Aicmiú sonraí le haghaidh ISO 27001, GDPR, NIS2 agus DORA

Nóiméad iniúchta 2026: “Taispeáin dom an fhianaise”

Is mí Feabhra 2026 atá ann, agus níl cruinniú ráithiúil an bhoird i gcuideachta fintech SaaS atá ag fás go tapa ag dul chomh réidh agus a raibh súil ag an CISO leis.

Bhain an chuideachta deimhniúchán ISO/IEC 27001:2022 amach le déanaí. Tá MFA, cosaint críochphointí, scanadh leochaileachtaí, athbhreithnithe rochtana, nósanna imeachta freagartha do theagmhais agus tuarascáil snasta ullmhachta DORA aici. Ansin cuireann an CEO an cheist a athraíonn an seomra.

“Tá ár bpríomh-infheisteoir ag fiafraí conas is féidir linn a chruthú go gcosnaítear sonraí airgeadais custaiméirí go comhsheasmhach ar fud AWS, Azure, ár n-ardáin tacaíochta SaaS agus an stórais anailísíochta. Má tharraingíonn iniúchóir comhad amháin as stóráil réad agus comhad eile as fillteán comhoibrithe, conas a bheidh a fhios againn go bhfuil siad faoi réir na rialacha céanna?”

Osclaíonn an CISO an Clár sócmhainní. Liostaíonn sé bunachair sonraí, cuntais néil, feidhmchláir, ardáin SaaS agus suíomhanna stórála. Ach tá an réimse aicmithe neamhiomlán. Tá roinnt fillteán ainmnithe de réir roinne, ní de réir íogaireachta. Tá easpórtálacha custaiméirí taobh le comhaid tuairiscithe inmheánaigh. Tá aitheantóirí custaiméirí, tagairtí íocaíochta agus nótaí cáis i roinnt scarbhileog tacaíochta, ach tá siad lipéadaithe mar “internal”. Tá rialacha DLP ann, ach ní spreagtar iad ach ag patrúin fhollasacha. Deir an beartas néil nach mór do shonraí pearsanta AE fanacht i réigiúin cheadaithe, ach ní féidir leis an bhfoireann a chruthú go bhfuil rialacha cónaitheachta á dtiomáint ag meiteashonraí aicmithe.

Ansin cuireann an bainisteoir comhlíonta an uillinn rialála leis: “An leor é seo mar fhianaise do GDPR Article 32, NIS2 Article 21 agus riosca TFC DORA?”

Is é an freagra macánta: ní leor fós.

Seo an bhearna a bhíonn roimh go leor eagraíochtaí in 2026. Tá rialuithe slándála acu, ach níl an ciseal rialachais acu a insíonn do gach rialú cad atá le cosaint, cé chomh láidir is gá é a chosaint agus conas é a chruthú. Is é an ciseal rialachais sin aicmiú sonraí agus lipéadú faisnéise.

I dtéarmaí ISO/IEC 27001:2022, ní cleachtais mhaisithe bainistíochta doiciméad iad aicmiú agus lipéadú. Is iad an droichead praiticiúil iad idir measúnú riosca, rialú rochtana, criptiú, coinneáil, DLP, cónaitheacht sonraí sa néal, dícheall cuí soláthraithe, faireachán agus tuairisciú teagmhas. I samhail cur chun feidhme Clarysec, tá siad i gcroílár shlabhra fianaise an ISMS: déan fardal den tsócmhainn, sann úinéir, aicmigh í, lipéadaigh í, cuir rialacha láimhseála i bhfeidhm, déan faireachán ar eisceachtaí agus taispeáin an inrianaitheacht d’iniúchóirí.

Cén fáth ar rialuithe ar leibhéal an Bhoird iad aicmiú agus lipéadú anois

Tá rialálaithe agus custaiméirí ag súil níos mó go léireoidh eagraíochtaí go bhfuil bearta slándála oiriúnach d’íogaireacht na sonraí, do chriticiúlacht na seirbhíse agus do thionchar gnó teipe.

Déanann GDPR é seo soiléir trí chuntasacht. Éilíonn Article 5 go bpróiseálfar sonraí pearsanta go dleathach, go cothrom agus go trédhearcach, go mbeidh siad teoranta don mhéid is gá, go gcoinneofar iad ar feadh na tréimhse is gá amháin agus go gcosnófar iad le bearta teicniúla agus eagraíochtúla cuí. Ní mór don rialaitheoir a bheith in ann comhlíonadh a léiriú freisin. Éiríonn sé deacair ansin fianaise a thabhairt ar GDPR Article 32 mura bhfuil a fhios cé na córais a phróiseálann sonraí pearsanta, cé na sonraí atá ardriosca nó ina gcatagóir speisialta, cá stóráiltear iad agus cé na coimircí atá i bhfeidhm.

Ardaíonn NIS2 leibhéal an rialachais. Éilíonn Article 20 ar chomhlachtaí bainistíochta eintiteas riachtanach agus tábhachtach bearta bainistíochta riosca cibearshlándála a fhormheas, maoirseacht a dhéanamh ar a gcur chun feidhme agus oiliúint a fháil. Éilíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla cuí agus comhréireacha, lena n-áirítear anailís riosca, beartais slándála, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, slándáil i soláthar agus i bhforbairt, measúnú éifeachtachta, sláinteachas cibear, oiliúint, cripteagrafaíocht, slándáil acmhainní daonna, rialú rochtana agus bainistíocht sócmhainní. Ní bosca seiceála ar leith sa liosta sin é aicmiú. Is é an córas cinnteoireachta é a dhéanann na bearta sin comhréireach.

Cuireann DORA an loighic chéanna i bhfeidhm ar eintitis airgeadais agus ar éiceachórais fintech. Ón 17 Eanáir 2025, éilíonn DORA creat doiciméadaithe bainistíochta riosca TFC, freagracht an chomhlachta bainistíochta, beartais maidir le rúndacht, sláine, infhaighteacht agus barántúlacht, aicmiú teagmhas, tástáil athléimneachta agus bainistíocht riosca tríú páirtithe TFC. I gcás eintitis airgeadais atá rialáilte ag DORA, féadfaidh DORA feidhmiú mar ghníomh dlíthiúil earnáilshonrach de chuid an Aontais in ionad oibleagáidí bainistíochta riosca agus tuairiscithe NIS2 atá ag forluí, ach fanann an t-ionchas fianaise mar an gcéanna: léiriú conas a aithnítear, a chosnaítear, a thástáiltear, a ndéantar faireachán orthu agus a rialaítear faisnéis chriticiúil agus sócmhainní TFC.

Tá ISO/IEC 27001:2022 an-oiriúnach mar chóras oibriúcháin don fhianaise seo. Éilíonn Clásail 4.1 go 4.4 ar an eagraíocht saincheisteanna inmheánacha agus seachtracha, ceanglais páirtithe leasmhara, oibleagáidí rialála agus conarthacha agus comhéadain le heagraíochtaí eile a thuiscint. Éilíonn Clásail 6.1.1 go 6.1.3 measúnú riosca, cóireáil riosca, roghnú rialuithe, Ráiteas Infheidhmeachta agus fianaise choinnithe. ISO/IEC 27001:2022

Má chuireann GDPR, NIS2 agus DORA an cheist, “Cén fáth ar chuir sibh na bearta seo i bhfeidhm?”, cabhraíonn ISO/IEC 27001:2022 leat freagra a thabhairt, “Mar gheall gur threoraigh na sócmhainní, na cineálacha sonraí, na rioscaí, na hoibleagáidí agus na cinntí cóireála seo muid anseo.”

Is é an t-aicmiú an cinneadh riosca. Is é an lipéadú an comhartha oibríochtúil.

Scarann Clarysec aicmiú agus lipéadú toisc go ndéanann iniúchóirí amhlaidh.

Is é atá san aicmiú ná íogaireacht, luach agus criticiúlacht faisnéise a chinneadh. Is é atá sa lipéadú ná an cinneadh sin a dhéanamh infheicthe, buan agus inchurtha i bhfeidhm in oibríochtaí laethúla.

Luaitear cuspóir Bheartas Aicmithe agus Lipéadaithe Sonraí - FGBM de chuid Clarysec go soiléir:

Sainmhíníonn an beartas seo conas nach mór an fhaisnéis uile a láimhseálann an eagraíocht a aicmiú agus a lipéadú chun a chinntiú go gcoinnítear a rúndacht, a sláine agus a hinfhaighteacht ar feadh a saolré.

Éilíonn an Beartas Aicmithe agus Lipéadaithe Sonraí - FGBM céanna ar eagraíochtaí:

Ní mór gach sócmhainn sonraí a aicmiú de réir a híogaireachta agus a lipéadú dá réir chun láimhseáil, stóráil agus rochtain chuí a threorú.

Maidir le timpeallachtaí fiontair, sainmhíníonn P13 Beartas Aicmithe agus Lipéadaithe Sonraí de chuid Clarysec an tsamhail íosta aicmithe:

Ní mór don eagraíocht scéim aicmithe chaighdeánaithe a chothabháil le leibhéil atá sainmhínithe go soiléir. Ar a laghad, ní mór na sraitheanna aicmithe seo a leanas a úsáid: 5.1.1 Public: Faisnéis atá beartaithe le haghaidh foilsiú oscailte agus dáileadh gan srian 5.1.2 Internal: Faisnéis ghnó neamhphoiblí nach bhfuil beartaithe le heisiúint sheachtrach 5.1.3 Confidential: Sonraí íogaire gnó, conarthacha nó custaiméirí a éilíonn rialú rochtana docht 5.1.4 Restricted (nó Highly Confidential): Faisnéis chriticiúil nó rialáilte a bhféadfadh díobháil shuntasach nó dliteanas dlíthiúil teacht as nochtadh neamhúdaraithe

Tá tábhacht leis an idirdhealú sin. D’fhéadfadh aicmiú “Confidential” criptiú, rochtain rólbhunaithe agus coimircí conarthacha a éileamh. D’fhéadfadh aicmiú “Restricted” MFA, faomhadh CISO le haghaidh comhroinnt sheachtrach, logáil fheabhsaithe, rialachas coinneála níos láidre, deighilt agus uaschéimniú tosaíochta teagmhais a spreagadh.

Tá an beartas fiontair soiléir maidir le lipéadú oibríochtúil:

Ní mór gach sócmhainn faisnéise a lipéadú ar bhealach atá: 6.2.1.1 Buan: Nach féidir a bhaint ná a shárú go héasca 6.2.1.2 Infheicthe: Soiléir d’úsáideoirí ag an bpointe úsáide 6.2.1.3 Inléite ag meaisín: Nuair is féidir, ní mór tacú le clibeáil bunaithe ar mheiteashonraí

Is ag lipéid inléite ag meaisín a aibíonn an clár ó fheasacht go forfheidhmiú. Má tá lipéid bunaithe ar mheiteashonraí, is féidir le hardáin néil, córais DLP, geataí ríomhphoist, uirlisí aitheantais, rialacha SIEM, ardáin CASB agus innill choinneála gníomhú orthu. Mura bhfuil sna lipéid ach buntásc i ndoiciméad, d’fhéadfadh siad cabhrú le húsáideoirí, ach ní féidir leo rialacha a chur i bhfeidhm go hiontaofa ar scála.

Cá mbaineann aicmiú i dtreochlár Clarysec

Cuireann Zenith Blueprint: Treochlár 30 céim d’iniúchóir de chuid Clarysec aicmiú go luath i saolré bainistíochta riosca, ní tar éis imlonnú teicneolaíochta. I gcéim na Bainistíochta Riosca, Céim 9, “Sócmhainní, bagairtí agus leochaileachtaí a shainaithint,” treoraíonn an treochlár foirne chun sócmhainní faisnéise a fhardalú agus úinéir, suíomh agus aicmiú a thaifeadadh.

Cuireann sé seo cosc ar theip choitianta: fardal néil a bheith agat ach gan fardal faisnéise a bheith agat. Is sócmhainn teicneolaíochta é bunachar sonraí, tionónta SaaS nó stóras sonraí. Is sócmhainní faisnéise iad na taifid chustaiméirí, comhaid fostaithe, logaí íocaíochta, tacair sonraí oiliúna samhlacha, tras-scríbhinní tacaíochta agus fianaise teagmhais atá iontu. Tá aicmiú suite ag an leibhéal faisnéise sin.

Míníonn treoir Zenith Blueprint maidir le rialú ISO/IEC 27002:2022 5.12, Aicmiú faisnéise, an prionsabal:

Glacann gach rialú slándála faisnéise a scríobhadh riamh, bíodh sé ina shrianadh rochtana, criptiú, cúltaca, faireachán nó diúscairt, le rud amháin: go bhfuil a fhios ag an eagraíocht cad atá á chosaint aici. Éilíonn Rialú 5.12 go ndéanfar faisnéis a aicmiú bunaithe ar a luach, a híogaireacht agus a criticiúlacht, agus é sin mar bhunchloch do gach cinneadh ina dhiaidh sin laistigh den ISMS.

Maidir le rialú ISO/IEC 27002:2022 5.13, Lipéadú faisnéise, aistríonn an treochlár céanna aicmiú ina iompar laethúil:

Is é an lipéadú an chaoi a n-athraíonn tú beartas teibí ina réaltacht oibríochtúil. Is é an nóiméad é nuair is féidir le húsáideoir, agus doiciméad, ríomhphost, réimse bunachair shonraí nó tuarascáil chlóite á fheiceáil aige, a aithint láithreach: cad í an fhaisnéis seo, cé chomh híogair is atá sí, agus conas ba cheart í a láimhseáil.

Tagann an nasc deireanach sa treochlár i gCéim 13, “Pleanáil Cóireála Riosca agus Ráiteas Infheidhmeachta.” Déanann Zenith Blueprint cur síos ar an SoA mar an droichead idir rioscaí, cóireálacha agus rialuithe. Seo an áit a n-éiríonn aicmiú ina inrianaitheacht iniúchta. Is féidir cás riosca amhail “nochtadh neamhúdaraithe sonraí airgeadais custaiméirí ó stóráil néil chomhroinnte” a mhapáil chuig aicmiú, lipéadú, rialú rochtana, criptiú, logáil, DLP, úsáid néil, ceanglais soláthraithe agus freagairt do theagmhais.

Na caidrimh rialaithe a bhfuil iniúchóirí ag súil leo

I Zenith Controls: An treoir tras-chomhlíonta de chuid Clarysec, mapáiltear rialú ISO/IEC 27002:2022 5.12, Aicmiú faisnéise, mar rialú coisctheach a thacaíonn le rúndacht, sláine agus infhaighteacht. Tá baint aige leis an gcoincheap cibearshlándála Identify, leis an gcumas oibríochtúil Cosaint Faisnéise agus leis na fearainn slándála Cosaint agus Cosaint Ghníomhach.

Maidir le rialú ISO/IEC 27002:2022 5.13, Lipéadú faisnéise, mapálann Zenith Controls an rialú mar rialú coisctheach, dírithe ar Protect, leis na hairíonna slándála faisnéise céanna agus leis an gcumas oibríochtúil Cosaint Faisnéise céanna.

Is é an léargas criticiúil nach bhfuil aicmiú agus lipéadú scoite amach. Déanann siad na rialuithe máguaird inchosanta.

Mapálann Zenith Controls rialú 5.12 chuig GDPR Article 32 agus Recital 83, NIS2 Article 21(2)(a) agus 21(2)(f), ISO/IEC 27701 Annex B, NIST SP 800-53 MP-3 agus PM-11, FIPS 199 agus NIST SP 800-60, agus COBIT 2019 DSS06.06 agus APO13.01. Mapálann sé rialú 5.13 chuig GDPR Article 32, NIS2 Article 21(2)(a) agus 21(2)(f), DORA Article 9(1) agus 9(2), NIST SP 800-53 MP-3 agus COBIT 2019 DSS06.06.

Ciallaíonn sé sin gur féidir le tacar fianaise amháin freagra a thabhairt ar iliomad ceisteanna dearbhaithe.

Is é an Clár sócmhainní an áit a n-éiríonn aicmiú ina fhianaise

Teipeann ar go leor clár aicmithe toisc nach bhfuil an scéim aicmithe ann ach i mbeartas. Tosaíonn cur chuige Clarysec leis an bhFardal Sócmhainní.

Éilíonn P12 Beartas Bainistíochta Sócmhainní de chuid Clarysec go n-áireofar leibhéal aicmithe mar réimse íosta san fhardal sócmhainní:

Ní mór na nithe seo a leanas, ar a laghad, a bheith san Fhardal Sócmhainní: 5.3.1 Aitheantas sócmhainne, catagóir agus cineál 5.3.2 Sraithuimhir nó clib uathúil (do shócmhainní fisiciúla) 5.3.3 Leagan bogearraí nó eochair cheadúnais (do shócmhainní bogearraí) 5.3.4 Úinéir Sócmhainne 5.3.5 Leibhéal aicmithe (Public, Internal, Confidential, Restricted) 5.3.6 Suíomh (fisiciúil, fíorúil, néal) 5.3.7 Stádas saolré (gníomhach, i gcothabháil, scortha)

Ailíníonn sé seo go díreach le pleanáil riosca ISO/IEC 27001:2022. Mura féidir leat an tsócmhainn faisnéise, an t-úinéir, an suíomh agus an t-aicmiú a shainaithint, ní féidir leat dóchúlacht, tionchar, tosaíocht cóireála ná riosca iarmharach a mheas go comhsheasmhach. Ní féidir leat ach oiread cinneadh muiníneach a dhéanamh an mbaineann socrú soláthraí, seirbhís néil nó comhtháthú SaaS le faisnéis rialáilte.

Maidir le GDPR, tacaíonn sé seo le cuntasacht. Éiríonn taifid ar ghníomhaíochtaí próiseála Article 30 agus bearta slándála Article 32 níos inchreidte nuair a shainaithníonn an Clár sócmhainní cá bpróiseáiltear sonraí pearsanta agus conas a chosnaítear iad. Maidir le DORA, tacaíonn an clár céanna le criticiúlacht sócmhainní agus seirbhísí TFC, raon feidhme tástála athléimneachta agus anailís spleáchais tríú páirtí. Maidir le NIS2, tacaíonn sé le hanailís riosca, rialú rochtana agus bainistíocht sócmhainní.

Athraíonn an cineál seo taifid ton an iniúchta. Seachas a rá, “Creidimid go bhfuil sonraí íogaire cosanta,” is féidir leis an eagraíocht a thaispeáint cad iad na sonraí, cé leis iad, cén fáth gur Restricted iad, cé na rialuithe atá i bhfeidhm agus cathain a rinneadh athbhreithniú deireanach ar na rialuithe sin.

Ní mór do lipéid rialacha láimhseála néil agus SaaS a thiomáint

Bogann an chuid is mó de shonraí íogaire anois trí ardáin néil, feidhmchláir SaaS, píblínte anailísíochta agus uirlisí comhoibrithe. Ní leor beartas a deir le húsáideoirí “sonraí rúnda a láimhseáil go cúramach”.

Ceanglaíonn P27 Beartas Úsáide Néil de chuid Clarysec úsáid néil go díreach le haicmiú agus cónaitheacht sonraí:

Aicmiú sonraí agus cónaitheacht sonraí 6.6.1 Ní fhéadfar aon sonraí a aistriú chuig ardán néil gan iad a aicmiú de réir an Bheartais Aicmithe agus Lipéadaithe Sonraí (P13). 6.6.2 Ní mór ceanglais maidir le cónaitheacht sonraí a fhorfheidhmiú go conarthach (m.sh., stóráil AE amháin do shonraí atá rialáilte ag GDPR). 6.6.3 Ní mór d’aistrithe trasteorann sonraí GDPR Chapter V agus, nuair is infheidhme, DORA Article 28 a chomhlíonadh.

Tá tábhacht leis seo toisc gur minic a thagann riosca néil isteach trí áisiúlacht. Easpórtálann foireann tacar sonraí chuig uirlis anailísíochta nua. Sioncrónaíonn díolacháin liostaí custaiméirí chuig ardán uathoibrithe. Cóipeálann forbróir sonraí táirgthe isteach i dtimpeallacht tástála. Gan aicmiú agus lipéadú, b’fhéidir nach spreagfaidh na gníomhartha seo athbhreithniú dlíthiúil, faomhadh slándála ná seiceálacha soláthraithe.

Tugann an Beartas Aicmithe agus Lipéadaithe Sonraí - FGBM patrún simplí cur chun feidhme d’eagraíochtaí níos lú:

Ní mór d’fhillteáin chomhroinnte nó tiomántáin néil ainmneacha fillteán nó clibeanna a úsáid chun aicmiú a léiriú (m.sh., “/Clients_Confidential”).

I dtimpeallachtaí aibí, ba cheart ainmneacha fillteán a fhorlíonadh le lipéid inléite ag meaisín, beartais rochtana choinníollaí, bloic chomhroinnte sheachtraí, criptiú, lipéid choinneála, rialacha DLP agus logáil. Ní hé an sprioc faisnéis a lipéadú amháin. Is é an sprioc an lipéad a dhéanamh inghníomhaithe.

D’fhéadfadh lipéad “Restricted” bloic chomhroinnte sheachtraí, criptiú ar fos agus sonraí faoi tharchur, MFA, srianta íoslódála ar ghléasanna neamhbhainistithe, coinneáil logaí iniúchta, foláirimh SIEM, rialacha coinneála, teorainneacha suímh soláthraithe agus uaschéimniú déine teagmhais a spreagadh.

Socraíonn an P13 Beartas Aicmithe agus Lipéadaithe Sonraí an bhonnlíne:

Ní mór gach láimhseáil sonraí, tarchur, rochtain, stóráil agus diúscairt faisnéise a ailíniú lena leibhéal aicmithe. Ar a laghad: 6.3.1.1 Public: Féadfar a nochtadh go saor; níl aon láimhseáil speisialta ag teastáil 6.3.1.2 Internal: Comhroinnte laistigh den eagraíocht; stóráilte i gcórais inmheánacha shlána 6.3.1.3 Confidential: 6.3.1.3.1 Rochtain teoranta do phearsanra údaraithe amháin 6.3.1.3.2 Ní mór iad a chriptiú faoi tharchur agus ar fos 6.3.1.3.3 Ní fhéadfar iad a chomhroinnt go seachtrach ach faoi NDA nó faoi choimircí conarthacha coibhéiseacha 6.3.1.4 Restricted: 6.3.1.4.1 Tá na ceanglais slándála is airde infheidhme 6.3.1.4.2 Tá rialuithe rochtana láidre, fíordheimhniú ilfhachtóiriúil (MFA) agus logáil iniúchta riachtanach 6.3.1.4.3 Deighilt fhisiciúil agus loighciúil nuair is indéanta 6.3.1.4.4 Tá comhroinnt sheachtrach toirmiscthe gan faomhadh CISO

Tá iompar ag gach lipéad. Tá rialú ag gach iompar. Tá fianaise ag gach rialú.

Sampla praiticiúil cur chun feidhme

Samhlaigh anailísí fintech a chruthaíonn Q3_2026_Customer_Churn_Analysis.xlsx. Áirítear sa scarbhileog aitheantais custaiméirí, méideanna idirbheart agus scóráil thuarthach ar imeacht custaiméirí.

Aicmíonn an t-anailísí é mar Confidential toisc go bhfuil sonraí custaiméirí agus anailís straitéiseach ann. Agus uirlis cosanta faisnéise na cuideachta á húsáid aige, cuireann an t-anailísí an lipéad Confidential i bhfeidhm. Toisc go bhfuil an lipéad buan, infheicthe agus inléite ag meaisín, gníomhaíonn rialuithe go huathoibríoch.

Criptítear an comhad ar fos ar an ngléas agus i stóráil néil. Marcálann ceanntásc infheicthe é mar Confidential. Nuair a dhéanann an t-anailísí iarracht é a shioncrónú chuig tiomántán néil pearsanta, cuireann riail DLP bac ar an ngníomh agus logálann sí an iarracht. Nuair a dhéanann an t-anailísí iarracht é a sheoladh ar ríomhphost chuig fearann seachtrach nach comhpháirtí é, cuireann an geata ríomhphoist an teachtaireacht i gcoraintín agus tugann sé foláireamh d’oibríochtaí slándála. Má athaicmítear an comhad níos déanaí mar Restricted toisc go bhfuil sonraí rialáilte idirbheart airgeadais ann, díchumasaítear comhroinnt sheachtrach mura gceadaíonn an CISO nó Úinéir na Sonraí an eisceacht.

Seo an cruthúnas a bhí an CEO ag iarraidh. Tá sé inrianaithe, uathoibrithe agus ceangailte le beartas ceadaithe ag an mBord. Ailíníonn sé freisin le P27 Beartas Úsáide Néil, toisc nach gceadaítear aon ghluaiseacht néil gan aicmiú agus ní mór d’aistrithe trasteorann GDPR Chapter V agus, nuair is infheidhme, DORA Article 28 a chomhlíonadh.

Tóg maitrís aicmithe go rialuithe in aon seachtain amháin

Tógann clár iomlán am, ach is féidir le sprint dírithe cnámh droma na fianaise a chruthú roimh iniúchadh, athbhreithniú custaiméara nó measúnú rialála.

Lá 1: Deimhnigh an scéim aicmithe

Tosaigh le ceithre shraith: Public, Internal, Confidential agus Restricted. Úsáid P13 Beartas Aicmithe agus Lipéadaithe Sonraí mar bhonnlíne. Sainmhínigh critéir ag úsáid tionchar gnó, tionchar dlíthiúil, íogaireacht chonarthach, riosca sonraí pearsanta, criticiúlacht seirbhíse agus díobháil airgeadais.

Lá 2: Roghnaigh deich sócmhainn faisnéise chriticiúla

Úsáid Zenith Blueprint Céim 9. Áirigh bunachar custaiméirí, córas ticéadaithe tacaíochta, ardán AD, soláthraí aitheantais, easpórtáil íocaíochta, stóras sonraí, buicéad stórála réad, fillteán tuairiscithe Boird, stór cód foinse agus stór fianaise teagmhais. Taifead úinéir, suíomh, aicmiú agus ábharthacht GDPR.

Lá 3: Mapáil rialacha láimhseála

Sainmhínigh ceanglais láimhseála maidir le rochtain, stóráil, aistriú, faireachán agus diúscairt.

Lá 4: Cumraigh conair theicniúil amháin cur chun feidhme

Roghnaigh ardán amháin, amhail stór doiciméad néil, córas ríomhphoist nó seirbhís stórála réad. Cuir lipéid infheicthe agus inléite ag meaisín i bhfeidhm. Cumraigh riail amháin do shonraí Confidential agus riail amháin do shonraí Restricted. Mar shampla, éiligh criptiú do ríomhphoist sheachtracha Confidential agus cuir bac ar chomhroinnt sheachtrach comhad Restricted.

Lá 5: Nuashonraigh an Clár rioscaí agus an SoA

Úsáid Zenith Blueprint Céim 13. Cuir rialuithe aicmithe agus lipéadaithe leis an Ráiteas Infheidhmeachta. Nasc iad le rioscaí amhail nochtadh neamhúdaraithe, míchumraíocht néil, rónochtadh soláthraithe, teip coinneála sonraí agus gannthuairisciú teagmhas.

Lá 6: Tástáil an rialú

Cruthaigh comhad tástála lipéadaithe Restricted. Déan iarracht é a chomhroinnt go seachtrach ó ghléas neamhbhainistithe. Deimhnigh an gcuireann an uirlis bac air, an dtugann sí rabhadh, an logálann sí é nó an n-uaschéimníonn sí é. Gabh scáileáin, iontrálacha logaí agus fianaise ticéid. Má theipeann ar an rialú, taifead an eisceacht agus an plean ceartaitheach.

Lá 7: Cuir oiliúint ar úsáideoirí na chéad líne

Ba cheart don oiliúint a bheith ról-shainiúil. Ní mór d’fhorbróirí fios a bheith acu cathain nach féidir sonraí táirgthe a úsáid i dtimpeallachtaí tástála. Ní mór do AD a thuiscint cén fáth go bhfuil comhaid fostaithe Confidential nó Restricted. Ní mór do dhíolacháin fios a bheith acu cén fáth nach féidir easpórtálacha custaiméirí a uaslódáil chuig uirlisí SaaS neamhcheadaithe. Ní mór d’fheidhmeannaigh a thuiscint cén fáth go dteastaíonn láimhseáil níos láidre ó phacáistí Boird, comhaid éadála agus sonraí infheisteoirí.

Ní chríochnaíonn an sprint seo an clár iomlán, ach cruthaíonn sé cnámh droma na fianaise: beartas, fardal, lipéid, rialacha láimhseála, cur chun feidhme teicniúil, inrianaitheacht riosca agus oiliúint.

Conas a thástálfaidh iniúchóirí aicmiú agus lipéadú

Is annamh a thástálann iniúchóirí aicmiú ina aonar. Leanann siad na sonraí.

Ceanglóidh iniúchóir ISO/IEC 27001:2022 aicmiú le raon feidhme ISMS, ceanglais páirtithe leasmhara, oibleagáidí dlíthiúla agus conarthacha, measúnú riosca agus an Ráiteas Infheidhmeachta. Beidh siad ag súil le fianaise do rialuithe ISO/IEC 27002:2022 5.9, 5.12, 5.13, 5.14, 5.15, 5.34 agus rialuithe teicniúla ábhartha. I measc na fianaise tipiciúla tá beartais cheadaithe, taifid Fhardail Sócmhainní, iontrálacha sa Chlár rioscaí, samplaí lipéadaithe, rialacha láimhseála, athbhreithnithe rochtana, torthaí iniúchta inmheánaigh agus gníomhartha ceartaitheacha.

Díreoidh athbhreithneoir GDPR ar shonraí pearsanta. Fiafróidh sé an bhfuil sonraí pearsanta aitheanta, an bhfuil sonraí catagóire speisialta idirdhealaithe, an bhfuil rialacha coinneála ailínithe leis an gcuspóir agus an bhfuil bearta slándála Article 32 cuí. Cabhraíonn aicmiú le gnáthfhaisnéis ghnó a scaradh ó shonraí pearsanta, sonraí pearsanta íogaire, sonraí rúnda custaiméirí agus taifid rialáilte. Cabhraíonn lipéadú le foirne oibríochtúla nochtadh de thaisme, róchoinneáil agus aistriú neamhúdaraithe a sheachaint.

Is dócha go gcuirfidh measúnóir NIST CSF 2.0 aicmiú faoi GOVERN, IDENTIFY agus PROTECT. D’fhéadfadh sé fiafraí an sainmhíníonn Próifílí Reatha agus Spriocphróifílí fionnachtain sonraí íogaire, an n-oibríonn cur chun feidhme lipéad ar fud córas SaaS agus néil, an láimhseálann soláthraithe sonraí de réir aicmithe agus an n-athraíonn tosaíochtaí faireacháin bunaithe ar íogaireacht.

Leagfaidh iniúchóir de stíl COBIT 2019 nó ISACA béim ar chuspóirí rialachais, úinéireacht próisis, dearadh rialaithe agus éifeachtacht oibriúcháin. Mapálann Zenith Controls rialú fardail 5.9 chuig COBIT 2019 BAI09.01, BAI09.02 agus DSS05.04, agus tagraíonn sé do ISACA ITAF 2204 agus 2301. Maidir le haicmiú, mapálann Zenith Controls rialú 5.12 chuig COBIT 2019 DSS06.06 agus APO13.01, agus mapálann lipéadú chuig DSS06.06. Fiafróidh an t-iniúchóir cé leis an bpróiseas, conas a cheadaítear eisceachtaí, an ndéantar faireachán ar fheidhmíocht agus an bhfaigheann an bhainistíocht tuairisciú.

Fiafróidh athbhreithneoir dírithe ar DORA cé na sócmhainní faisnéise a thacaíonn le feidhmeanna criticiúla nó tábhachtacha, cé na sonraí atá Restricted, cé na soláthraithe tríú páirtí TFC a stórálann nó a tharchuireann na sonraí sin, an sainíonn conarthaí suíomhanna agus bearta slándála, an bhfuil tástáil teorannaithe do shonraí criticiúla agus an ndéantar teagmhais a aicmiú go páirteach de réir caillteanas sonraí ar fud infhaighteachta, barántúlachta, sláine agus rúndachta.

Má thagann na freagraí ó shamhail fianaise sócmhainní agus soláthraithe atá tiomáinte ag aicmiú, éiríonn iniúchtaí níos tapúla, níos comhsheasmhaí agus níos inchosanta.

Patrúin choitianta teipe

Tarlaíonn teipeanna aicmithe de ghnáth toisc go gcaitheann eagraíochtaí le lipéid mar uirlisí feasachta seachas mar chomharthaí rialaithe.

Ar dtús, aicmíonn siad doiciméid ach ní dhéanann siad bunachair shonraí, APIanna, logaí, cúltacaí, easpórtálacha ná taifid SaaS a aicmiú. Is féidir le sonraí íogaire i loga dífhabhtaithe an oiread céanna damáiste a dhéanamh le sonraí íogaire i scarbhileog.

Ar an dara dul síos, lipéadaíonn siad faisnéis ach ní nascann siad lipéid le rialú rochtana. Cruthaíonn lipéad Restricted le rochtain oscailte go raibh a fhios ag an eagraíocht faoin íogaireacht agus gur theip uirthi an riail láimhseála a chur i bhfeidhm.

Ar an tríú dul síos, tarlaíonn imircí néil roimh aicmiú. Bogann foirne sonraí isteach in uirlisí nua SaaS gan cónaitheacht sonraí, téarmaí soláthraithe, rochtain fophhróiseálaithe, ceanglais aistrithe trasteorann nó cearta scriosta a dheimhniú. Tugann P27 Beartas Úsáide Néil aghaidh go díreach air seo trí ghluaiseacht chuig ardáin néil a thoirmeasc gan aicmiú.

Ar an gceathrú dul síos, déanann pleananna freagartha do theagmhais neamhaird d’aicmiú. Mura n-áirítear íogaireacht sonraí i gcritéir déine, caitheann foirne teagmhais am ag fáil amach cad a ndeachaigh sé i bhfeidhm air le linn géarchéime. Baineann anailís sáraithe GDPR, láimhseáil teagmhais NIS2 agus aicmiú teagmhas DORA tairbhe as comhthéacs sonraí tapa.

Ar an gcúigiú dul síos, ní mhíníonn an SoA cén fáth a bhfuil rialuithe aicmithe agus lipéadaithe infheidhme. D’fhéadfadh lipéid a bheith curtha i bhfeidhm ag an eagraíocht, ach teipeann ar an SoA iad a nascadh le GDPR Article 32, NIS2 Article 21, riosca TFC DORA, conarthaí custaiméirí nó cásanna riosca sonracha.

Tuairisciú bainistíochta: déan aicmiú infheicthe

Déanann NIS2 agus DORA cuntasacht bainistíochta de chibearshlándáil. Éilíonn ISO/IEC 27001:2022 tiomantas ceannaireachta, ailíniú beartais, acmhainní, róil agus tuairisciú feidhmíochta freisin. Dá bhrí sin, ba cheart go sroichfeadh méadrachtaí aicmithe athbhreithniú bainistíochta.

Áirítear ar mhéadrachtaí úsáideacha:

• Céatadán na sócmhainní faisnéise criticiúla a bhfuil úinéirí sannta acu.
• Céatadán na sócmhainní a bhfuil aicmiú ceadaithe acu.
• Líon na sócmhainní Restricted gan logáil fheabhsaithe.
• Líon na stórtha Confidential nó Restricted a bhfuil comhroinnt sheachtrach cumasaithe acu.
• Céatadán na soláthraithe a phróiseálann sonraí Confidential nó Restricted le clásail chonarthacha nuashonraithe.
• Líon na n-eisceachtaí aicmithe agus na mbeart ceartaitheach thar téarma.
• Teagmhais DLP de réir lipéid.
• Críochnú athbhreithnithe rochtana do shócmhainní Restricted.
• Suíomhanna stórála néil do shonraí atá rialáilte ag GDPR.
• Cleachtaí freagartha do theagmhais a d’úsáid critéir déine bunaithe ar aicmiú.

Tacaíonn na méadrachtaí seo le hathbhreithniú bainistíochta ISO/IEC 27001:2022, maoirseacht bhainistíochta NIS2, tuairisciú rialachais DORA agus dearbhú custaiméirí. Déanann siad aicmiú intuigthe d’fheidhmeannaigh freisin. Is féidir leis an gceannaireacht gníomhú níos tapúla nuair a fheiceann sí go bhfuil roinnt stórtha Restricted gan téarnamh tástáilte nó go bpróiseálann soláthraithe criticiúla sonraí custaiméirí gan stóráil AE dheimhnithe.

Ó bheartas go cruthúnas

Tá patrún cur chun feidhme Clarysec faoi threoir fianaise:

1. Sainmhínigh an scéim aicmithe sa P13 Beartas Aicmithe agus Lipéadaithe Sonraí nó tosaigh leis an Beartas Aicmithe agus Lipéadaithe Sonraí - FGBM.
2. Cuir aicmiú leis an bhFardal Sócmhainní trí P12 Beartas Bainistíochta Sócmhainní a úsáid.
3. Cuir srianta néil agus ceanglais chónaitheachta i bhfeidhm trí P27 Beartas Úsáide Néil.
4. Úsáid Zenith Blueprint Céim 9 chun sócmhainní faisnéise, úinéirí, suíomhanna agus íogaireacht a shainaithint.
5. Úsáid Zenith Blueprint Céim 13 chun rioscaí a mhapáil chuig rialuithe san SoA.
6. Úsáid Zenith Blueprint Céim 22 chun rialuithe ISO/IEC 27002:2022 5.12 agus 5.13 a chur i bhfeidhm in oibríochtaí laethúla.
7. Úsáid Zenith Controls chun an fhianaise chéanna a mhapáil chuig GDPR, NIS2, DORA, NIST CSF, COBIT 2019 agus caighdeáin tacaíochta.
8. Tástáil cur chun feidhme lipéad, srianta rochtana, logáil, DLP agus triáisiú teagmhais.
9. Tuairiscigh feidhmíocht aicmithe don bhainistíocht.
10. Déan athbhreithniú ar aicmiú tar éis athruithe móra ar chórais, próisis, soláthraithe nó rialacháin.

Oibríonn sé seo toisc go n-éiríonn aicmiú ina theanga chomhroinnte idir luach gnó, oibleagáid dhlíthiúil, rialú teicniúil agus fianaise iniúchta.

Má tá d’eagraíocht ag ullmhú do dheimhniúchán ISO/IEC 27001:2022, dearbhú GDPR, ullmhacht NIS2, dícheall cuí custaiméara DORA nó iniúchadh comhlíonta comhcheangailte, tosaigh le ceist amháin:

An féidir leat a thaispeáint, i gcás gach sócmhainne faisnéise criticiúla, cad í, cé leis í, cá bhfuil sí, conas atá sí aicmithe, conas atá sí lipéadaithe, cé atá in ann rochtain a fháil uirthi, conas atá sí cosanta, cá fhad a choinnítear í, cén soláthraí a bhíonn i dteagmháil léi agus cad a tharlaíonn má nochtar í?

Mura féidir fós, is féidir le Clarysec cabhrú leat an slabhra fianaise a thógáil go tapa agus go hinchosanta.

Úsáid Beartas Aicmithe agus Lipéadaithe Sonraí - FGBM, P13 Beartas Aicmithe agus Lipéadaithe Sonraí, P12 Beartas Bainistíochta Sócmhainní, P27 Beartas Úsáide Néil, Zenith Blueprint: Treochlár 30 céim d’iniúchóir agus Zenith Controls: An treoir tras-chomhlíonta chun aicmiú a athrú ó bheartas statach ina chiseal rialaithe oibríochtúil do GDPR Article 32, bainistíocht riosca cibear NIS2 agus fianaise riosca TFC DORA.

Ba é an t-am ab fhearr chun sonraí a aicmiú ná sular tháinig an t-iarratas iniúchta isteach. Is é an chéad am eile is fearr ná roimh an gcéad imirce néil eile, ionduchtú soláthraithe, ceistneoir custaiméara nó teagmhas.