutusvaatimukset”, politiikkalauseke 6.1.1.
Hyväksynnän on perustuttava kriteereihin, oikean omistajan hyväksyntään ja seurantaan. NIS2:n ja DORA:n näkökulmasta hyväksymätön jäännösriski voi muodostua hallintapuutteeksi.
Täydellisen riskienkäsittelysuunnitelman tulisi sisältää nämä kentät:
| Käsittelykenttä | Auditointitarkoitus |
|---|---|
| Riskitunnus | Yhdistää käsittelyn takaisin arvioituun riskiin |
| Käsittelyvaihtoehto | Osoittaa perustelun: lievennä, vältä, siirrä tai hyväksy |
| Valitut kontrollit | Yhdistää riskin liite A:han, politiikkoihin ja teknisiin suojatoimiin |
| Sääntelyperuste | Osoittaa NIS2-, DORA-, GDPR-, sopimus- tai asiakasmerkityksen |
| Toimenpiteen omistaja | Osoittaa vastuun |
| Määräpäivä | Tekee käsittelystä aikarajatun |
| Toteutusnäyttö | Osoittaa, että toimenpide on suoritettu |
| Vaikuttavuusmittari | Osoittaa, vähenikö todennäköisyys tai vaikutus |
| Jäännösriski | Osoittaa jäljelle jäävän altistuksen |
| Riskinomistajan hyväksyntä | Osoittaa hyväksynnän ja hallinnon |
Sarahin R-042-riskin osalta riskienkäsittelysuunnitelmasta tulee vaatimustenmukaisuuksien välinen toimenpidelista.
| Riskitunnus | Käsittelytoimi | ISO/IEC 27001:2022 liite A -viite | NIS2-merkitys | DORA-merkitys | Omistaja | Näyttö |
|---|---|---|---|---|---|---|
| R-042 | Käytä toimittajan auditointioikeuksia ja pyydä näyttöä haavoittuvuuksien hallinnasta | 5.19, 5.20, 5.21, 5.22, 5.31 | Article 21(2)(d) toimitusketjun turvallisuus | Articles 28 and 30 ICT-palveluihin liittyvien kolmansien osapuolten riskit ja sopimukset | CTO ja hankintavastaava | Auditointipyyntö, toimittajan vastaus, sopimuskatselmointi |
| R-042 | Toteuta tehostettu seuranta poikkeavalle API- ja etuoikeutetulle toiminnalle | 8.15, 8.16, 5.16, 5.17, 5.18 | Article 21(2)(i) pääsynhallinta ja omaisuudenhallinta | Articles 6 and 17 ICT-riskit ja poikkeamien hallinta | SOC-päällikkö | SIEM-sääntö, hälytystesti, käyttöoikeuskatselmointi |
| R-042 | Testaa varmuuskopioiden palautus ja määritä palvelutasoinen RTO ja RPO | 5.30, 8.13, 8.14 | Article 21(2)(c) liiketoiminnan jatkuvuus ja varmuuskopiointi | Articles 11 and 12 reagointi, toipuminen, varmuuskopiointi ja palautus | Alustakehityksen johtaja | Palautusraportti, RTO- ja RPO-hyväksyntä |
| R-042 | Toteuta toimittajaloukkauksen pöytäharjoitus | 5.24, 5.26, 5.27, 5.29 | Articles 21(2)(b) and 23 poikkeamien käsittely ja raportointi | Articles 17, 18, 19, and 24 poikkeamien hallinta, luokittelu, raportointi ja testaus | CISO | Pöytäharjoituksen tallenne, opit, korjaavien toimenpiteiden seuranta |
| R-042 | Päivitä SoA ja hyväksy jäännösriski | 5.4, 5.31, 5.35 | Article 20 johdon vastuu | Articles 5 and 6 hallinto ja ICT-riskien viitekehys | CISO ja riskinomistaja | Päivitetty SoA, hyväksyntätallenne, johdon katselmuksen pöytäkirja |
Tämä suunnitelma on vahva, koska se luo suoran yhteyden yhdestä riskiskenaariosta ISO 27001 -kontrolleihin, NIS2-velvoitteisiin, DORA-artikloihin, omistajiin ja näyttöön.
Hyödynnä soveltuvuuslausuntoa laajemmin
Soveltuvuuslausuntoa käsitellään usein sertifiointiartefaktina. Sen tulisi olla enemmän.
ISO/IEC 27001:2022 kohta 6.1.3 edellyttää, että SoA sisältää tarvittavat kontrollit, perustelut sisällyttämiselle, toteutustilan ja perustelut poissulkemisille. ISO/IEC 27005:2022 -ohjeistus vahvistaa tarvetta verrata valittuja kontrolleja ISO/IEC 27001 liite A:han puutteiden välttämiseksi.
Auditointivalmiissa ohjelmassa SoA:sta tulee silta riskien käsittelyn ja vaatimustenmukaisuuksien välisen näytön välillä. Jos riskienkäsittelysuunnitelma edellyttää MFA:ta, lokitusta, toimittajien seurantaa, varmuuskopioiden palautusta, turvallista kehittämistä, poikkeamien eskalointia tai pilvipalvelusta irtautumisen suunnittelua, SoA:n tulisi osoittaa, että asiaankuuluvat liite A:n kontrollit on sisällytetty, perusteltu, toteutettu tai suunniteltu ja näytetty toteen.
Tämä auttaa myös välttämään yleisen auditointihavainnon: riskirekisteri sanoo yhtä, riskienkäsittelysuunnitelma toista ja SoA vaikenee. Kun nämä artefaktit ovat ristiriidassa, auditoijat menettävät nopeasti luottamuksensa.
ISO 27001 -riskien käsittelyn kartoitus NIS2:een, DORA:an ja GDPR:ään
ISO 27001 ei korvaa NIS2:ta, DORA:a tai GDPR:ää. Se tarjoaa jäsennellyn mekanismin niiden edellyttämän näytön tuottamiseen.
Keskeistä on rakentaa kartoitus riskiprosessiin sen sijaan, että se liimataan päälle myöhemmin.
| ISO 27001 -riskien käsittelyn näyttö | NIS2-merkitys | DORA-merkitys | GDPR-merkitys |
|---|---|---|---|
| Riskikriteerit, joissa on sääntelyvaikutusten pisteytys | Tukee Article 21:n oikeasuhteisia kyberturvallisuuden riskienhallintatoimenpiteitä | Tukee Articles 4, 5, and 6:n oikeasuhteisuutta, hallintoa ja ICT-riskien viitekehystä | Tukee osoitusvelvollisuutta ja asianmukaista turvallisuutta |
| Riskirekisteri, jossa on omistajat ja CIA-vaikutus | Tukee Article 20:n johdon valvontaa ja Article 21:n riskianalyysiä | Tukee dokumentoitua ICT-riskienhallintaa ja omistajuutta | Tukee henkilötietoriskejä koskevan tietoisuuden osoittamista |
| Riskienkäsittelysuunnitelma kartoitettuna liite A:han | Tukee Article 21:n toimenpiteitä poikkeamien, jatkuvuuden, toimittajien, pääsynhallinnan, haavoittuvuuksien ja turvallisen kehittämisen osa-alueilla | Tukee ICT-kontrolleja, poikkeamien hallintaa, jatkuvuutta, testausta ja kolmansien osapuolten häiriönsietokykyä | Tukee Article 32:n mukaisia teknisiä ja organisatorisia toimenpiteitä |
| Toimittajariskimerkinnät ja sopimuskontrollit | Tukee Article 21(2)(d):n toimitusketjun turvallisuutta | Tukee Articles 28 and 30:n ICT-palveluihin liittyvien kolmansien osapuolten riski- ja sopimusvaatimuksia | Tukee käsittelijöitä ja siirtoja koskevia suojatoimia soveltuvin osin |
| Poikkeamaskenaariot ja raportoinnin pelikirjat | Tukee Article 23:n merkittävien poikkeamien raportointiprosessia | Tukee Articles 17, 18, and 19:n poikkeamien hallintaa, luokittelua ja raportointia | Tukee Articles 33 and 34:n tietoturvaloukkauksista ilmoittamisen arviointia |
| BCP-, varmuuskopiointi- ja palautuskäsittelyt | Tukee Article 21(2)(c):n jatkuvuutta, varmuuskopiointia, katastrofipalautusta ja kriisinhallintaa | Tukee Articles 11 and 12:n reagointia, toipumista, varmuuskopiointia ja palautusta | Tukee saatavuutta ja häiriönsietokykyä, kun henkilötietoja käsitellään |
| Kontrollien vaikuttavuuskatselmoinnit | Tukee Article 21(2)(f):n vaikuttavuuden arviointia | Tukee Article 24:n testaus- ja korjaavien toimenpiteiden odotuksia | Tukee jatkuvaa osoitusvelvollisuutta |
Tämä kartoitus on erityisen tärkeä silloin, kun sääntelyt menevät päällekkäin. DORA on monille finanssialan toimijoille toimialakohtainen ICT-häiriönsietokyvyn sääntelykehikko, kun taas NIS2 voi edelleen olla suoraan merkityksellinen tietyille palveluntarjoajille, koordinoinnille tai DORA:n soveltamisalan ulkopuolisille toimijoille. Fintech-yhtiölle DORA voi olla ensisijainen ICT-häiriönsietokyvyn viitekehys, kun taas kyseistä fintech-yhtiötä tukeva hallinnoitu palveluntarjoaja voi olla suoraan NIS2-velvoitteiden piirissä.
Riskirekisterin on pystyttävä osoittamaan riippuvuuden molemmat puolet.
Käytä Zenith Controlsia vaatimustenmukaisuuksien välisenä kompassina
Clarysec käyttää Zenith Controlsia vaatimustenmukaisuuksien välisenä oppaana estääkseen yleisen epäonnistumisen, jossa ISO-kontrollit, sääntelyartiklat ja auditointikysymykset elävät erillisissä maailmoissa. Se ei luo erillistä kontrolliviitekehystä. Se kartoittaa ISO/IEC 27001:2022- ja ISO/IEC 27002:2022 -kontrollialueet muihin standardeihin, auditointiodotuksiin ja vaatimustenmukaisuusnäkökulmiin.
ISO 27001 -riskienarvioinnin ja riskien käsittelyn kannalta nämä viitteet ovat erityisen tärkeitä:
| ISO/IEC 27001:2022 liite A -viite Zenith Controlsissa | Miksi se on tärkeä riskienarvioinnille ja käsittelylle | Zenith Controlsissa kuvatut attribuutit |
|---|---|---|
| 5.4 Johdon vastuut | Yhdistää riskien käsittelyn omistajuuden hallintoon, roolien selkeyteen ja vastuun osoitettavuuteen | Ennaltaehkäisevä kontrolli, tukee luottamuksellisuutta, eheyttä ja saatavuutta, kartoitettu osa-alueisiin Identify, Governance, Governance and Ecosystem |
| 5.31 Lakisääteiset, sääntelyyn perustuvat ja sopimusperusteiset vaatimukset | Yhdistää vaatimustenmukaisuusrekisterin riskikriteereihin, käsittelypäätöksiin ja SoA-sisällyttämiseen | Ennaltaehkäisevä kontrolli, tukee luottamuksellisuutta, eheyttä ja saatavuutta, kartoitettu osa-alueisiin Identify, Legal and Compliance, Governance, Ecosystem ja Protection |
| 5.35 Tietoturvallisuuden riippumaton katselmointi | Yhdistää sisäisen tarkastuksen, ulkoisen auditoinnin ja johdon varmentamisen käsittelytoimien vaikuttavuuteen | Ennaltaehkäisevä ja korjaava kontrolli, tukee luottamuksellisuutta, eheyttä ja saatavuutta, kartoitettu osa-alueisiin Identify ja Protect, Information Security Assurance, Governance and Ecosystem |
Vaatimustenmukaisuuksien välinen opetus on yksinkertainen. Jos lakisääteiset velvoitteet eivät ole mukana riskienarviointimenetelmässä, pisteytys on puutteellinen. Jos pisteytys on puutteellinen, käsittelyprioriteetit voivat olla vääriä. Jos prioriteetit ovat vääriä, SoA:sta ja hallitusraportoinnista tulee epäluotettavia.
Zenith Blueprint tekee saman havainnon Riskienhallinta-vaiheen Step 14:ssä ”Riskien käsittelyn politiikat ja sääntelyviitteet”. Se ohjeistaa organisaatioita luomaan kartoitustaulukon, jossa luetellaan keskeiset sääntelyyn perustuvat turvallisuusvaatimukset ja niitä vastaavat ISMS:n kontrollit tai politiikat. Tämä ei ole pakollista ISO 27001 -sertifioinnissa, mutta se on erittäin hyödyllistä osoitettaessa, että turvallisuutta hallitaan lakisääteisessä ja sopimusperusteisessa kontekstissa.
Mitä eri auditoijat kysyvät
Sertifiointiauditoija, NIS2-arvioija, DORA-suuntautunut asiakas, GDPR-arvioija, NIST-arvioija tai COBIT-asiantuntija voi tarkastella samaa näyttöä mutta esittää eri kysymyksiä.
| Auditoijan näkökulma | Tyypillinen auditointikysymys | Odotettu näyttö |
|---|---|---|
| ISO 27001 -auditoija | Onko riskienarviointimenetelmä määritelty, toistettava, sovellettu ja yhdistetty käsittelyyn ja SoA:han? | Riskimenetelmä, kriteerit, rekisteri, SoA, riskienkäsittelysuunnitelma, jäännösriskien hyväksynnät |
| NIS2-suuntautunut arvioija | Kattavatko kyberturvallisuustoimenpiteet Article 21:n osa-alueet ja johdon vastuun? | Hallituksen hyväksynnät, Article 21 -kartoitus, poikkeamien pelikirja, jatkuvuusnäyttö, toimittajariskinäyttö |
| DORA-suuntautunut arvioija | Onko ICT-riskienhallinta dokumentoitu, hallinnoitu, testattu ja ulotettu ICT-palveluihin liittyviin kolmansiin osapuoliin? | ICT-riskien viitekehys, poikkeamien luokitteluprosessi, BCP-testit, häiriönsietokyvyn testaus, ICT-toimittajarekisteri |
| GDPR-arvioija | Voiko organisaatio osoittaa asianmukaisen turvallisuuden ja osoitusvelvollisuuden henkilötietoriskeissä? | Tietoaineistorekisteri, oikeusperusteen kartoitus, tietoturvaloukkauksen arviointimenettely, tietosuojariskien käsittelynäyttö |
| NIST-suuntautunut arvioija | Tunnistetaanko riskit ja suojataanko, havaitaanko, reagoidaanko ja palaudutaanko niistä mitattavien kontrollien avulla? | Riskiskenaariot, omaisuusluettelo, kontrollien toteutus, seuranta, reagointi- ja palautumistallenteet |
| COBIT- tai ISACA-auditoija | Onko riskien hallinta linjassa yrityksen tavoitteiden, roolien, suorituskyvyn, varmentamisen ja johdon raportoinnin kanssa? | Hallintopöytäkirjat, RACI, KRI:t, sisäisen tarkastuksen havainnot, korjaavien toimenpiteiden seuranta, hallintanäkymät |
Siksi näyttöarkkitehtuurilla on merkitystä. Saman riskimerkinnän tulisi olla jäljitettävissä liiketoimintatavoitteesta omaisuuserään, uhkaan, haavoittuvuuteen, kontrolliin, omistajaan, sääntelyperusteeseen, käsittelytoimeen, testitulokseen ja johdon päätökseen.
Clarysec-politiikat on suunniteltu tukemaan tätä arkkitehtuuria. Enterprise Riskienhallintapolitiikka toteaa kohdassa ”Viitestandardit ja viitekehykset”:
Article 5: Edellyttää dokumentoitua ICT-riskienhallinnan viitekehystä, jonka tämän politiikan rakenne kattaa kokonaan, mukaan lukien SoA-kartoitus ja KRI:t.
Tämä muuttaa politiikan staattisesta asiakirjasta auditointinäytöksi, joka osoittaa, että ICT-riskien hallinta on suunniteltu tarkoituksellisesti DORA huomioiden.
Yleiset havainnot, jotka rikkovat riskiohjelmat
Kun Clarysec katselmoi ISO 27001 -riskienarvioinnin ja riskien käsittelyn näyttöä, samat havainnot toistuvat.
Ensinnäkin riskikriteerit sivuuttavat lakisääteisen, sääntelyyn perustuvan, sopimusperusteisen, toimittajiin liittyvän ja tietosuojavaikutuksen. Tämä johtaa heikkoon pisteytykseen. Henkilötietojen tietoturvaloukkaus tai kriittisen toimittajan epäonnistuminen voidaan arvioida keskitasoiseksi, koska todennäköisyys on pieni, vaikka GDPR-, NIS2-, DORA- tai asiakasvaikutuksen tulisi nostaa se korkeaksi tai kriittiseksi.
Toiseksi riskinomistajat ovat geneerisiä. ”IT” ei ole riskinomistaja. Riskinomistajan tulisi olla rooli tai henkilö, joka vastaa käsittelypäätöksistä, budjetista, aikataulusta ja jäännösriskistä.
Kolmanneksi riskienkäsittelysuunnitelmat eivät ole aikarajattuja. ”Paranna seurantaa” ei ole suunnitelma. ”Ota käyttöön etuoikeutettujen istuntojen hälytykset SIEMissä tuotannon ylläpitotileille 30. kesäkuuta mennessä, omistajana SOC-päällikkö, testattu simuloidulla ylläpitokirjautumisella ja hälytysnäyttö liitettynä” on suunnitelma.
Neljänneksi SoA on irti riskien käsittelystä. Jos riskienkäsittelysuunnitelma edellyttää toimittajien seurantaa, varmuuskopiointitestausta, poikkeamien eskalointia, MFA:ta tai lokitusta, SoA:n tulisi kuvata asiaankuuluvat kontrollit ja niiden toteutustila.
Viidenneksi jäännösriskiä ei ole hyväksytty. ISO 27001 edellyttää, että riskinomistaja hyväksyy riskienkäsittelysuunnitelman ja jäännösriskit. NIS2 ja DORA tekevät tästä vielä tärkeämpää, koska johdon vastuu on nimenomainen.
Kuudenneksi toimittajariskiä käsitellään hankinnan hallintotehtävänä. NIS2 Article 21(2)(d):n ja DORA Articles 28 and 30:n mukaan toimittaja- ja ICT-palveluihin liittyvien kolmansien osapuolten riskien on oltava osa riskienhallintaa, ei erillään säilytettävä vuosittainen kyselylomake.
Seitsemänneksi vaikuttavuudesta ei ole näyttöä. ISO 27001 kohta 6.1.1 edellyttää, että suunniteltujen toimenpiteiden vaikuttavuus arvioidaan. NIS2 sisältää vaikuttavuuden arvioinnin Article 21(2)(f):ssä. DORA edellyttää testausta ja korjaavia toimenpiteitä. Kontrolli, joka on olemassa mutta jota ei koskaan testata, on heikkoa näyttöä.
SME Riskienhallintapolitiikka - SME asettaa odotuksen selkeästi:
Toimitusjohtajan ja riskikoordinaattorin on varmistettava, että riskienhallintatoimet ovat auditointivalmiita. Riskirekisteri ja siihen liittyvät toimet kuuluvat sisäisen ja ulkoisen auditoinnin piiriin.
SME Riskienhallintapolitiikka, kohta ”Soveltaminen ja vaatimustenmukaisuus”, politiikkalauseke 8.2.1.
Hallitusraportointi ilman johdon hukuttamista yksityiskohtiin
NIS2, DORA ja ISO 27001 osoittavat kaikki kohti johdon vastuuta, mutta hallitukset eivät tarvitse jokaista riskiriviä. Ne tarvitsevat päätöksentekoa tukevaa raportointia.
Hyvän hallituksen riskipaketin tulisi näyttää:
- Korkeat ja kriittiset riskit osa-alueittain
- Myöhässä olevat käsittelytoimet
- Sääntelyriskit, jotka liittyvät NIS2:een, DORA:an, GDPR:ään tai sopimuksiin
- Toimittajariskit, jotka vaikuttavat kriittisiin tai tärkeisiin palveluihin
- Poikkeama- ja läheltä piti -trendit
- Hyväksyntää odottavat jäännösriskit
- Kontrollien vaikuttavuustestien tulokset
- Olennaiset muutokset soveltamisalaan, toimittajiin, teknologiaan tai lainsäädäntöön
- Sisäisen tarkastuksen havainnot ja korjaavat toimenpiteet
Clarysec suosittelee yleensä kuukausittaisia operatiivisia riskikatselmointeja ja neljännesvuosittaisia johdon katselmuksia. Kuukausittaiset katselmoinnit keskittyvät käsittelytoimien toteutukseen. Neljännesvuosittaiset katselmukset keskittyvät hyväksyntään, rahoitukseen, priorisointiin, sääntelyaltistukseen ja strategisiin riskipäätöksiin.
Tämä rytmi tukee myös jatkuvaa parantamista. Riskienarvioinnit tulisi päivittää, kun poikkeamia tapahtuu, haavoittuvuuksia ilmenee, uusia omaisuuseriä otetaan käyttöön, teknologia muuttuu, toimittajat vaihtuvat, lait muuttuvat, asiakasvelvoitteet muuttuvat tai riskinottohalukkuus muuttuu.
Clarysecin toteutuspolku
Yhtenäinen riskiohjelma välttää irralliset ISO-, NIS2-, DORA-, GDPR- ja asiakasvarmennuksen laskentataulukot. Käytännön polku on seuraava:
- Vahvista ISMS:n soveltamisala, palvelut, omaisuuserät, toimittajat, lainkäyttöalueet ja asiakasvelvoitteet.
- Rakenna tai päivitä vaatimustenmukaisuusrekisteri käyttäen tarvittaessa Laki- ja sääntelyvaatimusten noudattamisen politiikka - SME -politiikkaa.
- Määritä riskimenetelmä, hyväksymiskriteerit, todennäköisyysasteikot, vaikutusasteikot ja sääntelyvaikutusta koskevat säännöt.
- Rakenna riskirekisteri hyödyntämällä Zenith Blueprintin Riskienhallinta-vaihetta ja Clarysecin Risk Register and SoA Builder -lähestymistapaa.
- Tunnista omaisuuseräperusteiset ja skenaariopohjaiset riskit, mukaan lukien toimittaja-, pilvi-, tietosuoja-, jatkuvuus-, poikkeama-, haavoittuvuus-, turvallisen kehittämisen ja pääsynhallinnan skenaariot.
- Pisteytä riskit kriteereillä, jotka sisältävät lakisääteisen, sääntelyyn perustuvan, sopimusperusteisen, operatiivisen, tietosuoja-, toimittaja- ja taloudellisen vaikutuksen.
- Valitse käsittelyvaihtoehdot: lievennä, vältä, siirrä tai hyväksy.
- Kartoita tarvittavat kontrollit ISO/IEC 27001:2022 liite A:han ja ISO/IEC 27002:2022 -ohjeistukseen.
- Luo tai päivitä soveltuvuuslausunto.
- Kartoita käsittelytoimet NIS2 Article 21:een, DORA:n ICT-riskienhallinnan ja kolmansia osapuolia koskeviin odotuksiin, GDPR:n osoitusvelvollisuuteen ja asiakkaiden sopimusvelvoitteisiin.
- Kerää näyttö, validoi kontrollien vaikuttavuus ja hanki jäännösriskin hyväksyntä.
- Valmistele auditointipaketti, joka on järjestetty riskin, kontrollin, sääntelyn ja näyttöartefaktin mukaan.
- Syötä tulokset johdon katselmukseen, sisäiseen tarkastukseen, korjaaviin toimenpiteisiin ja jatkuvaan parantamiseen.
Tämä ei ole paperityötä paperityön vuoksi. Se on puolustettavan kyberhallinnon käyttöjärjestelmä.
Rakenna auditointivalmis riskienkäsittelypaketti
Sarahin tarina päättyy hyvin, koska hän lakkasi käsittelemästä ISO 27001:tä, NIS2:ta ja DORA:a erillisinä vaatimustenmukaisuushankkeina. Hän käytti ISO 27001 -riskienarviointia keskeisenä moottorina, sisällytti sääntelyvelvoitteet riskikriteereihin, kartoitti käsittelytoimet liite A:han ja EU-vaatimuksiin sekä keräsi näyttöä, jonka asiakkaat, auditoijat ja hallitus pystyivät ymmärtämään.
Organisaatiosi voi tehdä samoin.
Käytä Zenith Blueprint: auditoijan 30 vaiheen tiekarttaa riskikriteerien määrittämiseen, riskirekisterin rakentamiseen, riskienkäsittelysuunnitelman luomiseen ja sääntelyvaatimusten ristiviittaamiseen.
Käytä Zenith Controls: vaatimustenmukaisuuksien välistä opasta yhdistääksesi ISO/IEC 27001:2022 liite A:n kontrollialueet hallintoon, lakisääteisten vaatimusten noudattamiseen, varmentamiseen ja auditointinäkökulmiin.
Käytä Clarysecin Riskienhallintapolitiikkaa, Riskienhallintapolitiikka - SME ja Laki- ja sääntelyvaatimusten noudattamisen politiikka - SME omistajuuden, rekisterien, käsittelypäätösten ja auditointivalmiin näytön standardointiin.
Nopein käytännön seuraava askel on ottaa kymmenen merkittävintä riskiänne ja testata ne viidellä kysymyksellä:
- Näkyykö sääntelyvaikutus?
- Onko riskienkäsittelysuunnitelma aikarajattu ja omistettu?
- Onko jokainen käsittelytoimi kartoitettu liite A:han ja SoA:han?
- Onko NIS2-, DORA-, GDPR- tai asiakasmerkitys dokumentoitu soveltuvin osin?
- Onko olemassa näyttöä siitä, että kontrolli toimii?
Jos vastaus on ei, Clarysec voi auttaa muuttamaan riskirekisterisi puolustettavaksi, vaatimustenmukaisuuksien väliseksi riskienkäsittelyohjelmaksi, johon auditoijat, sääntelyviranomaiset, asiakkaat ja hallitukset voivat luottaa.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
