Straitéisí scoir TFC DORA le rialuithe ISO 27001
Ag 07:42 maidin Dé Luain, faigheann ceannaire oibríochtaí fintech an teachtaireacht nach mian le haon duine a léamh: tá briseadh réigiúnach tromchúiseach tar éis dul i bhfeidhm ar sholáthraí faireacháin idirbheart néalbhunaithe na cuideachta. Faoi 08:15, tá an Príomhoifigeach Riosca ag fiafraí an dtacaíonn an tseirbhís lena mbaineann le feidhm chriticiúil nó thábhachtach. Faoi 08:40, tá an fhoireann Dlí ag iarraidh a fháil amach an dtugann an conradh cúnamh aistrithe, easpórtáil sonraí, scriosadh agus cearta iniúchta don ghnólacht. Faoi 09:05, tá an Príomhoifigeach Slándála Faisnéise ag lorg fianaise gur tástáladh an plean scoir, seachas gur scríobhadh amháin é.
I ngnólacht seirbhísí airgeadais eile, osclaíonn Sarah, Príomhoifigeach Slándála Faisnéise ardáin fintech atá ag fás go tapa, iarratas faisnéise réamh-iniúchta le haghaidh measúnú comhlíonta DORA. Tá na ceisteanna eolach go dtí go dtagann sí ar an rannán faoi sholáthraithe seirbhíse TFC tríú páirtí a thacaíonn le feidhmeanna criticiúla nó tábhachtacha. Níl na hiniúchóirí ag fiafraí an bhfuil beartas soláthraithe ag an gcuideachta. Tá siad ag iarraidh straitéisí scoir atá doiciméadaithe, tástáilte agus inmharthana.
Téann a hintinn láithreach chuig an bpríomhsholáthraí néil a óstálann an t-ardán, agus ansin chuig an soláthraí seirbhísí slándála bainistithe a dhéanann faireachán ar bhagairtí de ló is d’oíche. Cad a tharlódh dá mbuailfeadh cur isteach geopholaitiúil an soláthraí néil? Cad a tharlódh dá gceannódh iomaitheoir an MSSP? Cad a tharlódh dá n-éireodh soláthraí criticiúil SaaS dócmhainneach, dá gcuirfeadh sé deireadh leis an tseirbhís, nó dá gcaillfeadh sé muinín custaiméirí tar éis mórtheagmhais?
Is minic gurb é an freagra míchompordach céanna a bhíonn ag gnólachtaí. Tá measúnú riosca soláthraithe ann, plean leanúnachais gnó, fillteán conartha, fardal néil, agus b’fhéidir tuarascáil chúltaca. Ach níl aon straitéis scoir TFC tríú páirtí DORA amháin, réidh don iniúchadh, a nascann criticiúlacht ghnó, cearta conarthacha, iniomparthacht theicniúil, pleananna leanúnachais, fianaise chúltaca, oibleagáidí príobháideachais, agus faomhadh bainistíochta.
Athraíonn DORA ton na bainistíochta soláthraithe. Faoi Rialachán (AE) 2022/2554, ní mór d’eintitis airgeadais riosca tríú páirtí TFC a bhainistiú mar chuid den chreat bainistíochta riosca TFC. Fanann siad go hiomlán freagrach as comhlíonadh, coimeádann siad clár de chonarthaí seirbhíse TFC, idirdhealaíonn siad socruithe TFC a thacaíonn le feidhmeanna criticiúla nó tábhachtacha, déanann siad rioscaí comhchruinnithe agus fochonraitheoireachta a mheasúnú, agus coimeádann siad straitéisí scoir do spleáchais chriticiúla tríú páirtí TFC. Tá DORA i bhfeidhm ón 17 Eanáir 2025 agus leagann sé síos ceanglais aonfhoirmeacha AE maidir le bainistíocht riosca TFC, tuairisciú teagmhas, tástáil athléimneachta, comhroinnt faisnéise, agus bainistíocht riosca tríú páirtí TFC ar fud raon leathan eintiteas airgeadais.
Ní mír i gconradh soláthraí í straitéis scoir DORA. Is córas rialaithe í. Ní mór í a rialú, a mheasúnú ó thaobh riosca de, a bheith indéanta go teicniúil, infhorfheidhmithe ó thaobh conartha de, tástáilte, tacaithe le fianaise, agus feabhsaithe go leanúnach.
Comhcheanglaíonn cur chuige Clarysec Zenith Blueprint: Treochlár 30 céim d’iniúchóirí Zenith Blueprint, teimpléid bheartais fiontair, agus Zenith Controls: An treoir thraschomhlíonta Zenith Controls chun freagra ullmhaithe a dhéanamh den cheist sin maidin Dé Luain.
Cén fáth a dteipeann ar straitéisí scoir DORA in iniúchtaí réadúla
Bíonn formhór na dteipeanna i straitéisí scoir TFC DORA struchtúrach sula mbíonn siad teicniúil. Tá úinéir soláthraí ag an eagraíocht, ach níl úinéir riosca cuntasach aici. Tá cúltacaí sceidealaithe aici, ach níl fianaise athshlánaithe aici. Tá ceistneoir díchill chuí soláthraithe aici, ach níl cinneadh doiciméadaithe aici maidir le cibé acu a thacaíonn an soláthraí le feidhm chriticiúil nó thábhachtach. Tá teanga foirceanta conartha aici, ach níl tréimhse aistrithe aici atá ailínithe leis an bplean leanúnachais gnó.
Cuireann DORA iallach ar na píosaí seo teacht le chéile. Leagann Article 28 amach na prionsabail ghinearálta le haghaidh bainistíocht riosca tríú páirtí TFC, lena n-áirítear an gá le riosca soláthraithe seirbhíse TFC tríú páirtí a bhainistiú ar feadh an tsaolré agus straitéisí scoir cuí a choinneáil. Leagann Article 30 amach ceanglais chonarthacha mhionsonraithe do sheirbhísí TFC a thacaíonn le feidhmeanna criticiúla nó tábhachtacha, lena n-áirítear tuairiscí seirbhíse, láithreacha próiseála sonraí, cosaintí slándála, cearta rochtana agus iniúchta, cúnamh teagmhais, comhoibriú le húdaráis inniúla, agus cearta foirceanta.
Tá an rialachán comhréireach freisin. Ligeann Articles 4 and 16 d’eintitis áirithe atá níos lú nó díolmhaithe creat simplithe bainistíochta riosca TFC a chur i bhfeidhm. Ach ní chiallaíonn simplithe neamhdoiciméadaithe. Ní mór fós d’eintitis airgeadais níos lú bainistíocht riosca TFC dhoiciméadaithe, faireachán leanúnach, córais athléimneacha, sainaithint phras teagmhas TFC, sainaithint phríomhspleáchas tríú páirtí TFC, cúltaca agus athshlánú, leanúnachas gnó, freagairt agus téarnamh, tástáil, ceachtanna foghlamtha, agus oiliúint a bheith acu.
Ní féidir le fintech bheag a rá, “Táimid róbheag don phleanáil scoir.” Is féidir léi a rá, “Tá ár straitéis scoir DORA scálaithe de réir ár méide, ár bpróifíl riosca agus chastacht na seirbhíse.” Is í an fhianaise an difríocht.
Maidir le heintitis a thagann faoi raon feidhme náisiúnta NIS2 freisin, feidhmíonn DORA mar ghníomh dlíthiúil earnáilshonrach an Aontais i gcás oibleagáidí cibearshlándála forluiteacha san earnáil airgeadais. Tá tábhacht fós le NIS2 ar fud an éiceachórais níos leithne, go háirithe do sholáthraithe seirbhísí bainistithe, soláthraithe seirbhísí slándála bainistithe, soláthraithe néil, ionaid sonraí, agus eintitis bhonneagair dhigitigh. Neartaíonn NIS2 Article 21 na téamaí céanna: anailís riosca, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, sealbhú slán, measúnú éifeachtachta, oiliúint, cripteagrafaíocht, rialú rochtana, bainistíocht sócmhainní, agus fíordheimhniú.
D’fhéadfadh maoirseoirí, custaiméirí, iniúchóirí agus boird an cheist a chur ar bhealaí éagsúla, ach tá an bhuncheist comhsheasmhach: an féidir libh soláthraí TFC criticiúil a fhágáil gan smacht a chailleadh ar leanúnachas seirbhíse, sonraí, fianaise, nó tionchar ar chustaiméirí?
Déan an straitéis scoir mar chuid den ISMS
Soláthraíonn ISO/IEC 27001:2022 cnámh droma an chórais bhainistíochta don phleanáil scoir DORA.
Éilíonn Clásail 4.1 go 4.4 ar an eagraíocht a comhthéacs, páirtithe leasmhara, ceanglais dhlíthiúla, rialála agus chonarthacha, raon feidhme ISMS, comhéadain, spleáchais agus próisis a shainiú. Seo an áit a sainaithníonn eintiteas airgeadais DORA, gealltanais do chustaiméirí, ionchais seachfhoinsithe, spleáchais néil, oibleagáidí príobháideachais, fochonraitheoirí, agus seirbhísí TFC laistigh de theorainn an ISMS.
Éilíonn Clásail 5.1 go 5.3 ceannaireacht, beartas, acmhainní, sannadh róil, agus cuntasacht. Ailíníonn sé seo le samhail rialachais DORA, áit a sainíonn, a fhaomhann agus a mhaoirsíonn an comhlacht bainistíochta bainistíocht riosca TFC agus ina bhfanann sé freagrach aisti, lena n-áirítear leanúnachas gnó TFC, pleananna freagartha agus téarnaimh, pleananna iniúchta TFC, buiséid, straitéis athléimneachta, agus beartas riosca tríú páirtí TFC.
Tiontaíonn Clásail 6.1.1 go 6.1.3 pleanáil scoir ina cóireáil riosca. Sainíonn an eagraíocht critéir riosca, déanann sí measúnú riosca in-athdhéanta, sainaithníonn sí rioscaí don rúndacht, don tsláine agus don infhaighteacht, sannann sí úinéirí riosca, déanann sí iarmhairtí agus dóchúlacht a mheas, roghnaíonn sí roghanna cóireála, cuireann sí rialuithe i gcomparáid le hIarscríbhinn A, táirgeann sí Ráiteas Infheidhmeachta, ullmhaíonn sí Plean Cóireála Riosca, agus faigheann sí faomhadh an úinéara riosca agus glacadh le riosca iarmharach.
Éilíonn Clásal 8.1 ansin pleanáil agus rialú oibríochtúil. Ní mór don eagraíocht próisis ISMS a phleanáil, a chur chun feidhme agus a rialú, faisnéis dhoiciméadaithe a choinneáil a léiríonn gur cuireadh próisis i gcrích mar a bhí beartaithe, athruithe a bhainistiú, agus próisis, táirgí nó seirbhísí seachtracha atá ábhartha don ISMS a rialú.
Neartaíonn ISO/IEC 27005:2022 an cur chuige seo. Molann Clásal 6.2 d’eagraíochtaí ceanglais na bpáirtithe leasmhara a shainaithint, lena n-áirítear rialuithe Iarscríbhinn A de ISO/IEC 27001:2022, caighdeáin earnáilshonracha, rialacháin náisiúnta agus idirnáisiúnta, rialacha inmheánacha, ceanglais chonarthacha, agus rialuithe atá ann cheana ó chóireáil riosca roimhe seo. Míníonn Clásail 6.4.1 go 6.4.3 gur cheart do chritéir riosca gnéithe dlíthiúla agus rialála, caidrimh le soláthraithe, príobháideachas, tionchair oibríochtúla, sáruithe conartha, oibríochtaí tríú páirtí, agus iarmhairtí clú a chur san áireamh. Tacaíonn Clásail 8.2 go 8.6 le leabharlann rialuithe agus plean cóireála ar féidir leo Iarscríbhinn A de ISO/IEC 27001:2022 a chomhcheangal le DORA, NIS2, GDPR, gealltanais do chustaiméirí, agus beartais inmheánacha.
Tá an tsamhail oibríochta simplí: fardal ceanglas amháin, clár rioscaí soláthraithe amháin, Ráiteas Infheidhmeachta amháin, Plean Cóireála Riosca amháin, agus pacáiste fianaise amháin do gach cás scoir criticiúil.
Na rialuithe ISO/IEC 27001:2022 a dhaingníonn pleanáil scoir DORA
Éiríonn straitéisí scoir DORA réidh don iniúchadh nuair a chaitear le rialachas soláthraithe, iniomparthacht néil, pleanáil leanúnachais, agus fianaise chúltaca mar shlabhra rialuithe nasctha amháin.
Mapálann Zenith Controls de chuid Clarysec rialuithe Iarscríbhinn A de ISO/IEC 27001:2022 chuig tréithe rialaithe, fianaise iniúchta, agus ionchais traschomhlíonta. Ní creat rialaithe ar leith é. Is é treoir thraschomhlíonta Clarysec é chun tuiscint a fháil ar an gcaoi a dtacaíonn rialuithe ISO/IEC 27001:2022 le torthaí iniúchta, rialála agus oibríochtúla.
| Rialú Iarscríbhinn A de ISO/IEC 27001:2022 | Ról sa straitéis scoir | Fianaise DORA a dtacaíonn sé léi | Fócas an iniúchóra |
|---|---|---|---|
| A.5.19 Slándáil faisnéise i gcaidrimh le soláthraithe | Bunaíonn sé an próiseas bainistíochta riosca soláthraithe | Aicmiú soláthraithe, úinéireacht spleáchais, measúnú riosca | An mbainistítear riosca soláthraithe go comhsheasmhach? |
| A.5.20 Aghaidh a thabhairt ar shlándáil faisnéise laistigh de chomhaontuithe soláthraithe | Tiontaíonn sé ionchais scoir ina dtéarmaí conartha infhorfheidhmithe | Cearta foirceanta, cearta iniúchta, cúnamh aistrithe, tacaíocht teagmhais, filleadh sonraí agus scriosadh | An dtacaíonn an conradh leis an bplean scoir i ndáiríre? |
| A.5.21 Bainistiú slándála faisnéise sa slabhra soláthair TFC | Leathnaíonn sé grinnscrúdú chuig fochonraitheoirí agus spleáchais iarsrutha | Infheictheacht fochonraitheoirí, riosca slabhra, measúnú comhchruinnithe | An dtuigeann an gnólacht spleáchais fholaithe? |
| A.5.22 Faireachán, athbhreithniú agus bainistíocht athruithe ar sheirbhísí soláthraithe | Coinníonn sé riosca soláthraithe cothrom le dáta le linn athruithe seirbhíse | Taifid athbhreithnithe, measúnuithe ar athruithe seirbhíse, rianú leigheasach | An bhfuil maoirseacht leanúnach ar sholáthraithe ann? |
| A.5.23 Slándáil faisnéise maidir le húsáid seirbhísí néil | Rialaíonn sé ionduchtú, úsáid, bainistíocht, iniomparthacht agus imeacht ó sheirbhísí néil | Easpórtáil sonraí, scriosadh, tacaíocht imirce, fianaise ar ghaibhniú soláthraí | An féidir leis an ngnólacht sonraí a aisghabháil agus a bhaint go slán? |
| A.5.30 Ullmhacht TFC don leanúnachas gnó | Tástálann sé an féidir seirbhísí TFC criticiúla a athshlánú nó a ionadú laistigh de lamháltais ghnó | Pleananna leanúnachais, cuspóirí téarnaimh, socruithe cúltaca, réitigh oibre thástáilte | An bhfuil an t-imeacht indéanta go teicniúil faoi chur isteach? |
| A.8.13 Cúltaca faisnéise | Soláthraíonn sé sonraí in-athshlánaithe do chásanna scoir nó teipe | Sceidil chúltaca, torthaí tástála athshlánaithe, seiceálacha sláine | An féidir sonraí a athshlánú laistigh de RTO agus RPO? |
Maidir le straitéis scoir TFC tríú páirtí DORA, ba cheart don rian iniúchta a léiriú:
- Go bhfuil an soláthraí aicmithe agus nasctha le próisis ghnó.
- Go bhfuil an tseirbhís measúnaithe maidir le tacaíocht do fheidhm chriticiúil nó thábhachtach.
- Go bhfuil riosca scoir taifeadta le húinéir riosca cuntasach.
- Go dtacaíonn clásail chonartha le haistriú, rochtain, iniúchadh, filleadh sonraí, scriosadh sonraí, comhoibriú agus leanúnachas.
- Go bhfuil iniomparthacht agus idir-inoibritheacht néil bailíochtaithe.
- Go gcruthaíonn cúltacaí agus tástálacha athshlánaithe in-athshlánaitheacht.
- Go bhfuil ionadú sealadach nó próiseáil mhalartach doiciméadaithe.
- Go ndearnadh athbhreithniú, leigheas agus tuairisciú don bhainistíocht ar thorthaí tástála scoir.
Is í teanga an chonartha an chéad rialú leanúnachais
Ba cheart gurb é an conradh an chéad rialú leanúnachais, ní bac ar leanúnachas. Más féidir leis an soláthraí foirceannadh go tapa, easpórtálacha a mhoilliú, rochtain ar logaí a shrianadh, táillí aistrithe neamhshainithe a ghearradh, nó tacaíocht imirce a dhiúltú, tá an straitéis scoir leochaileach.
In Zenith Blueprint, míníonn an chéim Controls in Action, Céim 23, Rialú 5.20, gur cheart do chomhaontuithe soláthraithe na ceanglais phraiticiúla slándála a fhágann gur féidir imeacht a chur san áireamh:
I measc na bpríomhréimsí a chlúdaítear de ghnáth i gcomhaontuithe soláthraithe tá:
✓ Oibleagáidí rúndachta, lena n-áirítear raon feidhme, fad agus srianta ar nochtadh do thríú páirtithe;
✓ Freagrachtaí rialaithe rochtana, amhail cé atá in ann rochtain a fháil ar do shonraí, conas a bhainistítear dintiúir, agus cén faireachán atá i bhfeidhm;
✓ rialuithe teicniúla agus eagraíochtúla do chosaint sonraí, criptiú, tarchur slán, cúltaca agus gealltanais infhaighteachta;
✓ Amlínte agus prótacail tuairiscithe teagmhas, go minic le frámaí ama sainithe;
✓ Cearta iniúchta, lena n-áirítear minicíocht, raon feidhme, agus rochtain ar fhianaise ábhartha;
✓ Rialuithe fochonraitheoirí, lena gceanglaítear ar do sholáthraí oibleagáidí slándála coibhéiseacha a chur ar aghaidh chuig a gcomhpháirtithe iarsrutha;
✓ Forálacha deireadh conartha, amhail filleadh nó scriosadh sonraí, aisghabháil sócmhainní, agus díghníomhachtú cuntas.
Ceanglaíonn an liosta sin ionchais chonartha DORA Article 30 le rialú A.5.20 Iarscríbhinn A de ISO/IEC 27001:2022.
Déanann teanga bheartais fiontair Clarysec an pointe céanna go hoibríochtúil. Sa Bheartas Bainistíochta Riosca Spleáchais ar Sholáthraithe Beartas Bainistíochta Riosca Spleáchais ar Sholáthraithe, rannán “Ceanglais cur chun feidhme,” clásal 6.4.3, deirtear:
Réitigh chúltaca theicniúla: Cinntigh iniomparthacht agus idir-inoibritheacht sonraí chun tacú le haistriú seirbhíse más gá (m.sh., cúltacaí rialta i bhformáidí caighdeánacha ó sholáthraí SaaS chun imirce a chumasú).
Éilíonn an beartas céanna, clásal 6.8.2:
Ceart ar chúnamh aistrithe (clásal cúnaimh scoir) nuair is gá soláthraí a athrú, lena n-áirítear seirbhís leanúnach le linn tréimhse aistrithe shainithe.
Is minic a chinneann an clásal seo an seasann straitéis scoir in iniúchadh. Tiontaíonn sé imeacht ó imeall aille ina aistriú bainistithe.
I gcás eintitis níos lú, éilíonn an Beartas Slándála Tríú Páirtí agus Soláthraithe - SME Beartas Slándála Tríú Páirtí agus Soláthraithe - SME, rannán “Ceanglais rialachais,” clásal 5.3.6:
Téarmaí foirceanta, lena n-áirítear filleadh slán sonraí nó scriosadh slán
I dtimpeallachtaí fiontair, éilíonn an Beartas Slándála Tríú Páirtí agus Soláthraithe Beartas Slándála Tríú Páirtí agus Soláthraithe, rannán “Ceanglais chun an beartas a chur chun feidhme,” clásal 6.5.1.2:
Filleadh nó scriosadh deimhnithe ar gach faisnéis atá faoi úinéireacht na heagraíochta
Ba cheart na ceanglais bheartais sin a bheith inrianaithe go díreach chuig clásail chonartha, nósanna imeachta soláthraithe, treoirleabhair oibríochtúla scoir, agus fianaise iniúchta.
Imeacht ón néal: tástáil iniomparthacht sula mbeidh sí de dhíth ort
Is i seirbhísí néil a éiríonn straitéisí scoir DORA doiléir go minic. Glacann an gnólacht leis gur féidir leis sonraí a easpórtáil, ach níor thástáil aon duine an fhormáid. Glacann sé leis go dtarlóidh scriosadh, ach cuimsíonn samhail choinneála an tsoláthraí cúltacaí agus stóráil mhacasamhlaithe. Glacann sé leis gur féidir le soláthraí malartach na sonraí a fháil, ach déanann scéimreacha, comhtháthuithe aitheantais, eochracha criptiúcháin, rúin, logaí, APIanna agus teorannú rátaí imirce níos moille ná mar a cheadaíonn an lamháltas tionchair.
Tugann rialú A.5.23 Iarscríbhinn A de ISO/IEC 27001:2022 aghaidh ar an bhfadhb saolré seo trí rialuithe slándála faisnéise a éileamh le haghaidh soláthair, úsáide, bainistíochta agus imeachta ó sheirbhísí néil.
Éilíonn Beartas Úsáide Néil - SME Clarysec Beartas Úsáide Néil - SME, rannán “Ceanglais chun an beartas a chur chun feidhme,” clásal 6.3.4:
Cumas easpórtála sonraí deimhnithe roimh ionduchtú (m.sh., chun gaibhniú soláthraí a sheachaint)
Éilíonn clásal 6.3.5:
Deimhniú nósanna imeachta scriosta shláin roimh dhúnadh cuntais
Baineann na ceanglais seo le tús shaolré an tsoláthraí. Ná fan go dtí foirceannadh chun fiafraí an féidir sonraí a easpórtáil. Ná fan go dtí dúnadh cuntais chun fiafraí an bhfuil fianaise scriosta ann.
Ba cheart do thástáil phraiticiúil scoir néil DORA na nithe seo a áireamh:
- Easpórtáil tacar sonraí ionadaíoch san fhormáid chomhaontaithe.
- Bailíochtú ar iomláine, sláine, stampaí ama, meiteashonraí agus rialú rochtana.
- Iompórtáil an tacair sonraí isteach i dtimpeallacht stáitsithe nó in uirlis mhalartach.
- Deimhniú ar láimhseáil eochracha criptiúcháin agus rothlú rúin.
- Deimhniú ar easpórtáil logaí agus coinneáil logaí rian iniúchta.
- Doiciméadú nósanna imeachta scriosta an tsoláthraí, lena n-áirítear coinneáil cúltaca agus deimhniú scriosta.
- Taifeadadh saincheisteanna, bearta leigheasacha, úinéirí agus spriocdhátaí.
- Nuashonrú ar mheasúnú riosca an tsoláthraí, ar an Ráiteas Infheidhmeachta agus ar an bplean scoir.
Ní gealltanas soláthair í iniomparthacht. Is cumas tástáilte í.
Sprint seachtaine amháin do phlean scoir DORA atá réidh don iniúchadh
Samhlaigh institiúid íocaíochta a úsáideann soláthraí anailísíochta calaoise SaaS. Ionghabhann an soláthraí sonraí idirbheart, aitheantóirí custaiméirí, sonraí teiliméadrachta gléasanna, comharthaí iompraíochta, rialacha calaoise, aschuir scórála, agus nótaí cáis. Tacaíonn an tseirbhís le próiseas criticiúil braite calaoise. Úsáideann an gnólacht stóras sonraí néil freisin chun torthaí anailísíochta easpórtáilte a stóráil.
Teastaíonn ón bPríomhoifigeach Slándála Faisnéise straitéis scoir TFC tríú páirtí DORA ar féidir léi seasamh in iniúchadh inmheánach agus in athbhreithniú maoirseachta. Is féidir le sprint seachtaine amháin na bearnaí a nochtadh agus an slabhra fianaise a thógáil.
Lá 1: aicmigh an soláthraí agus sainigh an cás scoir
Ag úsáid Zenith Blueprint, céim Controls in Action, Céim 23, míreanna gníomhaíochta do Rialuithe 5.19 go 5.37, tosaíonn an fhoireann trí athbhreithniú agus aicmiú a dhéanamh ar phunann na soláthraithe:
Tiomsaigh liosta iomlán de na soláthraithe agus soláthraithe seirbhíse reatha (5.19), agus aicmigh iad bunaithe ar rochtain ar chórais, sonraí nó rialú oibríochtúil. I gcás gach soláthraí aicmithe, fíoraigh go bhfuil ionchais slándála leabaithe go soiléir i gconarthaí (5.20), lena n-áirítear rúndacht, rochtain, tuairisciú teagmhas, agus oibleagáidí comhlíonta.
Aicmítear an soláthraí mar sholáthraí criticiúil toisc go dtacaíonn sé le feidhm chriticiúil nó thábhachtach, go bpróiseálann sé sonraí oibríochtúla íogaire, agus go dtéann sé i bhfeidhm ar thorthaí faireacháin idirbheart.
Sainíonn an fhoireann trí spreagadh scoir:
- Dócmhainneacht soláthraí nó scor seirbhíse.
- Sárú slándála ábhartha nó caillteanas muiníne.
- Imirce straitéiseach chun riosca comhchruinnithe a laghdú.
Lá 2: tóg an fardal ceanglas agus an taifead riosca
Cruthaíonn an fhoireann fardal ceanglas amháin a chlúdaíonn riosca tríú páirtí TFC DORA, rialuithe soláthraithe agus néil ISO/IEC 27001:2022, oibleagáidí GDPR maidir le sonraí pearsanta, gealltanais chonartha do chustaiméirí, agus fonn riosca inmheánach.
Faoi GDPR, deimhníonn an gnólacht an mbaineann aitheantóirí idirbheart, aitheantais gléasanna, comharthaí suímh agus anailísíocht iompraíochta le daoine aonair sainaitheanta nó inaitheanta. Éiríonn prionsabail GDPR Article 5, lena n-áirítear sláine, rúndacht, teorannú stórála agus cuntasacht, mar chuid den cheanglas fianaise scoir. Má bhaineann an t-imeacht le haistriú chuig soláthraí nua, ní mór an bunús dlíthiúil, an cuspóir, an t-íoslaghdú, an choinneáil, téarmaí próiseálaí agus coimircí a dhoiciméadú.
Áirítear leis an taifead riosca an méid seo a leanas:
| Eilimint riosca | Iontráil shamplach |
|---|---|
| Ráiteas riosca | Neamhábaltacht soláthraí anailísíochta calaoise a fhágáil laistigh den lamháltas tionchair |
| Iarmhairt | Moill ar bhrath calaoise, caillteanas airgeadais, sárú rialála, díobháil do chustaiméirí |
| Dóchúlacht | Meánach, bunaithe ar chomhchruinniú soláthraí agus formáidí dílseánaigh |
| Úinéir riosca | Ceannaire Teicneolaíochta Coireachta Airgeadais |
| Cóireáil | Leasú conartha, tástáil easpórtála, measúnú soláthraí mhalartaigh, fíorú cúltaca, tástáil treoirleabhair oibríochtúil |
| Faomhadh riosca iarmharach | Faomhadh CRO tar éis fianaise tástála agus athbhreithniú leigheasach |
Lá 3: deisigh bearnaí conartha
Cuireann Dlí agus Soláthar an conradh i gcomparáid le clásail soláthraithe Clarysec. Cuireann siad cúnamh aistrithe, seirbhís leanúnach le linn tréimhse aistrithe shainithe, rochtain iniúchta agus fianaise, fógra fochonraitheoirí, formáid easpórtála sonraí, deimhniú scriosta shláin, comhoibriú teagmhais agus gealltanais ama téarnaimh leis.
Deir an Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste, rannán “Ceanglais chun an beartas a chur chun feidhme,” clásal 6.5.1:
Ní mór oibleagáidí leanúnachais agus gealltanais ama téarnaimh a bheith i gconarthaí le soláthraithe criticiúla.
I gcás FBManna, éilíonn an Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste - SME Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste - SME, rannán “Cóireáil riosca agus eisceachtaí,” clásal 7.2.1.4 ar fhoirne:
pleananna sealadacha ionadaíochta soláthraí nó comhpháirtí a dhoiciméadú
Tiontaíonn an clásal sin “déanfaimid imirce” ina réiteach cúltaca inghníomhaithe: cén soláthraí, cén réiteach oibre inmheánach, cén próiseas láimhe, cén sliocht sonraí, cén t-úinéir, agus cén conair formheasa.
Lá 4: tástáil iniomparthacht sonraí agus in-athshlánaitheacht cúltaca
Easpórtálann an fhoireann teicneolaíochta rialacha calaoise, sonraí cáis, aschuir scórála idirbheart, logaí, cumraíocht, doiciméadacht API, agus liostaí rochtana úsáideoirí. Tástálann siad an féidir na sonraí a athshlánú nó a athúsáid i dtimpeallacht rialaithe.
Éilíonn an Beartas Cúltaca agus Athshlánaithe - SME Beartas Cúltaca agus Athshlánaithe - SME, rannán “Ceanglais rialachais,” clásal 5.3.3:
Déantar tástálacha athshlánaithe ar a laghad go ráithiúil, agus déantar na torthaí a dhoiciméadú chun in-athshlánaitheacht a fhíorú
Cuireann an Beartas Cúltaca agus Athshlánaithe fiontair Beartas Cúltaca agus Athshlánaithe, rannán “Cur chun feidhme agus comhlíonadh,” clásal 8.3.1 leis:
Déan iniúchadh tréimhsiúil ar logaí cúltaca, socruithe cumraíochta, agus torthaí tástála
In Zenith Blueprint, céim Controls in Action, Céim 19, Rialú 8.13, tugann Clarysec rabhadh cén fáth a bhfuil tábhacht leis seo:
Is i dtástáil athshlánaithe a theipeann ar fhormhór na n-eagraíochtaí. Is dliteanas, ní sócmhainn, é cúltaca nach féidir a athshlánú in am, nó ar chor ar bith. Sceideal cleachtaí athshlánaithe rialta, fiú mura mbíonn iontu ach páirt-athshlánú, agus doiciméadaigh an toradh.
Faigheann an fhoireann amach nach n-áirítear ceangaltáin sna nótaí cáis easpórtáilte, agus go ndéanann teorannú rátaí API easpórtáil iomlán ró-mhall don chuspóir téarnaimh sainithe. Logáiltear, sannadh agus leigheastar an tsaincheist trí aguisín conartha agus athdhearadh teicniúil easpórtála.
Lá 5: reáchtáil an cleachtadh boird scoir agus athbhreithniú fianaise
Déanann an fhoireann cleachtadh boird: fógraíonn an soláthraí foirceannadh i gceann 90 lá tar éis mórtheagmhais. Ní mór d’oibríochtaí leanúint de fhaireachán calaoise agus sonraí á n-imirce.
In Zenith Blueprint, céim Controls in Action, Céim 23, Rialú 5.30, míníonn Clarysec an caighdeán tástála:
Tosaíonn ullmhacht TFC i bhfad sula dtarlaíonn cur isteach. Baineann sí le córais chriticiúla a shainaithint, a n-idir-spleáchais a thuiscint, agus iad a mhapáil chuig próisis ghnó.
Cuireann an rannán céanna leis:
Ní mór na Cuspóirí Ama Athshlánaithe (RTOanna) agus na Cuspóirí Pointe Athshlánaithe (RPOanna) a shainítear sa phlean leanúnachais gnó a léiriú i gcumraíochtaí teicniúla, i gconarthaí agus i ndearadh bonneagair.
Áirítear leis an bpacáiste fianaise aicmiú soláthraithe, measúnú riosca, clásail chonartha, treoirleabhar oibríochtúil scoir, torthaí easpórtála sonraí, fianaise athshlánaithe cúltaca, nós imeachta scriosta, measúnú soláthraí mhalartaigh, miontuairiscí cleachtaidh boird, loga leigheasach, faomhadh bainistíochta, agus cinneadh riosca iarmharach.
Is féidir leis an bPríomhoifigeach Slándála Faisnéise anois ceist an bhoird a fhreagairt le fianaise, ní le dóchas.
Traschomhlíonadh: plean scoir amháin, lionsaí iniúchta iolracha
Laghdaíonn straitéis scoir láidir DORA obair chomhlíonta dhúbláilte ar fud ionchais rialachais ISO/IEC 27001:2022, NIS2, GDPR, NIST agus COBIT 2019.
| Creat nó rialachán | Cad a éilíonn sé i dtéarmaí pleanála scoir | Fianaise a mholann Clarysec |
|---|---|---|
| DORA | Straitéisí scoir a choinneáil do sheirbhísí TFC criticiúla nó tábhachtacha, riosca tríú páirtí a bhainistiú, athléimneacht a thástáil, conarthaí agus spleáchais a dhoiciméadú | Clár soláthraithe, aicmiú criticiúlachta, clásail chonartha, tástáil scoir, plean aistrithe, cearta iniúchta, measúnú riosca comhchruinnithe |
| NIS2 | I gcás eintitis ábhartha, slándáil slabhra soláthair, leanúnachas gnó, cúltaca, athshlánú ó thubaiste, bainistíocht géarchéime, láimhseáil teagmhais, agus cuntasacht rialachais a bhainistiú | Measúnú riosca soláthraithe, plean leanúnachais, treoracha freagartha teagmhas, faomhadh bainistíochta, gníomhartha ceartaitheacha |
| GDPR | Sonraí pearsanta a chosaint le linn aistrithe, filleadh, scriosadh, imirce agus coinneála le cuntasacht agus bearta teicniúla agus eagraíochtúla cuí | Léarscáil sonraí, téarmaí próiseálaí, fianaise easpórtála, deimhniú scriosta, rialacha coinneála, ailíniú láimhseála sáraithe |
| ISO/IEC 27001:2022 | Rialuithe soláthraithe, néil, leanúnachais, teagmhais, iniúchta, faireacháin agus feabhsúcháin a oibriú laistigh den ISMS | Ráiteas Infheidhmeachta, Plean Cóireála Riosca, taifead iniúchta inmheánaigh, athbhreithniú bainistíochta, nósanna imeachta doiciméadaithe |
| NIST Cybersecurity Framework 2.0 | Rialú a dhéanamh ar spleáchais sheachtracha, soláthraithe a shainaithint, seirbhísí a chosaint, freagairt do chur isteach, agus oibríochtaí a athshlánú | Fardal spleáchais, taifid riosca soláthraithe, rialuithe cosanta, nós imeachta freagartha, tástáil téarnaimh, ceachtanna foghlamtha |
| COBIT 2019 | Rialachas a léiriú ar fhoinsiú, feidhmíocht soláthraithe, riosca, leanúnachas seirbhíse, dearbhú agus comhlíonadh | Cinntí rialachais, úinéireacht, príomhtháscairí feidhmíochta, maoirseacht ar sholáthraithe, fianaise leanúnachais, tuarascálacha dearbhaithe |
Ní hé an pointe tábhachtach go dtagann creat amháin in ionad creat eile. Is é an luach ná go ligeann ISMS dea-thógtha don eagraíocht fianaise a ghiniúint uair amháin agus í a athúsáid go cliste.
Cabhraíonn Zenith Controls de chuid Clarysec le foirne ullmhú do na lionsaí iniúchta seo trí rialuithe ISO/IEC 27001:2022 a nascadh le fianaise iniúchta agus ionchais traschreata.
| Lionsa iniúchóra | Ceist iniúchta dhóchúil | Fianaise a shásaíonn an cheist de ghnáth |
|---|---|---|
| Iniúchóir ISO/IEC 27001:2022 | An bhfuil imeacht soláthraí agus néil rialaithe laistigh den ISMS, den mheasúnú riosca, den SoA agus den chlár iniúchta inmheánaigh? | Raon feidhme ISMS, measúnú riosca, SoA, nós imeachta soláthraithe, nós imeachta imeachta néil, torthaí iniúchta inmheánaigh, gníomhartha athbhreithnithe bainistíochta |
| Maoirseoir DORA nó iniúchadh inmheánach DORA | An féidir libh soláthraí TFC criticiúil a fhágáil gan cur isteach do-ghlactha, caillteanas sonraí nó sárú rialála? | Measúnú criticiúlachta, clár soláthraithe DORA, straitéis scoir, clásail chonartha, tástáil aistrithe, measúnú comhchruinnithe, loga leigheasach |
| Measúnóir dírithe ar NIST | An bhfuil spleáchais sheachtracha rialaithe agus sainaitheanta agaibh, seirbhísí criticiúla cosanta agaibh, agus cumais freagartha agus téarnaimh tástáilte agaibh? | Fardal spleáchais, rialuithe rochtana, faireachán, uaschéimniú teagmhais, tástáil téarnaimh, ceachtanna foghlamtha |
| Iniúchóir COBIT 2019 nó ISACA | An bhfuil imeacht soláthraí rialaithe, faoi úinéireacht, tomhaiste agus dearbhaithe trí chuspóirí bainistíochta amhail APO10 Managed Vendors agus DSS04 Managed Continuity? | RACI, faomhadh bainistíochta, KPIs, athbhreithniú feidhmíochta soláthraithe, fianaise dearbhaithe, rianú saincheisteanna |
| Iniúchóir príobháideachais | An féidir sonraí pearsanta a thabhairt ar ais, a imirce, a shrianadh, a léirscriosadh nó a choinneáil go slán de réir oibleagáidí GDPR? | Clár próiseála sonraí, clásail phróiseálaí, fianaise easpórtála, deimhniú scriosta, údar coinneála, sreabhadh oibre sáraithe |
Teip iniúchta choitianta is ea ilroinnt fianaise. Tá an conradh ag úinéir an tsoláthraí. Tá logaí cúltaca ag TF. Tá an Comhaontú Próiseála Sonraí ag Dlí. Tá an measúnú ag Riosca. Tá an mhapáil rialála ag Comhlíonadh. Níl an scéal iomlán ag aon duine.
Réitíonn Clarysec é seo trí phacáiste fianaise a dhearadh timpeall ar an gcás scoir. Freagraíonn gach doiciméad ceist iniúchta amháin: cén tseirbhís atá á fágáil, cén fáth a bhfuil sí criticiúil, cé na sonraí agus córais lena mbaineann, cé leis an riosca, cé na cearta conartha a fhágann gur féidir imeacht, cé na sásraí teicniúla a fhágann gur féidir imirce, cé na socruithe leanúnachais a choinníonn an gnó ar siúl, cén tástáil a chruthaíonn go n-oibríonn an plean, cé na saincheisteanna a leigheasadh, agus cé a d’fhaomh an riosca iarmharach.
Seicliosta straitéise scoir DORA Clarysec
Úsáid an seicliosta seo chun straitéis scoir TFC tríú páirtí DORA a iompú ó dhoiciméad ina sraith rialuithe iniúchta.
| Réimse rialaithe | Ionchas íosta | Fianaise le coinneáil |
|---|---|---|
| Aicmiú soláthraithe | Sainaithin an dtacaíonn an soláthraí le feidhmeanna criticiúla nó tábhachtacha | Clár soláthraithe, cinneadh criticiúlachta, léarscáil spleáchais |
| Infhorfheidhmitheacht conartha | Cuir cúnamh aistrithe, easpórtáil sonraí, scriosadh, iniúchadh, comhoibriú teagmhais agus oibleagáidí leanúnachais san áireamh | Clásail chonartha, aguisíní, athbhreithniú dlíthiúil |
| Iniomparthacht néil | Deimhnigh cumas easpórtála roimh ionduchtú agus go tréimhsiúil le linn oibríochta | Torthaí tástála easpórtála, doiciméadacht formáide sonraí, nótaí imirce |
| Cosaint sonraí | Aghaidh a thabhairt ar fhilleadh, scriosadh, coinneáil, aistriú agus oibleagáidí próiseálaí maidir le sonraí pearsanta | Léarscáil sonraí, DPA, deimhniú scriosta, cinneadh coinneála |
| Cúltaca agus athshlánú | Tástáil in-athshlánaitheacht i gcoinne RTO agus RPO | Logaí athshlánaithe, tuarascáil tástála, taifead leigheasach |
| Pleanáil ionadaíochta | Sainigh soláthraí malartach, réiteach oibre láimhe nó próiseas inmheánach | Plean ionadaíochta, miontuairiscí cleachtaidh boird, liosta úinéirí |
| Rialachas | Sann úinéir riosca agus faomhadh bainistíochta | Taifead riosca, glacadh le riosca iarmharach, miontuairiscí athbhreithnithe bainistíochta |
| Ullmhacht iniúchta | Nasc beartais, rialuithe, conarthaí, tástálacha agus gníomhartha ceartaitheacha | Innéacs pacáiste fianaise, tuarascáil iniúchta inmheánaigh, uirlis rianaithe saincheisteanna |
Déan rialú athléimneachta réidh don bhord den phleanáil scoir
Más clásal conartha amháin í do straitéis scoir DORA, níl sí réidh. Murar athshlánaíodh do chúltaca riamh, níl sé réidh. Más féidir le do sholáthraí néil sonraí a easpórtáil ach nár bhailíochtaigh aon duine an iomláine, níl sé réidh. Mura féidir le do bhord an cinneadh riosca iarmharach a fheiceáil, níl sé réidh.
Cabhraíonn Clarysec le Príomhoifigigh Slándála Faisnéise, bainisteoirí comhlíonta, iniúchóirí agus úinéirí gnó straitéisí scoir TFC tríú páirtí DORA a thógáil atá praiticiúil, comhréireach agus réidh don iniúchadh. Comhcheanglaímid Zenith Blueprint Zenith Blueprint do sheicheamhú cur chun feidhme, Zenith Controls Zenith Controls do mhapáil thraschomhlíonta, agus teimpléid bheartais amhail an Beartas Bainistíochta Riosca Spleáchais ar Sholáthraithe Beartas Bainistíochta Riosca Spleáchais ar Sholáthraithe, Beartas Úsáide Néil - SME Beartas Úsáide Néil - SME, Beartas Slándála Tríú Páirtí agus Soláthraithe - SME Beartas Slándála Tríú Páirtí agus Soláthraithe - SME, agus Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste Beartas Leanúnachais Gnó agus Athshlánaithe ó Thubaiste chun slabhra iomlán ó rialú go fianaise a chruthú.
Tá do chéad chéim eile simplí agus ardluacha: roghnaigh soláthraí TFC criticiúil amháin an tseachtain seo. Aicmigh é, déan athbhreithniú ar a chonradh, tástáil easpórtáil sonraí amháin, fíoraigh athshlánú amháin, doiciméadaigh plean ionadaíochta amháin, agus cruthaigh pacáiste fianaise amháin.
Léireoidh an cleachtadh aonair sin an bhfuil do straitéis scoir DORA ina cumas fíor-athléimneachta nó ina doiciméad atá ag fanacht le teip san iniúchadh.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
