Rialachas shaolré na mbeartas do ISO 27001, NIS2 agus DORA
Tháinig an ríomhphost isteach i mbosca isteach Maria Petrova, an Príomhoifigeach Slándála Faisnéise (CISO), le fuaim chiúin a mhothaigh mar aláram. Ba ón iniúchóir seachtrach é: liosta iarrataí réamhobair le haghaidh iniúchadh faireachais comhcheangailte ISO/IEC 27001:2022 agus measúnú ullmhachta DORA. Bhí cuma shimplí ar an gcéad mhír:
“Tabhair dúinn, le do thoil, an Beartas Slándála Faisnéise reatha, a stair iomlán leaganacha, fianaise ar fhaomhadh bainistíochta do gach leagan, agus taifid ar a chumarsáid leis an bpearsanra ábhartha le 24 mí anuas.”
Bhí beartais ag cuideachta Maria, ardán fintech meánmhéide. Na mórán díobh. Bhí beartas slándála faisnéise, plean freagartha teagmhas, ceistneoir slándála soláthraithe, clár rioscaí, nós imeachta rialaithe rochtana, plean leanúnachais gnó agus fillteán lán d’fhianaise iniúchta acu. Ach bhí na comhaid scaipthe ar shuíomhanna SharePoint, spásanna oidhreachta Confluence, snáitheanna ríomhphoist, ceangaltáin ticéad agus tiomántáin chomhroinnte a bhí faoi úinéireacht daoine a bhí imithe ón gcuideachta cheana féin.
Tháinig an fhíorfhadhb chun solais nuair a tháinig ceisteanna leantacha an iniúchóra.
Cé a d’fhormheas an nós imeachta teagmhais reatha? Cén fáth a ndeir an beartas slándála soláthraithe in SharePoint gur leagan 2.1 é agus go n-úsáideann Soláthar leagan 1.8? Cén beartas a mhapáiltear chuig bearta bainistíochta riosca NIS2 Article 21? Cá bhfuil an taifead a léiríonn gur cuireadh an fhoireann ar an eolas faoin nuashonrú beartais is déanaí? Cén fáth ar deonaíodh eisceacht rochtana pribhléidí, cé a ghlac leis an riosca iarmharach, agus cathain a rachaidh sí in éag? An mbaintear doiciméid as feidhm den úsáid oibríochtúil? Cá fhad a choinnítear tuarascálacha iniúchta? An féidir leis an gcuideachta a chruthú gur athbhreithníodh an leabharlann bheartas tar éis an mhórathraithe córais is déanaí?
Bhí rialuithe ag Maria, ach ní raibh rialú aici ar na rialuithe.
Sin í fadhb rialachais shaolré beartas in 2026. Ní theipeann ar eagraíochtaí in iniúchtaí a thuilleadh toisc amháin go bhfuil riail bhalla dóiteáin mícheart nó go bhfuil tástáil chúltaca in easnamh. Teipeann orthu toisc go bhfuil faisnéis dhoiciméadaithe ilroinnte, neamh-iniúchta, dúblach, seanchaite, neamhrialaithe nó dícheangailte ó oibleagáidí dlíthiúla. Faoi chlásal 7.5 de ISO/IEC 27001:2022, ní cothabháil riaracháin í faisnéis dhoiciméadaithe. Is í cuimhne oibriúcháin an ISMS í. Faoi NIS2, tacaíonn sí le faomhadh agus maoirseacht an chomhlachta bainistíochta. Faoi DORA, éiríonn sí ina cuid den chreat bainistíochta riosca TFC agus den rian fianaise athléimneachta. Faoi GDPR, cruthaíonn sí cuntasacht.
Tá dearcadh Clarysec simplí: ní carn doiciméad í leabharlann bheartas. Is córas fianaise rialaithe í.
Cén fáth gur saincheist ar leibhéal an bhoird é rialachas shaolré beartas anois
Is é rialachas shaolré beartas an disciplín chun beartais agus taifid ghaolmhara a chruthú, a fhormheas, a fhoilsiú, a chumarsáid, a athbhreithniú, a leasú, a scor, a choinneáil agus fianaise ina leith a chaomhnú. Freagraíonn sé na ceisteanna a chuireann iniúchóirí, rialálaithe, custaiméirí agus boird anois mar ghnáthnós:
- Cé leis gach beartas?
- Cé a fhormheasann é?
- Cé na ceanglais dhlíthiúla, chonarthacha agus riosca a chomhlíonann sé?
- Cé na rialuithe agus nósanna imeachta a chuireann i bhfeidhm é?
- Cén leagan atá reatha?
- Cé a cuireadh ar an eolas, a cuireadh faoi oiliúint nó ar ceanglaíodh admháil air?
- Cé na heisceachtaí atá nasctha leis?
- Cé na taifid a chruthaíonn go bhfuil sé ag feidhmiú?
- Cad a tharlaíonn nuair a théann sé as feidhm?
Tacaíonn ISO/IEC 27001:2022 leis an disciplín seo trí chlásal 7.5 maidir le faisnéis dhoiciméadaithe, clásal 5 maidir le ceannaireacht, clásal 6 maidir le pleanáil agus cóireáil riosca, clásal 8 maidir le rialú oibríochtúil, agus rialuithe Iarscríbhinn A a chlúdaíonn beartais, taifid, ceanglais dhlíthiúla, soláthraithe, teagmhais, leanúnachas, príobháideachas, logáil, faireachán agus bainistíocht athruithe.
Tá an brú rialála chomh díreach céanna.
Éilíonn NIS2 Article 20 ar chomhlachtaí bainistíochta bearta bainistíochta riosca cibearshlándála a fhormheas, maoirseacht a dhéanamh ar an gcur chun feidhme agus oiliúint iomchuí a fháil. Éilíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla bunaithe ar riosca, lena n-áirítear beartais slándála, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, forbairt shlán, measúnú éifeachtachta, sláinteachas cibearshlándála, cripteagrafaíocht, slándáil acmhainní daonna, rialú rochtana, bainistíocht sócmhainní agus fíordheimhniú. Lagaíonn corpas beartas gan úinéireacht, faomhadh agus fianaise athbhreithnithe scéal chuntasacht na bainistíochta.
Tá DORA i bhfeidhm ón 17 Eanáir 2025 agus bunaíonn sé creat aonfhoirmeach AE do bhainistíocht riosca TFC, tuairisciú teagmhas, tástáil athléimneachta oibríochtúla digití, riosca TFC tríú páirtí agus ceanglais chonarthacha. Maidir le heintitis airgeadais atá ina n-eintitis riachtanacha nó thábhachtacha faoi NIS2 freisin, déileáiltear le DORA mar ghníomh dlíthiúil Aontais earnáilshonrach do na hoibleagáidí cibearshlándála comhfhreagracha. Éilíonn Article 5 freagracht an chomhlachta bainistíochta as an gcreat bainistíochta riosca TFC, beartais, freagrachtaí, pleananna leanúnachais, iniúchtaí, beartais TFC tríú páirtí, bealaí tuairiscithe agus oiliúint. Éilíonn Article 6 creat bainistíochta riosca TFC atá dea-dhoiciméadaithe, a athbhreithnítear uair sa bhliain ar a laghad d’eintitis airgeadais neamh-mhicrea agus a fheabhsaítear ar bhonn ceachtanna foghlamtha.
Cuireann GDPR an ceanglas cuntasachta leis. Éilíonn Article 5 go bpróiseálfar sonraí pearsanta go dleathach, go cothrom, go trédhearcach, chun críoch shonraithe, le híoslaghdú sonraí, cruinneas, teorannú coinneála agus slándáil. Cuireann Article 5(2) freagracht ar an rialaitheoir comhlíonadh a léiriú. Braitheann an léiriú sin ar thaifid rialaithe: cinntí maidir le bonn dlíthiúil, sceidil choinneála, DPIAnna nuair is infheidhme, dícheall cuí próiseálaithe, taifid sáraithe, athbhreithnithe rochtana, logaí oiliúna agus faomhadh beartas.
Is í fianaise an snáithe coiteann. Ní fhiafróidh iniúchóir díot an bhfuil beartas ann amháin. Iarrfaidh sé teastas breithe an bheartais, a stair leaganacha, a rian formheasa, a thaifead cumarsáide, a nósanna imeachta gaolmhara agus na taifid oibríochtúla a chruthaíonn go n-oibríonn sé.
Cnámh droma fhaisnéis dhoiciméadaithe ISO/IEC 27001:2022
Is é clásal 7.5 de ISO/IEC 27001:2022, Faisnéis dhoiciméadaithe, cnámh droma na doiciméadachta inchosanta. Éilíonn sé ar eagraíochtaí an fhaisnéis dhoiciméadaithe atá de dhíth ar an ISMS agus atá ceangailte ag an gcaighdeán a chruthú, a nuashonrú agus a rialú.
Bealach praiticiúil chun é sin a thuiscint is ea faisnéis dhoiciméadaithe a roinnt ina trí shraith:
| Sraith | Samplaí | Cuspóir rialachais |
|---|---|---|
| Doiciméid rialachais | Raon feidhme ISMS, Beartas Slándála Faisnéise, modheolaíocht riosca, Ráiteas Infheidhmeachta, Plean Cóireála Riosca, cuspóirí | Treoir, údarás, ceanglais agus cuntasacht a leagan síos |
| Doiciméid oibriúcháin | Nósanna imeachta, caighdeáin, playbooks, runbooks, seicliostaí, teimpléid | Beartas a thiontú ina ghníomh in-athdhéanta |
| Taifid | Measúnuithe riosca, logaí oiliúna, tuarascálacha teagmhas, tuarascálacha iniúchta, formheasanna, miontuairiscí cruinnithe athbhreithnithe bainistíochta, athbhreithnithe rochtana, taifid soláthraithe, cinntí eisceachta | A chruthú go ndearnadh cinntí agus gur oibrigh rialuithe |
Déileálann Zenith Blueprint: treochlár 30 céim don iniúchóir de chuid Clarysec leis seo go sainráite i gcéim Bhunús agus Cheannaireacht ISMS, Céim 6: faisnéis dhoiciméadaithe agus tógáil leabharlann an ISMS. Míníonn sé go gclúdaíonn clásal 7.5 doiciméadacht i gcoitinne, cruthú agus nuashonrú, agus rialú faisnéise doiciméadaithe.
Tiontaíonn an Zenith Blueprint é sin ina threoir phraiticiúil cur chun feidhme:
“Ba cheart aitheantas cuí a bheith ag doiciméid (teideal, b’fhéidir uimhir doiciméid nó aitheantóir uathúil, údar), formáid iomchuí … agus athbhreithniú agus faomhadh oiriúnachta sula n-úsáidtear iad.”
Tugann sé freisin an riail oibríochtúil a chailleann go leor eagraíochtaí:
“Cinntigh nach mbíonn ach an leagan reatha éasca a aimsiú (cartlannaigh leaganacha as feidhm nó marcáil go soiléir iad mar leaganacha a cuireadh in ionad).”
Sin an áit a mbriseann go leor cur chun feidhme ISMS go ciúin. D’fhéadfadh beartas a bheith formheasta uair amháin, ach má fhanann seanleaganacha ar fáil, má úsáideann an fhoireann nósanna imeachta as dáta, nó mura féidir le hiniúchóirí athruithe a rianú, ní bhíonn an doiciméad rialaithe a thuilleadh ar bhealach bríoch.
Molann an Zenith Blueprint “leabharlann doiciméadachta ISMS” a bhunú le fillteáin do bheartais agus nósanna imeachta, measúnú riosca agus SoA, taifid oiliúna, iniúchadh agus athbhreithniú, taifid teagmhas, sócmhainní agus fardal, agus leabharlann rialuithe Iarscríbhinn A. Deir sé freisin go gcaithfidh an stór a bheith “inrochtana ach slán,” agus beartais inléite ag fostaithe agus fillteáin rúnda amhail measúnú riosca agus taifid teagmhas srianta.
Ní samhail chomhdúcháin amháin é seo. Is ailtireacht rialachais í.
Samhail shaolré beartas Clarysec
Struchtúraíonn Clarysec rialachas shaolré beartas ISO 27001 timpeall lúb dúnta: ceanglas, úinéir, doiciméad, faomhadh, foilsiú, cumarsáid, fianaise, athbhreithniú, athrú, coinneáil agus scor. Cuireann an lúb sin cosc ar an teip iniúchta chlasaiceach ina bhfuil doiciméid ag cuideachta, ach nach féidir léi údarás, reathaíocht ná rialú a chruthú.
| Céim den saolré | Ceist rialachais | Fianaise a mbíonn iniúchóirí ag súil léi | Ancaire cur chun feidhme Clarysec |
|---|---|---|---|
| Glacadh ceanglas | Cén oibleagáid nó riosca a éilíonn an beartas seo? | Clár dlíthiúil, ceanglas custaiméara, iontráil sa chlár rioscaí, mapáil rialaithe | Mapáil dhlíthiúil agus rialála móide raon feidhme ISMS |
| Úinéireacht | Cé a choinníonn an beartas cothrom le dáta? | Réimse úinéara beartais, RACI, sannadh róil | Beartas um Róil agus Freagrachtaí Rialachais |
| Faomhadh | Cé a d’fhormheas é sula n-úsáidtear é? | Taifead formheasa, miontuairiscí cruinnithe, formheas leictreonach | Athbhreithniú bainistíochta nó údarás tarmligthe |
| Rialú leaganacha | Cén leagan atá reatha? | Stair leaganacha, loga athruithe, meiteashonraí doiciméid | Stór rialaithe ISMS |
| Cumarsáid | Cé a cuireadh ar an eolas? | Fógra, admháil, loga oiliúna | Taifid feasachta agus chumarsáide |
| Oibriú | Cé na nósanna imeachta a chuireann i bhfeidhm é? | SOPanna, seicliostaí, ticéid, taifid rialaithe | Nósanna imeachta oibriúcháin doiciméadaithe |
| Eisceachtaí | Cé na himeachtaí a cheadaítear? | Clár Eisceachtaí, glacadh riosca, dáta éaga | Cóireáil riosca agus uaschéimniú rialachais |
| Athbhreithniú | Cathain a athbhreithníodh é agus cén fáth? | Taifead athbhreithnithe bliantúil, athbhreithniú bunaithe ar spreagadh | Féilire athbhreithnithe agus deimhniú ó úinéir beartais |
| Coinneáil | Cá fhad a choinnítear taifid? | Sceideal coinneála, taifid chartlainne | Faireachán iniúchta agus comhlíonta |
| Scor | Conas a rialaítear doiciméid as feidhm? | Cartlann doiciméad a cuireadh in ionad, baint den leabharlann bheo | Sreabhadh oibre rialaithe doiciméad |
Tá an saolré seo níos láidre ná faomhadh aonuaire toisc go nascann sé doiciméid le rialuithe, úinéirí agus fianaise. Tacaíonn sé le traschomhlíonadh freisin. Is féidir beartas freagartha teagmhas amháin a mhapáil chuig rialuithe teagmhais Iarscríbhinn A de ISO/IEC 27001:2022, ullmhacht fógra NIS2 Article 23, próisis aicmithe agus tuairiscithe teagmhas DORA, láimhseáil sáruithe sonraí pearsanta GDPR, torthaí Respond NIST CSF 2.0 agus ionchais rialachais COBIT 2019.
Cad a éilíonn beartais Clarysec maidir le hathbhreithniú, leaganú agus fianaise
Dearadh leabharlann bheartas Clarysec ionas nach bhfágtar ceanglais shaolré beartas faoi léirmhíniú.
Do FBManna, leagann Beartas Slándála Faisnéise do FBManna truicear athbhreithnithe soiléir síos:
“Ní mór don Bhainisteoir Ginearálta (GM) an beartas seo a athbhreithniú uair sa bhliain ar a laghad chun comhlíonadh leanúnach le ceanglais deimhniúcháin ISO/IEC 27001, athruithe rialála (amhail GDPR, NIS2 agus DORA), agus riachtanais ghnó atá ag teacht chun cinn a chinntiú.”
Éilíonn sé taifid athraithe dhoiciméadaithe freisin:
“Ní mór gach athbhreithniú agus athrú beartais a dhoiciméadú go foirmiúil, agus an dáta, cineál na leasuithe agus faomhadh an GM a lua go soiléir.”
Agus caomhnaíonn sé inrianaitheacht stairiúil:
“Ní mór taifead stairiúil de leaganacha beartais a choinneáil go slán chun forbairt an bheartais agus comhlíonadh le linn iniúchtaí a léiriú.”
Réitíonn na trí chlásal sin fadhb choitianta FBM. B’fhéidir nach bhfuil oifig mhór rialachais ag an eagraíocht, ach tá cruthúnas athbhreithnithe, formheasa agus stair leaganacha fós de dhíth uirthi.
Cuireann Beartas um Róil agus Freagrachtaí Rialachais do FBManna an ceanglas inrianaitheachta le cinntí rialachais:
“Ní mór gach cinneadh slándála suntasach, eisceacht agus uaschéimniú a thaifeadadh agus a dhéanamh inrianaithe.”
Tá an clásal sin ríthábhachtach d’eisceachtaí beartais. Níor cheart d’imeacht shealadach ó MFA, athbhreithniú soláthraí moillithe, nó athrú éigeandála ar choinneáil logála a bheith i snáitheanna ríomhphoist amháin. Ba cheart é a nascadh leis an mbeartas ábhartha, leis an rialú, leis an úinéir riosca, leis an gcinneadh maidir le riosca iarmharach agus leis an dáta éaga.
Maidir le lárú fianaise, deir Beartas Faireacháin Iniúchta agus Comhlíonta do FBManna:
“Ní mór gach fianaise a stóráil i bhfillteán iniúchta lárnaithe.”
I dtimpeallachtaí fiontair, éilíonn Beartas Slándála Faisnéise Clarysec go mbeadh beartais:
“Faoi rialú leaganacha agus doiciméadaithe”
agus:
“Cumarsáidithe chuig gach páirtí lena mbaineann trí bhealaí cumarsáide oifigiúla”
Ionchorpraíonn Beartas um Róil agus Freagrachtaí Rialachais na heagraíochta coincheap:
“Úinéir agus formheastóir beartais”
Cuireann Beartas Faireacháin Iniúchta agus Comhlíonta na heagraíochta ionchais choinneála leis:
“Coinneofar tuarascálacha ar feadh tréimhse nach giorra ná sé bliana (nó níos faide nuair a éilítear sin de réir dlí), stórálfar go slán iad, agus beidh siad faoi réir rialú leaganacha faoin mBeartas Bainistíochta Doiciméad agus Taifead (P6).”
Ar deireadh, nascann Beartas um Chomhlíonadh Dlíthiúil agus Rialála na heagraíochta oibleagáidí dlíthiúla leis an ISMS:
“Ní mór gach oibleagáid dhlíthiúil agus rialála a mhapáil chuig beartais, rialuithe agus úinéirí sonracha laistigh den Chóras Bainistíochta Slándála Faisnéise (ISMS).”
Is é an ceanglas sin an droichead idir rialachas shaolré beartas agus fianaise NIS2, DORA agus GDPR. Gan mapáil oibleagáidí, d’fhéadfadh doiciméid a bheith ag cuideachta, ach ní féidir léi a léiriú go sásaíonn na doiciméid sin ceanglais shonracha dhlíthiúla, chonarthacha nó riosca.
Triantán na rialuithe: beartais, taifid agus nósanna imeachta oibriúcháin
Soláthraíonn Zenith Controls: an treoir thraschomhlíonta Clarysec an compás traschomhlíonta don ábhar seo. Maidir le rialú 5.1 de ISO/IEC 27002:2022, Beartais um Shlándáil Faisnéise, aithníonn Zenith Controls é mar rialú coisctheach a thacaíonn le rúndacht, sláine agus infhaighteacht, atá ailínithe le coincheapa rialachais agus sainaitheanta cibearshlándála, agus atá ceangailte le cumais oibríochtúla rialachais agus bainistíochta beartas.
Tá tábhacht leis sin toisc nach déantán comhlíonta amháin é rialachas beartas. Tá sé coisctheach. Laghdaíonn Beartas Rialaithe Rochtana atá faoi úinéireacht agus cumarsáidithe go soiléir riosca rochtana neamhúdaraithe sula dtarlaíonn teagmhais. Coscann beartas soláthraithe atá formheasta go cuí riosca seachfhoinsithe neamhbhainistithe. Feabhsaíonn nós imeachta teagmhais rialaithe comhsheasmhacht freagartha sula dtosaíonn an chéad chlog fógra rialála.
Aibhsíonn Zenith Controls rialú 5.33 de ISO/IEC 27002:2022, Cosaint Taifead, mar rialú coisctheach atá ailínithe le dlí agus comhlíonadh, bainistíocht sócmhainní agus cosaint faisnéise. Tá sé seo lárnach d’fhianaise iniúchta. Leathnaíonn an Zenith Blueprint an coincheap céanna sa chéim Rialuithe i nGníomh, Céim 23:
“Ní hiarsmaí de chinntí roimhe seo amháin iad taifid. Is fianaise iad — ar chomhlíonadh, ar ghníomh, ar chuntasacht.”
Leanann sé ar aghaidh:
“Cosnaítear taifid go cuí ar chaillteanas, rochtain neamhúdaraithe, cur isteach agus scriosadh roimh am.”
Tá rialú 5.37 de ISO/IEC 27002:2022, Nósanna Imeachta Oibriúcháin Doiciméadaithe, ábhartha freisin. Aicmíonn Zenith Controls é mar rialú coisctheach agus ceartaitheach, a thacaíonn le cosaint agus téarnamh. Do DORA agus NIS2, is trí nósanna imeachta oibriúcháin doiciméadaithe a thiontaítear beartas ina ghníomh in-athdhéanta: triáisiú teagmhas, athshlánú cúltaca, ionduchtú soláthraithe, láimhseáil leochaileachtaí, forbairt shlán, bainistíocht athruithe, bailiú fianaise agus cumarsáid géarchéime.
Le chéile, cruthaíonn 5.1, 5.33 agus 5.37 triantán rialaithe shaolré beartas:
| Rialú ISO/IEC 27002:2022 | Ról sa saolré | Cad a chruthaíonn sé |
|---|---|---|
| 5.1 Beartais um Shlándáil Faisnéise | Treoir, faomhadh, úinéireacht agus cumarsáid | Tá ionchais leagtha síos ag an mbainistíocht agus tá cuntasacht sannta aici |
| 5.33 Cosaint Taifead | Sláine fianaise, coinneáil agus rochtain shlán | Is féidir muinín a bheith i dtaifid chomhlíonta |
| 5.37 Nósanna Imeachta Oibriúcháin Doiciméadaithe | Cur i bhfeidhm in-athdhéanta ceanglas beartais | Tá a fhios ag an bhfoireann conas gníomhaíochtaí rialaithe a dhéanamh |
Tá na trí cinn de dhíth ar ISMS aibí. Is dearbhuithe iad beartais gan taifid. Bíonn taifid gan nósanna imeachta neamhréireach. Éiríonn nósanna imeachta gan treoir bheartais ina nósanna áitiúla seachas ina rialuithe rialaithe.
Mapáil traschomhlíonta do ISO 27001, NIS2, DORA, GDPR, NIST agus COBIT
Cruthaíonn bainistiú beartas ar leithligh do ISO 27001, NIS2, DORA agus GDPR dúbailt, contrárthacht agus tuirse fianaise. Is samhail níos fearr í leabharlann rialaithe ISMS amháin a choinneáil le meiteashonraí mapála. Ligeann sé sin do chorpus fianaise amháin freastal ar lucht dearbhaithe éagsúil.
| Teaghlach ceanglas | A mbíonn rialálaithe nó iniúchóirí ag súil leis | Fianaise shaolré beartas |
|---|---|---|
| Clásal 7.5 de ISO/IEC 27001:2022 | Tá doiciméid sainaitheanta, athbhreithnithe, formheasta, ar fáil, cosanta agus rialaithe | Clár doiciméad, taifid formheasa, stair leaganacha, ceadanna rochtana, cartlann as feidhm |
| ISO/IEC 27002:2022 5.1 | Sainítear, formheastar, foilsítear, cumarsáidítear agus athbhreithnítear beartais slándála faisnéise | Sraith beartas, sreafaí oibre formheasa, taifid chumarsáide, loga athbhreithnithe |
| ISO/IEC 27002:2022 5.33 | Cosnaítear taifid ar chaillteanas, scriosadh, falsú, rochtain neamhúdaraithe agus nochtadh | Sceideal coinneála, stór slán, rialuithe rochtana, fianaise sláine |
| ISO/IEC 27002:2022 5.37 | Tá nósanna imeachta oibriúcháin doiciméadaithe agus ar fáil don phearsanra a bhfuil gá acu leo | SOPanna, runbooks, playbooks, fianaise athbhreithnithe nós imeachta |
| NIS2 Articles 20 and 21 | Faomhadh agus maoirseacht bainistíochta ar bhearta bainistíochta riosca cibearshlándála | Faomhadh an bhoird, mapálacha beartas, taifid oiliúna, miontuairiscí athbhreithnithe, fianaise ar éifeachtacht rialaithe |
| NIS2 Article 23 | Ullmhacht fógra agus fianaise tuairiscithe do theagmhais shuntasacha | Beartas teagmhais, nós imeachta aicmithe, loga uaschéimnithe, fianaise sreafa oibre 24 uair agus 72 uair, teimpléad tuarascála deiridh |
| DORA Articles 5 and 6 | Creat riosca TFC dea-dhoiciméadaithe, formheasta agus faoi mhaoirseacht ag an mbainistíocht | Sraith beartas TFC, straitéis, creat riosca, fianaise athbhreithnithe bhliantúil, torthaí iniúchta, ceachtanna foghlamtha |
| DORA Articles 17 to 19 | Próiseas teagmhais chun brath, aicmiú, uaschéimniú, cumarsáid agus tuairisciú a dhéanamh | Clár teagmhas, critéir déine, taifid uaschéimnithe, teimpléid fógra cliant, taifid anailíse bunchúise |
| DORA Articles 28 to 30 | Beartas riosca TFC tríú páirtí, clár, conarthaí, dícheall cuí agus pleanáil scoir | Beartas soláthraithe, clár conarthaí, measúnuithe riosca, cearta iniúchta, fianaise straitéise scoir |
| GDPR Article 5(2) | Cumas comhlíonadh le prionsabail phríobháideachais a léiriú | Beartas um chosaint sonraí, taifid phróiseála, sceideal coinneála, taifid sáraithe, logaí rochtana, taifid DPIA nuair is infheidhme |
| GDPR Article 32 | Bearta slándála teicniúla agus eagraíochtúla iomchuí | Beartais slándála, nósanna imeachta rialaithe rochtana, caighdeáin criptithe, taifid chúltaca, fianaise tástála |
| NIST CSF 2.0 GOVERN | Bunaítear agus nuashonraítear beartais, róil, goile riosca, oibleagáidí dlíthiúla agus maoirseacht | Próifíl rialachais, taifid athbhreithnithe beartas, clár rioscaí, róil agus freagrachtaí |
| Lionsa dearbhaithe COBIT 2019 | Cuspóirí rialachais, úinéireacht, faireachán feidhmíochta agus fianaise rialaithe | RACI, formheasanna bainistíochta, fianaise oibriúcháin rialaithe, rianú leigheas saincheisteanna |
Tá NIST CSF 2.0 úsáideach go háirithe mar shraith chumarsáide. Bíonn Feidhm GOVERN ag súil go dtuigfear oibleagáidí dlíthiúla, rialála agus conarthacha, go sainmhíneofar cuspóirí agus freagrachtaí bainistíochta riosca, go mbunófar agus go nuashonrófar beartais, agus go ndéanfar torthaí a mheas. Soláthraíonn a mhodh Próifíl Eagraíochtúil próiseas praiticiúil freisin: raon feidhme na próifíle a shocrú, ionchuir amhail beartais, tosaíochtaí riosca agus ceanglais a bhailiú, próifílí reatha agus spriocphróifílí a chruthú, bearnaí a anailísiú agus plean gníomhaíochta tosaíochtaithe a chur i bhfeidhm.
Tá sé sin ailínithe go dlúth le cur chuige Clarysec: samhail oibriúcháin atá tacaithe le fianaise a thógáil, ansin í a mhapáil amach chuig NIS2, DORA, GDPR, NIST agus COBIT seachas síleanna comhlíonta ar leith a chothabháil.
Sprint seachtaine chun pacáiste rialaithe fianaise beartais a thógáil
Tógann claochlú iomlán rialachais beartas am, ach is féidir le sprint dírithe seachtaine na bearnaí a nochtadh agus bonn inchosanta a chruthú.
Lá 1: Cruthaigh an clár doiciméad
Tosaigh le scarbhileog, ardán GRC nó liosta struchtúrtha SharePoint. Is é an clár doiciméad an t-innéacs a ligeann d’iniúchóirí an corpas fianaise a nascleanúint.
| Réimse | Sampla |
|---|---|
| Aitheantas doiciméid | P01 |
| Ainm doiciméid | Beartas Slándála Faisnéise |
| Cineál | Beartas |
| Úinéir | CISO |
| Formheastóir | CEO |
| Leagan reatha | 3.0 |
| Dáta éifeachta | 2026-02-01 |
| An chéad dáta athbhreithnithe eile | 2027-02-01 |
| Athbhreithniú bunaithe ar spreagadh | Mórtheagmhas, athrú rialála, cumasc, soláthraí criticiúil nua |
| Aicmiú rúndachta | Inmheánach |
| Príomh-rialuithe | ISO/IEC 27002:2022 5.1, 5.33, 5.37 |
| Mapáil dhlíthiúil | NIS2 Article 21, DORA Article 6, GDPR Article 5 |
| Suíomh fianaise | ISMS Documentation/Policies/P01 |
| Suíomh as feidhm | ISMS Documentation/Archive/P01 |
| Eisceachtaí nasctha | EX-2026-004 |
| Taifead cumarsáide | Feachtas feasachta AC-2026-02 |
Ná déan róchasta é. Má léiríonn an clár úinéir, formheastóir, leagan, dáta athbhreithnithe, mapáil agus suíomh fianaise go hiontaofa, réitíonn sé go leor fadhbanna aisghabhála iniúchta cheana féin.
Lá 2: Bunaigh an stór
Lean struchtúr Chéim 6 den Zenith Blueprint: Beartais agus Nósanna Imeachta, Measúnú Riosca agus SoA, Taifid Oiliúna agus Feasachta, Iniúchadh agus Athbhreithniú, Taifid Teagmhas, Sócmhainní agus Fardal, agus Leabharlann Rialuithe.
Cuir rialacha rochtana i bhfeidhm. Féadfaidh gach fostaí beartais a léamh. Ba cheart taifid mheasúnaithe riosca a shrianadh don fhoireann ISMS agus don bhainistíocht. Ba cheart taifid teagmhas a bheith de réir an riachtanais eolais. Ba cheart conarthaí soláthraithe a theorannú do sholáthar, dlí, airgeadas agus slándáil. Ba cheart doiciméid as feidhm a bheith neamh-inrochtana le haghaidh úsáid laethúil ach a choinneáil ar mhaithe le hinrianaitheacht iniúchta.
Lá 3: Caighdeánaigh ceanntásca agus logaí athruithe
Ba cheart do gach beartas ainm doiciméid, úinéir, formheastóir, leagan, dáta éifeachta, an chéad dáta athbhreithnithe eile, aicmiú, rialuithe gaolmhara, oibleagáidí dlíthiúla gaolmhara agus stair athruithe a áireamh.
| Leagan | Dáta | Achoimre athraithe | Athbhreithneoir | Formheastóir |
|---|---|---|---|---|
| 2.0 | 2025-09-15 | Cuireadh tagairtí riosca tríú páirtí DORA leis | Ceannaire Slándála | COO |
| 2.1 | 2025-11-20 | Nuashonraíodh róil uaschéimnithe teagmhais | CISO | CEO |
| 3.0 | 2026-02-01 | Athbhreithniú bliantúil agus athnuachan mapála NIS2 | CISO | CEO |
Tacaíonn sé seo le rialú faisnéise doiciméadaithe ISO/IEC 27001:2022, maoirseacht bainistíochta NIS2, ionchais athbhreithnithe DORA agus cuntasacht GDPR.
Lá 4: Nasc eisceachtaí le beartais
Cruthaigh Clár Eisceachtaí le haitheantas eisceachta, beartas lena mbaineann, rialú lena mbaineann, údar gnó, rialuithe cúitimh, úinéir riosca, faomhadh, dáta éaga agus stádas athbhreithnithe.
Mar shampla, ní féidir le córas oidhreachta tacú le MFA ar feadh 60 lá. Nascann an eisceacht leis an mBeartas Rialaithe Rochtana, leis an bhfardal sócmhainní, leis an gclár rioscaí agus leis an bplean leigheas. Formheasann an t-úinéir riosca an riosca iarmharach, agus téann an eisceacht in éag go huathoibríoch mura ndéantar í a athnuachan. Cuireann sé sin ceanglas rialachais FBM Clarysec i bhfeidhm: cinntí suntasacha, eisceachtaí agus uaschéimnithe a thaifeadadh agus iad a dhéanamh inrianaithe.
Lá 5: Tóg an pacáiste fianaise iniúchta
Do gach beartas ardleibhéil, cruthaigh fofhillteán fianaise ina bhfuil an leagan reatha formheasta, an leagan roimhe agus an loga athruithe, fianaise formheasa, fianaise chumarsáide, taifead oiliúna nó admhála, nós imeachta gaolmhar, taifead oibríochtúil gaolmhar, eisceachtaí, an taifead athbhreithnithe is déanaí, an chéad dáta athbhreithnithe eile, agus mapáil chuig oibleagáidí dlíthiúla agus rialuithe.
Maidir le freagairt do theagmhais, cuir taifid cleachtaí boird, critéir aicmithe teagmhas, liostaí teagmhála, teimpléid athbhreithnithe iar-theagmhais agus taifid cinntí fógra san áireamh. Tacaíonn sé seo le hullmhacht tuairiscithe céimnithe NIS2 Article 23, aicmiú teagmhas DORA agus cuntasacht sáraithe GDPR.
Lá 6: Tástáil aisghabhála
Iarr ar iniúchóir inmheánach nó ar bhainisteoir comhlíonta fianaise a aisghabháil do thrí cheist:
- Cruthaigh gur formheasadh, gur cumarsáideadh agus gur athbhreithníodh an Beartas Slándála Faisnéise.
- Cruthaigh go mapáiltear oibleagáidí slándála soláthraithe chuig ceanglais DORA agus NIS2.
- Cruthaigh go gcoinnítear agus go gcosnaítear fianaise cuntasachta GDPR.
Má thógann aisghabháil níos mó ná 30 nóiméad in aghaidh na ceiste, tá feabhsú de dhíth ar an stór.
Lá 7: Cuir faoi bhráid na bainistíochta
Achoimrigh stádas shaolré beartas san athbhreithniú bainistíochta:
- Beartais reatha, thar téarma nó dlite laistigh de 90 lá
- Eisceachtaí oscailte agus imithe in éag
- Bearnaí fianaise
- Nuashonruithe mapála rialála
- Fionnachtana iniúchta
- Gníomhartha ceartaitheacha
- Riachtanais acmhainní
Dúnann sé sin an lúb le hionchais cheannaireachta ISO/IEC 27001:2022, cuntasacht bhoird NIS2 agus maoirseacht an chomhlachta bainistíochta DORA.
Conas a scrúdóidh iniúchóirí do shaolré beartas
Féachann iniúchóirí éagsúla ar an bhfianaise chéanna trí lionsaí éagsúla.
Tosaíonn iniúchóir ISO/IEC 27001:2022 le rialú faisnéise doiciméadaithe. Seiceálfaidh sé an ann do na doiciméid riachtanacha, an bhfuil siad formheasta roimh úsáid, an bhfuil leaganacha rialaithe, an bhfuil doiciméid ar fáil san áit a bhfuil siad de dhíth, an bhfuil taifid rúnda cosanta, agus an gcuirtear cosc ar úsáid neamhbheartaithe doiciméad as feidhm. Nascfaidh sé saolré an bheartais le ceannaireacht, cóireáil riosca, rialú oibríochtúil, iniúchadh inmheánach agus athbhreithniú bainistíochta.
Beidh athbhreithneoir dírithe ar DORA dírithe ar athléimneacht. Scrúdóidh sé an bhfuil an creat bainistíochta riosca TFC dea-dhoiciméadaithe, formheasta ag an mbainistíocht, athbhreithnithe uair sa bhliain ar a laghad nuair is infheidhme, iniúchta go rialta, feabhsaithe ar bhonn ceachtanna foghlamtha, agus ceangailte le tuairisciú teagmhas, tástáil, riosca tríú páirtí, leanúnachas agus téarnamh.
Beidh rialálaí NIS2 ag iarraidh slabhra fianaise gan bhriseadh a fheiceáil ó shainaithint riosca, go bearta bainistíochta riosca cibearshlándála, go faomhadh an chomhlachta bainistíochta, go cur chun feidhme agus faireachán. Féadfaidh aon bhriseadh sa slabhra sin a bheith cosúil le teip ar dhícheall cuí.
Fiafróidh iniúchóir GDPR nó athbhreithneoir príobháideachais an léiríonn taifid rialachais sonraí pearsanta cuntasacht: críocha próiseála, bonn dlíthiúil, coinneáil, rialuithe teicniúla agus eagraíochtúla, rialuithe próiseálaithe, taifid sáraithe agus fianaise ar chur chun feidhme an bheartais.
Díreoidh iniúchóir COBIT 2019 nó de stíl ISACA ar chomhpháirteanna córais rialachais: próisis, struchtúir eagraíochtúla, sreafaí faisnéise, beartais, róil, cultúr, scileanna agus seirbhísí. Fiafróidh sé an bhfuil úinéireacht sainithe, an ndéanann an bhainistíocht faireachán ar fheidhmíocht, an n-uaschéimnítear eisceachtaí, agus an dtacaíonn fianaise le hoibriú rialaithe agus le maoirseacht bainistíochta.
Is féidir leis an stór fianaise rialaithe céanna freastal orthu uile, ach amháin má tá doiciméid mapáilte, reatha, cosanta agus inrianaithe.
Teipeanna coitianta shaolré beartas le ceartú sula dtagann an t-iniúchóir
Is laigí bunúsacha rialachais iad formhór na dteipeanna shaolré beartas a athdhéantar ar fud timpeallachtaí:
- Tá beartais ann ach níl úinéir ainmnithe acu.
- Tá formheastóirí doiléir, as dáta nó róshóisearach don riosca.
- Formheastar beartais ach ní chumarsáidítear iad.
- Cailltear dátaí athbhreithnithe gan uaschéimniú.
- Fanann leaganacha as feidhm ar fáil i bhfillteáin chomhroinnte.
- Tagann nósanna imeachta salach ar bheartais.
- Formheastar eisceachtaí go neamhfhoirmiúil trí ríomhphost.
- Mapáiltear oibleagáidí dlíthiúla chuig creataí ach ní chuig rialuithe ná úinéirí iarbhír.
- Scaiptear fianaise iniúchta ar thiomántáin phearsanta, uirlisí ticéadaithe agus teachtaireachtaí comhrá.
- Níl tréimhsí coinneála sainithe nó cuirtear i bhfeidhm iad go neamh-chomhsheasmhach.
- Coinnítear taifid ach ní chosnaítear iad ar athrú neamhúdaraithe.
- Ní nascann beartais soláthraithe le cláir chonarthaí, dícheall cuí nó pleananna scoir.
- Ní ailíníonn nósanna imeachta teagmhais le pointí cinnteoireachta fógra NIS2, DORA nó GDPR.
Cruthaíonn na saincheisteanna seo frithchuimilt iniúchta toisc go mbaineann siad muinín den chorpus beartas. Mura féidir le hiniúchóir muinín a bheith aige sa chorpus beartas, rachaidh sé níos doimhne isteach in oibriú rialaithe.
Níorbh é plean leigheas Maria beartas eile a scríobh. Ba é foinse aonair fírinne a chruthú. D’ainmnigh sí Leabharlann Doiciméadachta ISMS oifigiúil amháin, d’aistrigh sí beartais reatha isteach inti, chartlannaigh sí láithreacha neamhrialaithe, chaighdeánaigh sí réimsí úinéara agus formheastóra, thóg sí sreafaí oibre formheasa, mhapáil sí beartais chuig oibleagáidí NIS2 agus DORA, agus thug sí rochtain inléite amháin d’iniúchóirí ar fhianaise struchtúrtha. D’éirigh an rud a bhí ina fhoinse imní ina léiriú ar rialú.
Bealach Clarysec chun cinn
Ní forchostas maorlathach é rialachas shaolré beartas. Is é an disciplín oibriúcháin é a dhéanann faisnéis dhoiciméadaithe ISO 27001, cuntasacht bainistíochta NIS2, rialachas riosca TFC DORA agus cuntasacht GDPR inchosanta.
Úsáid Zenith Blueprint: treochlár 30 céim don iniúchóir chun leabharlann an ISMS a thógáil sa chéim agus san ord ceart, go háirithe Céim 6 maidir le faisnéis dhoiciméadaithe agus Céim 22 maidir le rialachas beartas. Úsáid beartais FBM agus fiontair Clarysec chun ceanglais athbhreithnithe, formheasa, rialaithe leaganacha, cumarsáide, inrianaitheachta, lárú fianaise agus coinneála a shainiú. Úsáid Zenith Controls: an treoir thraschomhlíonta chun rialuithe ISO/IEC 27002:2022 amhail 5.1, 5.33 agus 5.37 a mhapáil chuig ionchais traschomhlíonta, tréithe rialaithe agus peirspictíochtaí iniúchta.
Sula gceannaíonn tú uirlis eile nó sula scríobhann tú beartas eile, freagair ceist amháin:
An féidir leat a chruthú go bhfuil gach beartas tábhachtach faoi úinéireacht, formheasta, reatha, cumarsáidithe, mapáilte, tacaithe le fianaise, athbhreithnithe, cosanta agus scortha i gceart?
Mura bhfuil an freagra dearfach fós, is féidir le Clarysec cabhrú leat leabharlann ISMS atá réidh ó thaobh fianaise de, sreabhadh oibre shaolré beartas agus mapáil traschomhlíonta a thógáil a mbíonn iniúchóirí, boird agus custaiméirí ag súil leo in 2026. Íoslódáil an Zenith Blueprint, déan iniúchadh ar phacáistí beartais FBM agus fiontair Clarysec, nó cuir measúnú ullmhachta in áirithe chun do leabharlann bheartas a iompú ina sócmhainn chomhlíonta inchosanta.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
