Feidhm Govern NIST CSF 2.0 do FBManna agus ISO 27001
Bhí clár bán lán de chreataí ag Sarah, an CISO nuacheaptha i FBM FinTech a bhí ag fás go tapa, agus spriocdháta aici nach bhféadfadh sí a athrú. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Riosca soláthraithe. Cuntasacht an bhoird. Dícheall cuí custaiméara fiontair.
Ba é an spreagadh tipiciúil é: scarbhileog ó mhórchustaiméir seirbhísí airgeadais. Bhí fianaise á lorg ag an bhfoireann soláthair ar shamhail rialachais cibearshlándála, fonn riosca, clár slándála soláthraithe, mapáil oibleagáidí dlíthiúla agus rialála, próiseas ardaithe céime teagmhas agus ailíniú le ISO 27001:2022.
Ní raibh léacht ar chomhlíonadh ag teastáil ón bPríomhfheidhmeannach. Bhí freagra simplí ag teastáil uaithi ar cheist dheacair: “Conas a chruthaímid dár mbord, dár gcliaint agus dár rialálaithe go bhfuil riosca cibear faoi smacht againn?”
Seo an dúshlán rialachais atá roimh go leor FBManna. Ní ceistneoir custaiméara amháin a bhíonn i gceistneoir custaiméara de ghnáth. Go minic is cúig chomhrá comhlíonta atá brúite isteach in aon iarratas amháin é. Tá NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, ionchais soláthraithe faoi thionchar DORA, athléimneacht néalríomhaireachta, maoirseacht an bhoird agus gealltanais chonarthacha uile i bhfolach san iarratas fianaise céanna.
Freagraíonn go leor FBManna trí dhéantáin ar leith a chruthú: scarbhileog NIST, fillteán deimhniúcháin ISO, rianaire GDPR, clár rioscaí soláthraithe agus plean Freagartha do Theagmhais nach bhfuil ceangailte lena chéile. Sé mhí ina dhiaidh sin, níl a fhios ag aon duine cén doiciméad atá údarásach.
Tá cur chuige Clarysec difriúil. Úsáid feidhm Govern NIST CSF 2.0 mar an ciseal rialachais feidhmiúcháin, agus mapáil ansin í isteach i mbeartais ISO 27001:2022, Cóireáil Riosca, an Ráiteas Infheidhmeachta, maoirseacht soláthraithe, Athbhreithniú Bainistíochta agus fianaise iniúchta. Ní tuilleadh oibre comhlíonta an toradh. Is samhail oibriúcháin amháin í ar féidir léi freagra a thabhairt d’iniúchóirí, do chustaiméirí, do rialálaithe agus don cheannaireacht leis an tacar fianaise céanna.
Cén fáth a bhfuil feidhm Govern NIST CSF 2.0 tábhachtach do FBManna
Ardaíonn NIST CSF 2.0 rialachas ina fheidhm ar leith, taobh le Identify, Protect, Detect, Respond agus Recover. Tá an t-athrú sin tábhachtach toisc nach easpa uirlise eile is cúis leis an gcuid is mó de theipeanna slándála i bhFBManna. Is iad cuntasacht dhoiléir, cinntí riosca laga, eisceachtaí neamhdhoiciméadaithe, maoirseacht neamh-chomhsheasmhach ar sholáthraithe agus beartais a faomhadh uair amháin ach nár cuireadh i bhfeidhm riamh sa ghnáthobair is cúis leo.
Athraíonn feidhm Govern NIST CSF 2.0 an cheist ó “cad iad na rialuithe atá againn?” go “cé atá cuntasach, cé na hoibleagáidí atá i bhfeidhm, conas a thugtar tosaíocht do rioscaí agus conas a dhéantar feidhmíocht a athbhreithniú?”
Do FBManna, soláthraíonn torthaí Govern sainordú praiticiúil:
- Oibleagáidí dlíthiúla, rialála, conarthacha, príobháideachais agus saoirsí sibhialta a thuiscint agus a bhainistiú.
- Fonn riosca, lamháltas riosca, scóráil riosca, tosaíochtú agus roghanna freagartha riosca a bhunú.
- Róil chibearshlándála, freagrachtaí, údaráis, conairí ardaithe céime agus acmhainní a shainiú.
- Beartais chibearshlándála a bhunú, a chur in iúl, a chur chun feidhme, a athbhreithniú agus a nuashonrú.
- Straitéis chibearshlándála, feidhmíocht agus cuntasacht bainistíochta a athbhreithniú.
- Riosca cibearshlándála soláthraithe agus tríú páirtithe a rialú ón dícheall cuí go dtí foirceannadh an chaidrimh.
Sin é an fáth gur pointe tosaigh chomh láidir é NIST CSF 2.0 Govern do ISO 27001:2022. Tugann NIST teanga an rialachais d’fheidhmeannaigh. Tugann ISO 27001:2022 an córas bainistíochta in-iniúchta.
Éilíonn clásail 4 go 10 de ISO 27001:2022 ar eagraíochtaí an comhthéacs a thuiscint, páirtithe leasmhara a shainiú, raon feidhme an ISMS a bhunú, ceannaireacht a léiriú, Measúnú Riosca agus Cóireáil Riosca a phleanáil, tacú le faisnéis dhoiciméadaithe, rialuithe a oibriú, feidhmíocht a mheas, iniúchtaí inmheánacha agus Athbhreithnithe Bainistíochta a dhéanamh, agus feabhsú leanúnach a chur chun cinn. Soláthraíonn Iarscríbhinn A an tacar tagartha rialuithe ansin, lena n-áirítear beartais, freagrachtaí bainistíochta, oibleagáidí dlíthiúla, príobháideachas, caidrimh le soláthraithe, seirbhísí néalríomhaireachta, Bainistíocht Teagmhas agus ullmhacht TFC do leanúnachas gnó.
Deir Beartas Slándála Faisnéise Fiontair Clarysec Beartas Slándála Faisnéise:
Ní mór don eagraíocht samhail fhoirmiúil rialachais a choinneáil chun maoirseacht a dhéanamh ar an ISMS, ailínithe le Clásail 5.1 agus 9.3 de ISO/IEC 27001.
Is é an ceanglas sin, ó chlásal 5.1 den Bheartas Slándála Faisnéise, an droichead praiticiúil idir cuntasacht NIST GV agus ionchais cheannaireachta ISO 27001:2022. Ní cur i láthair bliantúil é rialachas. Is samhail fhoirmiúil é a nascann cinntí, beartais, róil, rioscaí, rialuithe, fianaise agus athbhreithniú.
An phríomhmhapáil: NIST CSF 2.0 Govern chuig fianaise ISO 27001:2022
Is é an bealach is tapúla chun NIST CSF 2.0 a dhéanamh úsáideach ná torthaí Govern a thiontú ina n-úinéireacht beartais agus ina bhfianaise iniúchta. Seo thíos an struchtúr a úsáideann Clarysec le FBManna atá ag ullmhú do dheimhniú ISO 27001:2022, dícheall cuí custaiméara fiontair, ullmhacht NIS2, dearbhú custaiméara DORA agus cuntasacht GDPR.
| Réimse NIST CSF 2.0 Govern | Ceist rialachais FBM | Ailíniú ISO 27001:2022 | Ancaire beartais Clarysec | Fianaise a mbíonn iniúchóirí agus custaiméirí ag súil léi |
|---|---|---|---|---|
| GV.OC, comhthéacs eagraíochtúil | An bhfuil ár n-oibleagáidí dlíthiúla, rialála, conarthacha, príobháideachais agus gnó ar eolas againn? | Clásail 4.1 go 4.4, Iarscríbhinn A 5.31 agus 5.34 | Beartas um Chomhlíonadh Dlíthiúil agus Rialála | Clár Comhlíonta, raon feidhme ISMS, clár páirtithe leasmhara, léarscáil oibleagáidí custaiméara, clár príobháideachais |
| GV.RM, straitéis bainistíochta riosca | Conas a shainímid, a scórálaimid, a thosaíochtaimid, a ghlacaimid agus a chóireálaimid rioscaí cibear? | Clásail 6.1.1 go 6.1.3, 8.2 agus 8.3 | Beartas Bainistíochta Riosca | Modheolaíocht riosca, clár rioscaí, Plean Cóireála Riosca, faomhadh ón Úinéir Riosca, mapáil SoA |
| GV.RR, róil agus freagrachtaí | Cé leis na cinntí cibearshlándála, eisceachtaí, acmhainní agus tuairisciú? | Clásail 5.1 go 5.3, Iarscríbhinn A 5.2 agus 5.4 | Beartas um Róil agus Freagrachtaí Rialachais do FBManna | RACI, tuairiscí róil, miontuairiscí cruinnithe, faomhadh eisceachtaí, taifid oiliúna |
| GV.PO, beartas | An bhfuil beartais faofa, curtha in iúl, curtha chun feidhme, athbhreithnithe agus nuashonraithe? | Clásail 5.2, 7.5 agus 9.3, Iarscríbhinn A 5.1 | Beartas Slándála Faisnéise | Clár beartas, taifid formheasa, stair leaganacha, admhálacha fostaithe, miontuairiscí athbhreithnithe beartais |
| GV.OV, maoirseacht | An ndéantar straitéis agus feidhmíocht chibearshlándála a athbhreithniú agus a choigeartú? | Clásail 9.1, 9.2, 9.3, 10.1 agus 10.2 | Beartas Faireacháin Iniúchta agus Comhlíonta | Painéal KPI, Plean Iniúchta Inmheánaigh, aschuir Athbhreithnithe Bainistíochta, gníomhartha ceartaitheacha |
| GV.SC, riosca slabhra soláthair | An bhfuil soláthraithe ar eolas, tosaíochtaithe, measúnaithe, faoi chonradh, faoi fhaireachán agus foirceanta go rialaithe? | Iarscríbhinn A 5.19 go 5.23 agus 5.30 | Beartas Slándála Tríú Páirtí agus Soláthraithe do FBManna | Fardal soláthraithe, taifid dícheall cuí, clásail chonartha, logaí athbhreithnithe, pleananna scoir, teagmhálaithe teagmhais |
Tá an mhapáil seo dírithe ar fhianaise d’aon ghnó. Ní iarrann sí ar an FBM 40 doiciméad a chruthú. Cuireann sí cúig cheist oibríochtúla:
- Cén cinneadh atá á dhéanamh?
- Cé leis é?
- Cén beartas a rialaíonn é?
- Cén clásal ISO 27001:2022 nó rialú Iarscríbhinn A a thacaíonn leis?
- Cén fhianaise a chruthaíonn gur tharla sé?
Déanann Beartas um Róil agus Freagrachtaí Rialachais do FBManna Beartas um Róil agus Freagrachtaí Rialachais do FBManna an inrianaitheacht sin follasach:
Ní mór gach cinneadh, eisceacht agus ardú céime slándála suntasach a thaifeadadh agus a bheith inrianaithe.
Tagann an sliocht seo ó chlásal 5.5 den Bheartas um Róil agus Freagrachtaí Rialachais do FBManna. Tiontaíonn sé NIST GV.RR ó phrionsabal rialachais ina riail oibriúcháin atá in-iniúchta.
Tosaigh le Próifíl CSF Govern, ní le scarbhileog rialuithe
Cabhraíonn Próifílí Eagraíochtúla NIST CSF 2.0 le heagraíochtaí torthaí cibearshlándála reatha agus spriocdhírithe a chur síos. Do FBManna, is í an Phróifíl an áit a mbíonn rialachas inbhainistithe.
Ba cheart do cheardlann phraiticiúil Próifíl Govern cúig cheist a fhreagairt:
- Cad atá sa raon feidhme: an chuideachta ar fad, ardán SaaS, táirge rialáilte nó timpeallacht custaiméara?
- Cé na hoibleagáidí a thiomáineann an phróifíl: conarthaí custaiméara, GDPR, nochtadh NIS2, ionchais custaiméara faoi thionchar DORA, deimhniú ISO 27001:2022 nó dícheall cuí infheisteora?
- Cad a chruthaíonn an fhianaise reatha, ní cad a chreideann daoine atá ann?
- Cén staid spriocdhírithe atá réalaíoch don chéad 90 lá eile agus don chéad 12 mhí eile?
- Cé na rioscaí, beartais, soláthraithe agus iontrálacha SoA nach mór athrú?
Tacaíonn Zenith Blueprint: Treochlár 30 Céim d’Iniúchadh Zenith Blueprint leis seo sa chéim Bunús agus Ceannaireacht ISMS, Céim 6, “Faisnéis dhoiciméadaithe agus leabharlann an ISMS a thógáil.” Molann sé an SoA a ullmhú go luath agus é a úsáid mar leabharlann rialuithe:
✓ Rialuithe breise: An bhfuil rialuithe lasmuigh d’Iarscríbhinn A a d’fhéadfá a chur san áireamh? Ceadaíonn ISO 27001 rialuithe eile a chur leis an SoA. Mar shampla, b’fhéidir gur mhaith leat comhlíonadh le NIST CSF nó rialuithe príobháideachais sonracha ó ISO 27701 a chur san áireamh. Go ginearálta, tá Iarscríbhinn A cuimsitheach, ach is féidir leat aon rialuithe uathúla atá beartaithe agat a chur i gceangal.
✓ Úsáid scarbhileog (SoA Builder): Cur chuige praiticiúil is ea an scarbhileog SoA a ullmhú anois. Tá teimpléad SoA_Builder.xlsx ullmhaithe againn a liostaíonn rialuithe uile Iarscríbhinn A le colúin d’infheidhmeacht, stádas cur chun feidhme agus nótaí.
Do FBM, tá sé seo tábhachtach. Ní gá NIST CSF 2.0 a bhrú isteach in Iarscríbhinn A ISO amhail is dá mba rudaí comhionanna iad. Is féidir torthaí CSF Govern a chur san áireamh mar cheanglais bhreise rialachais i do leabharlann SoA, iad a mhapáil chuig clásail ISO 27001:2022 agus rialuithe Iarscríbhinn A, agus iad a úsáid chun Athbhreithniú Bainistíochta, rialachas soláthraithe, tuairisciú riosca agus faireachán comhlíonta a fheabhsú.
Tóg clár fianaise Govern
Is é clár fianaise Govern an uirlis phraiticiúil a thiontaíonn creataí ina gcruthúnas. Ba cheart dó gach toradh NIST a nascadh le tagairt ISO, Úinéir Beartais, mír fianaise, minicíocht athbhreithnithe, bearna agus gníomh.
| Réimse | Iontráil shamplach |
|---|---|
| Toradh CSF | GV.OC-03 |
| Ceist rialachais | An dtuigtear agus an mbainistítear oibleagáidí dlíthiúla, rialála, conarthacha, príobháideachais agus saoirsí sibhialta? |
| Tagairt ISO 27001:2022 | Clásail 4.2, 4.3 agus 6.1.3, Iarscríbhinn A 5.31 agus 5.34 |
| Beartas Clarysec | Beartas um Chomhlíonadh Dlíthiúil agus Rialála |
| Úinéir fianaise | Bainisteoir Comhlíonta |
| Fianaise | Clár Comhlíonta v1.4, léarscáil oibleagáidí custaiméara, clár próiseála GDPR |
| Minicíocht athbhreithnithe | Ráithiúil agus nuair a tharlaíonn athruithe i margadh, custaiméir nó táirge nua |
| Bearna | Níor mapáladh clásail sreafa anuas custaiméara DORA chuig conarthaí soláthraithe |
| Gníomh | Nuashonraigh teimpléad conartha soláthraí agus nótaí SoA |
| Dáta dlite | 30 lá |
Tugann Beartas um Chomhlíonadh Dlíthiúil agus Rialála Fiontair Clarysec Beartas um Chomhlíonadh Dlíthiúil agus Rialála an ceanglas rialaitheach:
Ní mór gach oibleagáid dhlíthiúil agus rialála a mhapáil chuig beartais, rialuithe agus úinéirí sonracha laistigh den Córas Bainistíochta Slándála Faisnéise (ISMS).
Is é seo clásal 6.2.1 den Bheartas um Chomhlíonadh Dlíthiúil agus Rialála. Do FBManna, cuireann Beartas um Chomhlíonadh Dlíthiúil agus Rialála do FBManna Beartas um Chomhlíonadh Dlíthiúil agus Rialála do FBManna ceanglas praiticiúil trasmhapála leis:
I gcás go mbaineann rialachán le réimsí éagsúla (m.sh., baineann GDPR le coinneáil, slándáil agus príobháideachas), ní mór é seo a mhapáil go soiléir sa Chlár Comhlíonta agus in ábhair oiliúna.
Tagann an sliocht sin ó chlásal 5.2.2 den Bheartas um Chomhlíonadh Dlíthiúil agus Rialála do FBManna. Le chéile, tiontaíonn na clásail seo GV.OC-03 ina phróiseas bainistithe, in-athbhreithnithe agus réidh le haghaidh iniúchta.
Ceangail scóráil riosca le Cóireáil Riosca agus leis an SoA
Éilíonn NIST GV.RM cuspóirí riosca, fonn riosca, lamháltas riosca, ríomh riosca caighdeánaithe, roghanna freagartha agus línte cumarsáide. Cuireann ISO 27001:2022 é seo i bhfeidhm trí Mheasúnú Riosca, Cóireáil Riosca, faomhadh ón Úinéir Riosca, glacadh le riosca iarmharach agus an Ráiteas Infheidhmeachta.
Tá Beartas Bainistíochta Riosca do FBManna Beartas Bainistíochta Riosca do FBManna praiticiúil d’aon ghnó:
Ní mór gach iontráil riosca a áireamh: tuairisc, dóchúlacht, tionchar, scór, úinéir agus Plean Cóireála Riosca.
Tagann sé seo ó chlásal 5.1.2 den Bheartas Bainistíochta Riosca do FBManna. Daingníonn Beartas Bainistíochta Riosca Fiontair Beartas Bainistíochta Riosca an nasc leis an SoA:
Ní mór don Ráiteas Infheidhmeachta (SoA) gach cinneadh cóireála a léiriú agus ní mór é a nuashonrú aon uair a mhodhnaítear clúdach rialaithe.
Is é sin clásal 5.4 den Bheartas Bainistíochta Riosca.
Smaoinigh ar riosca fíor-FBM: rochtain neamhúdaraithe ar shonraí táirgthe custaiméara de bharr cur chun feidhme MFA neamh-chomhsheasmhach ar fud cuntas riaracháin néalríomhaireachta.
Bheadh na nithe seo a leanas i mapáil láidir Govern:
- NIST GV.RM doiciméadacht riosca chaighdeánaithe agus tosaíochtú.
- NIST GV.RR d’úinéireacht róil agus údarás chun rialú rochtana a chur chun feidhme.
- NIST GV.PO do chur chun feidhme beartais agus athbhreithniú.
- Clásail ISO 27001:2022 6.1.2, 6.1.3, 8.2 agus 8.3.
- Rialuithe Iarscríbhinn A maidir le rialú rochtana, bainistíocht aitheantais, faisnéis fhíordheimhnithe, logáil, faireachán, cumraíocht agus seirbhísí néalríomhaireachta.
- Fianaise amhail iontráil sa chlár rioscaí, easpórtáil chumraíochta MFA, faomhadh eisceachta, athbhreithniú IAM néalríomhaireachta, cinneadh Athbhreithnithe Bainistíochta agus nóta SoA nuashonraithe.
Míníonn Zenith Blueprint, céim Bainistíocht Riosca, Céim 13, “Pleanáil Cóireála Riosca agus Ráiteas Infheidhmeachta,” an nasc:
✓ Cinntigh ailíniú le do chlár rioscaí: ba cheart go gcomhfhreagródh gach rialú maolaitheach a scríobh tú sa Phlean Cóireála Riosca do rialú Iarscríbhinn A marcáilte “Infheidhme.” Ar an taobh eile, má tá rialú marcáilte infheidhme, ba cheart go mbeadh riosca nó ceanglas agat á thiomáint.
Seo an difríocht idir “úsáidimid MFA” a rá agus “tá cúis rialaithe, rioscabhunaithe agus ailínithe le ISO 27001:2022 againn le haghaidh MFA, le fianaise, úinéir agus minicíocht athbhreithnithe” a chruthú.
Rialaigh riosca soláthraithe gan an clár a róthógáil
Is é NIST GV.SC ceann de na codanna is úsáidí d’fheidhm Govern do FBManna mar bíonn FBManna nua-aimseartha ag brath go mór ar sholáthraithe: soláthraithe néalríomhaireachta, próiseálaithe íocaíochta, ardáin AD, córais deasc chabhrach, stórtha cód, uirlisí CI/CD, uirlisí faireacháin agus seirbhísí slándála bainistithe.
Tacaíonn Iarscríbhinn A ISO 27001:2022 leis seo trí rialuithe soláthraithe agus néalríomhaireachta, lena n-áirítear 5.19 Slándáil faisnéise i gcaidrimh le soláthraithe, 5.20 Slándáil faisnéise a láimhseáil laistigh de chomhaontuithe soláthraithe, 5.21 Slándáil faisnéise a bhainistiú i slabhra soláthair TFC, 5.22 Faireachán, athbhreithniú agus Bainistíocht Athruithe ar sheirbhísí soláthraithe, 5.23 Slándáil faisnéise maidir le húsáid seirbhísí néalríomhaireachta, agus 5.30 Ullmhacht TFC do leanúnachas gnó.
Déanann Beartas Slándála Tríú Páirtí agus Soláthraithe do FBManna Beartas Slándála Tríú Páirtí agus Soláthraithe do FBManna an ceanglas fianaise soiléir:
Ní mór na hathbhreithnithe seo a dhoiciméadú agus a choinneáil le taifead an tsoláthraí. Ní mór gníomhartha leantacha a rianú go soiléir.
Is é seo clásal 6.3.2 den Bheartas Slándála Tríú Páirtí agus Soláthraithe do FBManna.
Is féidir le samhail shimplí soláthraithe FBM trí shraith a úsáid:
| Sraith soláthraí | Critéir | Fianaise íosta | Minicíocht athbhreithnithe |
|---|---|---|---|
| Criticiúil | Tacaíonn sé le táirgeadh, sonraí custaiméara, fíordheimhniú, faireachán slándála, sreabhadh íocaíochta nó seachadadh seirbhíse rialáilte | Ceistneoir dícheall cuí, clásail slándála conartha, SLA, teagmhálaí teagmhais, plean scoir, athbhreithniú riosca | Bliantúil agus ar athrú ábhartha |
| Tábhachtach | Tacaíonn sé le hoibríochtaí gnó nó le faisnéis íogair inmheánach ach ní le seachadadh seirbhíse criticiúil díreach | Achoimre slándála, téarmaí próiseála sonraí, athbhreithniú rochtana, glacadh le riosca má tá bearnaí ann | Gach 18 mí |
| Caighdeánach | Uirlisí ísealriosca gan sonraí íogaire ná spleáchas criticiúil | Faomhadh ón Úinéir Gnó, seiceáil bhunúsach sonraí agus rochtana | Ag ionduchtú agus ag athnuachan |
Tacaíonn an tsamhail shimplí seo le NIST GV.SC, rialuithe soláthraithe ISO 27001:2022, dícheall cuí custaiméara agus ionchais chonarthacha faoi thionchar DORA ó chustaiméirí airgeadais.
Tá aird ar leith tuillte ag foirceannadh soláthraithe. Bíonn NIST GV.SC ag súil le rialachas ar feadh shaolré iomlán an tsoláthraí, deireadh an chaidrimh san áireamh. Ba cheart filleadh nó scriosadh sonraí, baint rochtana, pleanáil aistrithe seirbhíse, taifid chonartha choinnithe agus athbhreithniú ar riosca iarmharach a bheith san fhianaise.
Úsáid Zenith Controls don tras-chomhlíonadh, ní mar thacar rialuithe ar leith
Is treoir thras-chomhlíonta í Zenith Controls: An Treoir Thras-Chomhlíonta Clarysec Zenith Controls chun téamaí rialaithe ISO/IEC 27002:2022 a mhapáil chuig creataí agus lionsaí iniúchta éagsúla. Ní “rialuithe Zenith” ar leith iad seo. Is rialuithe ISO/IEC 27002:2022 iad a ndéantar anailís orthu laistigh de Zenith Controls le haghaidh úsáid tras-chomhlíonta.
Maidir le NIST CSF 2.0 Govern, tá trí réimse rialaithe ISO/IEC 27002:2022 thar a bheith tábhachtach:
| Réimse rialaithe ISO/IEC 27002:2022 in Zenith Controls | Nasc le NIST CSF 2.0 Govern | Léirmhíniú praiticiúil do FBM |
|---|---|---|
| 5.1 Beartais maidir le slándáil faisnéise | GV.PO | Ní mór beartais a bheith faofa, curtha in iúl, curtha chun feidhme, athbhreithnithe agus nuashonraithe nuair a athraíonn bagairtí, teicneolaíocht, dlí nó cuspóirí gnó |
| 5.4 Freagrachtaí bainistíochta | GV.RR agus GV.OV | Ní mór freagrachtaí slándála a shannadh ar leibhéil cheannaireachta agus oibríochtúla, le hacmhainní, tuairisciú agus athbhreithniú |
| 5.31 Ceanglais dhlíthiúla, reachtúla, rialála agus chonarthacha | GV.OC-03 | Ní mór oibleagáidí a shainaithint, a mhapáil chuig rialuithe agus úinéirí, faireachán a dhéanamh ar athruithe agus fianaise a choinneáil |
Tugann Zenith Blueprint, céim Rialuithe i nGníomh, Céim 22, “Rialuithe eagraíochtúla,” an tsamhail oibriúcháin:
Foirmiúlaigh Rialachas Slándála Faisnéise
Cinntigh go bhfuil do bheartais slándála faisnéise (5.1) críochnaithe, faofa agus faoi rialú leaganacha. Sann úinéirí ainmnithe do gach fearann beartais (m.sh., rochtain, criptiú, cúltaca) agus doiciméadaigh róil agus freagrachtaí ar fud an ISMS (5.2). Athbhreithnigh Scaradh dualgas (5.3) i réimsí ardriosca amhail airgeadas, riarachán córas agus rialú athruithe. Cruthaigh léarscáil shimplí rialachais a léiríonn cé a fhaomhann, cé a chuireann i bhfeidhm agus cé a dhéanann faireachán ar bheartas slándála.
Tá an léarscáil rialachais sin ar cheann de na déantáin is luachmhaire is féidir le FBM a chruthú. Freagraíonn sí NIST GV.RR, ceanglais cheannaireachta ISO 27001:2022, ionchais chuntasachta bainistíochta NIS2 agus ceisteanna custaiméara faoi cé leis riosca cibear.
Samhail rialachais amháin do NIS2, DORA, GDPR, NIST agus ISO
Bíonn feidhm Govern ar a luach is mó nuair a bhíonn ceanglais fhorluiteacha roimh FBM.
Éilíonn NIS2 ar eintitis riachtanacha agus thábhachtacha laistigh den raon feidhme bearta bainistíochta riosca cibearshlándála cuí agus comhréireacha a ghlacadh. Cuireann sé freagracht freisin ar chomhlachtaí bainistíochta bearta bainistíochta riosca cibearshlándála a fhaomhadh, maoirseacht a dhéanamh ar chur chun feidhme agus oiliúint a dhéanamh. Tacaíonn NIST GV.RR le cuntasacht bainistíochta. Tacaíonn GV.RM le bearta rioscabhunaithe. Tacaíonn GV.SC le slándáil slabhra soláthair. Tacaíonn GV.PO le beartais. Tacaíonn GV.OV le hathbhreithniú feidhmíochta.
Tugann rialachas teagmhas NIS2 ionchais tuairiscithe chéimnithe isteach freisin, lena n-áirítear rabhadh luath laistigh de 24 uair an chloig, fógra teagmhais laistigh de 72 uair an chloig agus tuairisciú deiridh laistigh de mhí amháin i gcás teagmhas suntasach. Ba cheart na hamlínte sin a léiriú i nósanna imeachta Freagartha do Theagmhais, conairí ardaithe céime, pleananna cumarsáide agus tuairisciú bainistíochta.
Tá DORA i bhfeidhm ó 17 Eanáir 2025 maidir le heintitis airgeadais an Aontais Eorpaigh, ach mothaíonn go leor FBManna a thionchar trí chonarthaí custaiméara. Féadfaidh custaiméirí airgeadais ceanglais DORA a shreabhadh anuas chuig soláthraithe TFC, soláthraithe bogearraí, Soláthraithe Seirbhíse Bainistithe agus soláthraithe a bhfuil spleáchas néalríomhaireachta acu. Díríonn DORA ar bhainistíocht riosca TFC, freagracht an chomhlachta bainistíochta, tuairisciú teagmhas, tástáil athléimneachta, riosca tríú páirtithe TFC, ceanglais chonarthacha agus maoirseacht.
Cuireann GDPR cuntasacht le próiseáil sonraí pearsanta. Ní mór do FBManna a thuiscint an rialaitheoirí, próiseálaithe nó an dá rud iad, cé na sonraí pearsanta a phróiseálann siad, cé na córais agus soláthraithe atá i gceist, cén bonn dlíthiúil atá i bhfeidhm agus cé na cásanna teagmhais a d’fhéadfadh a bheith ina sárú ar shonraí pearsanta.
Molann Zenith Blueprint, céim Bainistíocht Riosca, Céim 14, ceanglais DORA, NIS2 agus GDPR a thras-tagairt isteach i dtacar rialuithe ISO 27001:2022:
I gcás gach rialacháin, más infheidhme, féadfaidh tú tábla mapála simplí a chruthú (d’fhéadfadh sé a bheith ina aguisín i dtuarascáil) a liostaíonn príomhcheanglais slándála an rialacháin agus na rialuithe/beartais chomhfhreagracha i do ISMS. Ní ceanglas éigeantach é seo in ISO 27001, ach is cleachtadh inmheánach úsáideach é chun a chinntiú nach ndeachaigh aon rud amú.
Is féidir le léarscáil phraiticiúil tras-chomhlíonta breathnú mar seo:
| Ceanglas rialachais | NIST CSF 2.0 Govern | Ancaire ISO 27001:2022 | Ábharthacht NIS2, DORA, GDPR | Príomhfhianaise |
|---|---|---|---|---|
| Cuntasacht bainistíochta | GV.RR agus GV.OV | Clásail 5.1, 5.3 agus 9.3, Iarscríbhinn A 5.4 | Maoirseacht chomhlachta bainistíochta NIS2, freagracht chomhlachta bainistíochta DORA | Léarscáil rialachais, RACI, miontuairiscí Athbhreithnithe Bainistíochta |
| Oibleagáidí dlíthiúla agus conarthacha | GV.OC-03 | Clásail 4.2, 4.3 agus 6.1.3, Iarscríbhinn A 5.31 agus 5.34 | Cuntasacht GDPR, raon feidhme dlíthiúil NIS2, sreafaí anuas conarthacha DORA | Clár Comhlíonta, léarscáil oibleagáidí custaiméara, clár príobháideachais |
| Bearta slándála rioscabhunaithe | GV.RM | Clásail 6.1.2, 6.1.3, 8.2 agus 8.3 | Bearta riosca NIS2, creat riosca TFC DORA, slándáil na próiseála GDPR | Clár rioscaí, Plean Cóireála Riosca, SoA |
| Rialachas soláthraithe | GV.SC | Iarscríbhinn A 5.19 go 5.23 agus 5.30 | Slándáil slabhra soláthair NIS2, riosca tríú páirtithe TFC DORA, próiseálaithe GDPR | Fardal soláthraithe, dícheall cuí, conarthaí, logaí athbhreithnithe |
| Rialachas beartais | GV.PO | Clásal 5.2 agus Iarscríbhinn A 5.1 | Teastaíonn rialacha doiciméadaithe, faofa agus curtha in iúl ó gach creat | Clár beartas, stair leaganacha, admhálacha |
| Iniúchadh agus feabhsú | GV.OV | Clásail 9.1, 9.2, 9.3, 10.1 agus 10.2 | Tástáil agus leigheas DORA, éifeachtacht NIS2, cuntasacht GDPR | Tuarascálacha iniúchta inmheánaigh, KPIanna, gníomhartha ceartaitheacha |
Is í an éifeachtúlacht an luach. Is féidir le ISMS ISO 27001:2022 dea-oibrithe, faoi threoir NIST CSF 2.0 Govern, fianaise in-athúsáidte a ghiniúint do roinnt creataí ag an am céanna.
Dearcadh an iniúchóra: fíor-rialachas a chruthú
Ní rialachas é beartas ar sheilf. Lorgaíonn iniúchóirí agus measúnóirí snáithe órga: beartas ardleibhéil, próiseas sainithe, taifead oibríochtúil, Athbhreithniú Bainistíochta agus gníomh feabhsúcháin.
Déanfaidh athbhreithneoirí éagsúla an snáithe sin a thástáil ar bhealaí éagsúla.
| Lionsa iniúchóra | Cad a ndíreoidh siad air | Fianaise a oibríonn go maith |
|---|---|---|
| Iniúchóir ISO 27001:2022 | An bhfuil rialachas leabaithe san ISMS, an bhfuil Cóireáil Riosca inrianaithe, an bhfuil cinntí SoA réasúnaithe agus an bhfuil faisnéis dhoiciméadaithe rialaithe | Raon feidhme ISMS, clár beartas, clár rioscaí, SoA, miontuairiscí Athbhreithnithe Bainistíochta, tuarascálacha iniúchta inmheánaigh, gníomhartha ceartaitheacha |
| Measúnóir NIST CSF 2.0 | An bhfuil próifílí reatha agus spriocdhírithe ann, an bhfuil bearnaí tosaíochtaithe agus an bhfuil torthaí Govern ceangailte le riosca gnó agus maoirseacht | Próifíl CSF, anailís bearnaí, POA&M, ráiteas fonn riosca, painéal ceannaireachta, próifíl sprioc soláthraithe |
| Iniúchóir de stíl COBIT 2019 nó ISACA | An bhfuil cuspóirí rialachais, cearta cinnteoireachta, bearta feidhmíochta, úinéireacht rialuithe agus gníomhaíochtaí dearbhaithe sainithe | Léarscáil rialachais, RACI, painéal KPI agus KRI, dearbhuithe Úinéirí Rialaithe, Plean Iniúchta, rianú saincheisteanna |
| Athbhreithneoir GDPR | An bhfuil oibleagáidí príobháideachais sainaitheanta, an bhfuil próiseáil mapáilte, an bhfuil coimircí slándála cuí agus an bhfuil fianaise chuntasachta ann | Clár próiseála, mapáil bonn dlíthiúil, DPIA nuair is gá, próiseas freagartha do shárú, téarmaí próiseála sonraí soláthraí |
| Measúnóir slándála custaiméara | An féidir leis an FBM slándáil oibríochtúil, rialú soláthraithe, ullmhacht teagmhas agus cuntasacht feidhmiúcháin a chruthú gan moill iomarcach | Pacáiste fianaise, beartais, athbhreithnithe soláthraithe, aschuir cleachtaí boird teagmhas, athbhreithnithe rochtana, tástálacha cúltaca, treochlár slándála |
Deir Beartas um Róil agus Freagrachtaí Rialachais Fiontair Clarysec Beartas um Róil agus Freagrachtaí Rialachais:
Ní mór don Rialachas tacú le comhtháthú le disciplíní eile (m.sh., riosca, dlí, TF, AD), agus ní mór cinntí ISMS a bheith inrianaithe chuig a bhfoinse (m.sh., taifid iniúchta, logaí athbhreithnithe, miontuairiscí cruinnithe).
Is é seo clásal 5.5 den Bheartas um Róil agus Freagrachtaí Rialachais. Gabhann sé croílár an tras-chomhlíonta: ní mór cinntí rialachais a bheith inrianaithe.
Cuireann Beartas Faireacháin Iniúchta agus Comhlíonta do FBManna Beartas Faireacháin Iniúchta agus Comhlíonta do FBManna disciplín ríthábhachtach fianaise leis:
Ní mór meiteashonraí (m.sh., cé a bhailigh é, cathain, agus ón gcóras ar bailíodh é) a dhoiciméadú.
Tagann an sliocht seo ó chlásal 6.2.3 den Bheartas Faireacháin Iniúchta agus Comhlíonta do FBManna. Is minic gurb iad meiteashonraí fianaise an difríocht idir fillteán seatanna scáileáin agus fianaise de ghrád iniúchta.
Cuireann Beartas Faireacháin Iniúchta agus Comhlíonta Fiontair Beartas Faireacháin Iniúchta agus Comhlíonta an ceanglas ar leibhéal cláir leis:
Ní mór don eagraíocht Clár Faireacháin Iniúchta agus Comhlíonta struchtúrtha a choinneáil atá comhtháite san ISMS, lena gcumhdaítear:
Is é seo clásal 5.1 den Bheartas Faireacháin Iniúchta agus Comhlíonta. Tá an impleacht rialachais díreach: ní slógadh bliantúil é iniúchadh. Is cuid d’oibríochtaí ISMS é.
Botúin choitianta FBManna agus NIST Govern á mhapáil chuig ISO 27001:2022
Is é an chéad bhotún ró-dhoiciméadú gan úinéireacht. Scríobhann FBM beartais ach ní shanntar úinéirí do Chóireáil Riosca, athbhreithnithe soláthraithe, faomhadh eisceachtaí ná tuairisciú bainistíochta.
Is é an dara botún oibleagáidí dlíthiúla a láimhseáil amhail is dá mba rud ar leith ón ISMS iad. Éilíonn NIST GV.OC-03 go dtuigfear agus go mbainisteofar oibleagáidí. Éilíonn ISO 27001:2022 go gcuirfear san áireamh ceanglais ábhartha páirtithe leasmhara agus oibleagáidí dlíthiúla, rialála agus conarthacha san ISMS.
Is é an tríú botún réasúnú lag SoA. Ní liosta de rialuithe infheidhme amháin é an SoA. Is é an comhad loighce é maidir le cén fáth a gcuirtear rialuithe san áireamh, a n-eisiatar iad nó a gcuirtear chun feidhme iad.
Is é an ceathrú botún fianaise shaolré soláthraithe a bheith ar iarraidh. Áirítear le rialachas soláthraithe ionduchtú, conarthaí, faireachán, teagmhais, athruithe agus foirceannadh.
Is é an cúigiú botún gan an Phróifíl Sprioc a nuashonrú. Ba cheart do Phróifíl CSF athrú nuair a théann an gnó isteach i ngeografaíocht nua, nuair a shíníonn sé mórchustaiméir, nuair a ghlacann sé soláthraí criticiúil, nuair a sheolann sé táirge rialáilte, nuair a athraíonn sé ailtireacht néalríomhaireachta nó nuair a tharlaíonn teagmhas.
Treochlár 30 lá NIST CSF 2.0 Govern do FBManna
Má theastaíonn ó FBM dul chun cinn tapa a dhéanamh, tosaigh le plean cur chun feidhme 30 lá atá dírithe.
| Laethanta | Gníomhaíocht | Aschur |
|---|---|---|
| 1 go 3 | Sainigh raon feidhme CSF Govern agus bailigh beartais, conarthaí, taifid riosca, liostaí soláthraithe agus fianaise iniúchta atá ann cheana | Nóta raon feidhme agus fardal fianaise |
| 4 go 7 | Tóg an clár fianaise Govern do GV.OC, GV.RM, GV.RR, GV.PO, GV.OV agus GV.SC | Próifíl Reatha agus bearnaí tosaigh |
| 8 go 12 | Mapáil oibleagáidí chuig beartais ISO 27001:2022, réimsí rialaithe Iarscríbhinn A agus úinéirí | Clár Comhlíonta agus léarscáil úinéireachta beartais |
| 13 go 17 | Nuashonraigh an clár rioscaí agus an Plean Cóireála Riosca, agus ansin ailínigh iontrálacha SoA | Clár rioscaí, Plean Cóireála Riosca, nuashonruithe SoA |
| 18 go 22 | Tabhair tosaíocht do rialachas soláthraithe, lena n-áirítear aicmiú soláthraithe criticiúla, bearnaí conartha agus fianaise athbhreithnithe | Clár rioscaí soláthraithe agus rianaire gníomhartha |
| 23 go 26 | Ullmhaigh pacáiste fianaise iniúchta le meiteashonraí, faomhadh, logaí athbhreithnithe agus cinntí bainistíochta | Pacáiste fianaise agus innéacs iniúchta |
| 27 go 30 | Reáchtáil Athbhreithniú Bainistíochta agus faomh an treochlár Próifíl Sprioc | Miontuairiscí Athbhreithnithe Bainistíochta, cinntí, treochlár |
Cruthaíonn an plean seo dóthain fianaise rialachais chun ceisteanna tromchúiseacha custaiméara agus iniúchta a fhreagairt agus bonn á thógáil do dheimhniú ISO 27001:2022, ullmhacht NIS2, dearbhú custaiméara DORA agus cuntasacht GDPR.
An toradh praiticiúil: scéal rialachais amháin, iliomad úsáidí comhlíonta
Nuair a fhilleann Sarah ar an mbord, níl cúig shruth oibre comhlíonta dícheangailte aici a thuilleadh. Tá scéal rialachais amháin aici.
Tá torthaí NIST CSF 2.0 Govern mapáilte chuig beartais ISO 27001:2022, úinéirí, rioscaí, rialuithe agus fianaise. Cuimsíonn raon feidhme an ISMS spleáchais chustaiméara, soláthraithe, néalríomhaireachta, dlíthiúla, rialála, príobháideachais agus chonarthacha. Tiomáineann an clár rioscaí cinntí cóireála agus infheidhmeacht SoA. Tá beartais faofa, faoi rialú leaganacha, faoi úinéireacht, curtha in iúl agus athbhreithnithe. Tá rioscaí soláthraithe sraitheáilte, faoi chonradh, faoi fhaireachán agus rianaithe. Tras-tagartaítear oibleagáidí próiseála GDPR, ionchais chuntasachta NIS2 agus sreafaí anuas custaiméara DORA nuair is infheidhme. Áirítear le fianaise iniúchta meiteashonraí, taifid chinntí agus aschuir Athbhreithnithe Bainistíochta.
Sin é an chuma atá ar rialachas nuair atá sé oibríochtúil.
An chéad chéim eile: tóg pacáiste fianaise Govern do FBM le Clarysec
Má tá tú ag ullmhú do ISO 27001:2022, ag freagairt do dhícheall cuí custaiméara fiontair, ag mapáil torthaí NIST CSF 2.0 Govern nó ag iarraidh NIS2, DORA agus GDPR a ailíniú gan cláir ar leith a thógáil, tosaigh leis an gciseal rialachais.
Is féidir le Clarysec cabhrú leat na nithe seo a thógáil:
- Próifíl Reatha agus Próifíl Sprioc NIST CSF 2.0 Govern.
- Mapáil beartais ISO 27001:2022 agus SoA.
- Clár oibleagáidí tras-chomhlíonta ag úsáid Zenith Controls Zenith Controls.
- Treochlár 30 céim cur chun feidhme ISMS ag úsáid Zenith Blueprint Zenith Blueprint.
- Fianaise beartais réidh do FBManna ag úsáid tacar uirlisí beartais Clarysec, lena n-áirítear Beartas um Róil agus Freagrachtaí Rialachais do FBManna Beartas um Róil agus Freagrachtaí Rialachais do FBManna, Beartas Bainistíochta Riosca do FBManna Beartas Bainistíochta Riosca do FBManna, Beartas um Chomhlíonadh Dlíthiúil agus Rialála do FBManna Beartas um Chomhlíonadh Dlíthiúil agus Rialála do FBManna, Beartas Slándála Tríú Páirtí agus Soláthraithe do FBManna Beartas Slándála Tríú Páirtí agus Soláthraithe do FBManna, agus Beartas Faireacháin Iniúchta agus Comhlíonta do FBManna Beartas Faireacháin Iniúchta agus Comhlíonta do FBManna.
Ní scarbhileog eile an bealach is tapúla. Is ISMS rialaithe, rioscabhunaithe agus réidh le fianaise é a ligeann do do FBM ceist amháin a fhreagairt go muiníneach:
An féidir leat a chruthú go bhfuil cibearshlándáil bainistithe, faoi úinéireacht, athbhreithnithe agus á feabhsú go leanúnach?
Le Clarysec, is é an freagra: is féidir.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
