ISO 27001 -auditointinäyttö NIS2:n ja DORA:n tueksi
On tiistai klo 08.17, ja nopeasti kasvavan fintech-SaaS-yhtiön CISO:lla on kolme viestiä odottamassa.
Ensimmäinen on suurelta pankkiasiakkaalta: ”Lähettäkää viimeisin sisäinen auditointiraporttinne, johdon katselmuksen pöytäkirjat, korjaavien toimenpiteiden tila, poikkeamien ilmoitusmenettely, toimittajarekisteri ja näyttö hallituksen valvonnasta.”
Toinen on CFO:lta: ”Kuulummeko NIS2:n tai DORA:n soveltamisalaan, ja mitä näyttöä meillä jo on?”
Kolmas on CEO:lta: ”Voimmeko sanoa, että olemme auditointivalmiita?”
Monessa organisaatiossa epämukava vastaus ei ole se, ettei mitään tapahdu. Tilanne on pahempi. Tietoturvatyötä tehdään kaikkialla, mutta näyttöä ei ole missään. Kontrollit ovat olemassa, mutta auditointijälki puuttuu. Tikettejä on, mutta selkeä yhteys riskeihin puuttuu. Johdolle annetaan päivityksiä, mutta muodollisia johdon katselmuksen tuotoksia ei synny. Toimittajista keskustellaan, mutta puolustettavaa toimittajarekisteriä, sopimuskatselmointia tai exit-strategiaa ei ole.
Juuri tässä kohdassa ISO/IEC 27001:2022 -standardin mukainen sisäinen auditointi ja johdon katselmus muuttuvat pelkkiä sertifiointitoimia laajemmiksi. Niistä tulee toimintarytmi NIS2:lle, DORA:lle, GDPR:lle, asiakkaiden varmentamiselle, kybervakuutukselle ja hallituksen vastuuvelvollisuudelle.
SaaS-, pilvi-, MSP-, MSSP- ja fintech-tiimit epäonnistuvat harvoin siksi, ettei tietoturvatoimintaa olisi. Ne epäonnistuvat siksi, että toiminta hajautuu Slackiin, Jiraan, taulukoihin, toimittajaportaaleihin, SOC-tiketteihin, hankinta-aineistoihin ja hallituksen esityksiin. Viranomainen, ulkoinen auditoija tai yritysasiakas ei halua sankarillista selitystä. He haluavat objektiivista näyttöä.
Käytännön ratkaisu ei ole erillisten auditointiohjelmien ylläpito jokaiselle viitekehykselle. Ratkaisu on käyttää ISO 27001 -standardin mukaista ISMS:ää keskitettynä näyttömoottorina ja merkitä näyttö NIS2:n, DORA:n, GDPR:n ja sopimusvaatimusten mukaisesti. Hyvin toteutettuna yksi sisäisen auditoinnin sykli ja yksi johdon katselmuksen sykli voivat vastata useisiin vaatimustenmukaisuuskysymyksiin.
Viitekehysväsymyksestä yhtenäiseen ISMS-näyttömalliin
Moni CISO kohtaa Marian tilanteen. Maria vastaa tietoturvasta B2B-SaaS-yhtiössä, jolla on finanssisektorin asiakkaita. Hänen tiiminsä läpäisi ISO/IEC 27001:2022 -sertifiointiauditoinnin kuusi kuukautta sitten. ISMS kypsyy, politiikkoja noudatetaan ja kontrollien omistajat ymmärtävät vastuunsa. Sitten CEO välittää kaksi artikkelia, yhden NIS2-direktiivistä ja yhden DORA:sta, lyhyellä kysymyksellä: ”Olemmeko katettuja?”
Vastaus riippuu soveltamisalasta, palveluista, asiakkaista ja oikeushenkilöistä. Operatiivinen vastaus on kuitenkin selvä: jos Maria käsittelee NIS2:ta ja DORA:a erillisinä vaatimustenmukaisuushankkeina, hän luo päällekkäistä työtä, epäyhtenäistä näyttöä ja kasvavaa auditointiväsymystä. Jos hän käsittelee niitä ISMS:n sidosryhmävaatimuksina, hän voi käyttää ISO 27001:tä vaatimusten tunnistamiseen, testaamiseen ja valmiuden osoittamiseen.
ISO/IEC 27001:2022 on suunniteltu tätä varten. Kohta 4 edellyttää, että organisaatio ymmärtää toimintaympäristönsä ja sidosryhmien vaatimukset, mukaan lukien lakisääteiset, sääntelyyn perustuvat, sopimusperusteiset ja riippuvuuksista johtuvat velvoitteet. Kohta 5 edellyttää johtajuutta ja integrointia liiketoimintaprosesseihin. Kohta 6 edellyttää riskien arviointia ja riskien käsittelyä. Kohta 9 edellyttää suorituskyvyn arviointia seurannan, sisäisen auditoinnin ja johdon katselmuksen avulla. Kohta 10 edellyttää parantamista ja korjaavia toimenpiteitä.
NIS2 ja DORA sopivat tähän rakenteeseen luontevasti.
NIS2 edellyttää, että keskeiset ja tärkeät toimijat toteuttavat asianmukaiset ja oikeasuhtaiset tekniset, operatiiviset ja organisatoriset kyberturvallisuusriskien hallintatoimenpiteet. Se asettaa myös hallintoelimille vastuun hyväksyä nämä toimenpiteet, valvoa niiden toteutusta ja olla vastuussa rikkomuksista. Vähimmäistoimenpiteet kattavat riskianalyysin, poikkeamien käsittelyn, liiketoiminnan jatkuvuuden, toimitusketjun turvallisuuden, turvallisen kehittämisen, haavoittuvuuksien käsittelyn, vaikuttavuuden arvioinnin, koulutuksen, kryptografian, henkilöstöturvallisuuden, pääsynhallinnan, omaisuudenhallinnan sekä tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen.
DORA:a sovelletaan 17. tammikuuta 2025 alkaen, ja se luo finanssialan toimijoille sektorikohtaisen digitaalisen operatiivisen häiriönsietokyvyn järjestelmän. Se edellyttää hallintoelimen vastuuta ICT-riskien hallinnasta, dokumentoitua ICT-riskienhallinnan viitekehystä, digitaalisen operatiivisen häiriönsietokyvyn strategiaa, ICT-jatkuvuus- ja palautussuunnitelmia, häiriönsietokyvyn testausta, ICT-poikkeamien hallintaa ja ICT-kolmansien osapuolten riskienhallintaa. Finanssialan toimijoita palveleville SaaS- ja pilvipalveluntarjoajille DORA voi näkyä sopimusvelvoitteina, asiakkaiden auditointeina ja ICT-kolmansien osapuolten riskienhallinnan odotuksina, vaikka palveluntarjoaja ei itse olisi finanssialan toimija.
GDPR lisää osoitusvelvollisuuden kerroksen. Kun henkilötietoja käsitellään GDPR:n soveltamisalassa, organisaation on pystyttävä osoittamaan tietosuojaperiaatteiden sekä asianmukaisten teknisten ja organisatoristen toimenpiteiden noudattaminen.
ISO 27001 ei ole taikasertifikaatti näiden velvoitteiden täyttämiseen. Se on hallintajärjestelmä, jolla velvoitteet voidaan jäsentää, todentaa ja kehittää.
Soveltamisalakysymys: mitä osoitatte ja kenelle?
Ennen auditointivalmiin näyttöaineiston rakentamista johdon on vastattava peruskysymykseen: mitkä velvoitteet kuuluvat soveltamisalaan?
SaaS- ja pilviliiketoiminnoissa NIS2:n soveltamisala voi olla odotettua laajempi. NIS2 koskee luetelluilla toimialoilla toimivia julkisia tai yksityisiä toimijoita, jotka täyttävät kokorajat, sekä tiettyjä suuren vaikutuksen toimijoita koosta riippumatta. Asiaankuuluvia toimialoja voivat olla digitaalinen infrastruktuuri, pilvipalveluntarjoajat, datakeskuspalvelujen tarjoajat, sisällönjakeluverkot, luottamuspalvelujen tarjoajat, yleisten sähköisten viestintäpalvelujen tarjoajat sekä B2B-ICT-palvelunhallinnan toimijat, kuten hallinnoidut palveluntarjoajat ja hallinnoidut tietoturvapalveluntarjoajat. SaaS-palveluntarjoajien tulee kiinnittää erityistä huomiota siihen, miten palvelut toimitetaan, mitä toimialoja ne tukevat ja mahdollistavatko ne on-demand-hallinnan ja laajan etäkäytön skaalautuviin jaettuihin laskentaresursseihin.
Fintech- ja finanssisektorin palveluntarjoajien osalta DORA on analysoitava erikseen. DORA kattaa suoraan laajan joukon finanssialan toimijoita, kuten luottolaitokset, maksulaitokset, tilitietopalveluntarjoajat, sähköisen rahan liikkeeseenlaskijat, sijoituspalveluyritykset, kryptovarapalveluntarjoajat, kaupankäyntipaikat, rahastonhoitajat, vakuutus- ja jälleenvakuutusyritykset sekä joukkorahoituspalveluntarjoajat. ICT-kolmannen osapuolen palveluntarjoajat ovat myös osa DORA-ekosysteemiä, koska finanssialan toimijoiden on hallittava ICT-riippuvuuksiaan, ylläpidettävä sopimusjärjestelyjen rekistereitä ja sisällytettävä erityisiä sopimusmääräyksiä ICT-palveluihin, jotka tukevat kriittisiä tai tärkeitä toimintoja.
NIS2 ja DORA myös limittyvät. Jos sektorikohtainen EU-säädös asettaa vastaavat kyberturvallisuusriskien hallintaa tai poikkeamailmoituksia koskevat vaatimukset, vastaavia NIS2-säännöksiä ei välttämättä sovelleta kyseisiin toimijoihin kyseisillä osa-alueilla. DORA on finanssialan toimijoiden sektorikohtainen operatiivisen häiriönsietokyvyn järjestelmä. Tämä ei tee NIS2:sta merkityksetöntä kaikille ympäröiville palveluntarjoajille. Se tarkoittaa, että näyttömallin on erotettava, onko organisaatio suoraan DORA:n alainen finanssialan toimija, finanssialan toimijoita tukeva ICT-kolmannen osapuolen palveluntarjoaja, NIS2:n soveltamisalaan kuuluva SaaS-palveluntarjoaja vai konserni, jolla on useita oikeushenkilöitä ja palvelulinjoja.
Tämä soveltamisalaan liittyvä analyysi kuuluu ISMS:n toimintaympäristöön ja sidosryhmärekisteriin. Ilman sitä auditointisuunnitelma testaa vääriä asioita.
Yksi auditointijälki, monta vaatimustenmukaisuuskysymystä
Yleinen virhe on luoda erilliset näyttöaineistot ISO 27001:lle, NIS2:lle, DORA:lle, GDPR:lle, kybervakuutukselle ja asiakasauditoinneille. Tämä johtaa päällekkäisyyksiin ja ristiriitaisiin vastauksiin. Parempi lähestymistapa on yksi näyttömalli, jota tarkastellaan useista näkökulmista.
Keskellä on ISMS. Sen ympärille sijoittuu viisi näyttöperhettä.
| Näyttöperhe | Mitä se osoittaa | Tyypilliset tallenteet |
|---|---|---|
| Hallinnon näyttö | Johto on hyväksynyt, resursoinut ja katselmoinut ISMS:n | Tietoturvapolitiikka, roolit, auditointisuunnitelma, johdon katselmuksen pöytäkirjat, hallitusraportointi |
| Riskinäyttö | Riskit on tunnistettu, arvioitu, omistettu ja käsitelty | Riskikriteerit, riskirekisteri, riskienkäsittelysuunnitelma, soveltuvuuslausunto, jäännösriskin hyväksynnät |
| Kontrollinäyttö | Kontrollit toimivat suunnitellusti | Käyttöoikeuksien tarkastukset, palautustestit, valvontahälytykset, haavoittuvuusraportit, toimittajien due diligence -arvioinnit, turvallisen kehittämisen tallenteet |
| Varmennusnäyttö | Riippumattomat tai sisäiset tarkastukset tunnistivat puutteita ja varmistivat vaatimustenmukaisuuden | Sisäinen auditointisuunnitelma, auditoinnin tarkistuslista, auditointiraportti, poikkeamaloki, CAPA-loki |
| Parantamisnäyttö | Havainnot johtivat korjaukseen, juurisyyanalyysiin ja jatkuvaan parantamiseen | Korjaavien toimenpiteiden suunnitelmat, opitut asiat, johdon päätökset, päivitetyt politiikat, uudelleentestauksen tallenteet |
Tämä rakenne on linjassa Zenith Blueprint: Auditoijan 30 vaiheen tiekartta Zenith Blueprint -mallin kanssa. Auditointi-, katselmointi- ja parantamisvaiheessa vaihe 25 keskittyy sisäiseen auditointiohjelmaan, vaihe 26 auditoinnin toteutukseen, vaihe 28 johdon katselmukseen ja vaihe 29 jatkuvaan parantamiseen.
Blueprintin vaiheen 25 ohjeistus on tarkoituksella käytännönläheinen:
”Laadi aikataulu, josta käy ilmi milloin auditoinnit toteutetaan ja mitä ne kattavat.”
”Käytä sisäisen auditointisuunnitelman mallipohjaa, jos sellainen on saatavilla. Se voi olla yksinkertainen asiakirja tai taulukko, jossa luetellaan auditointipäivät, soveltamisala ja nimetyt auditoijat.”
Lähde: Zenith Blueprint, auditointi-, katselmointi- ja parantamisvaihe, vaihe 25: sisäinen auditointiohjelma Zenith Blueprint
Tämä yksinkertainen auditointisuunnitelma muuttuu tehokkaaksi, kun se on riskiperusteinen ja merkitty NIS2-, DORA- ja GDPR-velvoitteisiin.
ISO 27001 -kontrollit, jotka ankkuroivat auditointivalmiuden
Auditointivalmiuden kannalta kolme ISO/IEC 27002:2022 -kontrollia ovat erityisen tärkeitä, kun niitä tulkitaan Zenith Controls: The Cross-Compliance Guide Zenith Controls -oppaan kautta:
- 5.4 Johdon vastuut
- 5.35 Tietoturvan riippumaton katselmointi
- 5.36 Tietoturvaa koskevien politiikkojen, sääntöjen ja standardien noudattaminen
Nämä eivät ole erillisiä ”Zenith-kontrolleja”. Ne ovat ISO/IEC 27002:2022 -kontrolleja, joita Zenith Controls auttaa kartoittamaan, auditoimaan ja tulkitsemaan viitekehysten välillä.
Kontrolli 5.4 kysyy, onko tietoturvavastuut osoitettu ja ymmärretty. Kontrolli 5.35 kysyy, katselmoidaanko tietoturvaa riippumattomasti. Kontrolli 5.36 kysyy, noudattaako organisaatio politiikkojaan, sääntöjään ja standardejaan.
Zenith Controls luokittelee kontrollin 5.35 varmennuslähtöisesti:
ISO/IEC 27002:2022 -kontrolli 5.35, ”Tietoturvan riippumaton katselmointi”, käsitellään Zenith Controls -oppaassa luokassa ”ennaltaehkäisevä, korjaava”. Se tukee luottamuksellisuutta, eheyttä ja saatavuutta kyberturvallisuuskäsitteiden ”tunnista” ja ”suojaa” kautta, ja sen operatiivinen kyvykkyys on ”tietoturvan varmentaminen”. Zenith Controls
Tämä on tärkeää, koska sisäinen auditointi on sekä ennaltaehkäisevää että korjaavaa. Se ehkäisee sokeita pisteitä testaamalla ISMS:ää ennen ulkoista tarkastelua ja korjaa heikkouksia dokumentoitujen toimenpiteiden kautta.
Laajempi ristiinkartoitus lähtee NIS2- ja DORA-vaatimuksista ja tunnistaa sen jälkeen ISO 27001 -näytön, jolla vaatimukset voidaan osoittaa.
| Sääntelyteema | ISO/IEC 27001:2022- ja ISO/IEC 27002:2022 -näyttö | Käytännön auditointifokus |
|---|---|---|
| Johdon vastuuvelvollisuus | Kohdat 5, 9.3 ja kontrollit 5.2, 5.4, 5.35, 5.36 | Johdon hyväksynnät, katselmointipöytäkirjat, roolien osoittaminen, CAPA-päätökset |
| Riskianalyysi ja tietoturvapolitiikat | Kohdat 4, 6.1, 6.2 ja kontrollit 5.1, 5.7, 5.9, 5.31 | Riskikriteerit, riskirekisteri, politiikkahyväksynnät, lakisääteiset ja sopimusperusteiset vaatimukset |
| Poikkeamien käsittely | Kontrollit 5.24, 5.25, 5.26, 5.27, 5.28 | Luokittelu, eskalointi, reagointitallenteet, opitut asiat, todistusaineiston säilyttäminen |
| Liiketoiminnan jatkuvuus ja palautuminen | Kontrollit 5.29, 5.30, 8.13 | Jatkuvuussuunnitelmat, ICT-valmius, varmuuskopioiden palautustestit, palautumismittarit |
| Toimittaja- ja pilviriski | Kontrollit 5.19, 5.20, 5.21, 5.22, 5.23 | Toimittajien due diligence -arvioinnit, sopimukset, seuranta, pilvipalvelujen exit-suunnitelmat, keskittymäriski |
| Turvallinen kehittäminen ja haavoittuvuudet | Kontrollit 8.8, 8.25, 8.26, 8.27, 8.28, 8.29 | Haavoittuvuuksien SLA:t, turvallisen SDLC:n tallenteet, muutosten hyväksynnät, tietoturvatestaus |
| Pääsynhallinta, henkilöstö ja koulutus | Kontrollit 5.15, 5.16, 5.17, 5.18, 6.1, 6.2, 6.3, 6.5, 6.6, 6.7 | Käyttöoikeuksien tarkastukset, JML-otannat, tietoisuuskoulutuksen tallenteet, etätyökontrollit |
| Lokitus, seuranta ja kryptografia | Kontrollit 8.15, 8.16, 8.17, 8.24 | Lokien säilytys, hälytysten katselmointi, aikasynkronointi, salausstandardit |
| Tietosuoja ja lakisääteisten vaatimusten noudattaminen | Kontrollit 5.31, 5.34, 5.36 | Lakirekisteri, tietosuojakontrollit, käsittelijänäyttö, vaatimustenmukaisuuskatselmoinnit |
Kontrollikartoituksesta on hyötyä vain, jos näyttö on vahvaa. Jos tallenne on heikko, mikään ristiinkartoitus ei pelasta sitä. Jos tallenne on kattava, sama näyttö voi vastata ISO-, NIS2-, DORA-, GDPR-, NIST Cybersecurity Framework 2.0- ja COBIT 2019 -tyyppisiin kysymyksiin.
Politiikkanäyttö, jota Clarysec odottaa organisaatioiden säilyttävän
Clarysecin politiikat muuttavat ISMS-teorian näyttöodotuksiksi.
Pk-yrityksille pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka edellyttää johdon hyväksyntää ja auditointikuria:
”Toimitusjohtajan (GM) on hyväksyttävä vuosittainen auditointisuunnitelma.”
Lähde: pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, hallintovaatimukset, kohta 5.1.1 pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka
Se asettaa myös vähimmäistiheyden:
”Sisäiset auditoinnit tai vaatimustenmukaisuuden katselmoinnit on toteutettava vähintään vuosittain.”
Lähde: pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, hallintovaatimukset, kohta 5.2.1
Lisäksi se yhdistää havainnot korjaamiseen ja johdon katselmukseen:
”GM:n on hyväksyttävä korjaavien toimenpiteiden suunnitelma ja seurattava sen toteutusta.”
Lähde: pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, hallintovaatimukset, kohta 5.4.2
”Auditointihavainnot ja tilapäivitykset on sisällytettävä ISMS:n johdon katselmusprosessiin.”
Lähde: pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, hallintovaatimukset, kohta 5.4.3
Myös näytön säilyttäminen on määritelty selkeästi:
”Näyttö on säilytettävä vähintään kaksi vuotta tai pidempään, jos sertifiointi tai asiakassopimukset sitä edellyttävät.”
Lähde: pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, politiikan toteutusvaatimukset, kohta 6.2.4
Suuremmille organisaatioille auditointi- ja vaatimustenmukaisuuden seurantapolitiikka auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, johon joissakin Clarysecin aineistoissa viitataan myös nimellä P33 Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, laajentaa rakennetta:
”Riskiperusteinen auditointisuunnitelma on laadittava ja hyväksyttävä vuosittain ottaen huomioon:”
Lähde: auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, hallintovaatimukset, kohta 5.2 auditointi- ja vaatimustenmukaisuuden seurantapolitiikka
”Organisaation on ylläpidettävä auditointirekisteriä, joka sisältää:”
Lähde: auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, hallintovaatimukset, kohta 5.4
”Sisäisissä auditoinneissa on noudatettava dokumentoitua menettelyä, joka sisältää:”
Lähde: auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, politiikan toteutusvaatimukset, kohta 6.1.1
”Kaikista havainnoista on laadittava dokumentoitu CAPA, joka sisältää:”
Lähde: auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, politiikan toteutusvaatimukset, kohta 6.2.1
Johdon katselmus ankkuroituu Tietoturvapolitiikkaan Tietoturvapolitiikka, johon joissakin Clarysecin aineistoissa viitataan myös nimellä P01 Tietoturvapolitiikka:
”Johdon katselmukset (ISO/IEC 27001 kohdan 9.3 mukaisesti) on toteutettava vähintään vuosittain ja niiden on sisällettävä:”
Lähde: Tietoturvapolitiikka, hallintovaatimukset, kohta 5.3 Tietoturvapolitiikka
Nämä vaatimukset luovat auditoijien odottaman näyttöketjun: hyväksytty suunnitelma, määritelty menettely, auditointirekisteri, havainnot, CAPA, säilytys ja johdon katselmus.
Auditointivalmiin näyttöaineiston rakentaminen
Auditointivalmis näyttöaineisto ei ole jättimäinen kansio, joka kootaan kaksi päivää ennen auditointia. Se on elävä rakenne, jota ylläpidetään koko vuoden ajan.
| Näyttöerä | ISO 27001 -tarkoitus | Relevanssi NIS2:n ja DORA:n kannalta |
|---|---|---|
| ISMS:n soveltamisala ja sidosryhmärekisteri | Osoittaa, että lakisääteiset, sopimusperusteiset ja riippuvuusvaatimukset on tunnistettu | Tukee NIS2-toimijan soveltamisalaa, DORA-roolianalyysiä ja GDPR-osoitusvelvollisuutta |
| Riskikriteerit ja riskirekisteri | Osoittaa yhdenmukaisen riskien arvioinnin ja omistajuuden | Tukee NIS2:n riskienhallintatoimenpiteitä ja DORA:n ICT-riskiviitekehystä |
| Soveltuvuuslausunto | Osoittaa valitut kontrollit, perustelut ja toteutustilan | Luo koottavan kontrolliperustason ristiinvaatimustenmukaisuutta varten |
| Vuosittainen sisäinen auditointisuunnitelma | Osoittaa suunnitellun varmentamisen | Tukee johdon valvontaa ja DORA:n ICT-auditointisuunnittelua |
| Sisäisen auditoinnin tarkistuslista | Osoittaa auditointikriteerit ja otantamenetelmän | Osoittaa, miten NIS2-, DORA- ja GDPR-vaatimukset testattiin |
| Auditointiraportti ja havaintoloki | Osoittaa objektiivisen näytön ja poikkeamat | Tukee vaikuttavuuden arviointia ja sääntelyyn liittyvää varmentamista |
| CAPA-loki | Osoittaa juurisyyn, omistajan, määräpäivän ja sulkemisen | Tukee NIS2:n mukaisia korjaavia toimenpiteitä ja DORA:n mukaista korjaamista |
| Johdon katselmusaineisto | Osoittaa johdon katselmoineen suorituskyvyn, poikkeamat, riskit ja resurssit | Tukee NIS2:n ja DORA:n mukaista hallituksen vastuuvelvollisuutta |
| Toimittajarekisteri ja sopimusnäyttö | Osoittaa kolmansien osapuolten riskien hallinnan | Tukee NIS2:n toimitusketjun turvallisuutta ja DORA:n ICT-kolmansien osapuolten riskienhallintaa |
| Poikkeamien ilmoittamista ja opittuja asioita koskevat tallenteet | Osoittaa reagoinnin ja parantamisen | Tukee NIS2:n vaiheittaista raportointia ja DORA:n poikkeamien hallintaa |
Näyttöaineisto tulisi kartoittaa ISO/IEC 27001:2022 -standardin kohtiin ja liite A:n kontrolleihin, mutta merkitä sääntelyrelevanssin mukaan. Esimerkiksi toimittaja-auditoinnin tallenne voi tukea liite A:n toimittajakontrolleja, NIS2:n toimitusketjun turvallisuutta ja DORA:n ICT-kolmansien osapuolten riskienhallintaa. Poikkeamien pöytäharjoituksen tallenne voi tukea ISO 27001:n poikkeamien hallintaa, NIS2:n vaiheittaisen ilmoittamisen valmiutta ja DORA:n merkittäviä ICT-poikkeamia koskevaa hallintaa.
Integroidun sisäisen auditoinnin toteuttaminen
Zenith Blueprint -mallin vaihe 26 korostaa objektiivista näyttöä:
”Toteuta auditointi keräämällä objektiivista näyttöä jokaisesta tarkistuslistan kohdasta.”
”Haastattele asiaankuuluvaa henkilöstöä.”
”Katselmoi dokumentaatio.”
”Havainnoi käytäntöjä.”
”Tee otantoja ja pistokoetarkastuksia.”
Lähde: Zenith Blueprint, auditointi-, katselmointi- ja parantamisvaihe, vaihe 26: auditoinnin toteutus Zenith Blueprint
Juuri tätä NIS2- ja DORA-valmius edellyttää. Viranomaiset ja asiakkaat eivät hyväksy väitettä ”uskomme, että tämä toimii”. He kysyvät, mistä tiedätte sen.
Hyvin toteutettu auditointi testaa neljää näyttöulottuvuutta.
| Näyttöulottuvuus | Esimerkkiauditointitesti | Hyvä näyttö |
|---|---|---|
| Suunnittelu | Määritteleekö politiikka tai prosessi vaatimuksen? | Hyväksytty politiikka, menettely, standardi, työnkulku |
| Toteutus | Onko prosessi otettu käyttöön? | Tiketit, konfiguraatiot, koulutustallenteet, toimittajatallenteet |
| Toiminnan vaikuttavuus | Toimiko se ajan kuluessa? | Otannat useilta kuukausilta, hälytykset, tarkastuslokit, testitulokset |
| Hallinnollinen eskalointi | Näkikö johto tulokset ja toimiko niiden perusteella? | CAPA-hyväksyntä, johdon katselmuksen pöytäkirjat, budjettipäätös |
Tarkastellaan simuloitua kiristyshaittaohjelmatapahtumaa staging-palvelimella. Auditoija testaa, täyttääkö tietoturvapoikkeamiin reagointiprosessi ISO 27001 -vaatimukset, NIS2:n vaiheittaisen raportoinnin odotukset ja DORA:n asiakasvelvoitteet.
| Kerätty näyttö | ISO 27001 -relevanssi | NIS2-relevanssi | DORA-relevanssi |
|---|---|---|---|
| Poikkeamaloki, jossa on alkuperäinen luokittelu ja aikaleima | Kontrolli 5.26, reagointi tietoturvapoikkeamiin | Määrittää tietoisuuteen tulemisen hetken raportointiaikatauluja varten | Tukee ICT-poikkeamien tunnistamista ja lokitusta |
| Eskalointi CSIRT:lle ja lakimiehelle | Kontrolli 5.25, tietoturvatapahtumien arviointi ja päätöksenteko | Tukee merkittävän poikkeaman ilmoittamista koskevaa päätöksentekoa | Tukee sisäistä viestintää ja eskalointimenettelyjä |
| Varhaisen varoituksen ilmoitusmalliluonnos | Kontrolli 5.24, poikkeamien hallinnan suunnittelu ja valmistelu | Tukee kykyä täyttää 24 tunnin varhaisen varoituksen odotus | Voi tukea sopimusperusteista viestintävalmiutta |
| Varmuuskopion palautuspäätöksen tallenne | Kontrollit 5.29, 5.30 ja 8.13 | Tukee liiketoiminnan jatkuvuuden ja katastrofipalautuksen näyttöä | Tukee reagointi-, palautumis- ja varmuuskopioiden palautusodotuksia |
| Asiakasviestinnän tallenne | Kontrollit 5.20 ja 5.22, toimittajasopimukset ja toimittajapalvelujen seuranta | Voi tukea sopimusperusteista ja toimitusketjuun liittyvää viestintää | Tukee finanssiasiakkaiden kolmansien osapuolten riskivelvoitteita |
NIS2:ssa on merkittäville poikkeamille vaiheittainen raportointirakenne, johon sisältyy varhainen varoitus 24 tunnin kuluessa tietoisuudesta, poikkeamailmoitus 72 tunnin kuluessa ja loppuraportti kuukauden kuluessa poikkeamailmoituksesta. DORA:ssa on oma ICT-poikkeamien luokittelu- ja raportointikehyksensä finanssialan toimijoille. Sisäisen auditoinnin tulee varmistaa, että pelikirjat kattavat tietoisuuteen tulemisen ajan, vakavuuskriteerit, vaikutuksen alaiset palvelut, vaarantumisen indikaattorit, lieventämistoimet, juurisyyn, asiakkaiden ilmoitusvelvollisuudet ja loppuraportoinnin tiedot.
Yhden auditointihavainnon muuttaminen NIS2- ja DORA-näytöksi
Realistinen toimittajahavainto osoittaa, miten näytön tulisi kulkea.
Sisäisessä auditoinnissa auditoija ottaa otannan viidestä kriittisestä toimittajasta. Yksi pilvipohjainen lokituspalveluntarjoaja tukee fintech-alustan petosvalvontaa ja tietoturvahälytyksiä. Toimittaja on merkitty omaisuusluetteloon, mutta dokumentoitua exit-suunnitelmaa ei ole, vuosittaisesta tietoturvakatselmoinnista ei ole näyttöä eikä vahvistusta siitä, että sopimus sisältää poikkeamatukea tai auditointioikeuksia.
Auditoija kirjaa poikkeaman toimittajaturvallisuuden ja pilvipalvelujen exit-vaatimuksia vasten. Heikko vastaus olisi ”toimittajakatselmointi puuttuu”. Vahva vastaus luo vaatimustenmukaisuuden ristiinnäyttöketjun:
- Kirjaa havainto auditointiraporttiin, mukaan lukien otoskoko, toimittajan nimi, sopimusviite ja puuttuva näyttö.
- Lisää CAPA-merkintä juurisyyn kanssa, esimerkiksi ”toimittajan käyttöönoton tarkistuslista ei sisältänyt kriittisyysluokitusta tai exit-suunnitelman käynnistysperustetta”.
- Nimeä toimittajaomistaja ja riskinomistaja.
- Päivitä toimittajarekisteri merkitsemään palvelu kriittistä tai tärkeää toimintoa tukevaksi.
- Toteuta riskien arviointi, joka kattaa palvelukatkoksen, pääsyn tietoihin, keskittymäriskin, poikkeamaraportoinnin riippuvuuden ja sopimuspuutteet.
- Päivitä riskienkäsittelysuunnitelma ja soveltuvuuslausunto tarvittavilta osin.
- Hanki päivitetty sopimusliite tai dokumentoitu riskin hyväksyminen.
- Laadi tai testaa exit-suunnitelma.
- Auditoi toimittajan näyttö uudelleen korjaavien toimenpiteiden jälkeen.
- Raportoi havainto, riski ja resurssitarpeet johdon katselmuksessa.
Tämä yksittäinen ketju tukee useita velvoitteita. NIS2 edellyttää toimitusketjun turvallisuutta sekä toimittajien haavoittuvuuksien, kyberturvallisuuskäytäntöjen ja turvallisen kehittämisen menettelyjen huomioon ottamista. DORA edellyttää, että finanssialan toimijat hallitsevat ICT-kolmansien osapuolten riskiä, ylläpitävät sopimusjärjestelyjen rekistereitä, arvioivat palveluntarjoajat ennen sopimuksen tekemistä, sisällyttävät sopimuksiin tarvittaessa auditointi- ja tarkastusoikeuksia, ylläpitävät päättämisoikeuksia ja dokumentoivat exit-strategiat ICT-palveluille, jotka tukevat kriittisiä tai tärkeitä toimintoja. GDPR voi olla myös relevantti, jos toimittaja käsittelee henkilötietoja.
Auditointitallenne ei ole enää pelkkää vaatimustenmukaisuusnäyttöä. Se on häiriönsietokyvyn näyttöä.
Johdon katselmus: missä näytöstä tulee vastuuvelvollisuutta
Sisäinen auditointi löytää totuuden. Johdon katselmus päättää, mitä sille tehdään.
Zenith Blueprint -mallin vaihe 28 kuvaa johdon katselmuksen syöteaineiston:
”ISO 27001 määrittää useita pakollisia syötteitä johdon katselmointiin. Laadi lyhyt raportti tai esitys, joka kattaa nämä kohdat.”
Blueprint luettelee aiempien toimenpiteiden tilan, ulkoisten ja sisäisten tekijöiden muutokset, ISMS:n suorituskyvyn ja vaikuttavuuden, poikkeamat tai vaatimustenvastaisuudet, parantamismahdollisuudet ja resurssitarpeet.
Lähde: Zenith Blueprint, auditointi-, katselmointi- ja parantamisvaihe, vaihe 28: johdon katselmus Zenith Blueprint
NIS2:n ja DORA:n kannalta johdon katselmus on paikka, jossa hallitustason vastuuvelvollisuus tulee näkyväksi. Katselmuksessa ei tulisi todeta vain, että ”tietoturvasta keskusteltiin”. Sen tulisi osoittaa, että johto katselmoi:
- NIS2:n, DORA:n, GDPR:n sekä asiakas- ja sopimusvaatimusten muutokset.
- Soveltamisalan muutokset, mukaan lukien uudet maat, tuotteet, säännellyt asiakkaat tai ICT-riippuvuudet.
- Sisäisen auditoinnin tulokset, mukaan lukien merkittävät ja vähäiset poikkeamat.
- CAPA-toimenpiteiden tila ja myöhässä olevat toimenpiteet.
- Tietoturvatavoitteet ja mittarit.
- Poikkeamatrendit, läheltä piti -tilanteet ja opitut asiat.
- Toimittaja- ja pilvipalvelujen keskittymäriskit.
- Liiketoiminnan jatkuvuuden ja varmuuskopiointitestien tulokset.
- Haavoittuvuuksien ja paikkauksen suorituskyvyn.
- Resurssitarpeet, mukaan lukien henkilöstö, työkalut, koulutus ja budjetti.
- Jäännösriskit, jotka edellyttävät muodollista hyväksyntää.
- Parantamispäätökset ja vastuulliset omistajat.
Tässä Maria voi muuttaa teknisen raportin strategiseksi varmentamiseksi. Sen sijaan, että hän sanoisi ”löysimme yhden poikkeamaprosessin puutteen”, hän voi sanoa: ”Auditointi tunnisti yhden vähäisen poikkeaman NIS2-poikkeamaraportoinnin päätöskriteereissä. CAPA päivittää menettelyn, lisää päätösmatriisin ja edellyttää pöytäharjoitusta 30 päivän kuluessa. Tarvitsemme johdon hyväksynnän juridiselle katselmoinnille ja koulutusajalle.”
Tällainen tallenne tukee hallintoa, valvontaa ja puolustettavaa päätöksentekoa.
Korjaava toimenpide: havainnon ja kypsyyden ero
Sisäinen auditointi ilman korjaavaa toimenpidettä on vain diagnoosi.
Zenith Blueprint -mallin vaihe 29 ohjeistaa organisaatioita käyttämään CAPA-lokia:
”Täytä se jokaisella asialla: asian kuvaus, juurisyy, korjaava toimenpide, vastuullinen omistaja, tavoitevalmistumispäivä, tila.”
Lähde: Zenith Blueprint, auditointi-, katselmointi- ja parantamisvaihe, vaihe 29: jatkuva parantaminen Zenith Blueprint
Se tekee myös tärkeän eron:
”Auditointitermein: korjaus poistaa oireen, korjaava toimenpide poistaa syyn. Molemmat ovat tärkeitä.”
Lähde: Zenith Blueprint, auditointi-, katselmointi- ja parantamisvaihe, vaihe 29: jatkuva parantaminen
Jos varmuuskopion palautusnäyttö puuttuu, korjaus voi olla palautustestin suorittaminen ja dokumentointi tällä viikolla. Korjaava toimenpide on muuttaa varmuuskopiointimenettelyä siten, että palautustestit aikataulutetaan neljännesvuosittain, tiketoidaan automaattisesti, palveluomistaja katselmoi ne ja ne sisällytetään johdon katselmuksen mittareihin.
Auditoijat etsivät tätä kypsyyttä. ISO 27001 -auditoija testaa ISMS:n ja valittujen kontrollien vaatimustenmukaisuutta. NIS2-katselmoija kysyy, ovatko riskienhallintatoimenpiteet tehokkaita ja valvottuja. DORA-katselmoija etsii ICT-riskiviitekehyksen integrointia, häiriönsietokyvyn testausta, kolmansien osapuolten riippuvuuksien hallintaa ja korjaavia toimenpiteitä. NIST Cybersecurity Framework 2.0 -arvioija voi kysyä, toimivatko hallinnoinnin, tunnistamisen, suojaamisen, havaitsemisen, reagoinnin ja palautumisen tulokset. COBIT 2019 -auditoija voi keskittyä hallintotavoitteisiin, omistajuuteen, suorituskykyindikaattoreihin ja varmentamiseen.
Sama CAPA-tallenne voi täyttää nämä näkökulmat, jos se sisältää juurisyyn, omistajan, riskivaikutuksen, korjaavan toimenpiteen, määräpäivän, näytön toteutuksesta, vaikuttavuuskatselmoinnin ja johdon näkyvyyden.
Auditoijan useat näkökulmat
Eri auditoijat lukevat samaa näyttöä eri tavoin. Zenith Controls auttaa ennakoimaan näitä kysymyksiä toimimalla ristiinvaatimustenmukaisuuden oppaana ISO/IEC 27002:2022 -kontrolleille ja niihin liittyville viitekehyksille.
| Auditointinäkökulma | Mitä auditoija todennäköisesti kysyy | Näyttö, joka vastaa hyvin |
|---|---|---|
| ISO 27001 -auditoija | Onko ISMS suunniteltu, toteutettu, arvioitu ja parannettu ISO/IEC 27001:2022 -vaatimusten mukaisesti? | Soveltamisala, riskien arviointi, soveltuvuuslausunto, sisäinen auditointisuunnitelma, auditointiraportti, johdon katselmuksen tuotokset, CAPA |
| NIS2-katselmoija | Hyväksyikö johto asianmukaiset riskienhallintatoimenpiteet ja valvoiko se niitä, ja voiko toimija osoittaa vaikuttavuuden ja korjaavat toimenpiteet? | Hallituksen tai johdon katselmuksen pöytäkirjat, riskienkäsittelysuunnitelma, poikkeamien pelikirjat, toimittajakatselmoinnit, koulutustallenteet, vaikuttavuusmittarit |
| DORA-katselmoija | Onko ICT-riskien hallinta integroitu hallintoon, häiriönsietokykystrategiaan, testaukseen, kolmansien osapuolten riskiin ja korjaamiseen? | ICT-riskiviitekehys, auditointisuunnitelma, häiriönsietokyvyn testausnäyttö, kolmansien osapuolten rekisteri, kriittisten toimintojen kartoitus, korjaustallenteet |
| GDPR-katselmoija | Voiko organisaatio osoittaa osoitusvelvollisuuden henkilötietojen käsittelystä ja turvallisuudesta? | Tietoaineistorekisteri, käsittelyn oikeusperusterekisteri, käsittelijäsopimukset, loukkauslokit, pääsynhallinnan kontrollit, säilytysnäyttö, tietoturvatoimenpiteet |
| NIST CSF 2.0 -arvioija | Toimivatko hallinnointi, riski, suojaus, havaitseminen, reagointi ja palautuminen tehokkaasti? | Tuloksiin kartoitettu kontrollinäyttö, lokit, seuranta, poikkeamatallenteet, palautustestit, parantamistoimenpiteet |
| COBIT 2019 -auditoija | Onko hallintotavoitteet, omistajuus, suorituskyvyn hallinta ja varmennustoiminnot määritelty ja seurattu? | RACI, politiikat, KPI:t, auditointirekisteri, asianhallinta, johdon raportointi, päätöstallenteet |
Kontrolli 5.36 on hyvä esimerkki. ISO 27001 -auditoija voi keskittyä siihen, toteutetaanko vaatimustenmukaisuuskatselmointeja ja johtavatko ne korjaaviin toimenpiteisiin. NIS2-katselmoija voi kysyä, testaavatko katselmoinnit lakisääteisiä kyberturvallisuustoimenpiteitä eivätkä vain sisäisiä sääntöjä. DORA-katselmoija voi keskittyä siihen, sisältävätkö vaatimustenmukaisuuskatselmoinnit kriittiset ICT-palveluntarjoajat ja sopimusperusteisen toimeenpanon.
Siksi näyttö on suunniteltava alusta alkaen useille lukijoille.
Käytännön 30 päivän auditointivalmiussprintti
Jos CEO kysyy, voiko organisaatio olla auditointivalmis 30 päivässä, rehellinen vastaus on: voitte rakentaa uskottavan näyttöperustason, jos johto tukee sprinttiä ja soveltamisala on realistinen.
| Päivät | Toiminta | Tuotos |
|---|---|---|
| 1–3 | Vahvista ISMS:n soveltamisala, säännellyt palvelut, sidosryhmät ja velvoitteet | Soveltamisalakuvaus, NIS2-, DORA- ja GDPR-soveltuvuusmuistio |
| 4–7 | Päivitä riskikriteerit, riskirekisteri ja keskeiset riskinomistajat | Päivitetty riskirekisteri ja riskienkäsittelyn prioriteetit |
| 8–10 | Laadi riskiperusteinen sisäinen auditointisuunnitelma | Hyväksytty auditointisuunnitelma ja auditoinnin tarkistuslista |
| 11–17 | Toteuta auditointihaastattelut, otanta ja näytön katselmointi | Näyttöloki, havainnot, myönteiset huomiot |
| 18–20 | Vahvista havainnot omistajien kanssa ja luokittele vakavuus | Auditointiraportti ja poikkeamarekisteri |
| 21–24 | Laadi CAPA-loki juurisyillä, omistajilla ja määräpäivillä | Hyväksytty korjaavien toimenpiteiden suunnitelma |
| 25–27 | Valmistele johdon katselmusaineisto | Katselmusesitys tai raportti, jossa mittarit, riskit, poikkeamat ja resurssit |
| 28–30 | Pidä johdon katselmus ja kirjaa päätökset | Pöytäkirjat, toimenpideloki, riskin hyväksynnät, resurssipäätökset |
Tämä sprintti ei korvaa pitkäjänteistä kypsyyttä. Se luo puolustettavan operatiivisen perustason. Todellinen arvo syntyy, kun organisaatio toistaa syklin neljännesvuosittain tai puolivuosittain, ei vain kerran vuodessa.
Yleiset näyttöpuutteet, joita Clarysec havaitsee
Samat heikkoudet toistuvat SaaS-, pilvi- ja fintech-auditoinneissa:
- Auditointisuunnitelma on olemassa, mutta se ei ole riskiperusteinen.
- Auditoinnin tarkistuslista testaa ISO-kohtia, mutta ohittaa NIS2-, DORA-, GDPR- ja asiakasvelvoitteet.
- Johdon katselmuksen pöytäkirjat ovat olemassa, mutta ne eivät osoita päätöksiä, resurssien kohdentamista tai riskin hyväksyntää.
- CAPA-tallenteissa luetellaan toimenpiteitä, mutta juurisyy puuttuu.
- Havainnot suljetaan ilman vaikuttavuuden varmennusta.
- Toimittajakatselmointeja tehdään, mutta kriittisiä toimittajia ei eroteta matalan riskin toimittajista.
- Poikkeamien pelikirjat ovat olemassa, mutta kukaan ei pysty osoittamaan, että 24 tai 72 tunnin raportointityönkulku toimisi.
- Varmuuskopiointiajot ovat vihreitä, mutta palautustesteistä ei ole näyttöä.
- Käyttöoikeuksien tarkastukset viedään ulos järjestelmästä, mutta poikkeuksia ei seurata sulkemiseen asti.
- Lokit kerätään, mutta kukaan ei pysty osoittamaan seurantaa, eskalointia tai reagointia.
- Näyttö tallennetaan henkilökohtaisiin kansioihin hallitun tietovaraston sijaan.
- Säilytysvaatimukset ovat epäselviä tai ristiriidassa asiakassopimusten kanssa.
Nämä puutteet ovat korjattavissa. Ne edellyttävät jäsenneltyä ISMS-näyttöarkkitehtuuria, eivät viime hetken dokumenttien metsästystä.
Miltä hyvä näyttää hallitukselle
Kun CISO palaa CEO:n ja CFO:n luo, vahvin vastaus ei ole ”läpäisimme auditoinnin tarkistuslistan”. Se on:
”Meillä on hyväksytty auditointisuunnitelma. Toteutimme riskiperusteisen sisäisen auditoinnin. Tunnistimme havainnot objektiivisella näytöllä. Hyväksyimme CAPA-toimenpiteet omistajineen ja määräpäivineen. Eskaloimme olennaiset riskit, poikkeamat, toimittajariippuvuudet ja resurssitarpeet johdon katselmukseen. Kartoitimme näytön ISO/IEC 27001:2022 -standardiin, NIS2:een, DORA:aan ja GDPR:ään. Voimme osoittaa auditointijäljen.”
Tämä vastaus muuttaa keskustelun. Se antaa CEO:lle luottamusta asiakaskeskusteluihin. Se antaa CFO:lle selkeyden sääntelyaltistuksesta. Se antaa hallitukselle puolustettavan valvontatallenteen. Se antaa CISO:lle priorisoidun tiekartan irrallisten pyyntöjen pinon sijaan.
Tärkeintä on, että se siirtää organisaation vaatimustenmukaisuusteatterista operatiiviseen häiriönsietokykyyn.
Seuraavat askeleet Clarysecin kanssa
Seuraavan auditointinne ei tulisi olla paniikkiharjoitus. Sen tulisi olla näkyvä osoitus siitä, että ISMS toimii, johto on sitoutunut ja organisaatio on valmis ISO 27001:een, NIS2:een, DORA:aan, GDPR:ään ja asiakkaiden varmentamiseen.
Clarysec voi auttaa teitä:
- Laatimaan riskiperusteisen sisäisen auditointisuunnitelman Zenith Blueprint: Auditoijan 30 vaiheen tiekartta Zenith Blueprint -mallin avulla.
- Kartoittamaan auditointinäytön Zenith Controls: The Cross-Compliance Guide Zenith Controls -oppaan kautta.
- Toteuttamaan pk-yrityksen tai suuryrityksen auditoinnin hallintaa pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka tai auditointi- ja vaatimustenmukaisuuden seurantapolitiikka auditointi- ja vaatimustenmukaisuuden seurantapolitiikka -politiikan avulla.
- Valmistelemaan johdon katselmusaineistot, jotka ovat linjassa Tietoturvapolitiikan Tietoturvapolitiikka ja ISO/IEC 27001:2022 kohdan 9.3 odotusten kanssa.
- Muuttamaan havainnot CAPA-tallenteiksi, johdon päätöksiksi ja mitattavaksi parantamiseksi.
Ladatkaa Clarysec-työkalupaketit, varatkaa valmiusarviointi tai pyytäkää demo, jotta seuraava sisäinen auditointinne muuttuu hallitukselle valmiiksi näytöksi ISO 27001:n, NIS2:n, DORA:n ja laajempien vaatimusten tueksi.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
