Plean Téarnaimh i ndiaidh Iniúchadh ISO 27001:2022 ar Theip Air

An ríomhphost nár theastaigh ó aon duine a fháil

Tagann an ríomhphost isteach go déanach tráthnóna Dé hAoine le líne ábhair a bhfuil cuma neamhdhíobhálach uirthi: “Toradh an Iniúchta Aistrithe.”

Níl an corp neamhdhíobhálach. Tá neamhchomhlíonadh mór ardaithe ag an gcomhlacht deimhniúcháin. Tá an teastas ISO/IEC 27001 curtha ar fionraí, nó ní féidir an cinneadh aistrithe a dhúnadh. Tá nóta an iniúchóra lom: ní thugann an Ráiteas Infheidhmeachta údar le rialuithe eisiata, ní léiríonn an measúnú riosca an comhthéacs reatha, agus níl fianaise leordhóthanach ann gur breithníodh oibleagáidí rialála nua.

Laistigh d’uair an chloig, ní ceist chomhlíonta amháin í seo a thuilleadh. Tá an fhoireann díolacháin ag fiafraí an bhfuil tairiscint earnála poiblí i mbaol anois. Tá an fhoireann dlí ag athbhreithniú clásail i gconarthaí custaiméirí. Tá an CISO ag míniú cén fáth nach réitíonn an SoA leis an bPlean Cóireála Rioscaí. Cuireann an CEO an t-aon cheist atá tábhachtach: “Cé chomh tapa is féidir linn é seo a cheartú?”

I gcás go leor eagraíochtaí, níor chruthaigh spriocdháta aistrithe ISO 27001:2022 a bheith caillte bearna theoiriciúil. Chruthaigh sé saincheist bheo leanúnachais ghnó. Is féidir le hiniúchadh aistrithe ISO 27001:2022 a cailleadh nó ar theip air dul i bhfeidhm ar incháilitheacht tairisceana, ar ionduchtú soláthraithe, ar árachas cibear, ar dhearbhú custaiméirí, ar ullmhacht NIS2, ar ionchais DORA, ar chuntasacht GDPR agus ar mhuinín an bhoird.

Is é an dea-scéal go bhfuil téarnamh indéanta. Is é an drochscéal nach n-oibreoidh maisiú doiciméad. Ní mór an téarnamh a láimhseáil mar chlár disciplínithe gníomhartha ceartaitheacha ISMS, ní mar athscríobh beartas faoi dheifir.

Ag Clarysec, eagraímid an téarnamh seo timpeall ar thrí shócmhainn nasctha:

1. Zenith Blueprint: Treochlár 30 céim d’iniúchóir, go háirithe céim an Iniúchta, an Athbhreithnithe agus an Fheabhsaithe.
2. Leabharlann beartas fiontraíochta agus FBM Clarysec, a athraíonn fionnachtana iniúchta ina n-oibleagáidí rialaithe.
3. Zenith Controls: An treoir thraschomhlíonta, a chabhraíonn le hionchais rialaithe ISO/IEC 27002:2022 a nascadh le NIS2, DORA, GDPR, smaointeoireacht dearbhaithe ar stíl NIST agus peirspictíochtaí rialachais COBIT 2019.

Seo an plean téarnaimh praiticiúil do CISOnna, do bhainisteoirí comhlíonta, d’iniúchóirí, do bhunaitheoirí agus d’úinéirí gnó a chaill spriocdháta aistrithe ISO 27001:2022 nó ar theip orthu san iniúchadh aistrithe.

Ar dtús, diagnóisigh an modh teipe

Sula n-athraítear fiú beartas amháin, aicmigh an staid. Níl an tionchar gnó ná an bealach téarnaimh céanna ag gach aistriú ar theip air nó a cailleadh. Ba cheart don chéad 24 uair an chloig díriú ar an tuarascáil iniúchta, cinneadh an chomhlachta deimhniúcháin, foclaíocht an neamhchomhlíonta, iarratais fianaise, spriocdhátaí agus stádas reatha an teastais a fháil.

Braitheann an plean téarnaimh ar an modh teipe. Éilíonn cinneadh deimhniúcháin blocáilte leigheas spriocdhírithe. Éilíonn teastas ar fionraí leasú práinneach rialachais agus fianaise. D’fhéadfadh bealach athdheimhniúcháin níos leithne a bheith ag teastáil ó theastas tarraingthe siar nó imithe in éag.

I ngach cás, mapáil gach saincheist leis an gclásal ISMS ábhartha, rialú Iarscríbhinn A, taifead riosca, úinéir beartais, oibleagáid dhlíthiúil nó chonarthach, agus foinse fianaise.

Seo an áit a bhfuil tábhacht ag ISO/IEC 27001:2022 mar chóras bainistíochta, ní mar chatalóg rialuithe amháin. Éilíonn clásail 4 go 10 ar an ISMS comhthéacs, páirtithe leasmhara, raon feidhme, ceannaireacht, pleanáil rioscaí, tacaíocht, oibriú, meastóireacht feidhmíochta agus feabhsú leanúnach a thuiscint. Má theip ar an aistriú, is gnách go mbíonn ceann de na naisc chórais bhainistíochta sin briste.

Cén fáth a dteipeann ar iniúchtaí aistrithe ISO 27001:2022

Is gnách go mbíonn patrúin athfhillteacha taobh thiar d’iniúchtaí aistrithe ar theip orthu. Ní bhíonn go leor díobh thar a bheith teicniúil. Teipeanna rialachais, inrianaitheachta, úinéireachta agus fianaise atá iontu.

Is comhartha é an t-iniúchadh ar theip air nár oiriúnaigh an ISMS tapa go leor d’fhíorthimpeallacht oibriúcháin na heagraíochta.

Tá ISO/IEC 27005:2022 úsáideach sa téarnamh toisc go neartaíonn sé tábhacht an chomhthéacs a bhunú trí cheanglais dhlíthiúla, rialála, earnáilshonracha, chonarthacha, inmheánacha agus rialaithe atá ann cheana. Tacaíonn sé freisin le critéir riosca a chuireann dualgais dhlíthiúla, soláthraithe, príobháideachas, tosca daonna, cuspóirí gnó agus fonn riosca atá formheasta ag an mbainistíocht san áireamh.

I dtéarmaí praiticiúla, tosaíonn téarnamh aistrithe le comhthéacs agus critéir riosca athnuaite, ní le huimhir leagain nua ar sheandoiciméad.

Céim 1: Reoigh an taifead iniúchta agus cruthaigh lárionad ceannais téarnaimh

Is é an chéad bhotún oibríochtúil tar éis iniúchadh ar theip air ná caos fianaise. Tosaíonn foirne ag cuardach boscaí isteach, tiomántáin chomhroinnte, córais ticéadaithe, teachtaireachtaí comhrá, fillteáin phearsanta agus seanphacáistí iniúchta. Léirmhíníonn iniúchóirí é seo mar chomhartha nach bhfuil an ISMS faoi rialú.

Tá Beartas Faireacháin Iniúchta agus Comhlíonta - FBM Clarysec soiléir maidir le rialú fianaise:

“Ní mór an fhianaise go léir a stóráil i bhfillteán iniúchta lárnaithe.”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.2.1.

Éiríonn an fillteán iniúchta lárnaithe sin ina chábán stiúrtha don téarnamh. Ba cheart go mbeadh na nithe seo ann:

• Tuarascáil agus comhfhreagras an chomhlachta deimhniúcháin.
• Dearbhú stádais an teastais.
• Clár neamhchomhlíontaí.
• Loga CAPA.
• Measúnú riosca nuashonraithe.
• Plean cóireála rioscaí nuashonraithe.
• Ráiteas Infheidhmeachta nuashonraithe.
• Tuarascáil iniúchta inmheánaigh.
• Miontuairiscí athbhreithnithe bainistíochta.
• Taifid formheasa beartais.
• Fianaise do gach rialú infheidhme in Iarscríbhinn A.
• Pacáiste dearbhaithe custaiméara, má tá gealltanais tráchtála i gceist.

I dtimpeallachtaí fiontraíochta, leagann Beartas Faireacháin Iniúchta agus Comhlíonta Clarysec an t-ionchas rialachais céanna amach:

“Ní mór CAPA doiciméadaithe a bheith mar thoradh ar gach fionnachtain, agus ní mór an méid seo a leanas a bheith san áireamh ann:”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.2.1.

Cuireann an fhoclaíocht ionchas struchtúrtha gnímh cheartaitheach ar bun. Tá an pointe bunúsach simplí: ní mór do gach fionnachtain iniúchta a bheith ina mír CAPA rialaithe, ní ina tasc neamhfhoirmiúil i leabhar nótaí duine éigin.

I gcás FBManna, tá rannpháirtíocht ceannaireachta chomh tábhachtach céanna:

“Ní mór don GM plean gníomhaíochta ceartaitheach a fhormheas agus a chur chun feidhme a rianú.”

Ó Beartas Faireacháin Iniúchta agus Comhlíonta - FBM, rannán “Ceanglais rialachais”, clásal beartais 5.4.2.

Tá tábhacht leis seo toisc nach láimhseálann ISO 27001:2022 ceannaireacht mar shiombal amháin. Ní mór don ardbhainistíocht beartas a bhunú, cuspóirí a ailíniú le straitéis ghnó, acmhainní a chur ar fáil, tábhacht na slándála faisnéise a chur in iúl, freagrachtaí a shannadh agus feabhsú leanúnach a chur chun cinn.

Má láimhseáiltear an t-aistriú ar theip air mar “fhadhb an duine chomhlíonta”, nochtfaidh an chéad iniúchadh eile cuntasacht cheannaireachta lag arís.

Céim 2: Atóg comhthéacs, oibleagáidí agus riosca

Is minic a chiallaíonn iniúchadh aistrithe ar theip air nach léiríonn comhthéacs an ISMS saol na heagraíochta a thuilleadh. B’fhéidir gur aistrigh an gnó chuig ardáin scamaill, gur cuireadh soláthraithe nua leis, gur tháinig sé isteach i margaí rialáilte, gur phróiseáil sé níos mó sonraí pearsanta, nó gur tháinig sé chun bheith ábhartha do chustaiméirí faoi NIS2 nó DORA. Má tá na hathruithe sin ar iarraidh ón ISMS, beidh an measúnú riosca agus an SoA neamhiomlán.

Leagann Beartas um Chomhlíonadh Dlíthiúil agus Rialála Clarysec an bhonnlíne amach:

“Ní mór gach oibleagáid dhlíthiúil agus rialála a mhapáil chuig beartais, rialuithe agus úinéirí sonracha laistigh den Chóras Bainistíochta Slándála Faisnéise (ISMS).”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.2.1.

Tá an clásal seo ríthábhachtach tar éis teip aistrithe. Éilíonn clásail 4.1 go 4.3 de ISO 27001:2022 ar eagraíochtaí saincheisteanna inmheánacha agus seachtracha, páirtithe leasmhara, ceanglais, comhéadain, spleáchais agus raon feidhme a chur san áireamh. Ní nótaí imeallacha iad oibleagáidí dlíthiúla, rialála agus conarthacha. Múnlaíonn siad an ISMS.

Éilíonn NIS2 Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla iomchuí agus comhréireacha, lena n-áirítear anailís riosca, beartais, láimhseáil teagmhas, cúltaca, athshlánú ó thubaiste, bainistíocht géarchéime, slándáil slabhra soláthair, forbairt shlán, láimhseáil leochaileachtaí, measúnuithe éifeachtachta, sláinteachas cibear, oiliúint, cripteagrafaíocht, slándáil acmhainní daonna, rialú rochtana, bainistíocht sócmhainní agus cumarsáid shlán. Cuireann Article 20 freagracht ar leibhéal an chomhlachta bainistíochta. Cruthaíonn Article 23 tuairisciú céimnithe ar theagmhais shuntasacha, lena n-áirítear rabhadh luath, fógra teagmhais, nuashonruithe agus tuairisciú deiridh.

Baineann DORA go díreach le heintitis airgeadais ón 17 Eanáir 2025 agus cumhdaíonn sé bainistíocht riosca TFC, tuairisciú mórtheagmhas, tástáil athléimneachta, riosca tríú páirtí TFC, ceanglais chonarthacha agus maoirseacht ar sholáthraithe criticiúla tríú páirtí TFC. I gcás eintitis airgeadais laistigh den raon feidhme, éiríonn DORA ina phríomhthiománaí do rialachas TFC, rialú soláthraithe, tástáil, aicmiú teagmhas agus cuntasacht bainistíochta.

Cuireann GDPR cuntasacht le haghaidh sonraí pearsanta leis. Éilíonn Article 5 próiseáil dhleathach, chothrom, thrédhearcach, theoranta, chruinn, fheasach ar choinneáil agus shlán, le comhlíonadh inléirithe. Sainmhíníonn Article 4 sárú sonraí pearsanta ar bhealach a théann i bhfeidhm go díreach ar aicmiú teagmhas. Éilíonn Article 6 mapáil ar bhonn dleathach, agus cuireann Article 9 ceanglais mhéadaithe i bhfeidhm maidir le sonraí de chatagóir speisialta.

Ní chiallaíonn sé seo cruinne comhlíonta ar leith a chruthú. Ciallaíonn sé ISO 27001:2022 a úsáid mar an córas bainistíochta comhtháite agus oibleagáidí a mhapáil isteach in ailtireacht aonair rioscaí agus rialuithe.

Nascann Beartas Bainistíochta Riosca Clarysec cóireáil rioscaí go díreach le roghnú rialuithe:

“Ní mór cinntí rialaithe a eascraíonn as an bpróiseas cóireála riosca a léiriú sa SoA.”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.5.1.

Is cúis é iniúchadh ar theip air freisin leis an bpróiseas bainistíochta riosca féin a athbhreithniú. Aithníonn Beartas Bainistíochta Riosca - FBM Clarysec an spreagadh seo:

“Nochtann mórtheagmhas nó fionnachtain iniúchta bearnaí i mbainistíocht riosca”

Ón rannán “Ceanglais athbhreithnithe agus nuashonraithe”, clásal beartais 9.2.1.1.

I mód téarnaimh, ciallaíonn sé sin nach mór an clár rioscaí, critéir riosca, Plean Cóireála Rioscaí agus SoA a atógáil le chéile.

Céim 3: Deisigh an SoA mar dhromlach na hinrianaitheachta

I bhformhór na n-aistrithe ar theip orthu, is é an Ráiteas Infheidhmeachta an chéad doiciméad le hiniúchadh. Tá sé ar cheann de na chéad doiciméid a shamplaíonn iniúchóirí freisin. Insíonn SoA lag don iniúchóir nach bhfuil roghnú rialuithe bunaithe ar riosca.

Tugann Zenith Blueprint treoir phraiticiúil i gcéim an Iniúchta, an Athbhreithnithe agus an Fheabhsaithe, Céim 24, Iniúchadh, Athbhreithniú agus Feabhsú:

“Ba cheart do SoA a bheith comhsheasmhach le do chlár rioscaí agus le do Phlean Cóireála Rioscaí. Seiceáil arís go bhfuil gach rialú a roghnaigh tú mar chóireáil riosca marcáilte ‘Infheidhme’ sa SoA. Ar an taobh eile, má tá rialú marcáilte ‘Infheidhme’ sa SoA, ba cheart réasúnaíocht a bheith agat dó - de ghnáth riosca mapáilte, ceanglas dlíthiúil/rialála nó riachtanas gnó.”

Ó Zenith Blueprint: Treochlár 30 céim d’iniúchóir, céim an Iniúchta, an Athbhreithnithe agus an Fheabhsaithe, Céim 24.

Sin é prionsabal an téarnaimh. Ní foirmiúlacht é an SoA. Is é dromlach na hinrianaitheachta é idir rioscaí, oibleagáidí, rialuithe, fianaise cur chun feidhme agus conclúidí iniúchta.

Ba cheart go leanfadh cleachtadh praiticiúil leasaithe SoA an t-ord seo:

1. Easpórtáil an SoA reatha.
2. Cuir colúin leis le haghaidh aitheantas riosca, oibleagáid rialála, riachtanas gnó, tagairt beartais, suíomh fianaise, úinéir, stádas cur chun feidhme agus dáta na tástála deireanaí.
3. I gcás gach rialaithe infheidhme, mapáil réasúnaíocht chosanta amháin ar a laghad.
4. I gcás gach rialaithe eisiata, scríobh cúis eisiata shonrach.
5. Réitigh an SoA leis an bPlean Cóireála Rioscaí.
6. Réitigh an SoA le torthaí iniúchta inmheánaigh.
7. Cuir an cheist chrua: má shamplaíonn iniúchóir an tsraith seo, an féidir linn é a chruthú i gcúig nóiméad?

Ba cheart go mbeadh cuma mar seo ar shraith SoA atá inchosanta:

Insíonn an tsraith seo scéal téarnaimh. Léiríonn sí comhthéacs gnó, loighic riosca, ábharthacht rialála, úinéireacht, cur chun feidhme, tástáil agus gníomh atá fágtha.

Baineann an disciplín céanna le heisiaimh. Mar shampla, mura ndéanann an eagraíocht aon fhorbairt bogearraí inmheánach, d’fhéadfadh eisiamh do rialú ISO/IEC 27002:2022 8.25 saolré forbartha slána agus rialú 8.28 códú slán a bheith inchosanta, ach amháin má tá sé fíor, doiciméadaithe agus tacaithe le fianaise gur bogearraí tráchtála réamhdhéanta atá sna bogearraí nó go bhfuil siad seachfhoinsithe go hiomlán agus rialuithe soláthraithe i bhfeidhm.

Céim 4: Déan anailís bunchúise, ní maisiú doiciméad

Is annamh a bhíonn iniúchadh aistrithe ar theip air mar thoradh ar chomhad amháin ar iarraidh. Is gnách gur próiseas briste is cúis leis.

Deir Zenith Blueprint, céim an Iniúchta, an Athbhreithnithe agus an Fheabhsaithe, Céim 27, Fionnachtana iniúchta - anailís agus bunchúis:

“I gcás gach neamhchomhlíonta (mór nó beag) a shainaithnítear, smaoinigh cén fáth ar tharla sé - tá sé seo ríthábhachtach le haghaidh ceartú éifeachtach.”

Ó Zenith Blueprint, céim an Iniúchta, an Athbhreithnithe agus an Fheabhsaithe, Céim 27.

Má deir an fhionnachtain “tá údaruithe SoA ar iarraidh”, d’fhéadfadh gurb é an ceartú an SoA a nuashonrú. Ach d’fhéadfadh gurb í an bhunchúis nár cuireadh úinéirí sócmhainní san áireamh sa mheasúnú riosca, nár mapáladh oibleagáidí dlíthiúla, nó gur choinnigh an fhoireann chomhlíonta an SoA ina haonar.

Scarann tábla téarnaimh úsáideach ceartúcháin laga ó fhíorghníomh ceartaitheach:

Seo an áit a bhfilleann creidiúnacht. Ní bhíonn iniúchóirí ag súil le foirfeacht. Bíonn siad ag súil le córas rialaithe a aimsíonn, a cheartaíonn, a fhoghlaimíonn agus a fheabhsaíonn.

Céim 5: Tóg CAPA ar féidir le hiniúchóir muinín a bheith aige as

Is trí ghníomh ceartaitheach agus coisctheach a fhaigheann go leor eagraíochtaí smacht ar ais. Ba cheart don chlár CAPA a bheith ina threochlár téarnaimh agus ina phríomhfhianaise gur láimhseáladh an t-iniúchadh ar theip air go córasach.

Míníonn Zenith Blueprint, céim an Iniúchta, an Athbhreithnithe agus an Fheabhsaithe, Céim 29, feabhsú leanúnach, an struchtúr:

“Déan cinnte go bhfuil gach gníomh ceartaitheach sonrach, insannta agus faoi theorainn ama. Go bunúsach, tá miontionscadal á chruthú agat do gach saincheist.”

Ó Zenith Blueprint, céim an Iniúchta, an Athbhreithnithe agus an Fheabhsaithe, Céim 29.

Ba cheart go mbeadh na nithe seo i do loga CAPA:

• Aitheantas fionnachtana.
• Iniúchadh foinse.
• Tagairt clásail nó rialaithe.
• Déine.
• Cur síos ar an tsaincheist.
• Ceartú láithreach.
• Bunchúis.
• Gníomh ceartaitheach.
• Gníomh coisctheach, nuair is ábhartha.
• Úinéir.
• Dáta dlite.
• Fianaise riachtanach.
• Stádas.
• Seiceáil éifeachtachta.
• Faomhadh bainistíochta.

Aithníonn Beartas Faireacháin Iniúchta agus Comhlíonta - FBM Clarysec freisin neamhchomhlíonadh mór mar spreagadh athbhreithnithe:

“Tagann neamhchomhlíonadh mór as iniúchadh deimhniúcháin nó as iniúchadh faireachais”

Ón rannán “Ceanglais athbhreithnithe agus nuashonraithe”, clásal beartais 9.2.2.

Má tháirg an t-iniúchadh aistrithe neamhchomhlíonadh mór, athbhreithnigh an próiseas faireacháin iniúchta agus comhlíonta féin. Cén fáth nár aimsigh iniúchadh inmheánach an tsaincheist ar dtús? Cén fáth nár uaschéimnigh athbhreithniú bainistíochta í? Cén fáth nár nocht an SoA an bhearna fianaise?

Sin mar a éiríonn iniúchadh ar theip air ina ISMS níos láidre.

Céim 6: Úsáid Zenith Controls chun fianaise ISO a nascadh le traschomhlíonadh

Ní tharlaíonn athiniúchadh ina aonar. D’fhéadfadh custaiméirí, rialálaithe, árachóirí agus foirne rialachais inmheánaigh breathnú ar an bhfianaise chéanna ó uillinneacha éagsúla. Seo an áit a bhfuil Zenith Controls luachmhar mar threoir thraschomhlíonta. Cabhraíonn sé le foirne stopadh de bheith ag láimhseáil ISO 27001, NIS2, DORA, GDPR, dearbhú ar stíl NIST agus rialachas COBIT 2019 mar sheicliostaí ar leith.

Tá trí rialú ISO/IEC 27002:2022 thar a bheith ábhartha i dtéarnamh aistrithe.

In Zenith Controls, tá rialú ISO/IEC 27002:2022 5.31 nasctha go díreach le príobháideachas agus PII:

“Cumhdaíonn 5.34 comhlíonadh le dlíthe cosanta sonraí (e.g. GDPR), ar catagóir amháin de cheanglais dhlíthiúla faoi 5.31 é.”

Ó Zenith Controls, rialú 5.31, naisc le rialuithe eile.

Le haghaidh téarnaimh, ciallaíonn sé seo nach mór don chlár dlíthiúil gan suí lasmuigh den ISMS. Ní mór dó an SoA, an Plean Cóireála Rioscaí, an tsraith beartas, úinéireacht rialuithe agus fianaise iniúchta a threorú.

Maidir le rialú ISO/IEC 27002:2022 5.35, léiríonn Zenith Controls gur minic a shíneann athbhreithniú neamhspleách isteach i bhfianaise oibríochtúil:

“Is minic a dhéanann athbhreithnithe neamhspleácha faoi 5.35 measúnú ar leordhóthanacht gníomhaíochtaí logála agus faireacháin.”

Ó Zenith Controls, rialú 5.35, naisc le rialuithe eile.

Tá sé sin praiticiúil. D’fhéadfadh iniúchóir tosú le rialachas agus ansin sampla a thógáil de logaí, foláirimh, taifid faireacháin, athbhreithnithe rochtana, ticéid teagmhais, tástálacha cúltaca, athbhreithnithe soláthraithe agus cinntí bainistíochta.

Maidir le rialú ISO/IEC 27002:2022 5.36, míníonn Zenith Controls an gaol le rialachas inmheánach beartais:

“Feidhmíonn rialú 5.36 mar an sásra cur chun feidhme do na rialacha a shainmhínítear faoi 5.1.”

Ó Zenith Controls, rialú 5.36, naisc le rialuithe eile.

Seo an áit a dteipeann ar go leor clár aistrithe. Tá beartais ann, ach ní dhéantar faireachán ar chloí leo. Tá nósanna imeachta ann, ach ní ghabhtar eisceachtaí. Dearbhaítear rialuithe, ach ní dhéantar tástáil orthu.

Céim 7: Ullmhaigh do lionsaí iniúchta éagsúla

Ba cheart go seasfadh pacáiste láidir téarnaimh níos mó ná peirspictíocht iniúchóra amháin. D’fhéadfadh iniúchóirí deimhniúcháin ISO, maoirseoirí DORA, athbhreithneoirí NIS2, páirtithe leasmhara GDPR, foirne dearbhaithe custaiméirí, measúnóirí atá dírithe ar NIST agus athbhreithneoirí rialachais COBIT 2019 ceisteanna éagsúla a chur faoin bhfianaise chéanna.

Ní fianaise dhúblach an sprioc. Is féidir le sraith SoA amháin le haghaidh logála agus faireacháin tacú le fianaise ISO, ionchais braite ar stíl NIST, láimhseáil teagmhas DORA, measúnú éifeachtachta NIS2 agus brath sáruithe GDPR. Is féidir le comhad riosca soláthraí amháin tacú le rialuithe soláthraithe ISO, riosca tríú páirtí TFC DORA, slándáil slabhra soláthair NIS2 agus cuntasacht próiseálaí GDPR.

Sin é luach praiticiúil an traschomhlíonta.

Céim 8: Rith athbhreithniú deiridh doiciméadaithe agus iniúchadh samhlaithe

Sula bhfilleann tú ar an gcomhlacht deimhniúcháin, rith dúshlán inmheánach dian. Molann Zenith Blueprint, céim an Iniúchta, an Athbhreithnithe agus an Fheabhsaithe, Céim 30, Ullmhúchán Deimhniúcháin - Athbhreithniú Deiridh agus Iniúchadh Samhlaithe, clásail 4 go 10 de ISO 27001:2022 a sheiceáil ceann ar cheann agus fianaise a bhailíochtú do gach rialú infheidhme in Iarscríbhinn A.

Molann sé:

“Seiceáil rialuithe Iarscríbhinn A: cinntigh, i gcás gach rialaithe a mharcáil tú ‘Infheidhme’ sa SoA, go bhfuil rud éigin agat le taispeáint dó.”

Ó Zenith Blueprint, céim an Iniúchta, an Athbhreithnithe agus an Fheabhsaithe, Céim 30.

Ba cheart don athbhreithniú deiridh a bheith díreach:

• An féidir gach rialú infheidhme a mhíniú?
• An féidir gach rialú eisiata a údarú?
• An féidir glacadh le riosca iarmharach a thaispeáint?
• Ar athbhreithnigh an bhainistíocht teip an aistrithe, acmhainní, cuspóirí, torthaí iniúchta agus gníomhartha ceartaitheacha?
• Ar thástáil iniúchadh inmheánach an SoA nuashonraithe agus an Plean Cóireála Rioscaí?
• An bhfuil fianaise ann ar rialuithe soláthraithe, scamaill, leanúnachais, teagmhais, príobháideachais, rochtana, leochaileachta, logála agus faireacháin?
• An bhfuil beartais formheasta, reatha, cumarsáidte agus faoi rialú leaganacha?
• An bhfuil CAPAnna nasctha le bunchúiseanna agus seiceálacha éifeachtachta?
• An féidir fianaise a aimsiú go tapa sa fhillteán iniúchta lárnaithe?

Soláthraíonn Beartas Slándála Faisnéise Clarysec an bhonnlíne rialachais:

“Ní mór don eagraíocht Córas Bainistíochta Slándála Faisnéise (ISMS) a chur chun feidhme agus a chothabháil i gcomhréir le Clásail 4 go 10 de ISO/IEC 27001:2022.”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.1.1.

I gcás FBManna, ní mór don athbhreithniú ceanglais deimhniúcháin agus athrú rialála a rianú freisin. Deir Beartas Slándála Faisnéise - FBM Clarysec:

“Ní mór don Bhainisteoir Ginearálta (GM) athbhreithniú a dhéanamh ar an mbeartas seo ar a laghad uair sa bhliain chun comhlíonadh leanúnach le ceanglais deimhniúcháin ISO/IEC 27001, athruithe rialála (amhail GDPR, NIS2 agus DORA), agus riachtanais ghnó atá ag athrú a chinntiú.”

Ón rannán “Ceanglais athbhreithnithe agus nuashonraithe”, clásal beartais 9.1.1.

Sin go díreach a chaill go leor clár aistrithe: bogann ISO, rialachán agus athrú gnó le chéile.

Cad ba cheart a rá le custaiméirí agus tú ag téarnamh

Má théann aistriú ar theip air nó a cailleadh i bhfeidhm ar chonarthaí custaiméirí, tá ciúnas contúirteach. Ní gá duit gach mionsonra iniúchta inmheánaigh a nochtadh, ach ba cheart dearbhú rialaithe a chur ar fáil.

Ba cheart go mbeadh na nithe seo i bpacáiste cumarsáide custaiméara:

• Stádas deimhniúcháin reatha, dearbhaithe ag an gcomhlacht deimhniúcháin.
• Stádas an iniúchta aistrithe agus plean leigheasach ardleibhéil.
• Dearbhú go bhfuil próiseas CAPA gníomhach agus formheasta ag an mbainistíocht.
• Spriocdhátaí do ghníomhartha ceartaitheacha agus dúnadh iniúchta.
• Ráiteas go bhfuil an ISMS fós ag feidhmiú.
• Pointe teagmhála dearbhaithe slándála.
• Ráiteas nuashonraithe beartais slándála, más iomchuí.
• Fianaise ar rialuithe cúitimh d’aon réimse ardriosca.

Seachain éilimh doiléire amhail “táimid go hiomlán comhlíontach” agus an t-iniúchadh gan réiteach. Abair an méid atá fíor: tá an ISMS ag feidhmiú, tá gníomh ceartaitheach formheasta, tá fianaise á comhdhlúthú, agus tá athbhreithniú dúnta nó athiniúchadh sceidealta.

Tá sé seo thar a bheith tábhachtach má bhíonn custaiméirí ag brath ort mar sholáthraí in earnálacha atá ábhartha do NIS2 amhail bonneagar digiteach, scamall, ionaid sonraí, líonraí seachadta inneachair, DNS, seirbhísí iontaoibhe, cumarsáidí leictreonacha poiblí, seirbhísí bainistithe nó seirbhísí slándála bainistithe. Má théann do stádas iniúchta i bhfeidhm ar a riosca slabhra soláthair, teastaíonn dearbhú inchreidte uathu.

Sprint téarnaimh praiticiúil 10 lá

Athraíonn amlínte de réir comhlachta deimhniúcháin, déine, raon feidhme agus aibíocht fianaise. Ach tá an t-ord téarnaimh iontaofa.

Ná cuir an freagra isteach go dtí go n-insíonn sé scéal comhleanúnach. Ba cheart don iniúchóir a bheith in ann an slabhra a leanúint ón bhfionnachtain go dtí an bhunchúis, ón mbunchúis go dtí an gníomh ceartaitheach, ón ngníomh ceartaitheach go dtí an fhianaise, agus ón bhfianaise go dtí athbhreithniú bainistíochta.

Sreabhadh oibre téarnaimh Clarysec

Nuair a thacaíonn Clarysec le haistriú ISO 27001:2022 a cailleadh nó ar theip air, eagraímid an obair ina sreabhadh oibre téarnaimh dírithe.

Ní bhaineann sé seo le páipéarachas a mhonarú. Baineann sé le muinín a athbhunú go bhfuil an ISMS rialaithe, bunaithe ar riosca, tacaithe le fianaise agus ag feabhsú.

Comhairle dheiridh: láimhseáil an t-aistriú ar theip air mar thástáil struis

Bíonn spriocdháta aistrithe ISO 27001:2022 a cailleadh nó iniúchadh aistrithe ar theip air cosúil le géarchéim, ach is deis dhiagnóiseach é freisin. Taispeánann sé an féidir le do ISMS athrú a ionsú, oibleagáidí dlíthiúla a chomhtháthú, soláthraithe a bhainistiú, oibriú rialuithe a chruthú agus foghlaim ón teip.

Déanann na heagraíochtaí a théarnaíonn is tapúla trí rud go maith:

1. Láraíonn siad fianaise agus stopann siad an caos.
2. Atógann siad inrianaitheacht idir riosca, SoA, rialuithe, beartais agus oibleagáidí.
3. Láimhseálann siad fionnachtana iniúchta trí CAPA disciplínithe agus athbhreithniú bainistíochta.

Déanann na heagraíochtaí a mbíonn deacrachtaí acu iarracht an fhadhb a réiteach trí dhoiciméid a chur in eagar gan úinéireacht, faireachán, fianaise ná bunchúis a cheartú.

Má chaill tú an spriocdháta nó má theip ar d’iniúchadh aistrithe, ní scaoll an chéad chéim eile. Is téarnamh struchtúrtha é.

Is féidir le Clarysec cabhrú leat triáis iniúchta aistrithe a rith, do SoA a atógáil, ionchais NIS2, DORA, GDPR, cur chuige ar stíl NIST agus COBIT 2019 a mhapáil trí Zenith Controls, gníomhartha ceartaitheacha a chur i gcrích le Zenith Blueprint, agus fianaise beartais a ailíniú trí Beartas Slándála Faisnéise, Beartas Faireacháin Iniúchta agus Comhlíonta, Beartas Bainistíochta Riosca, agus Beartas um Chomhlíonadh Dlíthiúil agus Rialála.

Is féidir saincheist do theastais a dheisiú. Is féidir le do ISMS éirí níos láidre ná mar a bhí sé roimh an iniúchadh. Má tá d’iniúchadh aistrithe gan réiteach, cuir tús leis an measúnú téarnaimh anois, comhdhlúthaigh d’fhianaise, agus ullmhaigh pacáiste athiniúchta a chruthaíonn nach bhfuil do ISMS doiciméadaithe amháin, ach go bhfuil sé ag obair.