NIST CSF 2.0 Govern pk-yrityksille ja ISO 27001
Nopeasti kasvavan FinTech-pk-yrityksen vastikään nimitetyllä tietoturvajohtajalla Sarahilla oli valkotaulu täynnä viitekehyksiä ja määräaika, jota ei voinut siirtää. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Toimittajariski. Hallituksen vastuu. Yritysasiakkaan huolellisuusarviointi.
Lähtötilanne oli tuttu: merkittävältä finanssipalveluasiakkaalta tullut taulukko. Hankinta halusi näyttöä kyberturvallisuuden hallintomallista, riskinottohalukkuudesta, toimittajaturvallisuusohjelmasta, laki- ja sääntelyvelvoitteiden kartoituksesta, poikkeamien eskalointiprosessista ja yhdenmukaisuudesta ISO 27001:2022:n kanssa.
Toimitusjohtaja ei halunnut luentoa vaatimustenmukaisuudesta. Hän halusi yksinkertaisen vastauksen vaikeaan kysymykseen: ”Miten osoitamme hallitukselle, asiakkaille ja valvontaviranomaisille, että hallitsemme kyberriskiä?”
Tämä on hallinnointiongelma, jonka monet pk-yritykset kohtaavat. Asiakaskysely on harvoin vain asiakaskysely. Usein se on viisi vaatimustenmukaisuuskeskustelua tiivistettynä yhdeksi pyynnöksi. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, DORAn ohjaamat toimittajaodotukset, pilvipalvelujen häiriönsietokyky, hallituksen valvonta ja sopimusvelvoitteet ovat kaikki piilossa samassa näyttöpyynnössä.
Moni pk-yritys vastaa luomalla erillisiä artefakteja: NIST-taulukon, ISO-sertifiointikansion, GDPR-seurannan, toimittajariskirekisterin ja tietoturvapoikkeamiin reagointisuunnitelman, jotka eivät liity toisiinsa. Kuuden kuukauden kuluttua kukaan ei tiedä, mikä asiakirja on ajantasainen lähde.
Clarysecin lähestymistapa on erilainen. Käytä NIST CSF 2.0 Govern -toimintoa johdon hallinnointikerroksena ja kartoita se sitten ISO 27001:2022 -politiikkoihin, riskien käsittelyyn, soveltuvuuslausuntoon, toimittajavalvontaan, johdon katselmukseen ja auditointinäyttöön. Tuloksena ei ole lisää vaatimustenmukaisuustyötä. Tuloksena on yksi toimintamalli, jolla voidaan vastata auditoijille, asiakkaille, valvontaviranomaisille ja johdolle samalla näyttökokonaisuudella.
Miksi NIST CSF 2.0 Govern -toiminto on tärkeä pk-yrityksille
NIST CSF 2.0 nostaa hallinnoinnin omaksi toiminnokseen Identify-, Protect-, Detect-, Respond- ja Recover-toimintojen rinnalle. Muutos on tärkeä, koska useimmat pk-yritysten tietoturvan epäonnistumiset eivät johdu siitä, että yksi työkalu vielä puuttuisi. Ne johtuvat epäselvistä vastuista, heikoista riskipäätöksistä, dokumentoimattomista poikkeuksista, epäyhtenäisestä toimittajavalvonnasta ja politiikoista, jotka on hyväksytty kerran mutta joita ei ole koskaan viety käytäntöön.
NIST CSF 2.0 Govern -toiminto muuttaa kysymyksen muodosta ”mitä kontrolleja meillä on?” muotoon ”kuka on vastuussa, mitä velvoitteita sovelletaan, miten riskit priorisoidaan ja miten suorituskyky katselmoidaan?”
Pk-yrityksille Govern-tulokset muodostavat käytännön toimeksiannon:
- Ymmärrä ja hallitse lakisääteisiä, sääntelyyn liittyviä, sopimusperusteisia, tietosuojaan ja kansalaisvapauksiin liittyviä velvoitteita.
- Määritä riskinottohalukkuus, riskinsietokyky, riskipisteytys, priorisointi ja riskin käsittelyn vaihtoehdot.
- Määritä kyberturvallisuuden roolit, vastuut, toimivaltuudet, eskalointipolut ja resursointi.
- Laadi, viesti, sovella, katselmoi ja päivitä kyberturvallisuuspolitiikat.
- Katselmoi kyberturvallisuusstrategia, suorituskyky ja johdon vastuu.
- Hallitse toimittajien ja kolmansien osapuolten kyberturvallisuusriskiä huolellisuusarvioinnista toimittajasuhteen päättämiseen asti.
Siksi NIST CSF 2.0 Govern on niin vahva lähtökohta ISO 27001:2022:lle. NIST antaa johdolle hallinnoinnin kielen. ISO 27001:2022 antaa auditoitavan hallintajärjestelmän.
ISO 27001:2022:n lausekkeet 4–10 edellyttävät organisaatioilta toimintaympäristön ymmärtämistä, sidosryhmien määrittämistä, ISMS:n soveltamisalan asettamista, johtajuuden osoittamista, riskien arvioinnin ja riskien käsittelyn suunnittelua, dokumentoidun tiedon hallintaa, hallintakeinojen toteuttamista, suorituskyvyn arviointia, sisäisten auditointien ja johdon katselmusten toteuttamista sekä jatkuvaa parantamista. Liite A tarjoaa tämän jälkeen hallintakeinojen viitejoukon, mukaan lukien politiikat, johdon vastuut, lakisääteiset velvoitteet, tietosuojan, toimittajasuhteet, pilvipalvelut, poikkeamien hallinnan ja ICT-valmiuden liiketoiminnan jatkuvuutta varten.
Clarysecin Enterprise Tietoturvapolitiikka Tietoturvapolitiikka toteaa:
Organisaation tulee ylläpitää muodollista hallintomallia ISMS:n valvomiseksi ISO/IEC 27001 -standardin lausekkeiden 5.1 ja 9.3 mukaisesti.
Tämä Tietoturvapolitiikan lausekkeen 5.1 vaatimus on käytännön silta NIST GV:n vastuiden ja ISO 27001:2022:n johtajuusodotusten välillä. Hallinnointi ei ole vuosittainen esitys. Se on muodollinen malli, joka yhdistää päätökset, politiikat, roolit, riskit, hallintakeinot, näytön ja katselmoinnin.
Ydinkartoitus: NIST CSF 2.0 Govern ISO 27001:2022 -näyttöön
Nopein tapa tehdä NIST CSF 2.0:sta hyödyllinen on muuntaa Govern-tulokset politiikkojen omistajuudeksi ja auditointinäytöksi. Alla oleva taulukko on rakenne, jota Clarysec käyttää pk-yritysten kanssa, jotka valmistautuvat ISO 27001:2022 -sertifiointiin, yritysasiakkaiden huolellisuusarviointeihin, NIS2-valmiuteen, DORA-asiakasvarmennukseen ja GDPR:n mukaiseen osoitusvelvollisuuteen.
| NIST CSF 2.0 Govern -osa-alue | Pk-yrityksen hallinnointikysymys | Yhdenmukaisuus ISO 27001:2022:n kanssa | Clarysec-politiikan ankkuri | Näyttö, jota auditoijat ja asiakkaat odottavat |
|---|---|---|---|---|
| GV.OC, organisaation toimintaympäristö | Tunnemmeko laki-, sääntely-, sopimus-, tietosuoja- ja liiketoimintavelvoitteemme? | Lausekkeet 4.1–4.4, liite A 5.31 ja 5.34 | Laki- ja sääntelyvaatimusten noudattamisen politiikka | Vaatimustenmukaisuusrekisteri, ISMS:n soveltamisala, sidosryhmärekisteri, asiakasvelvoitteiden kartta, tietosuojarekisteri |
| GV.RM, riskienhallintastrategia | Miten määritämme, pisteytämme, priorisoimme, hyväksymme ja käsittelemme kyberriskit? | Lausekkeet 6.1.1–6.1.3, 8.2 ja 8.3 | Riskienhallintapolitiikka | Riskimenetelmä, riskirekisteri, riskienkäsittelysuunnitelma, riskinomistajien hyväksynnät, SoA-kartoitus |
| GV.RR, roolit ja vastuut | Kuka omistaa kyberturvallisuuspäätökset, poikkeukset, resurssit ja raportoinnin? | Lausekkeet 5.1–5.3, liite A 5.2 ja 5.4 | Pk-yritysten hallinnointirooleja ja vastuita koskeva politiikka | RACI, roolikuvaukset, kokouspöytäkirjat, poikkeusten hyväksynnät, koulutustallenteet |
| GV.PO, politiikka | Onko politiikat hyväksytty, viestitty, sovellettu, katselmoitu ja päivitetty? | Lausekkeet 5.2, 7.5 ja 9.3, liite A 5.1 | Tietoturvapolitiikka | Politiikkarekisteri, hyväksymiskirjaukset, versiohistoria, työntekijöiden kuittaukset, politiikan katselmointipöytäkirjat |
| GV.OV, valvonta | Katselmoidaanko ja mukautetaanko kyberturvallisuusstrategiaa ja suorituskykyä? | Lausekkeet 9.1, 9.2, 9.3, 10.1 ja 10.2 | Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka | KPI-mittaristo, sisäisen auditoinnin suunnitelma, johdon katselmuksen tulokset, korjaavat toimenpiteet |
| GV.SC, toimitusketjuriski | Tunnetaanko, priorisoidaanko, arvioidaanko, sisällytetäänkö sopimuksiin, seurataanko ja päätetäänkö toimittajasuhteet hallitusti? | Liite A 5.19–5.23 ja 5.30 | Kolmansien osapuolten ja toimittajaturvallisuuspolitiikka | Toimittajaluettelo, huolellisuusarvioinnin tallenteet, sopimuslausekkeet, tarkastuslokit, exit-suunnitelmat, poikkeamayhteyshenkilöt |
Tämä kartoitus on tarkoituksella näyttölähtöinen. Se ei edellytä, että pk-yritys luo 40 asiakirjaa. Se esittää viisi operatiivista kysymystä:
- Mitä päätöstä ollaan tekemässä?
- Kuka omistaa sen?
- Mikä politiikka sitä ohjaa?
- Mikä ISO 27001:2022 -lauseke tai liitteen A hallintakeino tukee sitä?
- Mikä näyttö osoittaa, että se tapahtui?
Pk-yritysten hallinnointirooleja ja vastuita koskeva politiikka Pk-yritysten hallinnointirooleja ja vastuita koskeva politiikka - SME tekee tästä jäljitettävyydestä yksiselitteisen:
Kaikki merkittävät tietoturvapäätökset, poikkeukset ja eskaloinnit on kirjattava ja niiden on oltava jäljitettävissä.
Lainaus on Pk-yritysten hallinnointirooleja ja vastuita koskevan politiikan lausekkeesta 5.5. Se muuntaa NIST GV.RR:n hallinnointiperiaatteesta auditoitavaksi toimintatavaksi.
Aloita CSF Govern -profiilista, älä kontrollitaulukosta
NIST CSF 2.0:n organisaatioprofiilit auttavat organisaatioita kuvaamaan nykyisiä ja tavoiteltuja kyberturvallisuustuloksia. Pk-yrityksille profiili on kohta, jossa hallinnoinnista tulee hallittavaa.
Käytännöllisen Govern-profiilityöpajan tulisi vastata viiteen kysymykseen:
- Mikä kuuluu soveltamisalaan: koko yritys, SaaS-alusta, säännelty tuote vai asiakasympäristö?
- Mitkä velvoitteet ohjaavat profiilia: asiakassopimukset, GDPR, NIS2-altistus, DORAn ohjaamat asiakasodotukset, ISO 27001:2022 -sertifiointi vai sijoittajien huolellisuusarviointi?
- Mitä nykyinen näyttö todistaa, ei mitä ihmiset uskovat olevan olemassa?
- Mikä tavoitetila on realistinen seuraavien 90 päivän ja seuraavien 12 kuukauden aikana?
- Mitä riskejä, politiikkoja, toimittajia ja SoA-merkintöjä on muutettava?
Zenith Blueprint: auditoijan 30 vaiheen tiekartta Zenith Blueprint tukee tätä ISMS Foundation & Leadership -vaiheessa, vaiheessa 6, ”Dokumentoitu tieto ja ISMS-kirjaston rakentaminen”. Se suosittelee SoA:n valmistelua varhaisessa vaiheessa ja sen käyttämistä hallintakeinokirjastona:
✓ Lisähallintakeinot: Onko liitteen A ulkopuolisia hallintakeinoja, jotka voisit sisällyttää? ISO 27001 sallii muiden hallintakeinojen lisäämisen SoA:han. Voit esimerkiksi haluta sisällyttää vaatimustenmukaisuuden NIST CSF:n kanssa tai tiettyjä tietosuojan hallintakeinoja ISO 27701:stä. Yleisesti liite A on kattava, mutta voit lisätä siihen kaikki yksilölliset hallintakeinot, joita aiot käyttää
✓ Käytä taulukkoa (SoA Builder): Käytännöllinen tapa on valmistella SoA- taulukko nyt. Olemme laatineet SoA_Builder.xlsx-mallipohjan, jossa luetellaan kaikki liitteen A hallintakeinot ja sarakkeet sovellettavuudelle, toteutuksen tilalle ja huomautuksille.
Pk-yritykselle tällä on merkitystä. NIST CSF 2.0:aa ei tarvitse pakottaa ISO:n liitteeseen A ikään kuin ne olisivat identtisiä. Voit sisällyttää CSF Govern -tulokset lisähallinnointivaatimuksina SoA-kirjastoosi, kartoittaa ne ISO 27001:2022 -lausekkeisiin ja liitteen A hallintakeinoihin sekä käyttää niitä johdon katselmuksen, toimittajahallinnan, riskiraportoinnin ja vaatimustenmukaisuuden seurannan parantamiseen.
Rakenna Govern-näyttörekisteri
Govern-näyttörekisteri on käytännön työkalu, joka muuntaa viitekehykset todisteiksi. Sen tulee yhdistää kukin NIST-tulos ISO-viitteeseen, politiikan omistajaan, näyttöerään, katselmointitiheyteen, puutteeseen ja toimenpiteeseen.
| Kenttä | Esimerkkimerkintä |
|---|---|
| CSF-tulos | GV.OC-03 |
| Hallinnointikysymys | Ymmärretäänkö ja hallitaanko lakisääteisiä, sääntelyyn liittyviä, sopimusperusteisia, tietosuojaan ja kansalaisvapauksiin liittyviä velvoitteita? |
| ISO 27001:2022 -viite | Lausekkeet 4.2, 4.3 ja 6.1.3, liite A 5.31 ja 5.34 |
| Clarysec-politiikka | Laki- ja sääntelyvaatimusten noudattamisen politiikka |
| Näytön omistaja | Vaatimustenmukaisuuspäällikkö |
| Näyttö | Vaatimustenmukaisuusrekisteri v1.4, asiakasvelvoitteiden kartta, GDPR-käsittelyrekisteri |
| Katselmointitiheys | Neljännesvuosittain sekä uuden markkinan, asiakkaan tai tuotemuutoksen yhteydessä |
| Puute | DORA-asiakkaan edelleen siirrettäviä vaatimuksia ei ole kartoitettu toimittajasopimuksiin |
| Toimenpide | Päivitä toimittajasopimusmalli ja SoA-huomautukset |
| Määräpäivä | 30 päivää |
Clarysecin Enterprise Laki- ja sääntelyvaatimusten noudattamisen politiikka Laki- ja sääntelyvaatimusten noudattamisen politiikka antaa ohjaavan vaatimuksen:
Kaikki lakisääteiset ja sääntelyvelvoitteet on kartoitettava tiettyihin politiikkoihin, kontrolleihin ja omistajiin tietoturvallisuuden hallintajärjestelmässä (ISMS).
Tämä on Laki- ja sääntelyvaatimusten noudattamisen politiikan lauseke 6.2.1. Pk-yrityksille Pk-yritysten laki- ja sääntelyvaatimusten noudattamisen politiikka Pk-yritysten laki- ja sääntelyvaatimusten noudattamisen politiikka - SME lisää käytännöllisen ristiinkartoitusvaatimuksen:
Kun säädös koskee useita osa-alueita (esim. GDPR koskee säilytystä, tietoturvaa ja tietosuojaa), tämä on kartoitettava selkeästi vaatimustenmukaisuusrekisterissä ja koulutusmateriaaleissa.
Tämä lainaus on Pk-yritysten laki- ja sääntelyvaatimusten noudattamisen politiikan lausekkeesta 5.2.2. Yhdessä nämä lausekkeet muuntavat GV.OC-03:n hallituksi, katselmoitavaksi ja auditointivalmiiksi prosessiksi.
Yhdistä riskipisteytys riskien käsittelyyn ja SoA:han
NIST GV.RM edellyttää riskitavoitteita, riskinottohalukkuutta, riskinsietokykyä, standardoitua riskilaskentaa, reagointivaihtoehtoja ja viestintälinjoja. ISO 27001:2022 vie tämän käytäntöön riskien arvioinnin, riskien käsittelyn, riskinomistajan hyväksynnän, jäännösriskin hyväksynnän ja soveltuvuuslausunnon kautta.
Pk-yritysten riskienhallintapolitiikka Pk-yritysten riskienhallintapolitiikka - SME on tarkoituksella konkreettinen:
Jokaisen riskimerkinnän on sisällettävä kuvaus, todennäköisyys, vaikutus, pistemäärä, omistaja ja riskienkäsittelysuunnitelma.
Tämä on peräisin Pk-yritysten riskienhallintapolitiikan lausekkeesta 5.1.2. Enterprise Riskienhallintapolitiikka Riskienhallintapolitiikka vahvistaa SoA-yhteyden:
Soveltuvuuslausunnon (SoA) tulee kuvastaa kaikkia käsittelypäätöksiä, ja se on päivitettävä aina, kun kontrollien kattavuutta muutetaan.
Tämä on Riskienhallintapolitiikan lauseke 5.4.
Tarkastellaan todellista pk-yrityksen riskiä: luvaton pääsy tuotannon asiakastietoihin, koska MFA:n soveltaminen pilviympäristön ylläpitotileillä on epäyhtenäistä.
Vahva Govern-kartoitus sisältäisi:
- NIST GV.RM standardoitua riskidokumentaatiota ja priorisointia varten.
- NIST GV.RR roolien omistajuutta ja toimivaltaa varten pääsynhallinnan soveltamiseen.
- NIST GV.PO politiikan soveltamista ja katselmointia varten.
- ISO 27001:2022 -lausekkeet 6.1.2, 6.1.3, 8.2 ja 8.3.
- Liitteen A hallintakeinot pääsynhallintaan, identiteetinhallintaan, todennustietoihin, lokitukseen, seurantaan, konfiguraatioon ja pilvipalveluihin.
- Näyttö, kuten riskirekisterimerkintä, MFA-konfiguraation vienti, poikkeuksen hyväksyntä, pilvi-IAM-katselmointi, johdon katselmuspäätös ja päivitetty SoA-huomautus.
Zenith Blueprint, Riskienhallinta-vaihe, vaihe 13, ”Riskienkäsittelyn suunnittelu ja soveltuvuuslausunto”, selittää yhteyden:
✓ Varmista yhdenmukaisuus riskirekisterin kanssa: jokaisen riskienkäsittelysuunnitelmaan kirjoittamasi lieventävän hallintakeinon tulisi vastata liitteen A hallintakeinoa, joka on merkitty ”sovellettavaksi”. Vastaavasti, jos hallintakeino on merkitty sovellettavaksi, taustalla tulisi olla joko riski tai vaatimus, joka ohjaa sitä.
Tämä on ero sen välillä, että sanotaan ”käytämme MFA:ta” ja osoitetaan ”meillä on hallinnoitu, riskiperusteinen ja ISO 27001:2022:n kanssa yhdenmukainen peruste MFA:lle, ja sillä on näyttö, omistaja ja katselmointitiheys.”
Hallitse toimittajariskiä rakentamatta ohjelmaa liian raskaaksi
NIST GV.SC on yksi Govern-toiminnon hyödyllisimmistä osista pk-yrityksille, koska nykyaikaiset pk-yritykset ovat vahvasti riippuvaisia toimittajista: pilvipalveluntarjoajista, maksunvälittäjistä, HR-alustoista, tukipalvelujärjestelmistä, koodivarastoista, CI/CD-työkaluista, valvontatyökaluista ja hallinnoiduista tietoturvapalveluista.
ISO 27001:2022:n liite A tukee tätä toimittaja- ja pilvihallintakeinoilla, mukaan lukien 5.19 toimittajasuhteiden tietoturva, 5.20 tietoturvan huomioiminen toimittajasopimuksissa, 5.21 tietoturvan hallinta ICT-toimitusketjussa, 5.22 toimittajapalvelujen seuranta, katselmointi ja muutoksenhallinta, 5.23 tietoturva pilvipalvelujen käytössä ja 5.30 ICT-valmius liiketoiminnan jatkuvuutta varten.
Pk-yritysten kolmansien osapuolten ja toimittajaturvallisuuden politiikka Pk-yritysten kolmansien osapuolten ja toimittajaturvallisuuden politiikka - SME tekee näyttövaatimuksesta selkeän:
Nämä katselmoinnit on dokumentoitava ja säilytettävä toimittajan tallenteen yhteydessä. Jatkotoimenpiteitä on seurattava selkeästi.
Tämä on Pk-yritysten kolmansien osapuolten ja toimittajaturvallisuuden politiikan lauseke 6.3.2.
Kevyt pk-yrityksen toimittajamalli voi käyttää kolmea tasoa:
| Toimittajataso | Kriteerit | Vähimmäisnäyttö | Katselmointitiheys |
|---|---|---|---|
| Kriittinen | Tukee tuotantoa, asiakastietoja, todennusta, tietoturvan seurantaa, maksuliikennettä tai säänneltyä palvelutuotantoa | Huolellisuusarviointikysely, sopimuksen tietoturvalausekkeet, SLA, poikkeamayhteyshenkilö, exit-suunnitelma, riskikatselmointi | Vuosittain ja olennaisen muutoksen yhteydessä |
| Tärkeä | Tukee organisaation toimintaa tai sisäisiä arkaluonteisia tietoja, mutta ei suoraan kriittistä palvelutuotantoa | Tietoturvayhteenveto, tietojenkäsittelyehdot, käyttöoikeuskatselmointi, riskin hyväksyminen, jos puutteita on | 18 kuukauden välein |
| Tavanomainen | Matalan riskin työkalut, joissa ei ole arkaluonteisia tietoja tai kriittistä riippuvuutta | Liiketoimintavastaavan hyväksyntä, perustason tieto- ja käyttöoikeustarkastus | Käyttöönoton ja uusimisen yhteydessä |
Tämä yksinkertainen malli tukee NIST GV.SC:tä, ISO 27001:2022:n toimittajahallintakeinoja, asiakkaiden huolellisuusarviointeja ja DORAn ohjaamia finanssiasiakkaiden sopimusodotuksia.
Toimittajasuhteen päättäminen ansaitsee erityistä huomiota. NIST GV.SC odottaa hallinnointia koko toimittajan elinkaaren ajan, myös suhteen päättyessä. Näytön tulisi sisältää tietojen palautus tai poistaminen, käyttöoikeuksien poistaminen, palvelusiirtymän suunnittelu, säilytettävät sopimustallenteet ja jäännösriskin katselmointi.
Käytä Zenith Controlsia useiden vaatimusten yhteiseen noudattamiseen, älä erillisenä kontrollijoukkona
Clarysecin Zenith Controls: useiden vaatimusten yhteisen noudattamisen opas Zenith Controls on opas ISO/IEC 27002:2022 -hallintakeinojen teemojen kartoittamiseen useisiin viitekehyksiin ja auditointinäkökulmiin. Ne eivät ole erillisiä ”Zenith-kontrolleja”. Ne ovat ISO/IEC 27002:2022 -hallintakeinoja, joita analysoidaan Zenith Controls -kokonaisuudessa useiden vaatimusten yhteistä noudattamista varten.
NIST CSF 2.0 Govern -toiminnon kannalta kolme ISO/IEC 27002:2022 -hallintakeinoaluetta ovat erityisen tärkeitä:
| ISO/IEC 27002:2022 -hallintakeinoalue Zenith Controlsissa | NIST CSF 2.0 Govern -yhteys | Käytännön tulkinta pk-yritykselle |
|---|---|---|
| 5.1 Tietoturvapolitiikat | GV.PO | Politiikat on hyväksyttävä, viestittävä, sovellettava, katselmoitava ja päivitettävä, kun uhat, teknologia, lainsäädäntö tai liiketoimintatavoitteet muuttuvat |
| 5.4 Johdon vastuut | GV.RR ja GV.OV | Tietoturvavastuut on osoitettava johdon ja operatiivisille tasoille, ja niihin on liitettävä resurssit, raportointi ja katselmointi |
| 5.31 Lakisääteiset, sääntelyyn liittyvät ja sopimusperusteiset vaatimukset | GV.OC-03 | Velvoitteet on tunnistettava, kartoitettava hallintakeinoihin ja omistajiin, seurattava muutosten varalta ja osoitettava näytöllä |
Zenith Blueprint, Controls in Action -vaihe, vaihe 22, ”Organisatoriset kontrollit”, antaa toimintamallin:
Muodollista tietoturvan hallinto
Varmista, että tietoturvapolitiikat (5.1) ovat valmiit, hyväksytyt ja versiohallinnassa. Nimeä omistajat kullekin politiikka-alueelle (esim. pääsy, salaus, varmuuskopiointi) ja dokumentoi roolit ja vastuut koko ISMS:ssä (5.2). Katselmoi tehtävien eriyttäminen (5.3) korkean riskin alueilla, kuten taloushallinnossa, järjestelmänhallinnassa ja muutoksenhallinnassa. Laadi yksinkertainen hallinnointikartta, joka näyttää, kuka hyväksyy, kuka toteuttaa ja kuka seuraa tietoturvapolitiikkaa.
Tämä hallinnointikartta on yksi arvokkaimmista artefakteista, jonka pk-yritys voi luoda. Se vastaa NIST GV.RR:ään, ISO 27001:2022:n johtajuusvaatimuksiin, NIS2:n johdon vastuuodotuksiin ja asiakkaiden kysymyksiin siitä, kuka omistaa kyberriskin.
Yksi hallintomalli NIS2:lle, DORAlle, GDPR:lle, NISTille ja ISO:lle
Govern-toiminto on arvokkaimmillaan, kun pk-yritys kohtaa päällekkäisiä vaatimuksia.
NIS2 edellyttää soveltamisalaan kuuluvilta keskeisiltä ja tärkeiltä toimijoilta asianmukaisten ja oikeasuhtaisten kyberturvallisuuden riskienhallintatoimenpiteiden käyttöönottoa. Se asettaa myös hallintoelimille vastuun hyväksyä kyberturvallisuuden riskienhallintatoimenpiteet, valvoa toteutusta ja osallistua koulutukseen. NIST GV.RR tukee johdon vastuuta. GV.RM tukee riskiperusteisiä toimenpiteitä. GV.SC tukee toimitusketjun turvallisuutta. GV.PO tukee politiikkoja. GV.OV tukee suorituskyvyn katselmointia.
NIS2:n poikkeamahallinta tuo myös vaiheistetut raportointiodotukset, mukaan lukien ennakkovaroitus 24 tunnin kuluessa, poikkeamailmoitus 72 tunnin kuluessa ja loppuraportti yhden kuukauden kuluessa merkittävistä poikkeamista. Näiden määräaikojen tulisi näkyä tietoturvapoikkeamiin reagoinnin menettelyissä, eskalointipoluissa, viestintäsuunnitelmissa ja johdon raportoinnissa.
DORAa sovelletaan EU:n finanssialan toimijoihin 17. tammikuuta 2025 alkaen, mutta monet pk-yritykset tuntevat sen vaikutuksen asiakassopimusten kautta. Finanssiasiakkaat voivat siirtää DORA-vaatimuksia ICT-palveluntarjoajille, ohjelmistotoimittajille, hallinnoiduille palveluntarjoajille ja pilviriippuvaisille toimittajille. DORA keskittyy ICT-riskien hallintaan, hallintoelimen vastuuseen, poikkeamien raportointiin, häiriönsietokyvyn testaukseen, kolmansien osapuolten ICT-riskiin, sopimusvaatimuksiin ja valvontaan.
GDPR lisää osoitusvelvollisuuden henkilötietojen käsittelyyn. Pk-yritysten on ymmärrettävä, ovatko ne rekisterinpitäjiä, käsittelijöitä vai molempia, mitä henkilötietoja ne käsittelevät, mitkä järjestelmät ja toimittajat ovat mukana, mitä oikeusperusteita sovelletaan ja mitkä poikkeamaskenaariot voisivat muuttua henkilötietojen tietoturvaloukkauksiksi.
Zenith Blueprint, Riskienhallinta-vaihe, vaihe 14, suosittelee DORA-, NIS2- ja GDPR-vaatimusten ristiinviittaamista ISO 27001:2022 -hallintakeinojoukkoon:
Kullekin sovellettavalle säädökselle voit laatia yksinkertaisen kartoitustaulukon (esimerkiksi raportin liitteeksi), jossa luetellaan säädöksen keskeiset tietoturvavaatimukset ja niitä vastaavat ISMS:n kontrollit/politiikat. Tämä ei ole pakollista ISO 27001:ssä, mutta se on hyödyllinen sisäinen harjoitus sen varmistamiseksi, ettei mikään jäänyt huomaamatta.
Käytännöllinen useiden vaatimusten yhteinen noudattamiskartta voi näyttää tältä:
| Hallinnointivaatimus | NIST CSF 2.0 Govern | ISO 27001:2022 -ankkuri | NIS2-, DORA- ja GDPR-relevanssi | Ensisijainen näyttö |
|---|---|---|---|---|
| Johdon vastuu | GV.RR ja GV.OV | Lausekkeet 5.1, 5.3 ja 9.3, liite A 5.4 | NIS2:n hallintoelimen valvonta, DORAn hallintoelimen vastuu | Hallinnointikartta, RACI, johdon katselmuksen pöytäkirjat |
| Lakisääteiset ja sopimusperusteiset velvoitteet | GV.OC-03 | Lausekkeet 4.2, 4.3 ja 6.1.3, liite A 5.31 ja 5.34 | GDPR:n osoitusvelvollisuus, NIS2:n lakisääteinen soveltamisala, DORAn edelleen siirrettävät sopimusvaatimukset | Vaatimustenmukaisuusrekisteri, asiakasvelvoitteiden kartta, tietosuojarekisteri |
| Riskiperusteiset tietoturvatoimenpiteet | GV.RM | Lausekkeet 6.1.2, 6.1.3, 8.2 ja 8.3 | NIS2:n riskitoimenpiteet, DORAn ICT-riskien viitekehys, GDPR:n käsittelyn turvallisuus | Riskirekisteri, riskienkäsittelysuunnitelma, SoA |
| Toimittajahallinta | GV.SC | Liite A 5.19–5.23 ja 5.30 | NIS2:n toimitusketjun turvallisuus, DORAn kolmansien osapuolten ICT-riski, GDPR:n käsittelijät | Toimittajaluettelo, huolellisuusarviointi, sopimukset, tarkastuslokit |
| Politiikkojen hallinnointi | GV.PO | Lauseke 5.2 ja liite A 5.1 | Kaikki viitekehykset odottavat dokumentoituja, hyväksyttyjä ja viestittyjä sääntöjä | Politiikkarekisteri, versiohistoria, kuittaukset |
| Auditointi ja parantaminen | GV.OV | Lausekkeet 9.1, 9.2, 9.3, 10.1 ja 10.2 | DORAn testaus ja korjaavat toimenpiteet, NIS2:n vaikuttavuus, GDPR:n osoitusvelvollisuus | Sisäisen auditoinnin raportit, KPI-mittarit, korjaavat toimenpiteet |
Arvo syntyy tehokkuudesta. Yksi hyvin toimiva ISO 27001:2022 -ISMS, jota NIST CSF 2.0 Govern ohjaa, voi tuottaa uudelleenkäytettävää näyttöä useille viitekehyksille samanaikaisesti.
Auditoijan näkökulma: hallinnoinnin todentaminen aidoksi
Hyllyssä oleva politiikka ei ole hallinnointia. Auditoijat ja arvioijat etsivät punaista lankaa: ylätason politiikkaa, määriteltyä prosessia, operatiivista tallennetta, johdon katselmointia ja parantamistoimenpidettä.
Eri arvioijat testaavat tätä lankaa eri tavoin.
| Auditoijan näkökulma | Mihin he keskittyvät | Näyttö, joka toimii hyvin |
|---|---|---|
| ISO 27001:2022 -auditoija | Onko hallinnointi sisällytetty ISMS:ään, onko riskien käsittely jäljitettävää, ovatko SoA-päätökset perusteltuja ja hallitaanko dokumentoitua tietoa | ISMS:n soveltamisala, politiikkarekisteri, riskirekisteri, SoA, johdon katselmuksen pöytäkirjat, sisäisen auditoinnin raportit, korjaavat toimenpiteet |
| NIST CSF 2.0 -arvioija | Onko nykytila- ja tavoiteprofiilit olemassa, priorisoidaanko puutteet ja onko Govern-tulokset kytketty liiketoimintariskiin ja valvontaan | CSF-profiili, puuteanalyysi, POA&M, riskinottohalukkuuden kuvaus, johdon mittaristo, toimittajan tavoiteprofiili |
| COBIT 2019- tai ISACA-tyyppinen auditoija | Onko hallinnointitavoitteet, päätösoikeudet, suorituskykymittarit, hallintakeinojen omistajuus ja varmentamistoimet määritelty | Hallinnointikartta, RACI, KPI- ja KRI-mittaristo, hallintakeinojen omistajien vakuutukset, auditointisuunnitelma, havaintojen seuranta |
| GDPR-arvioija | Onko tietosuojavelvoitteet tunnistettu, käsittely kartoitettu, suojatoimet asianmukaisia ja osoitusvelvollisuutta tukeva näyttö olemassa | Käsittelyrekisteri, oikeusperustekartoitus, tarvittaessa DPIA, loukkauksiin reagointiprosessi, toimittajien tietojenkäsittelyehdot |
| Asiakkaan tietoturva-arvioija | Pystyykö pk-yritys osoittamaan operatiivisen tietoturvan, toimittajakontrollin, valmiuden poikkeamatilanteisiin ja johdon vastuun ilman kohtuutonta viivettä | Näyttöpaketti, politiikat, toimittajakatselmukset, poikkeamien pöytäharjoitusten tulokset, käyttöoikeuskatselmoinnit, varmuuskopiotestit, tietoturvan tiekartta |
Clarysecin Enterprise Hallinnointirooleja ja vastuita koskeva politiikka Hallinnointirooleja ja vastuita koskeva politiikka toteaa:
Hallinnoinnin tulee tukea integraatiota muihin osa-alueisiin (esim. riski, lakiasiat, IT, HR), ja ISMS-päätösten on oltava jäljitettävissä lähteeseensä (esim. auditointitallenteet, tarkastuslokit, kokouspöytäkirjat).
Tämä on Hallinnointirooleja ja vastuita koskevan politiikan lauseke 5.5. Se kiteyttää useiden vaatimusten yhteisen noudattamisen ytimen: hallinnointipäätösten on oltava jäljitettävissä.
Pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka Pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka - SME lisää kriittisen näyttökurin:
Metatiedot (esim. kuka keräsi ne, milloin ja mistä järjestelmästä) on dokumentoitava.
Tämä lainaus on Pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikan lausekkeesta 6.2.3. Näytön metatiedot erottavat usein kuvakaappauskansion auditointikelpoisesta näytöstä.
Enterprise Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka lisää ohjelmatason vaatimuksen:
Organisaation tulee ylläpitää rakenteista auditointi- ja vaatimustenmukaisuuden seurantaohjelmaa, joka on integroitu ISMS:ään ja kattaa:
Tämä on Auditointi- ja vaatimustenmukaisuuden seurantapolitiikan lauseke 5.1. Hallinnointivaikutus on suora: auditointi ei ole vuosittainen kiiretilanne. Se on osa ISMS:n toimintaa.
Yleiset pk-yritysten virheet NIST Govern -toiminnon kartoittamisessa ISO 27001:2022:een
Ensimmäinen virhe on liiallinen dokumentointi ilman omistajuutta. Pk-yritys kirjoittaa politiikkoja mutta ei nimeä omistajia riskien käsittelylle, toimittajakatselmuksille, poikkeusten hyväksynnöille tai johdon raportoinnille.
Toinen virhe on lakisääteisten velvoitteiden käsitteleminen ISMS:stä erillisinä. NIST GV.OC-03 edellyttää, että velvoitteet ymmärretään ja niitä hallitaan. ISO 27001:2022 edellyttää, että relevantit sidosryhmävaatimukset sekä lakisääteiset, sääntelyyn liittyvät ja sopimusperusteiset velvoitteet huomioidaan ISMS:ssä.
Kolmas virhe on heikko SoA-perustelu. SoA ei ole vain luettelo sovellettavista hallintakeinoista. Se on perustelutiedosto sille, miksi hallintakeinot sisällytetään, jätetään pois tai toteutetaan.
Neljäs virhe on puuttuva toimittajan elinkaaren näyttö. Toimittajahallinta sisältää käyttöönoton, sopimukset, seurannan, poikkeamat, muutokset ja toimittajasuhteen päättämisen.
Viides virhe on tavoiteprofiilin päivittämättä jättäminen. CSF-profiilin tulisi muuttua, kun liiketoiminta siirtyy uudelle maantieteelliselle alueelle, solmii merkittävän asiakassopimuksen, ottaa käyttöön kriittisen toimittajan, lanseeraa säännellyn tuotteen, muuttaa pilviarkkitehtuuria tai kokee poikkeaman.
30 päivän NIST CSF 2.0 Govern -tiekartta pk-yrityksille
Jos pk-yrityksen on edettävä nopeasti, aloita kohdennetulla 30 päivän toteutussuunnitelmalla.
| Päivät | Toiminta | Tuotos |
|---|---|---|
| 1–3 | Määritä CSF Govern -soveltamisala ja kerää olemassa olevat politiikat, sopimukset, riskitallenteet, toimittajaluettelot ja auditointinäyttö | Soveltamisalamuistio ja näyttöluettelo |
| 4–7 | Rakenna Govern-näyttörekisteri GV.OC:lle, GV.RM:lle, GV.RR:lle, GV.PO:lle, GV.OV:lle ja GV.SC:lle | Nykytilaprofiili ja alustavat puutteet |
| 8–12 | Kartoita velvoitteet ISO 27001:2022 -politiikkoihin, liitteen A hallintakeinoalueisiin ja omistajiin | Vaatimustenmukaisuusrekisteri ja politiikkojen omistajuuskartta |
| 13–17 | Päivitä riskirekisteri ja riskienkäsittelysuunnitelma ja yhdenmukaista sitten SoA-merkinnät | Riskirekisteri, käsittelysuunnitelma, SoA-päivitykset |
| 18–22 | Priorisoi toimittajahallinta, mukaan lukien kriittisten toimittajien luokittelu, sopimuspuutteet ja katselmointinäyttö | Toimittajariskirekisteri ja toimenpideseuranta |
| 23–26 | Valmistele auditointinäyttöpaketti metatietoineen, hyväksyntöineen, tarkastuslokeineen ja johdon päätöksineen | Näyttöpaketti ja auditointi-indeksi |
| 27–30 | Toteuta johdon katselmus ja hyväksy tavoiteprofiilin tiekartta | Johdon katselmuksen pöytäkirjat, päätökset, tiekartta |
Tämä suunnitelma luo riittävästi hallinnointinäyttöä vakaviin asiakas- ja auditointikysymyksiin vastaamiseksi samalla, kun se rakentaa perustan ISO 27001:2022 -sertifioinnille, NIS2-valmiudelle, DORA-asiakasvarmennukselle ja GDPR:n mukaiselle osoitusvelvollisuudelle.
Käytännön tulos: yksi hallinnointitarina, monta käyttötapaa vaatimustenmukaisuuteen
Kun Sarah palaa hallituksen eteen, hänellä ei enää ole viittä irrallista vaatimustenmukaisuuden työvirtaa. Hänellä on yksi hallinnointitarina.
NIST CSF 2.0 Govern -tulokset on kartoitettu ISO 27001:2022 -politiikkoihin, omistajiin, riskeihin, hallintakeinoihin ja näyttöön. ISMS:n soveltamisala sisältää asiakas-, toimittaja-, pilvi-, laki-, sääntely-, tietosuoja- ja sopimusriippuvuudet. Riskirekisteri ohjaa käsittelypäätöksiä ja SoA:n sovellettavuutta. Politiikat ovat hyväksyttyjä, versiohallittuja, omistettuja, viestittyjä ja katselmoituja. Toimittajariskit on luokiteltu, sisällytetty sopimuksiin, seurattu ja jäljitetty. GDPR:n käsittelyvelvoitteet, NIS2:n vastuuodotukset ja DORAn asiakkaalta toimittajille edelleen siirtyvät vaatimukset on ristiinviitattu soveltuvin osin. Auditointinäyttö sisältää metatiedot, päätöstallenteet ja johdon katselmuksen tulokset.
Tältä hallinnointi näyttää, kun se on operatiivista.
Seuraava askel: rakenna pk-yrityksesi Govern-näyttöpaketti Clarysecin avulla
Jos valmistaudut ISO 27001:2022:een, vastaat yritysasiakkaan huolellisuusarviointiin, kartoitat NIST CSF 2.0 Govern -tuloksia tai pyrit yhdenmukaistamaan NIS2:n, DORAn ja GDPR:n rakentamatta erillisiä ohjelmia, aloita hallinnointikerroksesta.
Clarysec voi auttaa sinua rakentamaan:
- NIST CSF 2.0 Govern -nykytila- ja tavoiteprofiilin.
- ISO 27001:2022 -politiikka- ja SoA-kartoituksen.
- Useiden vaatimusten yhteisen velvoiterekisterin käyttäen Zenith Controls Zenith Controls -kokonaisuutta.
- 30 vaiheen ISMS-toteutustiekartan käyttäen Zenith Blueprint Zenith Blueprint -kokonaisuutta.
- Pk-yritysvalmiin politiikkanäytön Clarysecin politiikkatyökalupakilla, mukaan lukien Pk-yritysten hallinnointirooleja ja vastuita koskeva politiikka Pk-yritysten hallinnointirooleja ja vastuita koskeva politiikka - SME, Pk-yritysten riskienhallintapolitiikka Pk-yritysten riskienhallintapolitiikka - SME, Pk-yritysten laki- ja sääntelyvaatimusten noudattamisen politiikka Pk-yritysten laki- ja sääntelyvaatimusten noudattamisen politiikka - SME, Pk-yritysten kolmansien osapuolten ja toimittajaturvallisuuden politiikka Pk-yritysten kolmansien osapuolten ja toimittajaturvallisuuden politiikka - SME ja Pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka Pk-yritysten auditointi- ja vaatimustenmukaisuuden seurantapolitiikka - SME.
Nopein polku ei ole uusi taulukko. Se on hallinnoitu, riskiperusteinen ja näyttövalmis ISMS, jonka avulla pk-yrityksesi voi vastata yhteen kysymykseen luottavaisesti:
Voitteko osoittaa, että kyberturvallisuutta hallitaan, sille on omistajat, sitä katselmoidaan ja sitä parannetaan jatkuvasti?
Clarysecin avulla vastaus on kyllä.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
