Tástáil athshlánaithe atá réidh don iniúchadh do ISO 27001, NIS2 agus DORA

Tá sé 07:40 maidin Dé Luain, agus tá Sarah, Príomhoifigeach Slándála Faisnéise (CISO) i ngnólacht teicneolaíochta airgeadais atá ag fás go tapa, ag féachaint ar ghéarchéim ag teacht chun cinn i bhfíor-am. Ní féidir leis an bPríomhoifigeach Airgeadais (CFO) an t-ardán formheasa íocaíochtaí a oscailt. Measann an deasc seirbhíse gur fadhb stórála atá ann. Tá amhras ar an bhfoireann bonneagair gur bogearraí éirice atá i gceist, mar go bhfuil ainmneacha comhad criptithe le feiceáil anois ar roinnt fillteán comhroinnte. Tá an Príomhfheidhmeannach ag iarraidh a fháil amach an bhfuil an párolla slán. Fiafraíonn an fhoireann dlí an gá na rialálaithe a chur ar an eolas.

Osclaíonn Sarah painéal na gcúltacaí. Tá sé lán le ticmharcanna glasa.

Ba cheart go mbeadh sé sin suaimhneach, ach níl. Ní fianaise ar athshlánú rathúil é jab cúltaca rathúil. Is ionann é agus múchtóir dóiteáin a fheiceáil ar an mballa gan a bheith ar an eolas an bhfuil sé luchtaithe, inrochtana agus inúsáidte faoi bhrú.

Tá gnólacht Sarah faoi raon feidhme ISO 27001:2022, á láimhseáil mar eintiteas tábhachtach faoi NIS2, agus faoi réir DORA mar eintiteas airgeadais. Ní hé an cheist a thuilleadh an ritheann an eagraíocht cúltacaí. Is í an cheist an féidir léi na córais chearta a athshlánú, go dtí an pointe ama ceart, laistigh de Chuspóirí Ama Athshlánaithe agus Cuspóirí Pointe Athshlánaithe formheasta, agus fianaise aici atá sách láidir d’iniúchóir, do rialálaí, do chustaiméir, d’árachóir agus don Bhord.

Sin an áit a dteipeann ar go leor clár cúltaca. Bíonn jabanna cúltaca acu. Bíonn painéil acu. Bíonn seatanna scáileáin acu. D’fhéadfadh stóráil néil a bheith acu fiú. Ach nuair a bhíonn brú orthu, ní féidir leo a chruthú go bhfuil córais chriticiúla in-athshlánaithe, go ndearnadh tástálacha athshlánaithe, gur spreag tástálacha teipthe gníomh ceartaitheach, agus go bhfuil an fhianaise mapáilte go soiléir chuig ionchais ISO 27001:2022, NIS2, DORA, NIST agus COBIT 2019.

Tá tástáil cúltaca agus athshlánaithe anois ina hábhar athléimneachta oibríochtúla ar leibhéal an Bhoird. Ardaíonn NIS2 ionchais maidir le bainistíocht riosca cibearshlándála agus leanúnachas gnó. Déanann DORA athléimneacht oibríochtúil TFC ina croí-oibleagáid d’eintitis airgeadais agus dá soláthraithe criticiúla seirbhísí TFC. Soláthraíonn ISO 27001:2022 struchtúr an chórais bainistíochta maidir le raon feidhme, riosca, roghnú rialuithe, fianaise, iniúchadh agus feabhsú leanúnach.

Is é an dúshlán praiticiúil tástáil theicniúil athshlánaithe a thiontú ina fianaise atá réidh don iniúchadh.

Ní fianaise é cúltaca go dtí go gcruthaítear an t-athshlánú

Ní comhartha páirteach ach ea jab cúltaca a chríochnaíonn go rathúil. Insíonn sé duit gur cóipeáladh sonraí áit éigin. Ní chruthaíonn sé gur féidir na sonraí a athshlánú, go bhfuil spleáchais feidhmchláir slán, go bhfuil eochracha criptithe ar fáil, go n-oibríonn seirbhísí aitheantais fós, ná go dtacaíonn an córas athshlánaithe le fíoroibríochtaí gnó.

Tá sé seo ar eolas ag iniúchóirí. Tá sé seo ar eolas ag rialálaithe. Tá sé seo ar eolas ag ionsaitheoirí.

Ní stopfaidh iniúchóir atá aibí go teicniúil ag gabháil scáileáin a léiríonn ráta ratha 97 faoin gcéad do jabanna cúltaca. Cuirfidh siad na ceisteanna seo:

• Cé na córais atá criticiúil nó ardtionchair?
• Cén RTO agus RPO a bhaineann le gach córas?
• Cathain a rinneadh an tástáil athshlánaithe dheireanach?
• An raibh an tástáil iomlán, pháirteach, ar leibhéal feidhmchláir, ar leibhéal bunachair sonraí nó ar leibhéal comhaid?
• Cé a bhailíochtaigh an próiseas gnó tar éis an athshlánaithe?
• Ar taifeadadh teipeanna mar neamhchomhréireachtaí nó mar ghníomhartha feabhsúcháin?
• Cé chomh fada a choinnítear logaí agus taifid tástála athshlánaithe?
• An bhfuil cóipeanna cúltaca deighilte thar láithreacha?
• Conas a mhapálann an fhianaise chuig an gClár Rioscaí agus chuig an Ráiteas Infheidhmeachta?

Sin é an fáth go bhfuil teanga bheartais Clarysec díreach d’aon ghnó. Éilíonn an Beartas Cúltaca agus Athshlánaithe do FBManna [BRP-SME], sa rannán Ceanglais Rialachais, clásal beartais 5.3.3:

Déantar tástálacha athshlánaithe ar a laghad go ráithiúil, agus déantar na torthaí a dhoiciméadú chun in-athshlánaitheacht a fhíorú

Athraíonn an abairt amháin sin comhrá an iniúchta. Bogann sí an eagraíocht ó “tá cúltacaí againn” go “fíoraímid in-athshlánaitheacht de réir sceideal sainithe agus coinnímid na torthaí.”

Neartaíonn an Beartas Cúltaca agus Athshlánaithe do FBManna céanna, sa rannán Cur Chun Feidhme agus Comhlíonadh, clásal beartais 8.2.2, an oibleagáid fianaise:

Coinnítear logaí agus taifid tástála athshlánaithe chun críocha iniúchta

Cuireann an clásal sin cosc ar thástáil athshlánaithe dul in olcas ina heolas neamhdhoiciméadaithe laistigh d’fhoireann. Má deir innealtóir bonneagair, “Thástálamar é sin i mí an Mhárta,” ach mura bhfuil taifead ann, ní fianaise atá réidh don iniúchadh é.

Tugann an beartas céanna aghaidh freisin ar inmharthanacht trí éagsúlacht stórála. Sa rannán Ceanglais Chun an Beartas a Chur Chun Feidhme, clásal beartais 6.3.1.1, ní mór cúltacaí a bheith:

Stóráilte in dhá láthair ar a laghad (áitiúil agus néal)

Is bonnlíne phraiticiúil é seo. Ní thagann sé in ionad measúnú riosca, ach laghdaíonn sé an seans go scriosfaidh aon fhearann teipe fisiciúil nó loighciúil amháin sonraí táirgthe agus sonraí cúltaca araon.

Tosaíonn slabhra fianaise ISO 27001:2022 roimh an tástáil

Is minic a láimhseálann eagraíochtaí comhlíonadh cúltaca mar ábhar Oibríochtaí TF. I dtéarmaí ISO 27001:2022, tá sé sin róchúng. Ba cheart tástáil cúltaca agus athshlánaithe a leabú sa Chóras Bainistíochta Slándála Faisnéise, agus í nasctha le raon feidhme, riosca, roghnú rialuithe, faireachán, iniúchadh inmheánach agus feabhsú leanúnach.

Tosaíonn Zenith Blueprint: Treochlár 30 Céim d’Iniúchóirí [ZB] de chuid Clarysec an slabhra fianaise seo sula ndéantar aon tástáil athshlánaithe.

I gcéim Bhunús agus Cheannaireacht an ISMS, Céim 2, Riachtanais Páirtithe Leasmhara agus Raon Feidhme ISMS, tugann Zenith Blueprint treoir d’eagraíochtaí an méid atá laistigh den ISMS a shainiú:

Mír ghníomhaíochta 4.3: Dréachtaigh ráiteas raon feidhme ISMS. Liostaigh an méid atá san áireamh (aonaid ghnó, láithreacha, córais) agus aon eisiamh. Roinn an dréacht seo leis an ardbhainistíocht lena hionchur – ní mór dóibh aontú faoi na codanna den ghnó a bheidh faoi réir an ISMS. Is ciallmhar freisin an raon feidhme seo a sheiceáil i gcoinne do liosta riachtanas páirtithe leasmhara níos luaithe: An gclúdaíonn do raon feidhme na réimsí uile is gá chun na riachtanais sin a chomhlíonadh?

Maidir le tástáil athshlánaithe, sainíonn an raon feidhme cruinne an athshlánaithe. Má tá an t-ardán formheasa íocaíochtaí, an soláthraí aitheantais, bunachar sonraí ERP, freastalaí bainistíochta críochphointí agus stóráil réad néil laistigh den raon feidhme, ní mór don fhianaise athshlánaithe iad a áireamh nó údar a thabhairt leis an eisiamh. Má eisiatar córas, ní mór don eisiamh a bheith inchosanta i bhfianaise riachtanais páirtithe leasmhara, oibleagáidí conarthacha, dualgais rialála agus riachtanais leanúnachais gnó.

Is é riosca an chéad nasc eile. I gcéim na Bainistíochta Riosca, Céim 11, Tógáil agus Doiciméadú an Chláir Rioscaí, déanann Zenith Blueprint cur síos ar an gClár Rioscaí mar mháistir-thaifead rioscaí, sócmhainní, bagairtí, leochaileachtaí, rialuithe reatha, úinéirí agus cinntí cóireála.

Ba cheart d’iontráil riosca a bhaineann le cúltaca a bheith praiticiúil, ní teoiriciúil.

Seo an áit a n-éiríonn cúltaca in-iniúchta. Ní “tá cúltacaí againn” atá i gceist a thuilleadh. Is é atá ann “shainaithníomar riosca gnó, roghnaíomar rialuithe, shannamar úinéireacht, thástálamar an rialú agus choinníomar fianaise.”

Dúnann Zenith Blueprint, céim Bainistíochta Riosca, Céim 13, Pleanáil Cóireála Riosca agus Ráiteas Infheidhmeachta, an lúb inrianaitheachta:

Mapáil rialuithe chuig rioscaí agus clásail (inrianaitheacht)

Anois agus an Plean Cóireála Riosca agus an SoA araon agat:

✓ Mapáil rialuithe chuig rioscaí: I bplean cóireála do Chláir Rioscaí, liostaigh tú rialuithe áirithe do gach riosca. Is féidir leat colún “Tagairt Rialaithe Iarscríbhinn A” a chur le gach riosca agus uimhreacha na rialuithe a liostáil.

Maidir le cúltaca agus tástáil athshlánaithe, ba cheart don Ráiteas Infheidhmeachta an cás riosca a nascadh le rialuithe Iarscríbhinn A de ISO/IEC 27001:2022, go háirithe 8.13 Information backup, 5.30 ICT readiness for business continuity, 8.14 Redundancy of information processing facilities, agus 5.29 Information security during disruption.

Níor cheart don SoA na rialuithe seo a mharcáil mar infheidhme amháin. Ba cheart dó a mhíniú cén fáth a bhfuil siad infheidhme, cén fhianaise cur chun feidhme atá ann, cé leis an rialú, agus conas a láimhseáiltear eisceachtaí.

An mhapáil rialuithe a mbíonn iniúchóirí ag súil léi

Ní chruthaíonn Zenith Controls: An Treoir Tras-Chomhlíonta [ZC] de chuid Clarysec rialuithe ar leith ná rialuithe dílseánaigh. Eagraíonn sé caighdeáin agus creataí oifigiúla i léargas praiticiúil tras-chomhlíonta ionas gur féidir le heagraíochtaí a thuiscint conas a thacaíonn cleachtas oibríochtúil amháin, amhail tástáil athshlánaithe, le hoibleagáidí éagsúla.

Maidir le rialú ISO/IEC 27002:2022 8.13 Information backup, aicmíonn Zenith Controls an rialú mar rialú ceartaitheach, ceangailte le sláine agus infhaighteacht, ailínithe leis an gcoincheap cibearshlándála Recover, ag tacú leis an gcumas oibríochtúil Leanúnachais, agus suite i bhfearann slándála na Cosanta. Athshuíonn an phróifíl sin cúltacaí mar chumas téarnaimh, ní mar phróiseas stórála amháin.

Maidir le rialú ISO/IEC 27002:2022 5.30 ICT readiness for business continuity, aicmíonn Zenith Controls an rialú mar rialú ceartaitheach, dírithe ar infhaighteacht, ailínithe le Respond, ag tacú le Leanúnachas, agus suite i bhfearann slándála na hAthléimneachta. Seo an áit a nascann tástáil athshlánaithe go díreach le hathléimneacht oibríochtúil.

Maidir le rialú ISO/IEC 27002:2022 8.14 Redundancy of information processing facilities, sainaithníonn Zenith Controls rialú coisctheach dírithe ar infhaighteacht, ailínithe le Protect, ag tacú le Leanúnachas agus bainistíocht sócmhainní, agus nasctha le fearainn Cosanta agus Athléimneachta. Ní hionann iomarcaíocht agus cúltacaí. Cuidíonn iomarcaíocht le cur isteach a chosc. Cumasaíonn cúltacaí téarnamh tar éis caillteanais, truaillithe sonraí nó ionsaí.

Maidir le rialú ISO/IEC 27002:2022 5.29 Information security during disruption, taispeánann Zenith Controls próifíl níos leithne: coisctheach agus ceartaitheach, ag clúdach rúndacht, sláine agus infhaighteacht, ailínithe le Protect agus Respond, ag tacú le Leanúnachas, agus nasctha le Cosaint agus Athléimneacht. Tá sé seo tábhachtach le linn téarnamh ó bhogearraí éirice toisc nach mór don athshlánú teipeanna slándála nua a sheachaint, amhail íomhánna leochaileacha a athshlánú, logáil a sheachaint, nó pribhléidí iomarcacha a athghníomhachtú.

Tá an ceacht praiticiúil simplí. Ní rialú aonair ina aonar í tástáil athshlánaithe. Is fianaise í trasna slabhra athléimneachta.

An bhearna iniúchta cheilte: RTO agus RPO gan fhianaise

Ceann de na fionnachtana iniúchta leanúnachais is coitianta is ea an bhearna idir RTO/RPO doiciméadaithe agus fíorchumas athshlánaithe.

D’fhéadfadh an Plean Leanúnachais Gnó a rá go bhfuil RTO ceithre huaire an chloig agus RPO aon uair an chloig ag an tairseach custaiméirí. D’fhéadfadh an t-ardán cúltaca rith gach uair an chloig. Ach le linn an chéad chleachtaidh athshlánaithe réalaíoch, aimsíonn an fhoireann go dtógann athshlánú an bhunachair sonraí trí huaire an chloig, go dteastaíonn uair eile ó athruithe DNS, go bhfuil teastas an fheidhmchláir imithe in éag, agus nár cuireadh an comhtháthú aitheantais san áireamh riamh sa runbook. Is ocht n-uaire an fíor-am téarnaimh.

Ba fhicsean é an RTO doiciméadaithe.

Déanann Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste do FBManna [BCDR-SME] de chuid Clarysec, sa rannán Ceanglais Rialachais, clásal beartais 5.2.1.4, an ceanglas leanúnachais soiléir:

Cuspóirí Ama Athshlánaithe (RTOanna) agus Cuspóirí Pointe Athshlánaithe (RPOanna) do gach córas

Tá sé sin tábhachtach mar nach bhfuil “seirbhísí criticiúla a athshlánú go tapa” intomhaiste. Tá “bunachar sonraí formheasa íocaíochtaí a athshlánú laistigh de cheithre huaire an chloig agus gan níos mó ná uair an chloig de chaillteanas sonraí” intomhaiste.

Tiontaíonn an Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste do FBManna céanna, sa rannán Ceanglais Chun an Beartas a Chur Chun Feidhme, clásal beartais 6.4.2, tástáil ina feabhsú:

Ní mór gach toradh tástála a dhoiciméadú, agus ní mór ceachtanna foghlamtha a thaifeadadh agus a úsáid chun an BCP a nuashonrú.

Ní tubaiste iniúchta go huathoibríoch í teip athshlánaithe. Is tubaiste í teip athshlánaithe gan cheacht doiciméadaithe, úinéir, ceartú ná atástáil.

Maidir le timpeallachtaí fiontair, soláthraíonn Beartas Cúltaca agus Athshlánaithe [BRP] de chuid Clarysec rialachas níos foirmiúla. Sa rannán Ceanglais Rialachais, clásal beartais 5.1, deir sé:

Ní mór Máistir-sceideal Cúltaca a choinneáil agus a athbhreithniú go bliantúil. Ní mór dó na nithe seo a shonrú:

Bunaíonn an ceanglas tosaigh sin an croí-dhéantán rialachais. Ba cheart do Mháistir-sceideal Cúltaca córais, tacair sonraí, minicíocht cúltaca, coinneáil, suíomh, úinéireacht, aicmiú, spleáchais agus minicíocht tástála a shainaithint.

Nascann an Beartas Cúltaca agus Athshlánaithe céanna, sa rannán Ceanglais Rialachais, clásal beartais 5.2, ionchais cúltaca le tionchar gnó:

Ní mór do gach córas agus feidhmchlár atá aicmithe mar Chriticiúil nó Ardtionchair san Anailís Tionchair ar an nGnó (BIA):

Seo an áit a dtagann BIA agus rialachas cúltaca le chéile. Teastaíonn dearbhú téarnaimh níos láidre, tástáil níos minice, mapáil spleáchas níos fearr agus fianaise níos disciplínithe ó chórais chriticiúla agus ardtionchair.

Samhail fianaise amháin do ISO 27001:2022, NIS2, DORA, NIST agus COBIT 2019

Is minic a bhíonn foirne comhlíonta ag streachailt le dúbailt creataí. Éilíonn ISO 27001:2022 roghnú rialuithe agus fianaise bunaithe ar riosca. Bíonn NIS2 ag súil le bearta bainistíochta riosca cibearshlándála, lena n-áirítear leanúnachas gnó. Bíonn DORA ag súil le hathléimneacht oibríochtúil TFC, freagairt agus téarnamh, nósanna imeachta cúltaca agus athshlánaithe, agus tástáil athléimneachta oibríochtúla digití. Úsáideann NIST agus COBIT 2019 teanga eile arís.

Ní hé an freagra cláir chúltaca ar leith a thógáil do gach creat. Is é an freagra samhail fianaise amháin a thógáil ar féidir féachaint uirthi trí iliomad lionsaí iniúchta.

Maidir le NIS2, is é Article 21 maidir le bearta bainistíochta riosca cibearshlándála an tagairt is dírí. Áirítear in Article 21(2)(c) go sonrach leanúnachas gnó, amhail bainistíocht cúltaca, athshlánú ó thubaiste agus bainistíocht géarchéime. Tá Article 21(2)(f) tábhachtach freisin mar go dtugann sé aghaidh ar bheartais agus nósanna imeachta chun éifeachtacht beart bainistíochta riosca cibearshlándála a mheasúnú. Is é sin go díreach tástáil athshlánaithe: fianaise go n-oibríonn an beart.

Maidir le DORA, is iad Article 11 maidir le freagairt agus téarnamh, Article 12 maidir le beartais agus nósanna imeachta cúltaca, nósanna imeachta agus modhanna athshlánaithe agus téarnaimh, agus Article 24 maidir le ceanglais ghinearálta do thástáil athléimneachta oibríochtúla digití na naisc is láidre. Maidir le heintitis airgeadais, d’fhéadfadh tástáil athshlánaithe bunachair sonraí amháin a bheith neamhleor má bhraitheann an tseirbhís ghnó ar aitheantas néil, nascacht tairseach íocaíochta, óstáil sheachfhoinsithe nó faireachán bainistithe. Ba cheart fianaise ar stíl DORA a bheith ar leibhéal seirbhíse, ní ar leibhéal freastalaí amháin.

Seo éifeachtúlacht straitéise comhlíonta aontaithe. Is féidir le tástáil athshlánaithe ráithiúil do chóras íocaíochta tacú le fianaise Iarscríbhinn A ISO 27001:2022, ionchais leanúnachais NIS2, ceanglais téarnaimh TFC DORA, torthaí Recover NIST CSF, agus tuairisciú rialachais COBIT 2019, má tá an fhianaise struchtúrtha i gceart.

Tástáil phraiticiúil athshlánaithe a éiríonn ina fianaise atá réidh don iniúchadh

Fill ar chás maidin Dé Luain Sarah, ach samhlaigh gur ullmhaigh a heagraíocht trí thacair uirlisí Clarysec a úsáid.

Tá an t-ardán formheasa íocaíochtaí aicmithe mar Chriticiúil sa BIA. Is é ceithre huaire an chloig an RTO formheasta. Is é uair an chloig an RPO formheasta. Braitheann an t-ardán ar bhraisle bunachair sonraí, soláthraí aitheantais, taisce rúin, píblíne logála, DNS, teastais agus athsheachadán ríomhphoist amach.

Tógann foireann Sarah tástáil athshlánaithe ráithiúil timpeall ar sé chéim.

Céim 1: Deimhnigh raon feidhme agus spleáchais

Ag úsáid Zenith Blueprint Céim 2, deimhníonn Sarah go bhfuil an t-ardán íocaíochta, an bunachar sonraí, an comhtháthú aitheantais, an bonneagar cúltaca agus an timpeallacht téarnaimh laistigh de raon feidhme an ISMS. Deimhníonn an fhoireann dlí ábharthacht rialála. Deimhníonn Airgeadas tionchar gnó. Deimhníonn TF spleáchais.

Seachnaíonn sé seo an botún clasaiceach: an bunachar sonraí amháin a athshlánú agus neamhaird a dhéanamh den tseirbhís fhíordheimhnithe atá riachtanach chun rochtain a fháil ar an bhfeidhmchlár.

Céim 2: Nasc an tástáil leis an gClár Rioscaí

Ag úsáid Zenith Blueprint Céim 11, cuimsíonn an Clár Rioscaí an cás: “Cuireann caillteanas nó criptiú sonraí an ardáin formheasa íocaíochtaí cosc ar oibríochtaí íocaíochta agus cruthaíonn sé nochtadh rialála.”

Áirítear leis na rialuithe reatha cúltacaí laethúla, stóráil néil dho-athraithe, cóipeanna cúltaca il-láithreacha, tástáil athshlánaithe ráithiúil agus runbooks athshlánaithe doiciméadaithe. Is é Ceannaire Bonneagair an t-úinéir riosca. Is é Oibríochtaí Airgeadais an t-úinéir gnó. Is é Maolú an cinneadh cóireála.

Céim 3: Mapáil an chóireáil chuig an SoA

Ag úsáid Zenith Blueprint Céim 13, mapálann an SoA an riosca chuig rialuithe Iarscríbhinn A ISO/IEC 27001:2022 8.13, 5.30, 8.14 agus 5.29. Míníonn an SoA go soláthraíonn tástáil cúltaca cumas ceartaitheach téarnaimh, go dtacaíonn nósanna imeachta leanúnachais TFC le leanúnachas gnó, go laghdaíonn iomarcaíocht dóchúlacht briste seirbhíse, agus go gcuireann slándáil le linn cur isteach cosc ar sheachbhealaí téarnaimh neamhshlána.

Céim 4: Úsáid clásail bheartais mar chritéir tástála

Úsáideann an fhoireann clásal 5.3.3 den Bheartas Cúltaca agus Athshlánaithe do FBManna le haghaidh tástáil athshlánaithe ráithiúil, clásal 8.2.2 le haghaidh coinneáil fianaise, agus clásal 6.3.1.1 le haghaidh stóráil il-láithreacha. Úsáideann sí clásal 5.2.1.4 den Bheartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste do FBManna le haghaidh spriocanna RTO/RPO agus clásal 6.4.2 le haghaidh ceachtanna foghlamtha agus nuashonruithe BCP.

Céim 5: Rith an t-athshlánú agus taifead na fíricí

Déantar an t-athshlánú i dtimpeallacht téarnaimh leithlisithe. Taifeadann an fhoireann stampaí ama, aitheantóirí tacair cúltaca, céimeanna athshlánaithe, earráidí, torthaí bailíochtaithe agus formheasanna.

Ba cheart do thaifead láidir tástála athshlánaithe na nithe seo a áireamh:

Le linn na tástála, aimsíonn an fhoireann saincheist amháin. Ní féidir leis an bhfeidhmchlár athshlánaithe ríomhphoist fhógra a sheoladh mar nach bhfuil fo-líonra an athshlánaithe san áireamh i liosta ceadaithe an athsheachadáin ríomhphoist. Oibríonn croífheidhm formheasa íocaíochtaí, ach tá an sreabhadh oibre díghrádaithe.

Céim 6: Taifead ceachtanna foghlamtha agus gníomh ceartaitheach

Seo an áit a stopann go leor eagraíochtaí róluath. Cuireann cur chuige Clarysec an tsaincheist isteach sa chóras feabhsúcháin.

I gcéim Iniúchadh, Athbhreithniú agus Feabhsú, Céim 29, Feabhsú Leanúnach, úsáideann Zenith Blueprint loga CAPA chun cur síos ar shaincheist, anailís bunchúise, gníomh ceartaitheach, úinéir, spriocdháta agus stádas a rianú.

Táirgeann an tástáil athshlánaithe aonair seo slabhra fianaise atá réidh don iniúchadh anois: ceanglas beartais, deimhniú raon feidhme, mapáil riosca, mapáil SoA, plean tástála, taifead forghníomhaithe, bailíochtú gnó, bailíochtú slándála, taifead saincheiste, gníomh ceartaitheach agus nuashonrú BCP.

Conas a scrúdaíonn iniúchóirí éagsúla an fhianaise chéanna

Réamh-mheasann pacáiste láidir fianaise lionsa an iniúchóra.

Tosóidh iniúchóir ISO 27001:2022 de ghnáth leis an gcóras bainistíochta. Fiafróidh siad an bhfuil ceanglais cúltaca agus athshlánaithe laistigh den raon feidhme, bunaithe ar riosca, curtha chun feidhme, faoi fhaireachán, faoi iniúchadh inmheánach agus feabhsaithe. Beidh siad ag súil le hinrianaitheacht ón gClár Rioscaí go dtí an SoA agus go dtí taifid oibríochtúla. D’fhéadfadh siad tástálacha teipthe agus gníomhartha ceartaitheacha a nascadh freisin le clásal 10.2 de ISO/IEC 27001:2022 maidir le neamhchomhréireacht agus gníomh ceartaitheach.

Díreoidh athbhreithneoir DORA ar athléimneacht oibríochtúil TFC d’fheidhmeanna criticiúla nó tábhachtacha. Beidh siad ag iarraidh téarnamh ar leibhéal seirbhíse, spleáchais TFC tríú páirtí, tástáil bunaithe ar chásanna, maoirseacht ón gcomhlacht bainistíochta agus fianaise go bhfuil nósanna imeachta athshlánaithe éifeachtach a fheiceáil.

Ó pheirspictíocht mhaoirseachta NIS2, lorgófar bearta bainistíochta riosca cibearshlándála atá iomchuí agus comhréireach. Ba cheart go léireodh fianaise cúltaca agus athshlánaithe ó thubaiste gur féidir le seirbhísí riachtanacha nó tábhachtacha oibríochtaí a choinneáil ar bun nó a athshlánú tar éis teagmhas, agus an bhainistíocht ar an eolas faoin riosca iarmharach.

Díreoidh measúnóir atá dírithe ar NIST ar thorthaí cibearshlándála trasna Identify, Protect, Detect, Respond agus Recover. D’fhéadfadh siad ceisteanna a chur faoi chúltacaí do-athraithe, rochtain phribhléideach ar stórtha cúltaca, athshlánú i dtimpeallachtaí glana, cumarsáid agus ceachtanna foghlamtha.

Leagfaidh iniúchóir ar stíl COBIT 2019 nó ISACA béim ar rialachas, úinéireacht próisis, méadrachtaí, tuairisciú bainistíochta agus rianú saincheisteanna. Ní bheidh siad chomh tógtha sin le hathshlánú teicniúil galánta má tá úinéireacht agus tuairisciú doiléir.

Is féidir leis an bhfianaise chéanna na peirspictíochtaí seo go léir a shásamh, ach amháin má tá sí iomlán.

Teipeanna coitianta i dtástáil athshlánaithe a chruthaíonn fionnachtana iniúchta

Feiceann Clarysec na bearnaí fianaise inchoiscthe céanna arís agus arís eile.

Ní maorlathas an sprioc. Is é an sprioc téarnamh iontaofa faoi bhrú agus fianaise inchosanta faoi iniúchadh.

Tóg pacáiste fianaise téarnaimh ar leibhéal an Bhoird

Ní theastaíonn logaí amh cúltaca ó fheidhmeannaigh. Teastaíonn dearbhú uathu go bhfuil seirbhísí criticiúla in-athshlánaithe, go bhfuil eisceachtaí ar eolas, agus go bhfuil gníomhartha feabhsúcháin ag dul chun cinn.

Maidir le gach seirbhís chriticiúil, tuairiscigh:

• Ainm na seirbhíse agus úinéir gnó
• Criticiúlacht ón BIA
• RTO agus RPO formheasta
• Dáta na tástála athshlánaithe deireanaí
• RTO agus RPO bainte amach
• Toradh na tástála
• Gníomhartha ceartaitheacha oscailte
• Spleáchais tríú páirtí a théann i bhfeidhm ar théarnamh
• Ráiteas riosca iarmharaigh
• An chéad tástáil sceidealta eile

Cruthaíonn an stíl tuairiscithe seo droichead idir foirne teicniúla, iniúchóirí agus ceannaireacht. Tacaíonn sé freisin le hathbhreithniú bainistíochta an ISMS agus le maoirseacht athléimneachta faoi NIS2 agus DORA.

Seicliosta praiticiúil iniúchta don chéad 30 go 90 lá eile

Má tá d’iniúchadh ag druidim, tosaigh leis an bhfianaise atá agat cheana agus dún na bearnaí is airde riosca ar dtús.

• Sainaithin gach córas Criticiúil agus Ardtionchair ón BIA.
• Deimhnigh RTO agus RPO do gach córas criticiúil.
• Fíoraigh go bhfuil gach córas criticiúil le feiceáil sa Mháistir-sceideal Cúltaca.
• Deimhnigh láithreacha cúltaca, lena n-áirítear stórtha áitiúla, néil, do-athraithe nó deighilte.
• Roghnaigh tástáil athshlánaithe amháin le déanaí ar a laghad do gach seirbhís chriticiúil nó sceidealaigh tástáil láithreach.
• Cinntigh go léiríonn taifid tástála athshlánaithe raon feidhme, stampaí ama, tacar cúltaca, toradh, RTO/RPO bainte amach agus bailíochtú.
• Faigh formheas ó úinéir gnó le haghaidh téarnamh ar leibhéal feidhmchláir.
• Bailíochtaigh slándáil tar éis athshlánaithe, lena n-áirítear rialú rochtana, logáil, faireachán, rúin, teastais agus nochtadh leochaileachta.
• Mapáil fianaise chuig an gClár Rioscaí agus chuig an SoA.
• Taifead saincheisteanna i CAPA, sann úinéirí agus rianaigh atástáil.
• Achoimrigh torthaí le haghaidh athbhreithniú bainistíochta.
• Ullmhaigh léargas tras-chomhlíonta le haghaidh comhráite iniúchta ISO 27001:2022, NIS2, DORA, NIST CSF agus COBIT 2019.

Mura féidir leat gach mír a chríochnú roimh an iniúchadh, bí trédhearcach. Is gnách go bhfreagraíonn iniúchóirí níos fearr do bhearna dhoiciméadaithe a bhfuil plean gníomhaíochta ceartaitheach aici ná d’éilimh doiléire ar aibíocht.

Déan fianaise láidir athléimneachta de thástáil athshlánaithe

Tá tástáil cúltaca agus athshlánaithe ar cheann de na bealaí is soiléire chun athléimneacht oibríochtúil a chruthú. Tá sí inláimhsithe, intomhaiste, ábhartha don ghnó, agus nasctha go díreach le ISO 27001:2022, NIS2, DORA, NIST, COBIT 2019, tuairisciú don Bhord, dearbhú custaiméirí agus ionchais árachóirí.

Ach amháin má dhéantar í a dhoiciméadú i gceart.

Cuidíonn Clarysec le heagraíochtaí oibríochtaí cúltaca a thiontú ina bhfianaise atá réidh don iniúchadh tríd an Beartas Cúltaca agus Athshlánaithe, Beartas Cúltaca agus Athshlánaithe do FBManna, Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste do FBManna, Zenith Blueprint, agus Zenith Controls.

Tá do chéad bheart praiticiúil eile simplí. Roghnaigh seirbhís chriticiúil amháin an tseachtain seo. Rith tástáil athshlánaithe i gcoinne a RTO agus RPO formheasta. Doiciméadaigh an toradh. Mapáil é chuig an gClár Rioscaí agus chuig an SoA. Logáil gach ceacht foghlamtha.

Más mian leat go mbeadh an próiseas sin in-athúsáidte trasna ISO 27001:2022, NIS2, DORA, NIST agus COBIT 2019, tugann tacar uirlisí Clarysec an struchtúr duit chun téarnamh a chruthú gan lúbra comhlíonta a thógáil ón tús.