ISO 27001 mar chnámh droma rialaithe d’fhianaise NIS2 agus DORA
Imbhualadh comhlíontachta maidin Dé Luain
Ag 08:12 maidin Dé Luain, faigheann Maria, Príomhoifigeach Slándála Faisnéise (CISO) próiseálaí íocaíochtaí Eorpach, trí theachtaireacht nach cosúil go mbaineann siad lena chéile.
Iarrann an bainisteoir iniúchta inmheánaigh fianaise go bhfuil Ráiteas Infheidhmeachta ISO 27001:2022 cothrom le dáta. Cuireann an fhoireann dlí ceistneoir ó chomhpháirtí baincéireachta ar aghaidh faoi mhaoirseacht ar riosca tríú páirtí TFC faoi DORA. Fiafraíonn stiúrthóir na n-oibríochtaí an féidir leis an treoirleabhar teagmhas céanna tacú le hionchais fhógartha NIS2 d’aonad gnó AE a fuarthas le déanaí.
Faoi 09:00, tá an clár bán in oifig Maria clúdaithe le hacrainmneacha: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. Tá rialuithe ag a heagraíocht. Tá bainistíocht rochtana, cúltacaí, ceistneoirí soláthraithe, criptiú, freagairt do theagmhais, faomhadh beartais, athbhreithnithe bainistíochta agus taifid oiliúna chomhlánaithe aici. Is é atá in easnamh ná cnámh droma fianaise aonair atá réidh le haghaidh iniúchta agus a mhíníonn cén fáth a bhfuil na rialuithe sin ann, cé na rioscaí a gcaitheann siad, cé na rialacháin a dtacaíonn siad leo, cé atá freagrach astu agus cá bhfuil an fhianaise stóráilte.
Tá an fhadhb sin ag éirí coitianta ar fud na hEorpa. Cuireann NIS2 béim ar bhainistíocht riosca cibearshlándála, rialachas, láimhseáil teagmhas agus athléimneacht an tslabhra soláthair. Cuireann DORA ceanglais mhionsonraithe leis maidir le bainistíocht riosca TFC, tástáil athléimneachta, tuairisciú teagmhas agus maoirseacht tríú páirtí TFC d’eintitis airgeadais. Leanann GDPR de chuntasacht, slándáil na próiseála, rialachas próiseálaithe agus measúnú ar sháruithe sonraí pearsanta a éileamh.
Is é an freagra mícheart ná trí chlár comhlíontachta chomhthreomhara a thógáil. Cruthaíonn sé sin rialuithe dúbláilte, fianaise neamh-chomhsheasmhach agus foirne ídithe.
Is é an freagra is láidre ná ISO 27001:2022 a úsáid mar chnámh droma rialaithe. Ní mar theastas ar an mballa, ach mar chóras oibriúcháin le haghaidh riosca, beartas, rialachas soláthraithe, freagairt do theagmhais, mapáil chomhlíontachta agus fianaise iniúchta.
Tá samhail phraiticiúil Clarysec simplí: úsáid ISMS ISO 27001:2022 mar an córas eagrúcháin, úsáid an Ráiteas Infheidhmeachta mar dhroichead, úsáid beartais mar rialacha oibriúcháin infhorfheidhmithe, agus úsáid Zenith Controls: Treoir an Traschomhlíonta mar chompás traschomhlíontachta. Tóg uair amháin, mapáil go cúramach, agus cruthaigh go leanúnach.
Cén fáth a n-oibríonn ISO 27001:2022 mar chnámh droma comhlíontachta
Tá raonta feidhme, meicníochtaí dlíthiúla agus samhlacha maoirseachta éagsúla ag NIS2 agus DORA. Baineann NIS2 le heintitis riachtanacha agus thábhachtacha thar earnálacha. Baineann DORA le heintitis airgeadais agus cruthaíonn sé ceanglais mhionsonraithe don athléimneacht oibríochtúil dhigiteach. Díríonn GDPR ar phróiseáil sonraí pearsanta agus ar chuntasacht.
Mar sin féin, forluíonn na ceisteanna oibriúcháin atá taobh thiar de na creataí seo:
- An bhfuil cibearshlándáil á rialú trí bheartais atá formheasta ag an mbainistíocht?
- An ndéantar rioscaí slándála faisnéise agus TFC a shainaithint, a mheasúnú agus a chóireáil?
- An roghnaítear rialuithe bunaithe ar riosca, ar chomhthéacs gnó agus ar oibleagáidí dlíthiúla?
- An rialaítear soláthraithe trí dhícheall cuí, conarthaí, faireachán agus rialuithe scoir?
- An féidir le pearsanra imeachtaí slándála a aithint agus a thuairisciú go luath?
- An féidir teagmhais a thriáisiú, a uasghrádú, a imscrúdú agus a mheasúnú le haghaidh fógra rialála?
- An féidir leis an eagraíocht fianaise a aisghabháil go tapa le linn iniúchta, athbhreithnithe custaiméara nó fiosrúcháin mhaoirseachta?
Tugann ISO 27001:2022 córas bainistíochta don cheannaireacht chun na ceisteanna sin a fhreagairt go comhsheasmhach. Déileálann ISO/IEC 27007:2022 leis an Ráiteas Infheidhmeachta mar liosta iniúchta de rialuithe slándála faisnéise roghnaithe, lena n-áirítear rialuithe ó Iarscríbhinn A de ISO 27001:2022, caighdeáin eile nó bearta atá sainiúil don eagraíocht, agus réasúnaíocht dhoiciméadaithe maidir le cuimsiú nó eisiamh. Neartaíonn ISO/IEC 27006-1:2024 go gcruthaíonn an SoA agus doiciméadacht ghaolmhar an ISMS bonn fianaise lárnach chun a léiriú cé na rialuithe atá riachtanach, conas a shanntar freagrachtaí agus conas a chuirtear beartais chun feidhme agus a chuirtear in iúl iad.
Fágann sé sin gur i bhfad níos mó ná scarbhileog é an SoA. Is conradh rialaithe é idir riosca, comhlíonadh, oibríochtaí, an fheidhm dlí, soláthar, iniúchadh agus an bord.
Daingníonn [P01] Beartas Slándála Faisnéise Clarysec an ceanglas rialachais seo:
Ní mór don eagraíocht Córas Bainistíochta Slándála Faisnéise (ISMS) a chur chun feidhme agus a chothabháil i gcomhréir le Clásail 4 go 10 de ISO/IEC 27001:2022.
Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.1.1.
Tá sé seo tábhachtach toisc gur annamh a thagann iarrataí fianaise NIS2 agus DORA i dteanga ISO. D’fhéadfadh rialálaí, custaiméir nó coiste boird cruthúnas a iarraidh ar bhainistíocht riosca cibearshlándála, rialachas TFC, maoirseacht ar spleáchais tríú páirtí, uasghrádú teagmhas nó tástáil athléimneachta oibríochtúla. Tugann ISMS ISO 27001:2022 struchtúr do na freagraí sin.
Is droichead é an SoA, ní cleachtadh páipéarachais
In Zenith Blueprint: Treochlár 30 Céim don Iniúchóir, sa chéim Bainistíocht Riosca, Céim 13, cuireann Clarysec an SoA i láthair mar an phríomh-mheicníocht inrianaitheachta idir cóireáil riosca agus rialuithe curtha chun feidhme:
Is doiciméad droichid é an SoA go héifeachtach: nascann sé do mheasúnú riosca/do chóireáil riosca leis na rialuithe iarbhír atá agat.
Sin é croílár an traschomhlíonta. Gan inrianaitheacht, bíonn rialú ina dhéantán scaoilte. Nuair atá rialú nasctha le riosca, oibleagáid dhlíthiúil, beartas, úinéir, taifead fianaise agus toradh tástála, bíonn sé réidh le haghaidh iniúchta.
Molann Céim 13 freisin tagairtí rialaithe a chur le cásanna riosca, mar shampla cás sáraithe bhunachar sonraí custaiméirí a nascadh le rialú rochtana, cripteagrafaíocht, bainistíocht leochaileachtaí, freagairt do theagmhais agus rialuithe soláthraithe. Moltar freisin a nótáil nuair a thacaíonn rialuithe le ceanglais sheachtracha amhail GDPR, NIS2 nó DORA.
Déanann [P06] Beartas Bainistíochta Riosca Clarysec an riail oibriúcháin seo soiléir:
Ní mór cinntí rialaithe a eascraíonn as an bpróiseas cóireála riosca a léiriú sa SoA.
Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.5.1.
I gcás eagraíochtaí níos lú, úsáideann Beartas Bainistíochta Riosca - SME an loighic chéanna:
Cinntíonn sé go bhfuil bainistíocht riosca ina comhpháirt ghníomhach den phleanáil, de chur i gcrích tionscadal, de roghnú soláthraithe agus de fhreagairt do theagmhais, i gcomhréir le ISO 27001, ISO 31000 agus ceanglais rialála infheidhme.
Ón rannán “Cuspóir”, clásal beartais 1.2.
Mura léirítear cóireáil riosca tríú páirtí DORA, beart láimhseála teagmhais NIS2 nó ceanglas slándála próiseálaí GDPR sa SoA nó sa Chlár Comhlíonta gaolmhar, d’fhéadfadh an eagraíocht a bheith ag déanamh na hoibre fós. Ach beidh deacracht aici an obair sin a chruthú go comhleanúnach.
Trasléarscáil phraiticiúil ISO 27001:2022 do NIS2 agus DORA
Ní comhairle dlí í an trasléarscáil seo a leanas. Is samhail fianaise phraiticiúil í do CISOnna, ceannairí comhlíontachta, iniúchóirí inmheánacha agus úinéirí gnó ar gá dóibh fianaise ISO 27001:2022 a ailíniú le hionchais NIS2 agus DORA.
Tá treoir chomhairleach thras-tagartha curtha ar fáil ag ENISA, i gcomhar leis an gCoimisiún Eorpach agus leis an NIS Cooperation Group, a chuidíonn le ceanglais chibearshlándála an AE a ailíniú le caighdeáin idirnáisiúnta agus náisiúnta, lena n-áirítear ISO 27001. Níl an treoir sin ceangailteach ó thaobh dlí de agus ní mór í a fhorlíonadh le treoracha ó údaráis náisiúnta, rialacha earnála agus athbhreithniú dlíthiúil. Mar sin féin, tacaíonn sí le cur chuige mapála atá inchosanta.
| Ceist chomhlíontachta | Fianaise chnámh droma ISO 27001:2022 | Ábharthacht NIS2 | Ábharthacht DORA | Déantán fianaise Clarysec |
|---|---|---|---|---|
| An bhfuil cibearshlándáil á rialú trí bheartais atá formheasta ag an mbainistíocht? | Beartas slándála faisnéise, raon feidhme ISMS, róil, taifid athbhreithnithe bainistíochta, SoA | Ionchais maidir le bainistíocht riosca cibearshlándála agus rialachas | Rialachas TFC agus creat bainistíochta riosca TFC | Beartas Slándála Faisnéise, SoA, pacáiste athbhreithnithe bainistíochta |
| An ndéantar rioscaí a mheasúnú agus a chóireáil? | Clár rioscaí, Plean Cóireála Riosca, réasúnaíochtaí SoA, faomhadh riosca iarmharach | Bearta cibearshlándála bunaithe ar riosca faoi Article 21 | Sainaithint riosca TFC, cosaint, cosc, brath, freagairt agus téarnamh | Clár rioscaí, Plean Cóireála Riosca, SoA_Builder.xlsx |
| An bhfuil soláthraithe faoi rialú? | Beartas soláthraithe, taifid díchill chuí, conarthaí, cearta iniúchta, clásail fhógartha sáraithe | Cibearshlándáil an tslabhra soláthair faoi Article 21(2)(d) | Bainistíocht riosca tríú páirtí TFC faoi Articles 28 to 30 | Beartas slándála tríú páirtí agus soláthraithe, clár soláthraithe |
| An ndéantar teagmhais a bhrath, a uasghrádú agus a thuairisciú? | Plean freagartha do theagmhais, cainéal tuairiscithe, taifid triáise, cleachtaí boird, ceachtanna foghlamtha | Láimhseáil agus tuairisciú teagmhas suntasach faoi Article 23 | Bainistíocht agus tuairisciú teagmhas a bhaineann le TFC faoi Articles 17 to 19 | Beartas freagartha do theagmhais, ticéid teagmhais, tuarascáil cleachtaidh |
| An bhfuil fianaise lárnaithe agus in-iniúchta? | Clár iniúchta inmheánaigh, stór fianaise, Clár Comhlíonta, gníomhartha ceartaitheacha | Ullmhacht fianaise mhaoirseachta | Ullmhacht cigireachtaí rialála agus maoirseachta | Beartas Faireacháin Iniúchta agus Comhlíonta, fillteán iniúchta lárnach |
Oibríonn an trasléarscáil toisc nach gcruthaíonn sí rialuithe dúbláilte do gach rialachán. Úsáideann sí ISO 27001:2022 mar chnámh droma rialaithe agus cuireann sí clibeanna rialála, úinéireacht agus ionchais fianaise leis.
Trí rialú ISO 27001:2022 a osclaíonn an cnámh droma
Tá roinnt rialuithe tábhachtach do NIS2 agus DORA, ach is minic a éiríonn trí rialú ISO/IEC 27002:2022 mar dhromlach na samhla fianaise: 5.1, 5.19 agus 5.24. Is minic a chinneann ceathrú rialú, 6.8, an n-oibríonn tuairisciú teagmhas i ndáiríre.
| Rialú ISO/IEC 27002:2022 | Cén fáth a bhfuil sé tábhachtach | Luach traschomhlíontachta |
|---|---|---|
| 5.1 Beartais le haghaidh slándáil faisnéise | Bunaíonn sé treoir slándála agus cuntasacht atá formheasta ag an mbainistíocht | Tacaíonn sé le rialachas NIS2, rialachas TFC DORA, cuntasacht GDPR agus fianaise bheartais ISO 27001 |
| 5.19 Slándáil faisnéise i gcaidrimh le soláthraithe | Sainíonn sé ionchais slándála soláthraithe ar fud ionduchtaithe, faireacháin agus bainistíochta caidrimh | Tacaíonn sé le cibearshlándáil slabhra soláthair NIS2, riosca tríú páirtí TFC DORA agus maoirseacht próiseálaithe GDPR |
| 5.24 Pleanáil agus ullmhúchán do bhainistíocht teagmhas slándála faisnéise | Cruthaíonn sé an creat bainistíochta teagmhas, róil, conairí uasghrádaithe agus gníomhaíochtaí ullmhachta | Tacaíonn sé le láimhseáil teagmhas NIS2, tuairisciú teagmhas a bhaineann le TFC faoi DORA agus measúnú sáraithe GDPR |
| 6.8 Tuairisciú imeachtaí slándála faisnéise | Cinntíonn sé gur féidir le pearsanra imeachtaí amhrasta a thuairisciú go tapa trí chainéil shoiléire | Tacaíonn sé le brath luath, uasghrádú, measúnú fógartha agus cáilíocht fianaise teagmhas |
In Zenith Controls, déantar cur síos ar rialú ISO/IEC 27002:2022 5.1, Beartais le haghaidh slándáil faisnéise, mar rialú coisctheach a thacaíonn le rúndacht, sláine, infhaighteacht, agus rialachas agus bainistíocht beartas mar phríomhchumais oibriúcháin. Míníonn an trasmhapáil go n-éilíonn GDPR Articles 5(2), 24 agus 32 cuntasacht, freagracht agus slándáil na próiseála. Déanann sí an rialú céanna a mhapáil freisin chuig ionchais bhainistíochta riosca cibearshlándála agus rialachais NIS2, agus chuig ceanglais rialachais TFC agus creata bainistíochta riosca DORA.
Sin é an fáth nach beartas eile amháin é an Beartas Slándála Faisnéise. D’fhéadfadh measúnóir NIS2 é a léamh mar fhianaise rialachais. D’fhéadfadh maoirseoir DORA é a léamh mar fhianaise ar chreat riosca TFC. D’fhéadfadh athbhreithneoir GDPR é a léamh mar fhianaise chuntasachta. D’fhéadfadh iniúchóir ISO 27001:2022 é a léamh mar chuid de struchtúr bheartais an ISMS.
Is é rialú 5.19, Slándáil faisnéise i gcaidrimh le soláthraithe, an áit a dtagann soláthar, an fheidhm dlí, slándáil, príobháideachas agus athléimneacht le chéile. Mapálann Zenith Controls é chuig oibleagáidí próiseálaithe GDPR, cibearshlándáil slabhra soláthair NIS2 agus bainistíocht riosca tríú páirtí TFC DORA. I gcás DORA, éiríonn an fhianaise seo níos láidre fós nuair a thacaíonn rialuithe 5.20, Aghaidh a thabhairt ar shlándáil faisnéise i gcomhaontuithe soláthraithe, 5.21, Slándáil faisnéise a bhainistiú sa slabhra soláthair TFC, agus 5.23, Slándáil faisnéise maidir le húsáid seirbhísí néalríomhaireachta, léi.
Is é rialú 5.24, Pleanáil agus ullmhúchán do bhainistíocht teagmhas slándála faisnéise, an t-inneall oibriúcháin don ullmhacht teagmhas. Mapálann Zenith Controls é chuig láimhseáil agus fógra teagmhas NIS2, fógra sáraithe sonraí pearsanta GDPR agus bainistíocht agus tuairisciú teagmhas a bhaineann le TFC faoi DORA. Ní Beartas freagartha do theagmhais amháin atá ina fhianaise. Áirítear inti bealaí tuairiscithe, critéir triáise, taifid uasghrádaithe, measúnuithe dlíthiúla fógartha, cleachtaí boird, ticéid teagmhais agus ceachtanna foghlamtha.
Dúnann rialú 6.8, Tuairisciú imeachtaí slándála faisnéise, an bhearna idir an plean scríofa agus iompar daoine. Mura bhfuil a fhios ag pearsanra conas fioscaireacht amhrasta, sceitheadh sonraí, bristí seirbhíse soláthraithe nó gníomhaíocht amhrasach córais a thuairisciú, d’fhéadfadh an eagraíocht am criticiúil a chailleadh sula dtosaíonn measúnuithe tuairiscithe dlíthiúla nó rialála fiú.
Teagmhas soláthraí amháin, slabhra fianaise comhordaithe amháin
Samhlaigh go mbraitheann soláthraí anailísíochta néalríomhaireachta a úsáideann próiseálaí íocaíochtaí Maria rochtain neamhúdaraithe ar thairseach tacaíochta. Óstálann an soláthraí sonraí úsáide custaiméirí faoi ainm bréige agus tacaíonn sé le sreabhadh oibre tuairiscithe atá criticiúil don ghnó. D’fhéadfadh an teagmhas difear a dhéanamh do shonraí pearsanta, d’athléimneacht TFC rialáilte agus d’infhaighteacht seirbhíse.
Osclaíonn clár comhlíontachta ilroinnte trí shruth oibre ar leith: measúnú sáraithe GDPR, athbhreithniú teagmhais TFC DORA agus ticéad soláthraí ISO 27001. Iarrann gach foireann fianaise chosúil i bhformáid dhifriúil. Cuardaíonn Soláthar an conradh. Fiafraíonn an fheidhm dlí an próiseálaí é an soláthraí. Fiafraíonn Slándáil an gcomhlíonann an teagmhas tairseacha tuairiscithe. Tosaíonn Comhlíonadh scarbhileog nua.
Osclaíonn cnámh droma aibí ISO 27001:2022 slabhra fianaise comhordaithe amháin.
Ar dtús, logáiltear an t-imeacht faoin bpróiseas freagartha do theagmhais. Úsáideann an tuairisceoir cainéal sainithe, triáisíonn an Fhoireann Slándála an t-imeacht, agus déanann an fheidhm dlí oibleagáidí fógartha a mheas. Éilíonn [P30] Beartas Freagartha do Theagmhais Clarysec go ndéanfaidh an fheidhm dlí agus an CISO measúnú ar theagmhais a bhaineann le sonraí rialáilte:
Má bhíonn nochtadh deimhnithe nó dóchúil ar shonraí pearsanta nó ar shonraí rialáilte eile mar thoradh ar theagmhas, ní mór don fheidhm dlí agus don CISO infheidhmeacht na nithe seo a mheas:
Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.4.1.
I gcás eagraíochtaí níos lú, sannann Beartas Freagartha do Theagmhais - SME an pointe cinnteoireachta praiticiúil céanna:
I gcás ina bhfuil sonraí custaiméara i gceist, ní mór don Bhainisteoir Ginearálta oibleagáidí fógartha dlíthiúla a mheas bunaithe ar infheidhmeacht GDPR, NIS2 nó DORA.
Ón rannán “Cóireáil riosca agus eisceachtaí”, clásal beartais 7.4.1.
Ar an dara dul síos, déantar athbhreithniú ar an gcaidreamh soláthraí. Ar aicmíodh an soláthraí mar sholáthraí criticiúil? An raibh oibleagáidí fógartha sáraithe, cearta iniúchta, freagrachtaí cosanta sonraí, ionchais leanúnachais seirbhíse agus forálacha scoir sa chonradh? Leagann Beartas Slándála Tríú Páirtithe agus Soláthraithe Clarysec an t-ionchas sin síos:
Ceanglais chaighdeánaithe slándála a leabú i ngach conradh soláthraí, lena n-áirítear oibleagáidí fógartha sáraithe, cearta iniúchta agus freagrachtaí cosanta sonraí.
Ón rannán “Cuspóirí”, clásal beartais 3.2.
I gcás SMEanna, déanann Beartas Slándála Tríú Páirtithe agus Soláthraithe - SME cuspóir an traschomhlíonta soiléir:
Tacú le comhlíonadh oibleagáidí ISO/IEC 27001:2022, GDPR, NIS2 agus DORA a bhaineann le rialachas soláthraithe.
Ón rannán “Cuspóirí”, clásal beartais 3.6.
Ar an tríú dul síos, nuashonraítear an Clár rioscaí, an plean cóireála agus an SoA má nochtann an teagmhas bearna. B’fhéidir nach bhfuil amlíne fhógartha rialála shonrach sa chonradh soláthraí. B’fhéidir go bhfuil minicíocht faireacháin soláthraithe ró-íseal do sholáthraí TFC criticiúil. B’fhéidir nach ndéanann an Plean freagartha do theagmhais idirdhealú soiléir idir critéir sáraithe sonraí pearsanta agus critéir cur isteach ar sheirbhís TFC.
Ní hé an pointe cruinne comhlíonta nua a chruthú. Is é an pointe slabhra fianaise comhtháite amháin a nuashonrú ionas gur féidir leis na taifid chéanna ceisteanna iniúchta iolracha a fhreagairt.
An SoA a iompú ina léarscáil fianaise NIS2 agus DORA
Is minic a fhreagraíonn SoA caighdeánach ceisteanna ISO go maith: cé na rialuithe atá infheidhme, cén fáth a roghnaítear iad agus an bhfuil siad curtha chun feidhme. Chun é a dhéanamh ina léarscáil fianaise phraiticiúil NIS2 agus DORA, saibhrigh é le réimsí fianaise rialála agus oibriúcháin.
Oscail SoA_Builder.xlsx ón Audit Ready Toolkit dá dtagraítear in Zenith Blueprint, céim Iniúchadh, Athbhreithniú & Feabhsú, Céim 24. Míníonn Céim 24 gur minic a shamplálfaidh iniúchóirí rialú ón SoA agus go bhfiafróidh siad cén fáth ar cuireadh chun feidhme é. Ba cheart don cholún réasúnaíochta agus don riosca nó ceanglas nasctha an cheist sin a fhreagairt.
Cuir na colúin seo leis:
| Colún nua SoA | Cuspóir | Sampla iontrála |
|---|---|---|
| Spreagadh rialála | Léiríonn sé an dtacaíonn an rialú le NIS2, DORA, GDPR, conarthaí custaiméirí nó athléimneacht | NIS2, DORA, GDPR |
| Aitheantas riosca mapáilte | Nascann sé an rialú leis an gClár rioscaí | R-017 Cur isteach ar sheirbhís soláthraí a théann i bhfeidhm ar thuairisciú rialáilte |
| Úinéir fianaise | Sainaithníonn sé cé a chothaíonn an fhianaise | Ceannasaí Oibríochtaí Slándála |
| Príomhfhianaise | Sainíonn sé an déantán ba cheart d’iniúchóirí a iniúchadh ar dtús | Plean freagartha do theagmhais agus loga ticéad teagmhais |
| Fianaise oibriúcháin | Léiríonn sé go bhfuil an rialú ag feidhmiú thar am | Tuarascáil cleachtaidh boird, tástáil fhógra sáraithe soláthraí |
| Stádas iniúchta | Rianaíonn sé ullmhacht | Tástáilte, bearna oscailte, gníomh ceartaitheach dlite |
Cuir i bhfeidhm ansin é ar an bpríomhshraith rialuithe.
| Rialú ISO/IEC 27002:2022 | Spreagadh rialála | Príomhfhianaise | Fianaise oibriúcháin | Conclúid iniúchóra |
|---|---|---|---|---|
| 5.1 Beartais le haghaidh slándáil faisnéise | NIS2, DORA, GDPR | Beartas slándála faisnéise formheasta, raon feidhme ISMS, sannuithe ról | Taifead athbhreithnithe beartais, admháil oiliúna, miontuairiscí athbhreithnithe bainistíochta | Tá rialachas ann, tá treoir formheasta ag an mbainistíocht, agus tá cuntasacht doiciméadaithe |
| 5.19 Slándáil faisnéise i gcaidrimh le soláthraithe | NIS2, DORA, GDPR | Beartas soláthraithe, clár soláthraithe, aicmiú soláthraithe | Athbhreithnithe díchill chuí, measúnuithe criticiúlachta, athbhreithnithe conartha, fianaise ar cheart iniúchta | Rialaítear riosca tríú páirtí ar fud ionduchtaithe, conraitheoireachta, faireacháin agus imeachta |
| 5.20 Aghaidh a thabhairt ar shlándáil faisnéise i gcomhaontuithe soláthraithe | NIS2, DORA, GDPR | Clásail chaighdeánacha conartha, sceideal slándála, téarmaí próiseála sonraí | Sampláil conarthaí, faomhadh eisceachtaí clásail, taifid athbhreithnithe dhlíthiúil | Tá ceanglais slándála leabaithe i gcomhaontuithe soláthraithe |
| 5.23 Slándáil faisnéise maidir le húsáid seirbhísí néalríomhaireachta | DORA, NIS2, GDPR | Caighdeán slándála néalríomhaireachta, measúnú riosca néalríomhaireachta, faomhadh ailtireachta | Athbhreithniú soláthraí néalríomhaireachta, athbhreithniú riosca comhchruinnithe, tástáil teagmhais néalríomhaireachta | Aithnítear, rialaítear, déantar faireachán ar agus tástáiltear riosca seirbhísí néalríomhaireachta |
| 5.24 Pleanáil agus ullmhúchán do bhainistíocht teagmhas slándála faisnéise | NIS2, DORA, GDPR | Beartas freagartha do theagmhais, Maitrís Ghéaraithe Rioscaí, crann cinnteoireachta fógartha | Ticéid teagmhais, tuarascálacha cleachtaí boird, ceachtanna foghlamtha, measúnuithe fógartha | Is féidir teagmhais a bhrath, a thriáisiú, a uasghrádú agus a mheasúnú le haghaidh tuairisciú rialála |
| 6.8 Tuairisciú imeachtaí slándála faisnéise | NIS2, DORA, GDPR | Cainéal tuairiscithe, ábhar feasachta, nós imeachta tuairiscithe imeachtaí | Tuairiscí fioscaireachta, logaí líne theileafóin, taifid insamhalta, agallaimh foirne | Tá a fhios ag pearsanra conas imeachtaí slándála amhrasta a thuairisciú go tapa |
Ansin rith rian samplach. Roghnaigh teagmhas soláthraí amháin ón mbliain roimhe seo agus lean é ó thicéad teagmhais go conradh soláthraí, ó aicmiú soláthraí go Clár rioscaí, ó chóireáil riosca go SoA, agus ó SoA go hathbhreithniú bainistíochta.
Má bhriseann an slabhra, ní teip é sin. Is gníomh ceartaitheach beacht é sula bhfaigheann iniúchóir, custaiméir, rialálaí nó coiste boird an bhearna.
Is luasaire nach dtugtar mórán airde air í fianaise lárnaithe
Tá rialuithe leordhóthanacha ag go leor eagraíochtaí ach tá aisghabháil fianaise lag acu. Tá cruthúnas scaipthe ar fud ríomhphoist, córais ticéadaithe, fillteáin SharePoint, stórtha conarthaí, ardáin acmhainní daonna, ardáin GRC agus tairseacha soláthraithe. Le linn séasúr iniúchta, caitheann an fhoireann chomhlíontachta seachtainí ag lorg gabhálacha scáileáin.
Ní hionann sin agus ullmhacht iniúchta. Is aisghabháil iniúchta é.
Deir [P33S] Beartas Faireacháin Iniúchta agus Comhlíonta - SME Clarysec:
Ní mór gach fianaise a stóráil i bhfillteán iniúchta lárnach.
Ón rannán “Ceanglais chun an beartas a chur chun feidhme”, clásal beartais 6.2.1.
Ní chiallaíonn fillteán iniúchta lárnach láthair dumpála gan rialú. Ciallaíonn sé stór struchtúrtha atá ailínithe leis an ISMS, SoA, Clár rioscaí, Plean Iniúchta agus Clár Comhlíonta.
| Fillteán | Inneachar | Úsáid traschomhlíontachta |
|---|---|---|
| 01 Rialachas | Raon feidhme ISMS, Beartas slándála faisnéise, sannuithe ról, miontuairiscí athbhreithnithe bainistíochta | Rialachas NIS2, rialachas TFC DORA, cuntasacht GDPR |
| 02 Riosca agus SoA | Clár rioscaí, Plean Cóireála Riosca, SoA, faomhadh riosca iarmharach | Bainistíocht riosca NIS2, bainistíocht riosca TFC DORA |
| 03 Soláthraithe | Clár soláthraithe, dícheall cuí, conarthaí, rátálacha criticiúlachta, taifid athbhreithnithe | Slabhra soláthair NIS2, riosca tríú páirtí TFC DORA, próiseálaithe GDPR |
| 04 Teagmhais | Ticéid teagmhais, measúnuithe sáraithe, cinntí fógartha, cleachtaí boird | Tuairisciú NIS2, bainistíocht teagmhas DORA, fógra sáraithe GDPR |
| 05 Iniúchadh agus feabhsú | Tuarascálacha iniúchta inmheánaigh, gníomhartha ceartaitheacha, sampláil fianaise, obair leantach bhainistíochta | Ullmhacht iniúchta ISO 27001:2022, ullmhacht mhaoirseachta |
Tugann Beartas um Chomhlíonadh Dlíthiúil agus Rialála - SME Clarysec aghaidh dhíreach ar an bhfadhb mapála:
I gcás ina mbaineann rialachán le réimsí iolracha (m.sh., baineann GDPR le coinneáil, slándáil agus príobháideachas), ní mór é seo a mhapáil go soiléir sa Chlár Comhlíonta agus in ábhair oiliúna.
Ón rannán “Ceanglais rialachais”, clásal beartais 5.2.2.
Seo go díreach conas a éiríonn ISO 27001:2022 ina chnámh droma rialaithe do NIS2 agus DORA. Ní bhíonn tú ag brath ar eolas neamhfhoirmiúil. Mapálann tú rialacháin thar phróisis, beartais, rialuithe, fianaise agus oiliúint.
Tosaíonn tuairisciú teagmhas le daoine, ní le tairseacha
Tagann laige choitianta iniúchta chun cinn nuair a bhíonn cuma láidir ar an bPlean freagartha do theagmhais, ach nach bhfuil a fhios ag fostaithe cathain nó conas tuairisciú. Tá sé seo contúirteach do NIS2, DORA agus GDPR toisc go mbraitheann amlínte measúnaithe rialála ar bhrath, uasghrádú agus aicmiú.
In Zenith Blueprint, céim Rialuithe i nGníomh, Céim 16, leagann Clarysec béim ar thuairisciú teagmhas faoi stiúir pearsanra faoi rialú ISO/IEC 27002:2022 6.8. Deir an treoir go dtosaíonn freagairt do theagmhais le daoine. Ba cheart d’eagraíochtaí cainéal tuairiscithe soiléir, simplí agus inrochtana a chruthú, mar shampla seoladh ríomhphoist a ndéantar faireachán air, tairseach inmheánach, líne theileafóin nó catagóir ticéadaithe. Molann sí freisin oiliúint feasachta, cultúr tuairiscithe gan milleán, rúndacht, tuairisciú ar thairseach íseal agus insamhaltaí tréimhsiúla.
Tá tionchar an traschomhlíonta díreach. Nascann Zenith Blueprint an cumas tuairiscithe pearsanra seo le GDPR Article 33, NIS2 Article 23 agus DORA Article 17. Má bhíonn drogall ar fhostaithe gníomhaíocht amhrasach a thuairisciú, d’fhéadfadh an eagraíocht am criticiúil a chailleadh sula bhféadfaidh foirne dlí, slándála nó rialála dualgais fhógartha a mheas.
Tá tástáil rialaithe phraiticiúil simplí:
- Fiafraigh de chúigear fostaithe conas ríomhphost fioscaireachta amhrasta a thuairisciú.
- Seiceáil an bhfuil an cainéal tuairiscithe faoi fhaireachán.
- Deimhnigh an bhfuil catagóir teagmhas slándála sa chóras ticéadaithe.
- Déan athbhreithniú ar an insamhalta nó ar an gcleachtadh boird is déanaí.
- Fíoraigh gur athbhreithníodh na ceachtanna foghlamtha san athbhreithniú bainistíochta.
Má tá aon fhreagra doiléir, nuashonraigh an bhileog treoracha teagmhais, an t-ábhar oiliúna, an cainéal tuairiscithe agus tagairt fianaise an SoA.
Conas a scrúdaíonn iniúchóirí éagsúla an cnámh droma céanna
Ní mór d’fhianaise traschomhlíontachta seasamh faoi lionsaí iniúchta éagsúla. D’fhéadfaí an rialú céanna a thástáil ar bhealaí éagsúla ag brath ar shainordú an athbhreithneora.
| Lionsa iniúchóra | Ceist dhóchúil | Fianaise a bhfuil siad ag súil léi | Teip choitianta |
|---|---|---|---|
| Iniúchóir ISO 27001:2022 | Cén fáth a bhfuil an rialú seo infheidhme, agus an bhfuil sé ag feidhmiú mar a thuairiscítear? | Réasúnaíocht SoA, nasc cóireála riosca, beartas, taifid oibriúcháin, torthaí iniúchta inmheánaigh | Tá an rialú ann, ach tá réasúnaíocht an SoA doiléir nó as dáta |
| Measúnóir dírithe ar NIS2 | An féidir leat bearta cibearshlándála bunaithe ar riosca agus comhordú teagmhas a léiriú? | Clár rioscaí, beartas rialachais, Plean teagmhais, sreabhadh oibre tuairiscithe, fianaise riosca soláthraithe | Tá mapáil NIS2 i ndeic sleamhnán ach níl sí i bhfianaise oibriúcháin |
| Maoirseoir dírithe ar DORA | An féidir leat bainistíocht riosca TFC, aicmiú teagmhas, tástáil agus maoirseacht tríú páirtí a chruthú? | Clár riosca TFC, criticiúlacht soláthraithe, aicmiú teagmhas, tástálacha athléimneachta, clásail chonartha | Ní dhéanann taifid soláthraithe idirdhealú idir soláthraithe TFC criticiúla agus gnáthdhíoltóirí |
| Athbhreithneoir dírithe ar GDPR | An féidir leat cuntasacht, slándáil na próiseála, rialuithe próiseálaithe agus measúnú sáraithe a léiriú? | Mapáil cosanta sonraí, clásail phróiseálaithe, taifid mheasúnaithe sáraithe, fianaise rochtana agus criptithe | Tá rialuithe slándála curtha chun feidhme ach níl siad nasctha le rioscaí sonraí pearsanta |
| Iniúchóir dírithe ar NIST | An féidir leat rialachas, sainaithint riosca, cosaint, brath, freagairt agus téarnamh a thaispeáint? | Rialachas beartais, taifid sócmhainní agus riosca, logaí braite, fianaise teagmhais agus téarnaimh | Tá fianaise theicniúil ann ach tá úinéireacht rialachais lag |
| Iniúchóir de stíl COBIT 2019 nó ISACA | An bhfuil cuspóirí rialachais, freagrachtaí, faireachán feidhmíochta agus gníomhaíochtaí dearbhaithe sainithe? | RACI, úinéireacht rialaithe, tuairisciú bainistíochta, Plean Iniúchta, méadrachtaí, gníomhartha ceartaitheacha | Tá na rialuithe teicniúil ach níl siad rialaithe trí chuntasacht intomhaiste |
Seo an áit a gcuireann Zenith Controls luach leis thar thábla simplí mapála. Cuidíonn sé le rialuithe ISO/IEC 27002:2022 a aistriú ina bpeirspictíochtaí ábhartha d’iniúchadh, lena n-áirítear tréithe rialaithe, caidrimh rialála agus ionchais fianaise. I gcás rialú 5.1, tacaíonn na tréithe le rialachas, bainistíocht beartas, cuntasacht agus cuspóirí slándála. I gcás rialú 5.24, tacaíonn na tréithe le coincheapa freagartha agus téarnaimh, ullmhacht teagmhas agus gníomh ceartaitheach. I gcás rialú 5.19, nascann tréithe an chaidrimh soláthraí rialachas, riosca éiceachórais, cosaint agus maoirseacht tríú páirtí.
Cad ba cheart don bhord a fheiceáil
Ní gá don bhord gach líne den SoA a fheiceáil. Teastaíonn uaidh an scéal a insíonn an SoA.
Ba cheart go n-áireofaí i bpacáiste láidir boird le haghaidh ailíniú ISO 27001:2022, NIS2 agus DORA:
- Raon feidhme ISMS agus seirbhísí gnó atá clúdaithe.
- Na príomhrioscaí slándála faisnéise agus TFC.
- Achoimre ar rialuithe infheidhme de réir fearainn.
- Stádas mapála NIS2, DORA agus GDPR.
- Soláthraithe criticiúla agus rioscaí comhchruinnithe.
- Méadrachtaí tuairiscithe teagmhas agus torthaí cleachtaí boird.
- Gníomhartha ceartaitheacha oscailte agus cóireálacha riosca atá thar téarma.
- Cinntí atá de dhíth maidir le glacadh le riosca, buiséad, úinéireacht agus acmhainní.
Iompaíonn sé seo comhlíonadh ina fhianaise rialachais. Ailíníonn sé freisin le cuspóir rialú 5.1 in Zenith Controls, áit a dtacaíonn beartais le haghaidh slándáil faisnéise le treoir ar leibhéal feidhmiúcháin, cuntasacht agus cuspóirí slándála.
Botúin choitianta le seachaint
Is é an chéad bhotún glacadh leis go gcruthaíonn deimhniúchán ISO 27001:2022 comhlíonadh NIS2 nó DORA go huathoibríoch. Ní chruthaíonn. Tugann ISO 27001:2022 córas bainistíochta láidir agus cnámh droma rialaithe duit, ach bíonn raon feidhme rialála, anailís dhlíthiúil, léirmhíniú earnáilsonrach, sreafaí oibre fógartha agus feasacht ar ionchais údaráis náisiúnta fós de dhíth ort.
Is é an dara botún an SoA a chóireáil mar rud statach. Ní mór don SoA forbairt nuair a thagann soláthraithe, córais, teagmhais, rialacháin, seirbhísí nó rioscaí nua chun cinn. Molann Zenith Blueprint, Céim 24, an SoA a chrosfhíorú i gcoinne an Chláir rioscaí agus an phlean cóireála, agus a chinntiú go bhfuil réasúnaíocht ag gach rialú roghnaithe bunaithe ar riosca mapáilte, ceanglas dlíthiúil nó riachtanas gnó.
Is é an tríú botún mapáil ró-ardleibhéil a dhéanamh. Ní fianaise iniúchta é sleamhnán a deir “mapálann ISO 27001 chuig DORA”. Tá iontráil shonrach SoA a nascann slándáil caidrimh soláthraithe le riosca soláthraí TFC criticiúil, clásal conartha, taifead athbhreithnithe soláthraí agus ionchas maoirseachta tríú páirtí DORA i bhfad níos láidre.
Is é an ceathrú botún mainneachtain fianaise a lárú. Má chaitheann an bainisteoir comhlíontachta dhá sheachtain ag bailiú gabhálacha scáileáin roimh gach iniúchadh, tá fadhb aisghabhála ag an eagraíocht.
Is é an cúigiú botún neamhaird a dhéanamh de rialuithe pearsanra. Braitheann tuairisciú teagmhas, ionduchtú soláthraithe, athbhreithnithe rochtana, glacadh beartais agus uasghrádú ar iompar daoine. Titimfidh próiseas snasta nach leanann aon duine as a chéile faoi shampláil iniúchta.
Samhail oibriúcháin Clarysec don traschomhlíonadh
Nascann modh Clarysec scéal an chomhlíonta ó straitéis go fianaise:
- In Zenith Blueprint, céim Bainistíocht Riosca, Céim 13, mapálann tú rialuithe chuig rioscaí agus tógann tú an SoA mar an doiciméad droichid.
- In Zenith Blueprint, céim Bainistíocht Riosca, Céim 14, déanann tú ceanglais GDPR, NIS2 agus DORA a thras-tagairt do bheartais agus rialuithe.
- In Zenith Blueprint, céim Rialuithe i nGníomh, Céim 16, cuireann tú tuairisciú teagmhas faoi stiúir daoine i bhfeidhm ionas go dtosaíonn uasghrádú go luath.
- In Zenith Blueprint, céim Iniúchadh, Athbhreithniú & Feabhsú, Céim 24, cuireann tú an SoA i gcrích agus tástálann tú é, trasfhíoraíonn tú é i gcoinne an Phlean Cóireála Riosca, agus ullmhaíonn tú é mar cheann de na chéad doiciméid a iarrfaidh iniúchóir.
Tacaíonn beartais Clarysec leis an modh sin trí phrionsabail a iompú ina rialacha oibriúcháin: rialachas slándála faisnéise, cóireáil riosca, slándáil soláthraithe, freagairt do theagmhais, mapáil dhlíthiúil agus rialála, agus stóráil fianaise.
Ní hamháin ullmhacht ISO 27001:2022 atá mar thoradh air. Is córas fianaise comhlíontachta in-athúsáidte é do NIS2, DORA, GDPR, dearbhú rialaithe custaiméirí, iniúchadh inmheánach agus maoirseacht an bhoird.
Na chéad chéimeanna eile: tóg uair amháin, cruthaigh go minic
Má tá d’eagraíocht faoi bhrú ó NIS2, DORA, GDPR, iniúchtaí custaiméirí nó deimhniúchán ISO 27001:2022, tosaigh leis an gcnámh droma.
- Déan athbhreithniú ar do SoA agus cuir colúin spreagtha rialála leis do NIS2, DORA agus GDPR.
- Cros-seiceáil an SoA i gcoinne do Chláir rioscaí agus do Phlean Cóireála Riosca.
- Mapáil soláthraithe criticiúla chuig rialuithe slándála soláthraithe, clásail chonartha agus fianaise faireacháin.
- Tástáil do shreabhadh oibre tuairiscithe teagmhas le cleachtadh boird.
- Láraigh fianaise iniúchta de réir rialaithe, rialacháin, úinéara agus stádais tástála.
- Úsáid Zenith Controls chun rialuithe ISO/IEC 27002:2022 a aistriú ina bhfianaise traschomhlíontachta.
- Úsáid Zenith Blueprint chun bogadh ó chóireáil riosca go bailíochtú SoA atá réidh le haghaidh iniúchta.
- Imscar sraith beartais Clarysec, lena n-áirítear an Beartas Slándála Faisnéise, Beartas Bainistíochta Riosca, Beartas Slándála Tríú Páirtithe agus Soláthraithe, agus Beartas Freagartha do Theagmhais, chun cur chun feidhme a luathú.
Ní seicliostaí dícheangailte breise an bealach is tapúla. Is ISMS comhtháite amháin, SoA inrianaithe amháin, samhail fianaise lárnaithe amháin agus rithim oibriúcháin traschomhlíontachta amháin atá ann.
Is féidir le Clarysec cabhrú leat ISO 27001:2022 a iompú ó thionscadal deimhniúcháin ina chnámh droma rialaithe praiticiúil do NIS2 agus DORA. Íoslódáil Zenith Blueprint, fiosraigh Zenith Controls, nó cuir measúnú Clarysec in áirithe chun samhail fianaise atá réidh le haghaidh iniúchta a thógáil sula n-iarrfaidh an chéad rialálaí, custaiméir nó coiste boird eile cruthúnas.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
