NIS2-kyberhygienian näyttö ISO 27001 -standardiin kartoitettuna
Kello on 08.40 maanantaiaamuna. Nopeasti kasvavan B2B SaaS -palveluntarjoajan tietoturvajohtaja Sarah liittyy johtoryhmän puheluun odottaen tavanomaista avoimien riskienhallintatoimenpiteiden katselmointia. Sen sijaan lakiasiainjohtaja aloittaa terävämmällä kysymyksellä:
”Jos kansallinen toimivaltainen viranomainen pyytää meitä huomenna osoittamaan NIS2 Article 21:n mukaisen kyberhygienian ja kyberturvallisuuskoulutuksen, mitä tarkalleen lähetämme?”
Henkilöstöjohtaja sanoo, että jokainen työntekijä on suorittanut vuosittaisen tietoturvatietoisuuskoulutuksen. SOC-päällikkö sanoo, että tietojenkalastelusimulaatioiden tulokset paranevat. IT-palvelutuotannosta vastaava henkilö sanoo, että MFA on pakotettu käyttöön, varmuuskopiot testataan ja korjauspäivityksiä seurataan. Vaatimustenmukaisuuspäällikkö sanoo, että ISO/IEC 27001:2022 -auditointiaineisto sisältää koulutustallenteet, mutta DORA-projektitiimillä on omat häiriönsietokyvyn koulutusnäyttönsä, ja GDPR-kansiossa on erilliset tietosuojatietoisuuden lokit.
Työtä on tehty kaikkialla. Kukaan ei ole varma, kertooko näyttö yhden johdonmukaisen tarinan.
Tämä on keskeinen NIS2 Article 21 -haaste olennaisille ja tärkeille toimijoille. Vaatimus ei ole pelkästään ”kouluta käyttäjiä”. Article 21 edellyttää asianmukaisia ja oikeasuhtaisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä kyberriskien hallitsemiseksi. Sen vähimmäiskontrollijoukkoon kuuluvat kyberhygienia ja kyberturvallisuuskoulutus, mutta myös poikkeamien käsittely, liiketoiminnan jatkuvuus, toimitusketjun tietoturva, haavoittuvuuksien käsittely, kryptografia, henkilöstöturvallisuus, pääsynhallinta, omaisuudenhallinta, MFA tai jatkuva todennus, suojattu viestintä sekä menettelyt vaikuttavuuden arvioimiseksi.
Kyberhygienia ei ole tietoisuuskampanja. Se on päivittäinen toimintakuri, joka yhdistää ihmiset, kontrollit, näytön ja johdon osoitusvelvollisuuden.
Tietoturvajohtajille, vaatimustenmukaisuuspäälliköille, MSP-toimijoille, SaaS-palveluntarjoajille, pilvioperaattoreille ja digitaalisille palveluntarjoajille käytännön vastaus ei ole erillisen ”NIS2-koulutusprojektin” perustaminen. Vahvempi lähestymistapa on rakentaa yksi auditointivalmis näyttöketju ISO/IEC 27001:2022 -ISMS:n sisään, tukeutua ISO/IEC 27002:2022 -kontrollikäytäntöihin, hallita riskejä ISO/IEC 27005:2022:n mukaisesti ja ristiinviitata näyttö NIS2:n, DORA:n, GDPR:n, NIST-tyyppisen varmentamisen ja COBIT 2019 -hallinnointiodotusten kanssa.
Miksi NIS2 Article 21 tekee koulutuksesta hallitustason näyttöä
NIS2 koskee monia keskisuuria ja suuria liitteiden I ja II toimialojen toimijoita, jotka tarjoavat palveluja tai harjoittavat toimintaa unionissa. Teknologiayrityksissä soveltamisala voi olla laajempi kuin moni johtoryhmä odottaa. Liite I kattaa digitaalisen infrastruktuurin, mukaan lukien pilvipalveluntarjoajat, datakeskuspalvelujen tarjoajat, sisällönjakeluverkkopalvelujen tarjoajat, luottamuspalvelujen tarjoajat, DNS-palveluntarjoajat ja TLD-rekisterit. Liite I kattaa myös B2B ICT -palvelunhallinnan, mukaan lukien hallinnoidut palveluntarjoajat ja hallinnoidut tietoturvapalveluntarjoajat. Liite II sisältää digitaalisia palveluntarjoajia, kuten verkossa toimivat markkinapaikat, verkon hakukoneet ja sosiaalisen verkostoitumisen palvelualustat.
Jotkin toimijat voivat kuulua soveltamisalaan koosta riippumatta, mukaan lukien tietyt DNS-palveluntarjoajat ja TLD-rekisterit. Kansalliset kriittisyyspäätökset voivat tuoda soveltamisalaan myös pienempiä palveluntarjoajia, jos häiriö voisi vaikuttaa yleiseen turvallisuuteen, systeemiseen riskiin tai välttämättömiin palveluihin.
Article 21(1) edellyttää, että olennaiset ja tärkeät toimijat toteuttavat asianmukaiset ja oikeasuhtaiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen riskejä verkoille ja tietojärjestelmille, joita käytetään toiminnassa tai palvelujen tuottamisessa, sekä ehkäistäkseen tai minimoidakseen poikkeamien vaikutuksia. Article 21(2) luettelee vähimmäistoimenpiteet, mukaan lukien riskianalyysiä ja tietojärjestelmien turvallisuutta koskevat politiikat, poikkeamien käsittely, liiketoiminnan jatkuvuus, toimitusketjun tietoturva, turvallinen hankinta ja ylläpito, vaikuttavuuden arviointi, perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus, kryptografia, henkilöstöturvallisuus, pääsynhallinta, omaisuudenhallinta sekä MFA tai jatkuva todennus silloin, kun se on asianmukaista.
Article 20 nostaa panoksia. Johtoelinten on hyväksyttävä kyberturvallisuuden riskienhallintatoimenpiteet, valvottava niiden toteutusta ja ne voivat joutua vastuuseen rikkomuksista. Johtoelinten jäsenten on osallistuttava koulutukseen, ja toimijoita kannustetaan tarjoamaan vastaavaa säännöllistä koulutusta työntekijöille, jotta nämä voivat tunnistaa riskejä sekä arvioida kyberturvallisuuden riskienhallintakäytäntöjä ja niiden vaikutusta palveluihin.
Article 34 lisää taloudellista painetta. Article 21:n tai Article 23:n rikkomukset voivat johtaa hallinnollisiin seuraamusmaksuihin, jotka ovat olennaisille toimijoille vähintään 10 000 000 euroa tai 2 % maailmanlaajuisesta vuotuisesta liikevaihdosta ja tärkeille toimijoille vähintään 7 000 000 euroa tai 1,4 %, sen mukaan kumpi on suurempi.
Siksi ”järjestimme vuosittaisen tietoisuuskoulutuksen” ei riitä. Sääntelyviranomainen, ISO-auditoija, asiakkaan tietoturva-arvioija tai kybervakuuttaja odottaa näyttöä siitä, että koulutus on roolipohjaista, riskiperusteista, ajantasaista, mitattua, kytketty poikkeamiin ja johdon ymmärtämää.
Clarysecin yritystason tietoturvatietoisuus- ja koulutuspolitiikka, lauseke 5.1.1.3, edellyttää koulutuksen:
Kattavan aiheita, kuten tietojenkalastelu, salasanojen turvallinen käyttö, poikkeamien ilmoittaminen ja hallinta, fyysinen turvallisuus sekä tietosuoja ja tietojen minimointi
Sama politiikka, lauseke 8.3.1.1, määrittää näyttölinjan, jota auditoijat yleensä pyytävät ensimmäisenä:
Koulutuksen osoittamisen, hyväksynnän ja suorituksen tallenteet
Pk-yrityksille Clarysecin tietoturvatietoisuus- ja koulutuspolitiikka - SME, lauseke 8.4.1, on auditoitavuudesta vielä suorempi:
Koulutustallenteet ovat sisäisen auditoinnin ja ulkoisen katselmoinnin kohteena. Tallenteiden on oltava tarkkoja, täydellisiä ja pyynnöstä todennettavissa (esim. ISO-sertifiointia, GDPR-auditointia tai vakuutusvarmennusta varten).
Tämä virke tiivistää eron henkilöstöhallinnon tietoisuustoiminnon ja vaatimustenmukaisuuskontrollina toimivan tietoisuuden välillä. Jos tallenteet ovat puutteellisia, todentamiskelvottomia tai niitä ei ole kytketty roolikohtaiseen riskiin, kontrolli voi toimia operatiivisesti mutta epäonnistua auditoinnissa.
Käytä ISO/IEC 27001:2022 -standardia näyttöketjun runkona
ISO/IEC 27001:2022 on luonnollinen selkäranka NIS2 Article 21:lle, koska se pakottaa organisaation määrittämään soveltamisalan, sidosryhmät, riskit, kontrollit, tavoitteet, näytön, sisäisen auditoinnin, johdon katselmuksen ja jatkuvan parantamisen.
Lausekkeet 4.1–4.4 edellyttävät, että organisaatio ymmärtää sisäiset ja ulkoiset tekijät, määrittää sidosryhmät ja niiden vaatimukset, määrittää ISMS:n soveltamisalan, huomioi rajapinnat ja riippuvuudet muiden organisaatioiden suorittamiin toimintoihin sekä ylläpitää ISMS:ää vuorovaikutteisena prosessikokonaisuutena. SaaS-palveluntarjoajan tai MSP-toimijan ISMS:n soveltamisalan tulee nimenomaisesti sisältää NIS2-velvoitteet, asiakkaiden sopimusvelvoitteet, pilvipalveluntarjoajariippuvuudet, ulkoistetun SOC:n kattavuus, tietojenkäsittelyroolit ja palvelun saatavuussitoumukset.
Lausekkeet 5.1–5.3 tuovat hallinnointiin osoitusvelvollisuuden. Ylimmän johdon on sovitettava tietoturvapolitiikka ja tavoitteet strategiseen suuntaan, integroitava ISMS-vaatimukset liiketoimintaprosesseihin, tarjottava resurssit, osoitettava vastuut ja varmistettava suorituskyvyn raportointi. Tämä vastaa suoraan NIS2 Article 20:tä, jossa johtoelimet hyväksyvät kyberturvallisuuden riskienhallintatoimenpiteet ja valvovat niitä.
Lausekkeet 6.1.1–6.1.3 ja 6.2 muuntavat oikeudelliset odotukset riskien käsittelyksi. Organisaation on suunniteltava toimet riskeille ja mahdollisuuksille, käytettävä toistettavaa tietoturvariskienhallintaprosessia, määritettävä riskinomistajat, valittava käsittelyvaihtoehdot, verrattava kontrolleja liitteeseen A, laadittava soveltuvuuslausunto, muotoiltava käsittelysuunnitelma, hankittava riskinomistajan hyväksyntä ja asetettava mitattavat tietoturvatavoitteet.
Tässä NIS2 Article 21 muuttuu hallittavaksi. Et tarvitse irrallista NIS2-tietoisuusohjelmaa. Tarvitset kartoitetun riski- ja kontrollitarinan.
| NIS2-vaatimusalue | ISO/IEC 27001:2022 -näyttömekanismi | Käytännön näyttö |
|---|---|---|
| Johdon hyväksyntä ja valvonta | Lausekkeet 5.1, 5.3, 9.3 | Hallituksen pöytäkirjat, johdon katselmuspaketti, roolien osoittaminen, budjettihyväksynnät |
| Kyberhygienia ja koulutus | Lauseke 7.2, lauseke 7.3, liitteen A henkilöstö- ja teknologiakontrollit | Koulutussuunnitelma, LMS-viennit, roolimatriisi, tietojenkalastelutulokset, politiikkojen hyväksynnät |
| Riskianalyysi ja tietoturvapolitiikka | Lausekkeet 6.1.2, 6.1.3, 6.2 | Riskien arviointi, riskienkäsittelysuunnitelma, soveltuvuuslausunto, tietoturvatavoitteet |
| Vaikuttavuuden arviointi | Lausekkeet 9.1, 9.2, 10.2 | KPI-mittarit, sisäisen auditoinnin tulokset, korjaavat toimenpiteet, kontrollitestauksen tulokset |
| Poikkeamien käsittely ja raportointivalmius | Liitteen A poikkeamienhallinnan kontrollit | Poikkeamien käsittelyohjeet, eskalointilokit, pöytäharjoitusraportit, todistusaineiston säilyttämistallenteet |
| Toimitusketju- ja pilviriippuvuus | Liitteen A toimittaja- ja pilvipalvelukontrollit | Toimittajarekisteri, due diligence -arvioinnit, sopimukset, exit-suunnitelmat, palvelukatselmukset |
| Pääsy, omaisuudenhallinta ja MFA | Liitteen A pääsyn, omaisuuden ja identiteetin kontrollit | Omaisuusluettelo, käyttöoikeuskatselmukset, MFA-raportit, etuoikeutetun pääsyn näyttö |
Lausekkeet 8.1–8.3, 9.1–9.3 ja 10.1–10.2 täydentävät operatiivisen silmukan. Ne edellyttävät suunniteltua operatiivista ohjausta, riskien uudelleenarviointia, käsittelysuunnitelmien toteutusta, seurantaa ja mittaamista, sisäistä auditointia, johdon katselmusta, jatkuvaa parantamista ja korjaavia toimenpiteitä. ISO/IEC 27001:2022:sta tulee NIS2 Article 21:n näyttömoottori, ei pelkkä sertifiointimerkki.
Muunna kyberhygienia ISO-kontrolliankkureiksi
”Kyberhygienia” on tarkoituksella laaja käsite. Auditoijille se on muunnettava konkreettisiksi, testattaviksi kontrolleiksi. Clarysec aloittaa NIS2 Article 21:n kyberhygienian näytön yleensä kolmella käytännön kontrolliankkurilla ISO/IEC 27002:2022 -standardista, tulkittuna Zenith Controls: The Cross-Compliance Guide -oppaan kautta.
Ensimmäinen ankkuri on ISO/IEC 27002:2022 control 6.3, tietoturvatietoisuus, koulutus ja perehdytys. Zenith Controls käsittelee 6.3:a ennaltaehkäisevänä kontrollina, joka tukee luottamuksellisuuden, eheyden ja saatavuuden tavoitteita. Sen operatiivinen kyvykkyys on henkilöstöturvallisuus ja sen kyberturvallisuuskonsepti on suojaaminen. Tämä kehystää tietoisuuden suojaavaksi kontrolliksi, ei viestintäharjoitukseksi.
Zenith Controls osoittaa myös, miten 6.3 riippuu muista kontrolleista ja vahvistaa niitä. Se liittyy kohtaan 5.2, tietoturvaroolit ja vastuut, koska koulutuksen on heijastettava osoitettuja vastuita. Se liittyy kohtaan 6.8, tietoturvatapahtumien ilmoittaminen, koska henkilöstö ei voi ilmoittaa sellaista, mitä se ei tunnista. Se liittyy kohtaan 8.16, valvontatoimet, koska SOC-analyytikot ja operatiivinen henkilöstö tarvitsevat koulutusta poikkeamien tunnistamiseen ja reagointiprotokollien noudattamiseen. Se liittyy kohtaan 5.36, tietoturvapolitiikkojen, sääntöjen ja standardien noudattaminen, koska politiikat toimivat vain, kun ihmiset ymmärtävät ne.
Kuten Zenith Controls toteaa ISO/IEC 27002:2022 control 6.3:sta:
Vaatimustenmukaisuus riippuu tietoisuudesta. 6.3 varmistaa, että työntekijät ovat tietoisia tietoturvapolitiikoista ja ymmärtävät henkilökohtaisen vastuunsa niiden noudattamisessa. Säännöllinen koulutus ja perehdytys vähentävät tahattomien politiikkarikkomusten riskiä, jotka johtuvat tietämättömyydestä.
Toinen ankkuri on ISO/IEC 27002:2022 control 5.10, tietojen ja muun niihin liittyvän omaisuuden hyväksyttävä käyttö. Kyberhygienia edellyttää, että ihmiset ymmärtävät, mitä he saavat tehdä päätelaitteilla, pilvitallennuspalveluilla, SaaS-työkaluilla, yhteistyöalustoilla, siirrettävillä tallennusvälineillä, tuotantodatalla, testidatalla ja tekoälyä hyödyntävillä työkaluilla. Zenith Controls kartoittaa 5.10:n ennaltaehkäiseväksi kontrolliksi omaisuudenhallinnan ja tietojen suojauksen alueilla. Käytännössä hyväksyttävän käytön näyttö ei ole vain allekirjoitettu politiikka. Se sisältää näytön siitä, että politiikka kattaa todellisen omaisuuskannan, perehdytys sisältää hyväksynnän, seuranta tukee politiikan noudattamista ja poikkeukset käsitellään.
Kolmas ankkuri on ISO/IEC 27002:2022 control 5.36, tietoturvapolitiikkojen, sääntöjen ja standardien noudattaminen. Tämä on auditointisilta. Zenith Controls kartoittaa 5.36:n ennaltaehkäiseväksi hallinnointi- ja varmentamiskontrolliksi. Se liittyy kohtaan 5.1, tietoturvapolitiikat, 6.4, kurinpitomenettely, 5.35, tietoturvan riippumaton katselmointi, 5.2, roolit ja vastuut, 5.25, tietoturvatapahtumien arviointi ja päätökset, 8.15, lokitus, 8.16, valvontatoimet, ja 5.33, tallenteiden suojaaminen.
NIS2 Article 21:n kannalta tämä on ratkaisevaa. Sääntelyviranomaiset ja auditoijat eivät kysy vain, onko politiikka olemassa. He kysyvät, seurataanko noudattamista, havaitaanko rikkomukset, suojataanko näyttö, tehdäänkö korjaavia toimenpiteitä ja näkeekö johto tulokset.
Rakenna NIS2-kyberhygienian ja koulutuksen näyttöpaketti
Kuvitellaan keskisuuri SaaS-palveluntarjoaja, joka valmistautuu sekä NIS2-valmiuteen että ISO/IEC 27001:2022 -valvonta-auditointiin. Organisaatiossa on 310 työntekijää, mukaan lukien kehittäjät, SRE:t, tukihenkilöt, myyntihenkilöstö, sopimuskumppanit ja ylin johto. Se tarjoaa pilvipohjaisia työnkulupalveluja EU-asiakkaille ja käyttää hyperscale-pilvipalveluntarjoajaa, kahta identiteettialustaa, ulkoistettua MDR-palveluntarjoajaa ja useita alihankittuja tukityökaluja.
Vaatimustenmukaisuuspäälliköllä on koulutusvientejä LMS:stä, mutta niitä ei ole kartoitettu NIS2 Article 21:een, ISO-kontrolleihin, liiketoimintarooleihin tai riskiskenaarioihin. Käytännön korjaussprintti tuottaa kyberhygienian ja koulutuksen näyttöpaketin, jossa on kuusi osaa.
| Näytön osa | Mitä se osoittaa | Omistaja | Auditointitesti |
|---|---|---|---|
| Roolipohjainen koulutusmatriisi | Koulutus vastaa vastuita ja riskialtistusta | ISMS-päällikkö ja henkilöstöhallinto | Ota otos rooleista ja varmista, että vaaditut moduulit on osoitettu |
| Vuosittainen koulutussuunnitelma | Osaaminen ja tietoisuus on suunniteltu, ei ad hoc -pohjaista | ISMS-päällikkö | Tarkista päivämäärät, aiheet, kohderyhmä, hyväksyntä ja suoritustavoitteet |
| LMS-suoritusvienti | Henkilöstö suoritti osoitetun koulutuksen | Henkilöstöhallinto tai People Ops | Täsmäytä työntekijäluettelo suoritusraporttiin, aloittajiin ja lähtijöihin |
| Tietojenkalastelusimulaation raportti | Tietoisuuden vaikuttavuutta mitataan | Tietoturvaoperaatiot | Katselmoi kampanjatulokset, toistuvat klikkaajat ja korjaava koulutus |
| Politiikan hyväksyntäloki | Henkilöstö hyväksyi säännöt ja vastuut | Henkilöstöhallinto ja vaatimustenmukaisuus | Vahvista tietoturva-, hyväksyttävän käytön ja poikkeamien ilmoittamispolitiikkojen hyväksyntä |
| Johdon katselmuksen yhteenveto | Johto valvoo trendejä ja korjaavia toimenpiteitä | Tietoturvajohtaja ja liiketoimintasponsori | Varmista, että pöytäkirjat sisältävät mittarit, poikkeukset, riskit ja päätökset |
Avain on jäljitettävyys.
Aloita NIS2 Article 21(2)(g):stä, perustason kyberhygieniakäytännöistä ja kyberturvallisuuskoulutuksesta. Kytke se ISO/IEC 27001:2022 -standardin lausekkeisiin 7.2 ja 7.3 osaamisen ja tietoisuuden osalta, lausekkeisiin 9.1 ja 9.2 seurannan ja auditoinnin osalta sekä liitteen A kontrolleihin, mukaan lukien tietoisuus, hyväksyttävä käyttö, haavoittuvuuksien hallinta, konfiguraationhallinta, varmuuskopiot, lokitus, valvonta, kryptografia, pääsynhallinta ja poikkeamien hallinta. Kytke näyttö sen jälkeen riskirekisteriin.
| Rooliryhmä | NIS2-kyberhygieniariski | Vaadittu koulutus | Näyttö |
|---|---|---|---|
| Kaikki työntekijät | Tietojenkalastelu, heikot salasanat, puutteellinen poikkeamien ilmoittaminen, tietojen virheellinen käsittely | Perustason tietoturvakoulutus, salasanojen turvallinen käyttö, MFA, tietosuoja, poikkeamien ilmoittaminen | LMS-suoritus, tietotestin pisteet, politiikan hyväksyntä |
| Ylin johto | Riskin hyväksyminen, oikeudellinen vastuu, kriisipäätökset, raportoinnin valvonta | Hallinnointivelvoitteet, NIS2:n johdon vastuut, poikkeamien eskalointi, riskinottohalukkuus | Johdon työpajaan osallistuminen, hallituspaketti, päätösloki |
| Kehittäjät | Haavoittuvuudet, turvaton koodi, salaisuuksien altistuminen, turvaton testidata | Turvallinen ohjelmointi, riippuvuuksien hallinta, haavoittuvuuksien julkistaminen, tietojen minimointi | Koulutustallenne, turvallisen SDLC:n tarkistuslista, koodikatselmointinäytteet |
| SRE ja IT-palvelutuotanto | Virhekonfiguraatio, korjauspäivitysten viive, varmuuskopioinnin epäonnistuminen, lokituspuutteet | Korjauspäivitysten hallinta, turvallinen konfigurointi, varmuuskopion palautus, valvonta, tietoturvapoikkeamiin reagointi | Korjauspäivitysraportti, varmuuskopiotesti, SIEM-hälytysnäyttö, pöytäharjoitusraportti |
| Asiakastuki | Sosiaalinen manipulointi, luvaton luovutus, tietosuojaloukkaus | Identiteetin varmentaminen, tietojen käsittely, eskalointi, loukkauksen raportointi | CRM-käyttöoikeuskatselmus, koulutustallenne, tuen QA-näyte |
| Sopimuskumppanit, joilla on pääsy | Epäselvät velvoitteet, hallitsematon pääsy, tietovuoto | Tiivistetty tietoturvaperehdytys, hyväksyttävä käyttö, ilmoitusreitti | Sopimuskumppanin hyväksyntä, pääsyn hyväksyntä, palvelussuhteen päättämisen näyttö |
Yritystason tietoturvatietoisuus- ja koulutuspolitiikka tukee tätä rakennetta. Lauseke 5.1.2.4 sisältää nimenomaisesti johdon koulutusaiheet:
Ylin johto (esim. hallinnointi, riskin hyväksyminen, lakisääteiset velvoitteet)
Tällä rivillä on merkitystä NIS2 Article 20:n nojalla, koska johdon koulutus ei ole vapaaehtoista. Jos hallitus hyväksyy riskienhallintatoimenpiteet mutta ei pysty selittämään riskin hyväksymistä, poikkeamakynnyksiä tai valvontarutiineja, näyttöketju katkeaa.
Clarysecin Tietoturvapolitiikka - SME, lauseke 6.4.1, osoittaa, miten kyberhygieniasta tulee päivittäistä kontrollikäyttäytymistä:
Pakollisia tietoturvakontrolleja on sovellettava johdonmukaisesti, mukaan lukien säännölliset varmuuskopiot, virustorjunnan päivitykset, vahvat salasanat ja arkaluonteisten asiakirjojen turvallinen hävittäminen.
Tämä on tiivis pk-yrityksille sopiva ilmaus käytännön kyberhygieniasta. Auditoija haluaa silti näyttöä, kuten varmuuskopiointitöiden raportit, EDR-kattavuuden, salasana- tai MFA-konfiguraation sekä turvallisen hävittämisen lokit, mutta politiikka määrittää odotetun toiminnan.
Kartoita NIS2 Article 21 auditointinäyttöön
Auditoijat testaavat kontrollin toimintaa, eivät iskulauseita. He seuraavat punaista lankaa oikeudellisesta vaatimuksesta ISMS:n soveltamisalaan, riskien arviointiin, soveltuvuuslausuntoon, politiikkaan, menettelyyn, näyttöön ja johdon katselmukseen.
| NIS2 Article 21 -alue | ISO/IEC 27001:2022- tai ISO/IEC 27002:2022 -kartoitus | Clarysec-viite | Ensisijainen auditointinäyttö |
|---|---|---|---|
| Kyberturvallisuuskoulutus | Lauseke 7.2, lauseke 7.3, A.6.3 tietoturvatietoisuus, koulutus ja perehdytys | Tietoturvatietoisuus- ja koulutuspolitiikka | Koulutuspolitiikka, vuosittainen suunnitelma, LMS-tallenteet, tietojenkalastelutulokset, perehdytyksen tarkistuslista, hallituksen koulutuspöytäkirjat |
| Hyväksyttävä kyberhygieniakäyttäytyminen | A.5.10 tietojen ja muun niihin liittyvän omaisuuden hyväksyttävä käyttö | Tietoturvapolitiikka - SME | Hyväksyttävän käytön hyväksyntä, perehdytystallenteet, poikkeustallenteet, seurannan näyttö |
| Haavoittuvuus- ja korjauspäivityshygienia | A.8.8 teknisten haavoittuvuuksien hallinta | Zenith Blueprint Step 19 | Haavoittuvuusskannaukset, korjauspäivitysraportit, korjaavat tiketit, riskin hyväksymistä koskevat tallenteet |
| Turvallinen konfigurointi | A.8.9 konfiguraationhallinta | Zenith Blueprint Step 19 | Turvalliset perustasot, konfiguraatiokatselmukset, muutosten hyväksynnät, poikkeamaraportit |
| Häiriönsietokyky ja palautuminen | A.8.13 tietojen varmuuskopiointi | Tietoturvapolitiikka - SME | Varmuuskopiointilokit, palautustestit, varmuuskopioinnin epäonnistumisten katselmukset, palautumisnäyttö |
| Havaitseminen ja reagointi | A.8.15 lokitus, A.8.16 valvontatoimet, A.6.8 tietoturvatapahtumien ilmoittaminen | Zenith Controls | SIEM-hälytykset, valvontamenettelyt, poikkeamien ilmoittamiskoulutus, pöytäharjoitusten tulokset |
| Kryptografinen suojaus | A.8.24 kryptografian käyttö | ISO/IEC 27001:2022 liite A | Salausstandardit, avaintenhallinnan näyttö, TLS-konfiguraatio, tallennuksen salausraportit |
| Näytön eheys | A.5.33 tallenteiden suojaaminen | Zenith Controls | Hallitut auditointikansiot, vientien aikaleimat, säilytyssäännöt, käyttölokit |
Sääntelyviranomainen ei välttämättä käytä ISO-terminologiaa, mutta näyttöpolku pysyy samana. Osoita, että vaatimus on tunnistettu, riskiarvioitu, käsitelty, toteutettu, seurattu, raportoitu johdolle ja parannettu.
Käytä Zenith Blueprintiä siirtyäksesi suunnitelmasta näyttöön
Zenith Blueprint: An Auditor’s 30-Step Roadmap antaa tiimeille käytännön reitin aikomuksesta näyttöön. ISMS Foundation & Leadership -vaiheessa Step 5, Communication, Awareness, and Competence, Blueprint ohjeistaa organisaatioita tunnistamaan vaaditut pätevyydet, arvioimaan nykyiset pätevyydet, tarjoamaan koulutusta puutteiden korjaamiseksi, ylläpitämään osaamistallenteita ja käsittelemään osaamista jatkuvana toimintana.
Blueprintin toimenpide on tarkoituksella operatiivinen:
Tee nopea koulutustarpeiden analyysi. Luettele keskeiset ISMS-roolisi (Step 4:stä) ja kirjaa kunkin osalta tunnettu koulutus tai sertifiointi sekä lisäkoulutus, josta voisi olla hyötyä. Luettele myös yleiset tietoturvatietoisuuden aiheet, joita kaikki työntekijät tarvitsevat. Laadi tämän perusteella yksinkertainen koulutussuunnitelma seuraavalle vuodelle – esimerkiksi ”Q1: tietoturvatietoisuus koko henkilöstölle; Q2: edistynyt tietoturvapoikkeamiin reagointikoulutus IT:lle; Q3: ISO 27001 -sisäisen auditoijan koulutus kahdelle tiimin jäsenelle; …”.
Controls in Action -vaiheessa Step 15, People Controls I, Zenith Blueprint suosittelee pakollista vuosittaista koulutusta kaikille työntekijöille, roolikohtaisia moduuleja, uusien työntekijöiden tietoturvaperehdytystä ensimmäisen viikon aikana, simuloituja tietojenkalastelukampanjoita, uutiskirjeitä, tiimitiedotuksia, osallistumisnäyttöä, kohdennettuja tietoturvatiedotteita esiin nousevien uhkien jälkeen sekä koulutusta sopimuskumppaneille tai kolmansille osapuolille, joilla on pääsy.
Step 16, People Controls II, varoittaa, että auditoijat testaavat toteutusta, eivät pelkkää dokumentaatiota. Etätyössä auditoijat voivat pyytää etätyöpolitiikkaa, VPN- tai päätelaitteen salausta koskevaa näyttöä, MDM-toteutusta, BYOD-rajoituksia ja koulutustallenteita, jotka osoittavat etätyön varotoimet. Jos hybridityö kuuluu toimintamalliin, NIS2-koulutusnäytön tulee sisältää turvallinen Wi-Fi-käyttö, laitteen lukitus, hyväksytty tallennus, MFA ja epäilyttävästä toiminnasta ilmoittaminen kotiympäristöistä.
Step 19, Technological Controls I, kytkee kyberhygienian tekniseen kontrollikerrokseen. Zenith Blueprint suosittelee korjauspäivitysraporttien, haavoittuvuusskannausten, turvallisten perustasojen, EDR-kattavuuden, haittaohjelmalokien, DLP-hälytysten, varmuuskopioiden palautusten, redundanssinäytön, lokitusparannusten ja aikasynkronoinnin katselmointia. Article 21(2)(g):tä ei voi arvioida erillään. Koulutettu henkilöstö tarvitsee edelleen korjauspäivitettyjä päätelaitteita, valvottuja lokeja, testattuja varmuuskopioita ja turvallisia konfiguraatioita.
Tee koulutussuunnitelmasta riskiperusteinen ISO/IEC 27005:2022:n avulla
Yleinen auditointiheikkous on geneerinen koulutussuunnitelma, joka näyttää samalta kehittäjille, taloushallinnolle, tuelle, johdolle ja sopimuskumppaneille. ISO/IEC 27005:2022 auttaa välttämään tämän heikkouden tekemällä koulutuksesta osan riskien käsittelyä.
Lauseke 6.2 suosittelee tunnistamaan relevanttien sidosryhmien perusvaatimukset ja vaatimustenmukaisuuden tilan, mukaan lukien ISO/IEC 27001:2022 liite A, muut ISMS-standardit, toimialakohtaiset vaatimukset, kansalliset ja kansainväliset säädökset, sisäiset tietoturvasäännöt, sopimusperusteiset tietoturvakontrollit ja aiemmassa riskien käsittelyssä jo toteutetut kontrollit. Tämä tukee yhtä vaatimusrekisteriä erillisten NIS2-, ISO-, DORA-, GDPR-, asiakas- ja vakuutustaulukoiden sijaan.
Lausekkeet 6.4.1–6.4.3 selittävät, että riskin hyväksymisen ja arvioinnin kriteerien tulee huomioida oikeudelliset ja sääntelyyn liittyvät näkökohdat, operatiiviset toiminnot, toimittajasuhteet, teknologiset ja taloudelliset rajoitteet, yksityisyydensuoja, mainehaitta, sopimusrikkomukset, palvelutason rikkomukset ja vaikutukset kolmansiin osapuoliin. Sisäiseen uutiskirjejärjestelmään vaikuttava tietojenkalastelupoikkeama on eri asia kuin tunnistetietojen vaarantuminen, joka vaikuttaa hallinnoituun tietoturvapalveluun, asiakastukialustaan, maksuintegraatioon tai DNS-toimintaan.
Lausekkeet 7.1–7.2.2 edellyttävät johdonmukaista ja toistettavaa riskien arviointia, mukaan lukien luottamuksellisuus-, eheys- ja saatavuusriskit sekä nimetyt riskinomistajat. Lausekkeet 8.2–8.6 ohjaavat tämän jälkeen käsittelyvaihtoehtojen valintaa, kontrollien määrittämistä, liite A -vertailua, soveltuvuuslausunnon dokumentointia ja käsittelysuunnitelman yksityiskohtia.
Koulutus on yksi käsittelytoimenpide, mutta ei ainoa. Jos toistuvat tietojenkalastelusimulaatiot osoittavat, että taloushallinnon käyttäjät ovat alttiita laskupetoksille, käsittelysuunnitelma voi sisältää kertauskoulutusta, vahvemman maksujen hyväksyntätyönkulun, ehdollisen pääsyn, postilaatikkosääntöjen valvonnan ja johdon petosskenaarioharjoituksia.
Lausekkeet 9.1, 9.2, 10.4.2, 10.5.1 ja 10.5.2 korostavat suunniteltua uudelleenarviointia, dokumentoituja menetelmiä, vaikuttavuuden seurantaa ja päivityksiä, kun uusia haavoittuvuuksia, omaisuuseriä, teknologian käyttöä, lakeja, poikkeamia tai riskinottohalukkuuden muutoksia ilmenee. Tämä osoittaa, ettei organisaatio jäädytä koulutussuunnitelmaansa kerran vuodessa.
Hyödynnä samaa näyttöä NIS2:ssa, DORA:ssa, GDPR:ssä, NIST:ssä ja COBIT:ssa
Vahvimman NIS2-näyttöpaketin tulee tukea useita varmennus- ja arviointikeskusteluja.
NIS2 Article 4 tunnustaa, että toimialakohtaiset unionin säädökset voivat korvata vastaavat NIS2-riskienhallinta- ja raportointivelvoitteet, jos ne ovat vaikutukseltaan vähintään vastaavia. Johdanto-osan 28 perustelukappale tunnistaa DORA:n toimialakohtaiseksi sääntelykehikoksi soveltamisalaan kuuluville rahoitusalan toimijoille. Soveltamisalaan kuuluville rahoitusalan toimijoille DORA:n ICT-riskien hallinta, poikkeamien hallinta, häiriönsietokyvyn testaus, tietojen jakaminen ja ICT-kolmansien osapuolten riskisäännöt soveltuvat vastaavien NIS2-säännösten sijaan. NIS2 pysyy erittäin relevanttina DORA:n ulkopuolisille toimijoille ja ICT-kolmansien osapuolten palveluntarjoajille, kuten pilvipalveluntarjoajille, MSP-toimijoille ja MSSP-toimijoille.
DORA vahvistaa samaa hallintajärjestelmälogiikkaa. Articles 4–6 edellyttävät oikeasuhtaista ICT-riskien hallintaa, johtoelimen vastuuta, selkeitä ICT-rooleja, digitaalisen operatiivisen häiriönsietokyvyn strategiaa, ICT-auditointisuunnitelmia, budjetteja sekä tietoisuus- tai koulutusresursseja. Articles 8–13 edellyttävät omaisuus- ja riippuvuustunnistusta, suojausta ja ennaltaehkäisyä, pääsynhallintaa, vahvaa tunnistautumista, varmuuskopioita, jatkuvuutta, reagointia ja palautumista, poikkeaman jälkeistä oppimista, ylimmän tason ICT-raportointia sekä pakollista ICT-turvallisuustietoisuutta ja digitaalisen operatiivisen häiriönsietokyvyn koulutusta. Articles 17–23 edellyttävät rakenteista poikkeamien hallintaa, luokittelua, eskalointia ja asiakasviestintää. Articles 24–30 kytkevät testauksen toimittajahallintaan, due diligence -arviointeihin, sopimuksiin, auditointioikeuksiin ja exit-strategioihin.
GDPR lisää tietosuojan osoitusvelvollisuuskerroksen. Article 5 edellyttää eheyttä ja luottamuksellisuutta asianmukaisin teknisin ja organisatorisin toimenpitein, ja Article 5(2) edellyttää rekisterinpitäjiltä kykyä osoittaa vaatimustenmukaisuus. Article 6 edellyttää käsittelyn oikeusperustetta, kun taas Articles 9 ja 10 asettavat tiukemmat suojatoimet erityisille henkilötietoryhmille ja rikostuomioihin tai rikkomuksiin liittyville tiedoille. SaaS-palveluntarjoajalla koulutusnäytön tulee sisältää yksityisyydensuoja, tietojen minimointi, turvallinen luovutus, tietoturvaloukkauksen eskalointi ja asiakastietojen roolikohtainen käsittely.
NIST-tyyppiset ja COBIT 2019 -auditointinäkökulmat näkyvät usein asiakasvarmennuksessa, sisäisessä auditoinnissa ja hallitusraportoinnissa. NIST-tyyppinen arvioija kysyy yleensä, ovatko tietoisuus ja koulutus riskiperusteisia, roolipohjaisia, mitattuja ja kytkettyjä tietoturvapoikkeamiin reagointiin, identiteettiin, omaisuudenhallintaan ja jatkuvaan seurantaan. COBIT 2019- tai ISACA-tyyppinen auditoija keskittyy hallinnointiin, osoitusvelvollisuuteen, suorituskykymittareihin, johdon valvontaan, prosessiomistajuuteen ja yhdenmukaisuuteen yrityksen tavoitteiden kanssa.
| Viitekehyksen näkökulma | Mistä auditoija välittää | Valmisteltava näyttö |
|---|---|---|
| NIS2 Article 21 | Oikeasuhtaiset kyberriskitoimenpiteet, kyberhygienia, koulutus, johdon valvonta | Article 21 -kartoitus, hallituksen hyväksyntä, koulutussuunnitelma, kyberhygienian KPI-mittarit, poikkeamavalmiuden näyttö |
| ISO/IEC 27001:2022 | ISMS:n soveltamisala, riskien käsittely, osaaminen, tietoisuus, seuranta, sisäinen auditointi, parantaminen | Soveltamisala, riskirekisteri, SoA, osaamismatriisi, koulutustallenteet, auditointiraportti, korjaavat toimenpiteet |
| DORA | ICT-riskin elinkaari, häiriönsietokyvyn koulutus, testaus, poikkeamien luokittelu, kolmannen osapuolen ICT-riski | ICT-riskiviitekehys, häiriönsietokyvyn koulutus, testitulokset, poikkeamamenettely, toimittajarekisteri |
| GDPR | Osoitusvelvollisuus, tietosuoja, tietosuojaloukkauksen tietoisuus, luottamuksellisuus, minimointi | Tietosuojakoulutus, käsittelyroolikartta, loukkauksen eskalointinäyttö, tietojen käsittelymenettelyt |
| NIST-tyyppinen katselmointi | Roolipohjainen tietoisuus, mitattava kontrollin toiminta, seuranta, reagointi | Roolimatriisi, simulaatiomittarit, pääsynhallinnan näyttö, lokitusnäyttö, pöytäharjoitusten tulokset |
| COBIT 2019- tai ISACA-katselmointi | Hallinnointi, prosessiomistajuus, suorituskyky, kontrollien varmistaminen, johdon raportointi | RACI, KPI-mittaristo, johdon katselmuksen pöytäkirjat, sisäinen auditointiohjelma, korjaavien toimenpiteiden seuranta |
Käytännön hyöty on yksinkertainen: yksi näyttöpaketti, useita auditointitarinoita.
Miten auditoijat testaavat samaa kontrollia
ISO/IEC 27001:2022 -auditoija aloittaa ISMS:stä. Hän kysyy, onko osaamis- ja tietoisuusvaatimukset määritetty, ymmärtääkö henkilöstö vastuunsa, säilytetäänkö tallenteet, testaavatko sisäiset auditoinnit prosessia ja huomioiko johdon katselmus suorituskyvyn ja parantamisen. Hän voi ottaa otoksen työntekijöistä ja kysyä, miten poikkeamasta ilmoitetaan, miten MFA:ta käytetään, mitkä hyväksyttävän käytön säännöt ovat tai mitä tehdään epäilyttävän sähköpostin vastaanottamisen jälkeen.
NIS2-valvontakatselmointi painottuu enemmän lopputuloksiin ja palveluriskeihin. Katselmoija voi kysyä, miten kyberhygienia vähentää palveluntuotannon riskiä, miten johto hyväksyi toimenpiteet, miten koulutus on räätälöity välttämättömille palveluille, miten kolmannen osapuolen henkilöstö katetaan, miten vaikuttavuutta arvioidaan ja miten organisaatio viestisi merkittävistä kyberuhista tai poikkeamista Article 23:n nojalla. Koska Article 23 sisältää merkittävistä poikkeamista ennakkovaroituksen 24 tunnin kuluessa ja poikkeamailmoituksen 72 tunnin kuluessa, koulutuksen on sisällettävä tunnistaminen ja nopea eskalointi.
DORA-auditoija rahoitusalan toimijassa kytkee tietoisuuden digitaaliseen operatiiviseen häiriönsietokykyyn. Hän voi kysyä, ovatko ICT-turvallisuustietoisuus ja häiriönsietokyvyn koulutus pakollisia, saavuttaako ylimmän tason ICT-raportointi johtoelimen, ymmärretäänkö poikkeamien luokittelukriteerit, onko kriisiviestintää harjoiteltu ja osallistuvatko kolmannen osapuolen palveluntarjoajat koulutukseen silloin, kun se on sopimuksellisesti relevanttia.
GDPR-auditoija tai tietosuoja-arvioija keskittyy siihen, ymmärtääkö henkilöstö henkilötiedot, käsittelyroolit, luottamuksellisuuden, loukkausten tunnistamisen, loukkausten eskaloinnin, tietojen minimoinnin ja turvallisen luovutuksen. Hän odottaa koulutuksen vaihtelevan tuen, henkilöstöhallinnon, kehittäjien ja ylläpitäjien välillä, koska nämä roolit aiheuttavat erilaisia tietosuojariskejä.
COBIT 2019- tai ISACA-sisäinen auditoija kysyy, kuka omistaa prosessin, mitä tavoitteita se tukee, miten suorituskykyä mitataan, mitä poikkeuksia on, seurataanko korjaavia toimenpiteitä ja saako johto merkityksellistä raportointia turhamaisuusmittareiden sijaan.
Yleiset NIS2-koulutusvalmiuden havainnot
Yleisin havainto on puutteellinen kohderyhmän kattavuus. LMS-raportti näyttää 94 %:n suoritusasteen, mutta puuttuva 6 % sisältää etuoikeutettuja järjestelmänvalvojia, sopimuskumppaneita tai uusia työntekijöitä. Auditoijat eivät hyväksy prosenttilukua ymmärtämättä, ketkä puuttuvat ja miksi.
Toinen havainto on roolisidonnaisuuden puute. Kaikki saavat saman vuosittaisen moduulin, mutta kehittäjiä ei kouluteta turvallisessa ohjelmoinnissa, tukihenkilöitä ei kouluteta identiteetin varmentamisessa eikä johtoa kouluteta hallinnointivelvoitteissa tai kriisipäätöksissä. NIS2 Article 20 ja Article 21 tekevät tästä vaikeasti puolustettavaa.
Kolmas havainto on heikko vaikuttavuusnäyttö. Suoritus ei ole sama asia kuin ymmärtäminen tai käyttäytymisen muutos. Auditoijat odottavat yhä useammin tietotestipisteitä, tietojenkalastelutrendejä, poikkeamien ilmoittamistrendejä, pöytäharjoitusten oppeja, toistuvien epäonnistumisten vähenemistä ja korjaavia toimenpiteitä.
Neljäs havainto on irrallinen tekninen hygienia. Koulutus sanoo ”ilmoita epäilyttävästä toiminnasta”, mutta testattua ilmoituskanavaa ei ole. Koulutus sanoo ”käytä MFA:ta”, mutta palvelutilit ohittavat MFA:n. Koulutus sanoo ”suojaa tiedot”, mutta tuotantodataa näkyy testiympäristöissä. Article 21 edellyttää kontrollijärjestelmää, ei iskulauseita.
Viides havainto on heikko tallenteiden eheys. Näyttö säilytetään muokattavassa laskentataulukossa ilman omistajaa, vientiaikaleimaa, pääsynhallintaa tai täsmäytystä henkilöstöhallinnon tallenteisiin. ISO/IEC 27002:2022 -kontrollisuhteet Zenith Controls -oppaassa osoittavat tallenteiden suojaamiseen syystä. Näytön on oltava luotettavaa.
10 päivän korjaussprintti auditointivalmiille näytölle
Jos organisaatiosi on paineen alla, aloita kohdennetulla sprintillä.
| Päivä | Toimi | Tuotos |
|---|---|---|
| Päivä 1 | Vahvista NIS2-soveltuvuus ja palvelujen soveltamisala | Päätös olennaisesta tai tärkeästä toimijasta, soveltamisalaan kuuluvat palvelut, tukitoiminnot |
| Päivä 2 | Rakenna vaatimusrekisteri | NIS2 Articles 20, 21, 23, ISO-lausekkeet, liitteen A kontrollit, GDPR, DORA, sopimukset, vakuutusvaatimukset |
| Päivä 3 | Laadi roolipohjainen koulutusmatriisi | Koulutus kartoitettuna tehtäväperheisiin, etuoikeutettuun pääsyyn, kehittäjiin, tukeen, sopimuskumppaneihin ja johtoon |
| Päivä 4 | Kartoita koulutus riskiskenaarioihin | Tietojenkalastelu, tunnistetietojen vaarantuminen, tietovuoto, kiristyshaittaohjelmat, virhekonfiguraatio, toimittajan vaarantuminen, tietosuojaloukkaus |
| Päivä 5 | Kerää näyttö | LMS-viennit, hyväksynnät, tietojenkalasteluraportit, perehdytystallenteet, sopimuskumppanitallenteet, johdon osallistuminen |
| Päivä 6 | Täsmäytä näyttö | Koulutuspopulaatio tarkistettu henkilöstöhallinnon tallenteita, identiteettiryhmiä, etuoikeutettuja tilejä ja sopimuskumppaniluetteloita vasten |
| Päivä 7 | Testaa työntekijöiden ymmärrys | Haastattelumuistiinpanot, jotka osoittavat henkilöstön tuntevan poikkeamien ilmoittamisen, MFA-odotukset, epäilyttävän sähköpostin käsittelyn ja tietosäännöt |
| Päivä 8 | Katselmoi teknisen hygienian kontrollit | MFA, varmuuskopiot, EDR, korjauspäivitykset, haavoittuvuusskannaus, lokitus, seuranta, turvallisen konfiguroinnin näyttö |
| Päivä 9 | Tuota johdon katselmuspaketti | Suoritukset, poikkeukset, tietojenkalastelutrendit, avoimet toimet, korkean riskin roolit, poikkeamat, budjettitarpeet |
| Päivä 10 | Päivitä riskienkäsittelysuunnitelma ja SoA | Jäännösriski, omistajat, määräajat, vaikuttavuusmittarit, soveltuvuuslausunnon päivitykset |
Tämä sprintti antaa puolustettavan näytön perustason. Se ei korvaa jatkuvaa ISMS-toimintaa, mutta se luo rakenteen, jota sääntelyviranomaiset ja auditoijat odottavat.
Miltä hyvä näyttää
Kypsällä NIS2 Article 21 -kyberhygienian ja koulutuksen ohjelmalla on viisi ominaisuutta.
Ensinnäkin se näkyy hallitukselle. Johto hyväksyy lähestymistavan, näkee merkitykselliset mittarit, ymmärtää jäännösriskin ja rahoittaa parantamisen.
Toiseksi se on riskiperusteinen. Koulutus eroaa roolin, palvelun kriittisyyden, käyttöoikeustason, data-altistuksen ja poikkeamavastuun mukaan.
Kolmanneksi se on näyttöohjattu. Suoritustallenteet, hyväksynnät, simulaatiot, pöytäharjoitukset, teknisen hygienian raportit ja korjaavat toimenpiteet ovat täydellisiä, täsmäytettyjä ja suojattuja.
Neljänneksi se huomioi useiden vaatimustenmukaisuuskehysten tarpeet. Sama näyttö tukee NIS2:ta, ISO/IEC 27001:2022:ta, DORA:a, GDPR:ää, NIST-tyyppistä varmentamista ja COBIT 2019 -hallinnointiraportointia.
Viidenneksi se paranee. Poikkeamat, auditointihavainnot, lainsäädännön muutokset, toimittajamuutokset, uudet teknologiat ja esiin nousevat uhat päivittävät koulutussuunnitelmaa.
Tämä viimeinen kohta erottaa vaatimustenmukaisuusteatterin operatiivisesta häiriönsietokyvystä.
Seuraavat vaiheet Clarysecin kanssa
Jos johtoryhmäsi kysyy: ”Voimmeko huomenna osoittaa NIS2 Article 21:n mukaisen kyberhygienian ja kyberturvallisuuskoulutuksen?”, Clarysec voi auttaa siirtymään hajanaisesta näytöstä auditointivalmiiseen ISMS-näyttöpakettiin.
Aloita Zenith Blueprint -tiekartasta jäsentääksesi osaamisen, tietoisuuden, henkilöstöön liittyvät kontrollit, etätyökäytännöt, haavoittuvuuksien hallinnan, varmuuskopiot, lokituksen, seurannan ja teknisen hygienian toimet 30 vaiheen tiekartassa.
Käytä Zenith Controls -opasta ristiinviitataksesi ISO/IEC 27002:2022 -standardin tietoisuuden, hyväksyttävän käytön, vaatimustenmukaisuuden, seurannan, tallenteiden ja varmentamisodotukset NIS2-, ISO/IEC 27001:2022-, DORA-, GDPR-, NIST- ja COBIT 2019 -auditointikeskusteluihin.
Toimeenpane vaatimukset sen jälkeen Clarysecin tietoturvatietoisuus- ja koulutuspolitiikan, tietoturvatietoisuus- ja koulutuspolitiikka - SME:n ja Tietoturvapolitiikka - SME:n avulla.
Välitön toimesi on yksinkertainen: rakenna tällä viikolla yhden sivun NIS2 Article 21 -koulutusnäyttökartta. Luettele soveltamisalaan kuuluvat roolit, osoitettu koulutus, suoritusnäyttö, politiikan hyväksynnät, tietojenkalastelumittarit, teknisen kyberhygienian näyttö, johdon katselmuspäivä ja korjaavat toimenpiteet. Jos jokin solu on tyhjä, olet löytänyt seuraavan auditoinnin korjaustehtäväsi.
Nopeampaa etenemistä varten lataa Clarysecin politiikkamallit, käytä Zenith Blueprint -tiekarttaa ja sovi NIS2-näyttövalmiuden arviointi, jotta nykyiset koulutustallenteesi, kyberhygieniakontrollisi ja ISO/IEC 27001:2022 -ISMS:si voidaan muuntaa yhdeksi puolustettavaksi auditointiaineistoksi.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
