Measúnú riosca ISO 27001 atá réidh le haghaidh iniúchta do NIS2 agus DORA
Bhí an caife ar dheasc Sarah fuar.
Mar Phríomhoifigeach Slándála Faisnéise i bhfiontar fintech a bhí ag fás go tapa, bhí sí cleachta leis an mbrú. Bhí comhpháirtí baincéireachta mór díreach buaite ag an gcuideachta, agus ba cheart gur fhoirmiúlacht a bheadh sa cheistneoir díchill chuí ar a scáileán. Bhí na chéad cheisteanna eolach: cuir Ráiteas Infheidhmeachta ISO/IEC 27001:2022 ar fáil, roinn an clár rioscaí is déanaí, mínigh an mhodheolaíocht measúnaithe riosca.
Ansin d’athraigh an ceistneoir treo.
Léirigh conas a thugann do chlár bainistíochta riosca aghaidh ar DORA. Mínigh d’ullmhacht i leith Threoir NIS2, lena n-áirítear cuntasacht bainistíochta agus bearta riosca don slabhra soláthair. Cuir fianaise ar fáil go ndéantar soláthraithe criticiúla TFC a mheasúnú agus a fhaireachán, agus go bhfuil siad clúdaithe ag pleananna freagartha do theagmhais agus leanúnachais gnó.
Faoi mhaidin Dé Luain, bhí an cheist chéanna ar chlár oibre Choiste Riosca an Bhoird. Iniúchadh deimhniúcháin ISO 27001 i gceann ocht seachtaine. Brú DORA ó chustaiméirí san earnáil airgeadais. Ceisteanna aicmithe NIS2 maidir le líne seirbhíse óstáilte sa scamall a bhí ag leathnú isteach san AE. Dúirt Soláthar go raibh athbhreithnithe soláthraithe ann, ach bhí an fhianaise scaipthe idir ríomhphost, fillteáin chonartha, agus scarbhileog díoltóirí. Dúirt Dlí go raibh an mhapáil rialála fós ar siúl. Dúirt Innealtóireacht go raibh an clár rioscaí déanta den chuid is mó.
Chuir an bord an t-aon cheist a bhí tábhachtach:
An féidir linn a chruthú gur leor ár measúnú riosca agus ár bplean cóireála riosca?
Sin í an fhadhb cheart do chuideachtaí SaaS, fintech, seirbhísí bainistithe, scamall, agus ardáin dhigiteacha. Ní hé an cheist an bhfuil clár rioscaí ann. Ní hé an cheist an bhfuil rialuithe Iarscríbhinn A cóipeáilte isteach i scarbhileog. Is í an cheist an féidir leis an eagraíocht a léiriú, faoi bhrú iniúchta agus custaiméirí, go bhfuil a próiseas measúnaithe riosca ISO 27001 in-athdhéanta, bunaithe ar riosca, faofa ag úinéirí riosca, nasctha le gníomhartha cóireála, mapáilte chuig oibleagáidí dlíthiúla, agus beo ó thaobh oibríochtaí de.
Má dhéantar i gceart é, is féidir le measúnú riosca ISO 27001 amháin agus plean cóireála riosca amháin tacú le deimhniú ISO/IEC 27001:2022, bearta bainistíochta riosca cibearshlándála NIS2 Article 21, ceanglais bhainistíochta riosca TFC DORA, cuntasacht GDPR, dearbhú soláthraithe, ullmhacht teagmhas, agus tuairisciú don bhord.
Má dhéantar go dona é, ní bheidh ann ach scarbhileog a bhrisfidh iniúchóirí síos i gceann tríocha nóiméad.
Léiríonn an treoir seo conas a thógann Clarysec fianaise measúnaithe riosca agus cóireála riosca ISO 27001 atá réidh le haghaidh iniúchta trí úsáid a bhaint as Zenith Blueprint: Treochlár 30 Céim d’Iniúchóir, beartais Clarysec, agus Zenith Controls: An Treoir Tras-Chomhlíonta.
Cén fáth a bhfuil measúnú riosca ISO 27001 ina mhol comhlíonta anois
Tá tírdhreach rialála an AE ag teacht le chéile timpeall ar phrionsabal simplí: ní mór riosca cibearshlándála a rialú, a dhoiciméadú, a thástáil, agus úinéireacht shoiléir a bheith aige.
Oibríonn ISO/IEC 27001:2022 ar an mbealach seo cheana féin. Éilíonn clásail 4.1 go 4.4 ar an eagraíocht a comhthéacs, páirtithe leasmhara, raon feidhme ISMS, agus idirghníomhaíochtaí próisis a thuiscint sula ndéantar riosca a mheasúnú. Éilíonn clásail 6.1.2 agus 6.1.3 próiseas sainithe measúnaithe agus cóireála riosca slándála faisnéise. Éilíonn clásail 8.2 agus 8.3 ar an eagraíocht measúnuithe riosca a dhéanamh agus an plean cóireála a chur chun feidhme agus faisnéis dhoiciméadaithe á coinneáil aici.
Déanann NIS2 agus DORA an loighic chéanna atá bunaithe ar riosca níos práinní.
Éilíonn NIS2 Article 20 ar chomhlachtaí bainistíochta eintiteas riachtanach agus tábhachtach bearta bainistíochta riosca cibearshlándála a fhaomhadh, maoirseacht a dhéanamh ar an gcur chun feidhme, agus oiliúint chibearshlándála a dhéanamh. Éilíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla iomchuí agus comhréireacha chun rioscaí do chórais líonra agus faisnéise a bhainistiú. Áirítear leis na bearta sin anailís riosca, láimhseáil teagmhas, leanúnachas gnó, slándáil an tslabhra soláthair, forbairt shlán, láimhseáil leochaileachtaí, measúnú éifeachtachta, sláinteachas cibear, cripteagrafaíocht, slándáil acmhainní daonna, rialú rochtana, bainistíocht sócmhainní, agus fíordheimhniú ilfhachtóra nó cumarsáid shlán, de réir mar is cuí.
Cuireann DORA brú comhchosúil ar eintitis airgeadais. Éilíonn Articles 5 agus 6 ar an gcomhlacht bainistíochta socruithe bainistíochta riosca TFC a shainiú, a fhaomhadh, a mhaoirsiú, agus freagracht a choinneáil astu. Tá DORA ag súil le creat doiciméadaithe bainistíochta riosca TFC atá comhtháite sa bhainistíocht riosca fhoriomlán, tacaithe ag beartais, nósanna imeachta, prótacail, uirlisí, iniúchadh inmheánach, leigheas, leanúnachas, tástáil, bainistíocht teagmhas, agus rialachas tríú páirtí TFC.
Tá an chonclúid phraiticiúil dosheachanta: ní bileog oibre d’fhoireann theicniúil a thuilleadh é an clár rioscaí. Is fianaise rialachais é.
Déanann Beartas Bainistíochta Riosca Fiontair Clarysec an t-ionchas seo soiléir:
Ní mór próiseas foirmiúil bainistíochta riosca a choinneáil de réir ISO/IEC 27005 agus ISO 31000, lena gclúdaítear sainaithint riosca, anailís, meastóireacht riosca, cóireáil riosca, faireachán, agus cumarsáid.
Ó Bheartas Bainistíochta Riosca Fiontair, rannán “Ceanglais rialachais,” clásal beartais 5.1.
Sainíonn an beartas céanna an toradh atá réidh le haghaidh iniúchta:
Clár rioscaí agus plean cóireála riosca lárnaithe, faoi rialú leaganacha, a choinneáil, ina léirítear an stádas riosca reatha, clúdach rialuithe, agus dul chun cinn maolaithe.
Ó Bheartas Bainistíochta Riosca Fiontair, rannán “Cuspóirí,” clásal beartais 3.3.
Is í an fhrása sin, “stádas riosca reatha, clúdach rialuithe, agus dul chun cinn maolaithe,” an difear idir comhad comhlíonta statach agus clár riosca is féidir a chosaint.
Tosaigh le raon feidhme, oibleagáidí, agus critéir riosca
Tosaíonn go leor measúnuithe riosca ISO 27001 laga le seicliosta rialuithe. Tá sé sin ar gcúl.
Éilíonn ISO 27001 ar an eagraíocht comhthéacs, ceanglais páirtithe leasmhara, raon feidhme ISMS, freagrachtaí ceannaireachta, agus pleanáil riosca a chinneadh sula roghnaítear rialuithe. Treisíonn ISO/IEC 27005:2022 é seo trí chomhairle a thabhairt d’eagraíochtaí buncheanglais páirtithe leasmhara a shainaithint sula ndéantar riosca a mheasúnú. D’fhéadfadh na ceanglais sin teacht ó chaighdeáin ISO, rialacháin earnála, dlíthe náisiúnta, conarthaí custaiméirí, beartais inmheánacha, gníomhaíochtaí cóireála roimhe seo, agus oibleagáidí soláthraithe.
I gcás cuideachta SaaS nó fintech atá os comhair an AE, ba cheart don phróiseas riosca tosú le fardal comhlíonta agus oibleagáidí.
| Foinse ceanglais | Cén fáth a mbíonn tionchar aige ar mheasúnú riosca ISO 27001 | Déantán fianaise |
|---|---|---|
| ISO/IEC 27001:2022 clásail 4, 5, 6, 8, 9, agus 10 | Sainíonn sé comhthéacs, ceannaireacht, measúnú riosca, cóireáil riosca, rialú oibríochtúil, meastóireacht feidhmíochta, agus feabhsú | Raon feidhme ISMS, modheolaíocht riosca, clár rioscaí, plean cóireála, SoA, taifid athbhreithnithe bainistíochta |
| NIS2 Articles 20, 21, agus 23 | Cuireann sé cuntasacht bainistíochta, bearta cibearshlándála uile-ghuaise, agus ionchais tuairiscithe teagmhas leis | Faomhadh boird, mapáil Article 21, treoirleabhar tuairiscithe teagmhas, fianaise leanúnachais |
| DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28, agus 30 | Éilíonn sé rialachas riosca TFC, leanúnachas, cúltaca agus athshlánú, saolré teagmhas, tástáil, agus rialuithe riosca tríú páirtí TFC | Creat riosca TFC, tástálacha BCP, clár teagmhas, taifid tástála athléimneachta, clár soláthraithe TFC |
| GDPR Articles 3, 4, 5, 6, 9, 10, 25, 32, 33, agus 34 | Éilíonn sé cuntasacht, próiseáil dhleathach faisnéise, cosaint sonraí trí dhearadh, slándáil chuí, agus measúnú sáraithe | Fardal sonraí, mapáil bonn dlí, iontrálacha riosca príobháideachais, naisc DPIA, taifid mheasúnaithe sáraithe |
| Conarthaí soláthraithe agus custaiméirí | Iompaíonn sé gealltanais tráchtála ina gcritéir riosca, rialuithe, fianaise, agus spriocdhátaí | Clár conarthaí, taifid díchill chuí, cearta iniúchta, SLAanna, clásail scoir |
Maidir le FGBManna, leagann Beartas um Chomhlíonadh Dlíthiúil agus Rialála - SME de chuid Clarysec an pointe tosaigh amach:
Ní mór don Bhainisteoir Ginearálta Clár Comhlíonta simplí, struchtúrtha a choinneáil ina liostaítear:
Ó Bheartas um Chomhlíonadh Dlíthiúil agus Rialála SME, rannán “Ceanglais rialachais,” clásal beartais 5.1.1.
Is droichead é an clár simplí sin idir comhlíonadh agus bainistíocht riosca. Má deir sé go bhfuil GDPR infheidhme toisc go bpróiseáiltear sonraí pearsanta AE, go bhféadfadh NIS2 a bheith infheidhme toisc go soláthraíonn an eagraíocht seirbhísí digiteacha nó bainistithe, nó go bhfuil DORA ábhartha trí chustaiméirí san earnáil airgeadais, ní mór do na hoibleagáidí sin tionchar a imirt ar chritéir riosca agus ar thosaíochtaí cóireála.
Tá Zenith Blueprint díreach ar an bpointe seo sa chéim Bainistíocht Riosca, Céim 10, “Critéir riosca agus maitrís tionchair a bhunú”:
Cuir ceanglais dhlíthiúla/rialála san áireamh freisin i do chritéir ghlactha. D’fhéadfadh roinnt rioscaí a bheith do-ghlactha beag beann ar dhóchúlacht mar gheall ar dhlíthe.
Ó Zenith Blueprint, céim Bainistíocht Riosca, Céim 10.
Tugann sé riail phraiticiúil freisin do cheardlanna:
“Aon riosca a d’fhéadfadh neamhchomhlíonadh dlíthe infheidhme (GDPR, srl.) a chruthú, níl sé inghlactha agus ní mór é a mhaolú.”
Ó Zenith Blueprint, céim Bainistíocht Riosca, Céim 10.
I gcás fintech Sarah, athraíonn sé sin an tsamhail scórála. D’fhéadfadh dóchúlacht íseal a bheith ag leochaileacht API soláthraí, ach má d’fhéadfadh saothrú teagmhas mór a bhaineann le TFC faoi DORA, teagmhas suntasach NIS2, measúnú sáraithe GDPR, teip SLA custaiméara, nó uaschéimniú go leibhéal an Bhoird a spreagadh, tá an tionchar ard nó criticiúil. Éiríonn nochtadh comhlíonta mar chuid den loighic riosca, ní mar scarbhileog ar leith.
Tóg clár rioscaí ar féidir le hiniúchóirí é a thástáil
Ní iarrann iniúchóirí amháin cad iad do phríomhrioscaí. Tástálann siad an bhfuil do mhodh sainithe, in-athdhéanta, inrianaithe, agus á leanúint.
Cuirfidh siad ceisteanna mar seo:
- Conas a shainaithin tú na rioscaí seo?
- Cé na sócmhainní, seirbhísí, soláthraithe, cineálacha sonraí, agus próisis a bhí sa raon feidhme?
- Cé na critéir a úsáideadh le haghaidh dóchúlachta agus tionchair?
- Cé atá ina úinéir ar gach riosca?
- Cé na rialuithe atá ann cheana a laghdaíonn an riosca?
- Cén fáth ar roghnaíodh an cinneadh cóireála?
- Cá bhfuil an fhianaise gur tharla an chóireáil?
- Cé a d’fhaomh an riosca iarmharach?
- Cathain a dhéanfar athmheasúnú ar an riosca?
Gabhann Beartas Bainistíochta Riosca - SME de chuid Clarysec an iontráil riosca íosta atá réidh le haghaidh iniúchta:
Ní mór cur síos, dóchúlacht, tionchar, scór, úinéir, agus plean cóireála a bheith i ngach iontráil riosca.
Ó Bheartas Bainistíochta Riosca SME, rannán “Ceanglais rialachais,” clásal beartais 5.1.2.
I gcás clár fiontair, leathnaíonn Zenith Blueprint, céim Bainistíocht Riosca, Céim 11, “An clár rioscaí a thógáil agus a dhoiciméadú,” an struchtúr. Molann sé colúin amhail aitheantas riosca, sócmhainn, bagairt, leochaileacht, cur síos ar riosca, dóchúlacht, tionchar, leibhéal riosca, rialuithe reatha, úinéir riosca, cinneadh cóireála, plean cóireála nó rialuithe, agus stádas.
Seo sampla d’iontráil riosca láidir:
| Réimse | Iontráil shamplach |
|---|---|
| Aitheantas riosca | R-042 |
| Sócmhainn nó próiseas | Próiseáil sonraí cliant trí API íocaíochta tríú páirtí agus bunachar sonraí táirgthe |
| Bagairt | Saothrú leochaileachta criticiúla in API soláthraí nó i seirbhís tacaíochta bunachar sonraí scamall |
| Leochaileacht | Infheictheacht theoranta ar bhainistíocht leochaileachtaí an tsoláthraí, tástáil athshlánaithe neamhiomlán, agus gan aon treoirleabhar freagartha do shárú soláthraí tástáilte |
| Cur síos ar riosca | D’fhéadfadh comhréiteach soláthraí nó seirbhíse scamall sonraí airgeadais a nochtadh, cur isteach ar sheirbhís, tuairisciú rialála a spreagadh, agus conarthaí custaiméirí a shárú |
| Rialuithe reatha | SSO, rochtain rólbhunaithe, conradh soláthraí, logáil táirgthe, cúltacaí laethúla, athbhreithniú rochtana ráithiúil |
| Dóchúlacht | Meánach |
| Tionchar | Criticiúil |
| Leibhéal riosca | Criticiúil |
| Úinéir riosca | CTO agus Ceannasaí Innealtóireachta Ardáin |
| Cinneadh cóireála | Maolú |
| Mapáil rialála | Rialuithe Iarscríbhinn A ISO 27001 maidir le soláthraithe, scamall, teagmhais, logáil, rochtain, leanúnachas, cúltaca, agus comhlíonadh dlíthiúil; NIS2 Articles 20, 21, agus 23; DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28, agus 30; GDPR Articles 32, 33, agus 34 |
| Fianaise | Dícheall cuí soláthraí, iarratas ar chearta iniúchta, tuarascáil tástála athshlánaithe, riail faireacháin SIEM, cleachtadh boird teagmhais, SoA nuashonraithe, miontuairiscí athbhreithnithe bainistíochta |
Tá sé seo difriúil go hábhartha ó “Riosca tríú páirtí, Ard, maolaigh.” Nascann an leagan atá réidh le haghaidh iniúchta sócmhainn, bagairt, leochaileacht, iarmhairt, rialuithe reatha, úinéir, rialachán, fianaise, agus rialachas.
Iompaigh cóireáil riosca ina plean fianaise
Ní mór do phlean cóireála riosca ceithre cheist oibríochtúla a fhreagairt:
- Cad a dhéanfaidh muid?
- Cé atá ina úinéir air?
- Cathain a bheidh sé déanta?
- Conas a chruthóimid gur laghdaigh sé riosca?
Éilíonn ISO/IEC 27001:2022 Clause 6.1.3 ar an eagraíocht roghanna cóireála a roghnú, rialuithe riachtanacha a chinneadh, iad a chur i gcomparáid le hIarscríbhinn A chun easnaimh a sheachaint, Ráiteas Infheidhmeachta a tháirgeadh, plean cóireála a fhoirmliú, agus faomhadh úinéir riosca a fháil don phlean agus do rioscaí iarmharacha. Éilíonn Clause 8.3 ansin cur chun feidhme an phlean cóireála agus faisnéis dhoiciméadaithe a choinneáil faoi na torthaí.
Déanann Beartas Bainistíochta Riosca Fiontair é seo praiticiúil:
Ní mór don Oifigeach Riosca a chinntiú go bhfuil cóireálacha réalaíoch, faoi theorainn ama, agus mapáilte chuig rialuithe Iarscríbhinn A ISO/IEC 27001.
Ó Bheartas Bainistíochta Riosca Fiontair, rannán “Ceanglais chun an beartas a chur chun feidhme,” clásal beartais 6.4.2.
Soiléiríonn beartas SME freisin nach aicearra é glacadh:
Glac: Tabhair údar cén fáth nach bhfuil gá le gníomh breise agus taifead an riosca iarmharach.
Ó Bheartas Bainistíochta Riosca SME, rannán “Ceanglais chun an beartas a chur chun feidhme,” clásal beartais 6.1.1.
Ní mór glacadh a údarú i gcoinne critéar, a fhaomhadh ag an úinéir ceart, agus a fhaireachán. Faoi NIS2 agus DORA, d’fhéadfadh riosca iarmharach gan fhaomhadh a bheith ina theip rialachais.
Ba cheart na réimsí seo a bheith i bplean cóireála iomlán:
| Réimse cóireála | Cuspóir iniúchta |
|---|---|
| Aitheantas riosca | Nascann sé cóireáil leis an riosca measúnaithe |
| Rogha cóireála | Taispeánann sé an réasúnaíocht: maolaigh, seachain, aistrigh, nó glac |
| Rialuithe roghnaithe | Nascann sé riosca le hIarscríbhinn A, beartais, agus coimircí teicniúla |
| Tiománaí rialála | Taispeánann sé ábharthacht NIS2, DORA, GDPR, conartha, nó custaiméara |
| Úinéir gnímh | Cruthaíonn sé cuntasacht |
| Dáta dlite | Déanann sé cóireáil teoranta ó thaobh ama de |
| Fianaise cur chun feidhme | Taispeánann sé gur críochnaíodh an gníomh |
| Tomhas éifeachtachta | Taispeánann sé ar laghdaíodh dóchúlacht nó tionchar |
| Riosca iarmharach | Taispeánann sé an nochtadh atá fágtha |
| Faomhadh úinéir riosca | Cruthaíonn sé glacadh agus rialachas |
I gcás R-042 Sarah, éiríonn an plean cóireála ina liosta gníomhartha tras-chomhlíonta.
| Aitheantas riosca | Gníomh cóireála | Tagairt Iarscríbhinn A ISO/IEC 27001:2022 | Ábharthacht NIS2 | Ábharthacht DORA | Úinéir | Fianaise |
|---|---|---|---|---|---|---|
| R-042 | Feidhmigh cearta iniúchta soláthraí agus iarr fianaise bhainistíochta leochaileachtaí | 5.19, 5.20, 5.21, 5.22, 5.31 | Article 21(2)(d) slándáil an tslabhra soláthair | Articles 28 agus 30 riosca tríú páirtí TFC agus conarthaí | CTO agus Ceannaire Soláthair | Iarratas iniúchta, freagra soláthraí, athbhreithniú conartha |
| R-042 | Cuir faireachán feabhsaithe chun feidhme ar ghníomhaíocht API neamhrialta agus ar ghníomhaíocht phribhléideach | 8.15, 8.16, 5.16, 5.17, 5.18 | Article 21(2)(i) rialú rochtana agus bainistíocht sócmhainní | Articles 6 agus 17 riosca TFC agus bainistíocht teagmhas | Bainisteoir SOC | Riail SIEM, tástáil foláirimh, athbhreithniú rochtana |
| R-042 | Tástáil athshlánú cúltaca agus sainigh RTO agus RPO ar leibhéal seirbhíse | 5.30, 8.13, 8.14 | Article 21(2)(c) leanúnachas gnó agus cúltaca | Articles 11 agus 12 freagairt, téarnamh, cúltaca, agus athshlánú | Ceannasaí Innealtóireachta Ardáin | Tuarascáil athshlánaithe, faomhadh RTO agus RPO |
| R-042 | Reáchtáil cleachtadh boird ar shárú soláthraí | 5.24, 5.26, 5.27, 5.29 | Articles 21(2)(b) agus 23 láimhseáil agus tuairisciú teagmhas | Articles 17, 18, 19, agus 24 bainistíocht teagmhas, aicmiú, tuairisciú, agus tástáil | CISO | Taifead cleachtaidh boird, ceachtanna foghlamtha, rianaire leighis |
| R-042 | Nuashonraigh an SoA agus faomh an riosca iarmharach | 5.4, 5.31, 5.35 | Article 20 cuntasacht bainistíochta | Articles 5 agus 6 rialachas agus creat riosca TFC | CISO agus úinéir riosca | SoA nuashonraithe, taifead formheasa, miontuairiscí athbhreithnithe bainistíochta |
Tá an plean seo láidir mar go gcruthaíonn sé líne dhíreach ó chás riosca amháin go rialuithe ISO 27001, oibleagáidí NIS2, airteagail DORA, úinéirí, agus fianaise.
Cuir an Ráiteas Infheidhmeachta ag obair níos crua
Is minic a chaitear leis an Ráiteas Infheidhmeachta mar dhéantán deimhniúcháin. Ba cheart dó a bheith níos mó ná sin.
Éilíonn ISO/IEC 27001:2022 Clause 6.1.3 ar an SoA na rialuithe riachtanacha, an t-údar lena gcur san áireamh, stádas cur chun feidhme, agus an t-údar le heisiaimh a áireamh. Treisíonn treoir ISO/IEC 27005:2022 an gá rialuithe roghnaithe a chur i gcomparáid le hIarscríbhinn A ISO/IEC 27001 chun easnaimh a sheachaint.
I gclár atá réidh le haghaidh iniúchta, éiríonn an SoA ina dhroichead idir cóireáil riosca agus fianaise tras-chomhlíonta. Má éilíonn plean cóireála MFA, logáil, faireachán soláthraithe, athshlánú cúltaca, forbairt shlán, uaschéimniú teagmhais, nó pleanáil scoir scamall, ba cheart don SoA a thaispeáint go bhfuil na rialuithe ábhartha Iarscríbhinn A san áireamh, údaraithe, curtha chun feidhme nó beartaithe, agus tacaithe le fianaise.
Cabhraíonn sé seo freisin le teip iniúchta choitianta a sheachaint: deir an clár rioscaí rud amháin, deir an plean cóireála rud eile, agus tá an SoA ina thost. Nuair nach n-aontaíonn na déantáin sin, cailleann iniúchóirí muinín go tapa.
Mapáil cóireáil riosca ISO 27001 chuig NIS2, DORA, agus GDPR
Ní thagann ISO 27001 in ionad NIS2, DORA, ná GDPR. Tugann sé sásra struchtúrtha duit chun fianaise a tháirgeadh dóibh.
Is é an príomhphointe ná mapáil a chur isteach sa phróiseas riosca seachas í a chur leis níos déanaí.
| Fianaise cóireála riosca ISO 27001 | Ábharthacht NIS2 | Ábharthacht DORA | Ábharthacht GDPR |
|---|---|---|---|
| Critéir riosca le scóráil tionchair rialála | Tacaíonn sé le bearta comhréireacha bainistíochta riosca cibearshlándála Article 21 | Tacaíonn sé le Articles 4, 5, agus 6 maidir le comhréireacht, rialachas, agus creat riosca TFC | Tacaíonn sé le cuntasacht agus slándáil chuí |
| Clár rioscaí le húinéirí agus tionchar CIA | Tacaíonn sé le maoirseacht bainistíochta Article 20 agus anailís riosca Article 21 | Tacaíonn sé le bainistíocht riosca TFC dhoiciméadaithe agus úinéireacht | Tacaíonn sé le léiriú feasachta ar riosca sonraí pearsanta |
| Plean cóireála mapáilte chuig Iarscríbhinn A | Tacaíonn sé le bearta Article 21 thar réimsí teagmhas, leanúnachais, soláthraithe, rochtana, leochaileachta, agus forbairt shlán | Tacaíonn sé le rialuithe TFC, bainistíocht teagmhas, leanúnachas, tástáil, agus athléimneacht tríú páirtí | Tacaíonn sé le rialuithe teicniúla agus eagraíochtúla faoi Article 32 |
| Iontrálacha riosca soláthraithe agus rialuithe conartha | Tacaíonn sé le slándáil an tslabhra soláthair Article 21(2)(d) | Tacaíonn sé le Articles 28 agus 30 maidir le riosca tríú páirtí TFC agus ceanglais chonarthacha | Tacaíonn sé le coimircí próiseálaí agus aistrithe nuair is infheidhme |
| Cásanna teagmhas agus treoirleabhair tuairiscithe | Tacaíonn sé le sreabhadh oibre tuairiscithe teagmhas suntasach Article 23 | Tacaíonn sé le Articles 17, 18, agus 19 maidir le bainistíocht teagmhas, aicmiú, agus tuairisciú | Tacaíonn sé le measúnú fógra sáraithe Articles 33 agus 34 |
| BCP, cúltaca, agus cóireálacha téarnaimh | Tacaíonn sé le Article 21(2)(c) leanúnachas, cúltaca, athshlánú ó thubaiste, agus bainistíocht géarchéime | Tacaíonn sé le Articles 11 agus 12 freagairt, téarnamh, cúltaca, agus athshlánú | Tacaíonn sé le hinfhaighteacht agus athléimneacht nuair atá sonraí pearsanta i gceist |
| Athbhreithnithe ar éifeachtacht rialuithe | Tacaíonn sé le measúnú éifeachtachta Article 21(2)(f) | Tacaíonn sé le hionchais tástála agus leighis Article 24 | Tacaíonn sé le cuntasacht leanúnach |
Tá an mhapáil seo thar a bheith tábhachtach nuair a fhorluíonn rialacháin. Is é DORA an córas athléimneachta TFC earnáilsonrach do go leor eintiteas airgeadais, agus d’fhéadfadh NIS2 fanacht ábhartha go díreach do sholáthraithe áirithe, do chomhordú, nó d’eintitis lasmuigh de raon feidhme DORA. D’fhéadfadh DORA a bheith ag teastáil ó fintech mar phríomhchreat athléimneachta TFC, agus d’fhéadfadh soláthraí seirbhíse bainistithe a thacaíonn leis an fintech sin a bheith faoi oibleagáidí díreacha NIS2.
Ní mór don chlár rioscaí a bheith in ann an dá thaobh den spleáchas sin a thaispeáint.
Úsáid Zenith Controls mar threoir tras-chomhlíonta
Úsáideann Clarysec Zenith Controls mar threoir tras-chomhlíonta chun an teip choitianta a chosc ina gcónaíonn rialuithe ISO, airteagail rialála, agus ceisteanna iniúchta i ndomhan ar leith. Ní chruthaíonn sé creat rialuithe ar leith. Mapálann sé réimsí rialaithe ISO/IEC 27001:2022 agus ISO/IEC 27002:2022 chuig caighdeáin eile, ionchais iniúchta, agus peirspictíochtaí comhlíonta.
Maidir le measúnú riosca agus cóireáil riosca ISO 27001, tá na tagairtí seo thar a bheith tábhachtach:
| Tagairt Iarscríbhinn A ISO/IEC 27001:2022 a úsáidtear in Zenith Controls | Cén fáth a bhfuil tábhacht leis do mheasúnú riosca agus cóireáil riosca | Tréithe a ghabhtar in Zenith Controls |
|---|---|---|
| 5.4 Freagrachtaí bainistíochta | Nascann sé úinéireacht cóireála riosca le rialachas, soiléireacht róil, agus cuntasacht | Rialú coisctheach, tacaíonn sé le rúndacht, sláine, infhaighteacht, mapáilte chuig Sainaithin, Rialachas, Rialachas agus Éiceachóras |
| 5.31 Ceanglais dhlíthiúla, reachtúla, rialála agus chonarthacha | Nascann sé an Clár Comhlíonta le critéir riosca, cinntí cóireála, agus cuimsiú SoA | Rialú coisctheach, tacaíonn sé le rúndacht, sláine, infhaighteacht, mapáilte chuig Sainaithin, Dlí agus Comhlíonadh, Rialachas, Éiceachóras, agus Cosaint |
| 5.35 Athbhreithniú neamhspleách ar shlándáil faisnéise | Nascann sé iniúchadh inmheánach, iniúchadh seachtrach, agus dearbhú bainistíochta le héifeachtacht cóireála | Rialú coisctheach agus ceartaitheach, tacaíonn sé le rúndacht, sláine, infhaighteacht, mapáilte chuig Sainaithin agus Cosain, Dearbhú Slándála Faisnéise, Rialachas agus Éiceachóras |
Tá an ceacht tras-chomhlíonta simplí. Mura bhfuil oibleagáidí dlíthiúla sa mhodh measúnaithe riosca, tá do scóráil neamhiomlán. Má tá an scóráil neamhiomlán, d’fhéadfadh na tosaíochtaí cóireála a bheith mícheart. Má tá na tosaíochtaí mícheart, éiríonn an SoA agus tuairisciú don bhord neamhiontaofa.
Déanann Zenith Blueprint an pointe céanna i gcéim Bainistíocht Riosca, Céim 14, “Beartais cóireála riosca agus tras-tagairtí rialála.” Molann sé d’eagraíochtaí tábla mapála a chruthú ina liostaítear príomhcheanglais slándála rialála agus na rialuithe nó beartais chomhfhreagracha san ISMS. Níl sé seo éigeantach le haghaidh deimhniú ISO 27001, ach tá sé an-úsáideach chun a léiriú go bhfuil slándáil á bainistiú i gcomhthéacs dlíthiúil agus conarthach.
Cad a iarrfaidh iniúchóirí éagsúla
D’fhéadfadh iniúchóir deimhniúcháin, athbhreithneoir atá dírithe ar NIS2, custaiméir atá dírithe ar DORA, athbhreithneoir GDPR, measúnóir NIST, nó cleachtóir COBIT an fhianaise chéanna a scrúdú ach ceisteanna éagsúla a chur.
| Lionsa iniúchóra | Ceist iniúchta tipiciúil | Fianaise a mbíonn siad ag súil léi |
|---|---|---|
| Iniúchóir ISO 27001 | An bhfuil an modh measúnaithe riosca sainithe, in-athdhéanta, curtha i bhfeidhm, agus nasctha le cóireáil agus leis an SoA? | Modheolaíocht riosca, critéir, clár, SoA, plean cóireála, faomhuithe iarmharacha |
| Athbhreithneoir atá dírithe ar NIS2 | An gclúdaíonn bearta cibearshlándála réimsí Article 21 agus cuntasacht bainistíochta? | Faomhuithe boird, mapáil Article 21, treoirleabhar teagmhas, fianaise leanúnachais, fianaise riosca soláthraithe |
| Athbhreithneoir atá dírithe ar DORA | An bhfuil bainistíocht riosca TFC doiciméadaithe, rialaithe, tástáilte, agus leathnaithe chuig tríú páirtithe TFC? | Creat riosca TFC, próiseas aicmithe teagmhas, tástálacha BCP, tástáil athléimneachta, clár soláthraithe TFC |
| Athbhreithneoir GDPR | An féidir leis an eagraíocht slándáil chuí agus cuntasacht i leith rioscaí sonraí pearsanta a léiriú? | Fardal sonraí, mapáil bonn dlí, nós imeachta measúnaithe sáraithe, fianaise cóireála riosca príobháideachais |
| Measúnóir atá dírithe ar NIST | An ndéantar rioscaí a shainaithint, a chosaint ina gcoinne, a bhrath, freagairt dóibh, agus téarnamh uathu trí rialuithe intomhaiste? | Cásanna riosca, fardal sócmhainní, cur chun feidhme rialuithe, faireachán, taifid freagartha agus téarnaimh |
| Iniúchóir COBIT nó ISACA | An bhfuil rialachas riosca ailínithe le cuspóirí fiontair, róil, feidhmíocht, dearbhú, agus tuairisciú bainistíochta? | Miontuairiscí rialachais, RACI, KRInna, fionnachtana iniúchta inmheánaigh, rianú leighis, deais bhainistíochta |
Sin é an fáth a bhfuil ailtireacht fianaise tábhachtach. Ba cheart go mbeadh an iontráil riosca chéanna inrianaithe ó chuspóir gnó go sócmhainn, bagairt, leochaileacht, rialú, úinéir, tiománaí rialála, gníomh cóireála, toradh tástála, agus cinneadh bainistíochta.
Tá beartais Clarysec deartha chun tacú leis an ailtireacht sin. Deir Beartas Bainistíochta Riosca Fiontair faoin rannán “Caighdeáin agus creataí tagartha”:
Article 5: Sainordaíonn sé creat doiciméadaithe bainistíochta riosca TFC, atá clúdaithe go hiomlán ag struchtúr an bheartais seo, lena n-áirítear mapáil SoA agus KRInna.
Iompaíonn sé seo an beartas ó dhoiciméad statach ina fhianaise iniúchta a thaispeánann gur dearadh rialachas riosca TFC go hintinneach agus DORA san áireamh.
Fionnachtana coitianta a bhriseann cláir riosca
Nuair a dhéanann Clarysec athbhreithniú ar fhianaise measúnaithe riosca agus cóireála riosca ISO 27001, tagann na fionnachtana céanna chun cinn arís agus arís eile.
Ar dtús, déanann critéir riosca neamhaird de thionchar dlíthiúil, rialála, conarthach, soláthraithe agus príobháideachais. Cruthaíonn sé seo scóráil lag. D’fhéadfadh sárú sonraí pearsanta nó teip soláthraí criticiúil a bheith rátáilte mar Mheánach toisc go bhfuil an dóchúlacht íseal, cé gur cheart do thionchar GDPR, NIS2, DORA, nó custaiméara é a dhéanamh Ard nó Criticiúil.
Ar an dara dul síos, tá úinéirí riosca cineálach. Ní úinéir riosca é “TF”. Ba cheart gur ról nó duine atá cuntasach as cinntí cóireála, buiséad, uainiú, agus riosca iarmharach a bheadh in úinéir riosca.
Ar an tríú dul síos, níl pleananna cóireála faoi theorainn ama. Ní plean é “Feabhsaigh faireachán”. Is plean é “Foláirimh seisiúin phribhléideacha a imscaradh sa SIEM do chuntais riaracháin táirgthe faoin 30 Meitheamh, faoi úinéireacht Bhainisteoir SOC, tástáilte trí logáil isteach riaracháin ionsamhlaithe, agus fianaise foláirimh ceangailte.”
Ar an gceathrú dul síos, tá an SoA dícheangailte ón gcóireáil. Má éilíonn an plean cóireála faireachán soláthraithe, tástáil cúltaca, uaschéimniú teagmhais, MFA, nó logáil, ba cheart don SoA na rialuithe ábhartha agus an stádas cur chun feidhme a léiriú.
Ar an gcúigiú dul síos, níl riosca iarmharach faofa. Éilíonn ISO 27001 faomhadh úinéir riosca ar an bplean cóireála agus ar rioscaí iarmharacha. Déanann NIS2 agus DORA é seo níos tábhachtaí fós toisc go bhfuil cuntasacht bainistíochta sainráite.
Ar an séú dul síos, caitear le riosca soláthraithe mar riarachán soláthair. Faoi NIS2 Article 21(2)(d) agus DORA Articles 28 agus 30, ní mór riosca soláthraithe agus tríú páirtí TFC a bheith mar chuid de bhainistíocht riosca, ní ceistneoir bliantúil a stóráiltear ina aonar.
Ar an seachtú dul síos, níl aon fhianaise ar éifeachtacht ann. Éilíonn ISO 27001 Clause 6.1.1 go ndéanfaí gníomhartha pleanáilte a mheas ó thaobh éifeachtachta de. Áiríonn NIS2 measúnú éifeachtachta in Article 21(2)(f). Tá DORA ag súil le tástáil agus leigheas. Is fianaise lag é rialú atá ann ach nach ndéantar a thástáil riamh.
Leagann Beartas Bainistíochta Riosca - SME an t-ionchas amach go soiléir:
Ní mór don Bhainisteoir Ginearálta agus don Chomhordaitheoir Riosca a chinntiú go bhfuil gníomhaíochtaí bainistíochta riosca réidh le haghaidh iniúchta. Tá an clár rioscaí agus na gníomhartha gaolmhara faoi réir iniúchta inmheánaigh agus sheachtraigh.
Ó Bheartas Bainistíochta Riosca SME, rannán “Cur chun feidhme agus comhlíonadh,” clásal beartais 8.2.1.
Tuairisciú don bhord gan feidhmeannaigh a bhá
Díríonn NIS2, DORA, agus ISO 27001 go léir ar chuntasacht bainistíochta, ach ní theastaíonn gach líne riosca ó bhoird. Teastaíonn tuairisciú uathu a thacaíonn le cinnteoireacht.
Ba cheart go léireodh pacáiste maith riosca don bhord:
- Rioscaí Arda agus Criticiúla de réir fearainn
- Gníomhartha cóireála atá thar téarma
- Rioscaí rialála a bhaineann le NIS2, DORA, GDPR, nó conarthaí
- Rioscaí soláthraithe a théann i bhfeidhm ar sheirbhísí criticiúla nó tábhachtacha
- Treochtaí teagmhas agus neasteagmhas
- Rioscaí iarmharacha atá ag fanacht le glacadh
- Torthaí tástála éifeachtacht rialuithe
- Athruithe ábhartha ar raon feidhme, soláthraithe, teicneolaíocht, nó dlí
- Fionnachtana iniúchta inmheánaigh agus gníomhartha ceartaitheacha
De ghnáth molann Clarysec athbhreithnithe riosca oibríochtúla míosúla agus athbhreithnithe bainistíochta ráithiúla. Díríonn athbhreithnithe míosúla ar sheachadadh cóireála. Díríonn athbhreithnithe ráithiúla ar ghlacadh, maoiniú, tosaíochtú, nochtadh rialála, agus cinntí riosca straitéiseacha.
Tacaíonn an rithim seo freisin le feabhsú leanúnach. Ba cheart measúnuithe riosca a nuashonrú nuair a tharlaíonn teagmhais, nuair a thagann leochaileachtaí chun cinn, nuair a thugtar sócmhainní nua isteach, nuair a athraíonn teicneolaíocht, nuair a athraíonn soláthraithe, nuair a athraíonn dlíthe, nuair a athraíonn oibleagáidí custaiméirí, nó nuair a athraíonn goile riosca.
Conair chur chun feidhme Clarysec
Seachnaíonn clár riosca aontaithe scarbhileoga dícheangailte ISO, NIS2, DORA, GDPR, agus dearbhaithe custaiméirí. Seo an chonair phraiticiúil:
- Deimhnigh raon feidhme ISMS, seirbhísí, sócmhainní, soláthraithe, dlínsí, agus oibleagáidí custaiméirí.
- Tóg nó nuashonraigh an Clár Comhlíonta trí úsáid a bhaint as Beartas um Chomhlíonadh Dlíthiúil agus Rialála - SME nuair is cuí.
- Sainigh modheolaíocht riosca, critéir ghlactha, scálaí dóchúlachta, scálaí tionchair, agus rialacha tionchair rialála.
- Tóg an clár rioscaí trí úsáid a bhaint as céim Bainistíocht Riosca Zenith Blueprint agus cur chuige Clarysec maidir le clár rioscaí agus SoA Builder.
- Sainaithin rioscaí bunaithe ar shócmhainní agus bunaithe ar chásanna, lena n-áirítear cásanna soláthraithe, scamall, príobháideachais, leanúnachais, teagmhais, leochaileachta, forbairt shlán, agus rochtana.
- Scóráil rioscaí trí úsáid a bhaint as critéir a chuimsíonn tionchar dlíthiúil, rialála, conarthach, oibríochtúil, príobháideachais, soláthraithe, agus airgeadais.
- Roghnaigh roghanna cóireála: maolaigh, seachain, aistrigh, nó glac.
- Mapáil rialuithe riachtanacha chuig Iarscríbhinn A ISO/IEC 27001:2022 agus treoir ISO/IEC 27002:2022.
- Cruthaigh nó nuashonraigh an Ráiteas Infheidhmeachta.
- Mapáil cóireálacha chuig NIS2 Article 21, bainistíocht riosca TFC DORA agus ionchais tríú páirtí, cuntasacht GDPR, agus oibleagáidí conarthacha custaiméirí.
- Bailigh fianaise, bailíochtaigh éifeachtacht rialuithe, agus faigh faomhadh riosca iarmharaigh.
- Ullmhaigh pacáiste iniúchta eagraithe de réir riosca, rialaithe, rialacháin, agus déantán fianaise.
- Cuir torthaí isteach in athbhreithniú bainistíochta, iniúchadh inmheánach, gníomh ceartaitheach, agus feabhsú leanúnach.
Ní páipéarachas ar mhaithe leis féin é seo. Is é an córas oibriúcháin é do rialachas cibear is féidir a chosaint.
Tóg pacáiste cóireála riosca atá réidh le haghaidh iniúchta
Críochnaíonn scéal Sarah go maith toisc gur stop sí ag caitheamh le ISO 27001, NIS2, agus DORA mar thionscadail chomhlíonta ar leith. D’úsáid sí measúnú riosca ISO 27001 mar an t-inneall lárnach, leabaigh sí oibleagáidí rialála i gcritéir riosca, mhapáil sí gníomhartha cóireála chuig Iarscríbhinn A agus ceanglais AE, agus bhailigh sí fianaise a thuigfeadh custaiméirí, iniúchóirí, agus an bord.
Is féidir le d’eagraíocht an rud céanna a dhéanamh.
Úsáid Zenith Blueprint: Treochlár 30 Céim d’Iniúchóir chun critéir riosca a shainiú, an clár rioscaí a thógáil, an plean cóireála riosca a chruthú, agus ceanglais rialála a thras-tagairt.
Úsáid Zenith Controls: An Treoir Tras-Chomhlíonta chun réimsí rialaithe Iarscríbhinn A ISO/IEC 27001:2022 a nascadh le rialachas, comhlíonadh dlíthiúil, dearbhú, agus peirspictíochtaí iniúchta.
Úsáid Beartas Bainistíochta Riosca, Beartas Bainistíochta Riosca - SME, agus Beartas um Chomhlíonadh Dlíthiúil agus Rialála - SME de chuid Clarysec chun úinéireacht, cláir, cinntí cóireála, agus fianaise atá réidh le haghaidh iniúchta a chaighdeánú.
Is é an chéad chéim phraiticiúil is tapúla ná do dheich bpríomhriosca a thógáil agus iad a thástáil i gcoinne cúig cheist:
- An bhfuil an tionchar rialála infheicthe?
- An bhfuil an plean cóireála faoi theorainn ama agus faoi úinéireacht shoiléir?
- An bhfuil gach cóireáil mapáilte chuig Iarscríbhinn A agus an SoA?
- An bhfuil ábharthacht NIS2, DORA, GDPR, nó custaiméara doiciméadaithe nuair is infheidhme?
- An bhfuil fianaise ann go n-oibríonn an rialú?
Más é “níl” an freagra, is féidir le Clarysec cabhrú le do chlár rioscaí a iompú ina chlár cóireála riosca tras-chomhlíonta, inchosanta, a mbeidh muinín ag iniúchóirí, rialálaithe, custaiméirí, agus boird ann.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
