⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
HR EN BG CS DA DE EL ES ET FI FR GA HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 19

Opseg ISMS-a prema ISO 27001 za NIS2, DORA i GDPR

Igor Petreski
14 min read
#Upravljanje rizicima #Revizija #ISMS #Upravljanje dobavljačima #Zaštita podataka #Neprekidnost poslovanja #Upravljanje imovinom
Mapiranje opsega ISMS-a prema ISO 27001 za usklađenost s NIS2, DORA i GDPR

Maria, CISO u brzo rastućem europskom fintechu, smatrala je da je nadzorna revizija ISO 27001 pod kontrolom.

Certifikat je bio nov. Izjava o primjenjivosti djelovala je zrelo. Izjava o opsegu obuhvaćala je „korporativni sustav upravljanja informacijskom sigurnošću koji podržava operacije SaaS platforme”. Produkcijsko okruženje u oblaku bilo je dokumentirano. Postupak odgovora na incidente postojao je. Registar rizika imao je vlasnike, datume i ocjene preostalog rizika.

Zatim je revizor postavio jedno jednostavno pitanje:

„Koji su dijelovi ove SaaS platforme također u opsegu za registraciju prema NIS2, koje usluge povjerene vanjskim pružateljima podržavaju DORA kritične ili važne funkcije za vaše financijske klijente i gdje se točno obrađuju osobni podaci prema GDPR-u?”

U prostoriji je nastala tišina.

Pravni poslovi otvorili su tablicu regulatornih obveza. Produktni tim otvorio je arhitekturni dijagram. Službenik za zaštitu podataka (DPO) otvorio je evidenciju aktivnosti obrade. Nabava je otvorila popis dobavljača. Operacije su otvorile plan oporavka od katastrofe. Ništa se nije poklapalo.

Opseg ISMS-a glasio je „SaaS platforma”. Procjena prema NIS2 identificirala je usluge digitalne infrastrukture u nekoliko država članica. Ugovori s klijentima opisivali su platformu kao podršku reguliranim financijskim operacijama. GDPR evidencije uključivale su podatke o identitetu, telemetriju, IP adrese, metapodatke plaćanja, zahtjeve korisničke podrške i analitiku povjerenu podizvršiteljima obrade. Plan oporavka od katastrofe pokrivao je produkciju, ali ne i platformu korisničke podrške koja se koristi za komunikaciju o povredama. Dubinska analiza dobavljača obuhvatila je pružatelja hostinga, ali ne i upravljanu uslugu otkrivanja povezanu s produkcijskim dnevničkim zapisima.

To je problem definiranja opsega ISMS-a u 2026. Certifikacija ISO 27001 i dalje je vrijedna, ali uski „minimalno održiv opseg” može postati izvor odgovornosti kada nadzorna tijela, klijenti i revizori očekuju da isti sustav upravljanja objasni NIS2 ključne usluge, DORA kritične ili važne funkcije i granice obrade prema GDPR-u.

Za ISO/IEC 27001:2022, NIS2, DORA i GDPR slab opseg nije administrativni nedostatak. To je prva domina. Ako je opseg pogrešan, procjena rizika je nepotpuna, Izjava o primjenjivosti (SoA) dovodi u zabludu, kontrole dobavljača propuštaju kritične pružatelje, rokovi za prijavu incidenata postaju neizvjesni, a odgovornost za privatnost fragmentira se između timova.

Zašto je opseg ISMS-a prema ISO 27001 sada regulatorna granica

ISO/IEC 27001:2022 točka 4.3 zahtijeva da organizacija odredi granice i primjenjivost ISMS-a, uzimajući u obzir unutarnja i vanjska pitanja, zahtjeve zainteresiranih strana te sučelja i ovisnosti s drugim organizacijama ISO/IEC 27001:2022.

Takav izričaj u 2026. ima veću težinu nego u ranijim certifikacijskim ciklusima. NIS2, DORA, GDPR, ugovaranje usluga u oblaku, ugovori s klijentima, grupne tehnološke usluge i pružatelji upravljanih usluga nisu usputne napomene. Oni su ulazni podaci za određivanje granice ISMS-a.

NIS2 pojačava zahtjeve upravljanja za ključne i važne subjekte. Zahtijeva da upravljačka tijela odobre mjere upravljanja kibersigurnosnim rizicima, nadziru njihovu provedbu i pohađaju osposobljavanje. NIS2 Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere, uključujući analizu rizika, postupanje s incidentima, neprekidnost poslovanja, sigurnost lanca opskrbe, sigurnu nabavu i razvoj, procjenu učinkovitosti, kibernetičku higijenu, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom i višefaktorsku autentifikaciju gdje je primjenjivo.

DORA mijenja raspravu o opsegu za financijske subjekte. Primjenjuje se od 17. siječnja 2025. i uspostavlja jedinstvene zahtjeve za upravljanje IKT rizicima, prijavljivanje incidenata povezanih s IKT-om, testiranje digitalne operativne otpornosti, razmjenu informacija i upravljanje IKT rizicima trećih strana. DORA Article 6 zahtijeva dokumentiran okvir za upravljanje IKT rizicima. DORA Article 8 zahtijeva identifikaciju, klasifikaciju i dokumentiranje poslovnih funkcija koje podržava IKT, informacijske imovine i IKT imovine, uključujući ovisnosti. DORA Article 28 zahtijeva upravljanje IKT rizicima trećih strana.

GDPR dodaje os osobnih podataka. Primjenjuje se na automatiziranu ili strukturiranu obradu osobnih podataka, uključujući obradu koju provode subjekti s poslovnim nastanom u EU-u te određeni voditelji obrade ili izvršitelji obrade izvan EU-a koji nude robu ili usluge osobama u Uniji ili prate njihovo ponašanje. GDPR Article 30 zahtijeva evidenciju aktivnosti obrade, Article 32 zahtijeva sigurnost obrade, a Article 33 postavlja očekivanja u vezi s prijavom povrede.

Dokaziv opseg ISMS-a stoga se ne piše oko odjela. Piše se oko reguliranih usluga, kritičnih ili važnih funkcija, obrade osobnih podataka, prateće imovine i ovisnosti o trećim stranama.

Pogreška: tretiranje ISO 27001, NIS2, DORA i GDPR kao odvojenih programa

U mnogim organizacijama pojavljuje se uobičajen obrazac:

  • Sigurnost izrađuje opseg ISO 27001.
  • Pravni poslovi procjenjuju primjenjivost NIS2.
  • Rizici ili usklađenost upravljaju obvezama prema DORA.
  • Privatnost održava GDPR evidenciju aktivnosti obrade.
  • Nabava je vlasnik popisa dobavljača.
  • Operacije su vlasnik neprekidnosti poslovanja i oporavka od katastrofe.

Svaki tim može raditi razumno. Problem je u tome što regulirana stvarnost presijeca sve te domene.

Usluga korisničkog identiteta hostirana u oblaku može istodobno podržavati pružanje usluge prema NIS2, operacije klijenata regulirane prema DORA i obradu osobnih podataka prema GDPR-u. Pružatelj upravljanog otkrivanja može biti sigurnosni dobavljač, ovisnost odgovora na incidente, izvršitelj obrade ili podizvršitelj obrade dnevničkih podataka te ključan ulaz za odluke o regulatornom obavješćivanju. Platforma za podršku može se smatrati „neprodukcijskom”, a ipak obrađivati komunikaciju o povredi osobnih podataka i zahtjeve klijenata za dokazima.

ISMS je najbolje mjesto za integraciju tih obveza jer ISO 27001 nameće jedno disciplinirano pitanje: što je unutar granice, što je izvan nje i zašto?

Clarysecov Zenith Blueprint: revizorski plan u 30 koraka Zenith Blueprint obrađuje to u fazi Temelji ISMS-a i vodstvo, korak 2: potrebe dionika i opseg ISMS-a:

„Nakon razumijevanja konteksta i utvrđivanja zahtjeva dionika, točka 4.3 traži da odredite granice i primjenjivost ISMS-a kako biste uspostavili njegov opseg. Opseg ISMS-a ključna je definicija koja određuje što je uključeno u vaš program upravljanja sigurnošću, a što nije.”

Zenith Blueprint također ističe točku koju mnoge izjave o opsegu još uvijek propuštaju:

„Ako svoju IT infrastrukturu povjerite pružatelju usluga u oblaku, to je ne isključuje iz opsega; naprotiv, upravljanje tim odnosom i imovina u oblaku uključuju se kao dio opsega.”

Povjeravanje usluga vanjskim pružateljima premješta izvršenje. Ne uklanja odgovornost.

Model četiriju granica za opseg ISO 27001 u 2026.

Za organizacije na koje utječu NIS2, DORA i GDPR, Clarysec preporučuje definiranje opsega ISMS-a prema ISO 27001 kroz četiri povezane granice.

GranicaKljučno pitanje za određivanje opsegaTipični dokaziRegulatorna relevantnost
Granica uslugeKoje se usluge pružaju klijentima, građanima, pacijentima, financijskim subjektima ili drugim reguliranim dionicima?Katalog usluga, procjena primjenjivosti NIS2, ugovori s klijentima, arhitekturni dijagramiNIS2 klasifikacija ključnog ili važnog subjekta i analiza utjecaja usluge
Granica funkcijeKoji poslovni procesi ili IKT usluge podržavaju kritične ili važne funkcije?Analiza utjecaja na poslovanje (BIA), mapiranje DORA kritičnih funkcija, strategija otpornosti, zapisi o RTO i RPODORA upravljanje IKT rizicima, testiranje operativne otpornosti i rizik trećih strana
Granica obradeGdje se osobni podaci prikupljaju, pohranjuju, koriste, prenose, zapisuju u dnevnike, podržavaju ili brišu?Evidencija aktivnosti obrade (RoPA), mape tokova podataka, DPIA, popis izvršitelja obrade, raspored zadržavanjaGDPR odgovornost, sigurnost obrade i odgovor na povredu
Granica ovisnostiKoji dobavljači, usluge u oblaku, podizvršitelji obrade i interne dijeljene usluge podržavaju navedeno?Registar dobavljača, ugovori, inventar oblaka, planovi izlaska, zapisi o praćenjuNIS2 sigurnost lanca opskrbe, DORA IKT rizik trećih strana i ISO 27001 kontrole dobavljača

Slaba izjava o opsegu kaže samo „SaaS platforma”. Jača izjava navodi koje su poslovne usluge, sustavi, okruženja, lokacije, aktivnosti obrade podataka, skupine osoblja, odnosi s dobavljačima i procesi upravljanja uključeni.

Dokazivija verzija mogla bi glasiti:

„ISMS obuhvaća upravljanje, upravljanje rizicima, rad i kontinuirano poboljšanje informacijske sigurnosti za SaaS platformu društva za analitiku plaćanja u EU-u, uključujući produkcijska i neprodukcijska okruženja u oblaku, usluge korisničkog identiteta, administrativna sučelja, operacije podrške, platforme za zapisivanje događaja i praćenje, odgovor na incidente, neprekidnost poslovanja, upravljanje dobavljačima i sve aktivnosti obrade osobnih podataka koje podržavaju uslugu. ISMS uključuje upravljanje hostingom u oblaku povjerenim vanjskom pružatelju, upravljanim otkrivanjem i alatima korisničke podrške koji se koriste za pružanje usluge, otpornost, sigurnosno praćenje ili komunikacije povezane s GDPR-om.”

Taj opseg nije samo dulji. Lakše ga je revidirati jer povezuje usluge, imovinu, obradu i ovisnosti.

Kako Clarysec politike pretvaraju opseg u jezik upravljanja

Opseg ne smije živjeti u samostalnom dokumentu. Mora biti usklađen s politikom informacijske sigurnosti, pravnom i regulatornom usklađenošću, upravljanjem rizicima, privatnošću, upravljanjem dobavljačima, revizijskim kriterijima i planiranjem neprekidnosti.

Enterprise Politika informacijske sigurnosti Politika informacijske sigurnosti uklanja nejasnoće oko izuzeća:

„Sva izuzeća ili ograničenja ovog opsega moraju biti dokumentirana u Izjavi o opsegu ISMS-a i obrazložena formalnim odobrenjem najvišeg rukovodstva.”

Ta je odredba važna kada poslovna jedinica tvrdi da je korisnička podrška izvan platforme, iako agenti podrške pristupaju identifikatorima klijenata i obrađuju komunikaciju o povredama. Izuzeće je dopušteno samo ako je dokumentirano, obrazloženo i odobreno.

Enterprise Politika pravne i regulatorne usklađenosti Politika pravne i regulatorne usklađenosti pretvara pravno mapiranje u operativni proces:

„Sve pravne i regulatorne obveze moraju biti mapirane na konkretne politike, kontrole i vlasnike unutar sustava upravljanja informacijskom sigurnošću (ISMS).”

To je most između pravne primjenjivosti i Izjave o primjenjivosti. NIS2 Article 21 ne smije ostati u pravnom memorandumu. DORA IKT obveze trećih strana ne smiju ostati samo u smjernicama nabave. GDPR Article 30 i Article 32 ne smiju se nalaziti samo u registru privatnosti. Potrebni su im mapirani vlasnici, kontrole i dokazi.

Enterprise Politika upravljanja rizicima Politika upravljanja rizicima proširuje opseg na treće strane:

„Ova se politika primjenjuje na sve organizacijske jedinice, poslovne procese, sustave, osoblje i angažmane trećih strana uključene u postupanje s informacijskim resursima te njihov razvoj, pohranu ili upravljanje.”

Takav izričaj usklađen je s NIS2 sigurnošću lanca opskrbe, DORA IKT rizikom trećih strana i GDPR odgovornošću voditelja obrade ili izvršitelja obrade.

Enterprise Politika zaštite podataka i privatnosti Politika zaštite podataka i privatnosti veže opseg privatnosti uz obradu:

„Ova se politika primjenjuje na sve organizacijske jedinice, osoblje i sustave uključene u obradu osobnih podataka (PII), uključujući:”

Načelo je presudno. Ako sustav obrađuje PII, ne može biti nevidljiv ISMS-u zato što je „samo podrška”, „neprodukcijski” ili „u vlasništvu marketinga”.

Enterprise Politika neprekidnosti poslovanja i oporavka od katastrofe Politika neprekidnosti poslovanja i oporavka od katastrofe veže opseg uz rezultate BIA:

„Ova se politika primjenjuje na sve organizacijske jedinice, informacijske sustave, poslovne procese, osoblje i usluge trećih strana klasificirane kao kritične ili ključne na temelju rezultata analize utjecaja na poslovanje (BIA).”

Ta se odredba prirodno usklađuje s DORA kritičnim ili važnim funkcijama i NIS2 neprekidnošću usluge.

Za manje organizacije, Clarysecove SME politike zadržavaju sažet izričaj uz očuvanje iste logike. SME Politika praćenja revizije i usklađenosti Politika praćenja revizije i usklađenosti - SME definira revizijski obuhvat kao:

„Sve kontrole i sustavi unutar opsega sustava upravljanja informacijskom sigurnošću (ISMS)”

SME Politika zaštite podataka i privatnosti Politika zaštite podataka i privatnosti - SME definira opseg privatnosti kao:

„Svaki sustav, aplikaciju ili lokaciju u kojoj se osobni podaci pohranjuju ili prenose”

SME Politika upravljanja rizicima Politika upravljanja rizicima - SME zadržava vidljivost usluga povjerenih vanjskim pružateljima:

„Sve informacije, usluge i imovina kojima se upravlja interno ili putem trećih strana”

Kratke odredbe poput ovih snažne su jer sprječavaju da certifikacijska granica isključi regulirane podatke, usluge u oblaku ili imovinu kojom upravljaju dobavljači.

Popis imovine mjesto je gdje opseg postaje stvaran

Izjava o opsegu vjerodostojna je samo ako se može povezati s imovinom, vlasnicima, dobavljačima, tokovima podataka i dokazima.

Zenith Blueprint, u fazi Upravljanje rizicima, korak 9: Identifikacija imovine, prijetnji i ranjivosti, upućuje organizacije da popišu imovinu u opsegu ISMS-a te zabilježe vlasnika, lokaciju i klasifikaciju. Navodi praktičan primjer:

„Baza podataka klijenata – u vlasništvu IT odjela – hostirana na AWS-u – sadrži osobne i financijske podatke (visoka osjetljivost).”

Isti korak dodaje podsjetnik za opseg koji je izravno relevantan za NIS2 i GDPR:

„Osigurajte da je imovina s osobnim podacima označena (za relevantnost prema GDPR-u) i da je imovina kritičnih usluga evidentirana (za moguću primjenjivost NIS2 ako ste u reguliranom sektoru).”

Clarysecov Zenith Controls: vodič za višestruku usklađenost Zenith Controls tretira ISO/IEC 27002:2022 kontrolu 5.9, Popis informacija i druge povezane imovine, kao temeljnu kontrolu za višestruku usklađenost. Njezini atributi klasificiraju kontrolu kao preventivnu, koja podržava povjerljivost, cjelovitost i dostupnost, usklađenu s konceptom kibersigurnosti Identify, operativnom sposobnošću upravljanja imovinom te domenama upravljanja, ekosustava i zaštite.

Zenith Controls jasno objašnjava relevantnost za GDPR i NIS2:

„Bez točnog i ažurnog popisa imovine, organizacije ne mogu procijeniti ni provesti odgovarajuće zaštitne mjere.”

Za NIS2, popis imovine podržava identifikaciju kritičnih sustava i komponenti na kojima se temelje ključne ili važne usluge. Za DORA, DORA Article 8 čini identifikaciju IKT imovine i informacijske imovine središnjom za operativnu otpornost. Za GDPR, popis imovine podržava mapiranje tokova podataka, kvalitetu RoPA i odgovor na povredu.

Potporni ISO standardi potvrđuju istu logiku. ISO/IEC 27005:2024 jača identifikaciju imovine u procjeni rizika informacijske sigurnosti. ISO 22301:2019 podržava identifikaciju resursa potrebnih za neprekidnost poslovanja. ISO/IEC 19770-1:2017 podržava zrelost upravljanja IT imovinom. ISO/IEC 27017:2015 i ISO/IEC 27018:2019 podržavaju kontrole specifične za oblak i zaštitu PII u javnim oblacima. ISO/IEC 27701:2019 proširuje upravljanje informacijama o privatnosti. ISO/IEC 29100:2011 doprinosi načelima privatnosti kao što su transparentnost, minimizacija i sigurnosne zaštitne mjere.

Praktična vježba definiranja opsega za SaaS i fintech timove

Počnite s jednom reguliranom uslugom, ne s cijelom organizacijom. Na primjer: „SaaS za analitiku plaćanja u EU-u za financijske institucije.”

Zatim izradite mapu usluga–imovina–obrada.

Element opsegaPrimjer unosaZašto pripada opsegu
Regulirana uslugaSaaS za analitiku plaćanja u EU-uMože podržavati NIS2 klasifikaciju digitalne usluge i regulatorne obveze klijenata
Kritična ili važna funkcijaNadzorna ploča za praćenje transakcija za regulirane financijske klijenteKlijenti je mogu tretirati kao podršku DORA kritičnim ili važnim funkcijama
Obrada osobnih podatakaIdentitet korisnika, kontaktni podaci klijenata, IP adrese, zahtjevi korisničke podrške, revizijski zapisiGDPR se primjenjuje na automatiziranu ili strukturiranu obradu osobnih podataka
Temeljna imovinaProdukcijski tenant u oblaku, klaster baze podataka, API pristupnik, IAM, CI/CD cjevovod, skup alata za praćenjePotrebno za ISO 27001 procjenu rizika, NIS2 upravljanje imovinom i DORA IKT vidljivost
Ključni dobavljačiPružatelj usluga u oblaku, pružatelj upravljanog otkrivanja, SaaS korisničke podrške, usluga e-pošte, pružatelj sigurnosnog kopiranjaPotrebno za NIS2 sigurnost lanca opskrbe i DORA IKT rizik trećih strana
Ovisnosti neprekidnostiTrezor sigurnosnih kopija, regija za oporavak od katastrofe, komunikacije podrške, komunikacijski most za incidentePotrebno za DORA otpornost i NIS2 neprekidnost poslovanja
Vlasnici dokazaCISO, DPO, voditelj inženjeringa, voditelj nabave, vlasnik uslugePotrebno za revizijsku odgovornost i preispitivanje od strane uprave

Detaljniji uzorak imovine mogao bi izgledati ovako.

Naziv ili opis imovineVlasnikPodržana poslovna uslugaRegulatorna relevantnostU opsegu ISMS-a?Obrazloženje
Usluga autentifikacije klijenataVoditelj platformePrijava korisnika i MFADORA, GDPR, NIS2DaKritična je za pristup platformi i obrađuje osobne podatke
Pripremna baza podatakaDevOps timPredprodukcijsko testiranjeGDPRDaObrađuje pseudonimizirane osobne podatke i može utjecati na sigurnost produkcije
API treće strane za plaćanjaVoditelj proizvodaTemeljna obrada plaćanjaDORA, GDPRDa, upravljanje dobavljačemPodržava pružanje kritične usluge i obrađuje osobne ili financijske podatke
Interni wikiIT ManagerInterna dokumentacijaISO 27001DaSadrži konfiguracijske detalje, postupke i sigurnosnu dokumentaciju
Izolirana R&D mrežaVoditelj R&D-aBuduća istraživanjaTrenutačno nije primjenjivoNeOdvojena zračnim rasporom, bez produkcijskih podataka, bez PII, bez kritične funkcije, izuzeće formalno odobreno

Zatim upotrijebite Zenith Blueprint korak 13: Planiranje obrade rizika i Izjava o primjenjivosti. Vodič upućuje korisnike da izgrade SoA koristeći predložak koji navodi sve Annex A kontrole i da odluče o primjenjivosti na temelju obrade rizika, pravnih ili ugovornih zahtjeva, relevantnosti opsega i organizacijskog konteksta. Navodi:

„Za svaku kontrolu (redak) u SoA listu odlučite je li primjenjiva na vaš ISMS.”

Za prethodni primjer, SoA treba razmotriti kontrole za sigurnost dobavljača, usluge u oblaku, upravljanje incidentima, neprekidnost, pravne i regulatorne zahtjeve, privatnost, upravljanje ranjivostima, sigurnosne kopije, zapisivanje događaja, praćenje, kriptografiju, siguran razvoj, sigurnosno testiranje i upravljanje promjenama.

Praktičan tijek rada je:

  1. Izradite karticu „Mapiranje opsega ISMS-a” u Registru rizika i alatu za izradu SoA.
  2. Dodajte jedan redak po reguliranoj usluzi ili proizvodnoj liniji.
  3. Povežite svaku uslugu s imovinom, vrstama podataka, dobavljačima, lokacijama i poslovnim vlasnicima.
  4. Označite relevantnost za NIS2, relevantnost za DORA i relevantnost obrade prema GDPR-u.
  5. Dodajte scenarije rizika za nedostupnost usluge, povredu osobnih podataka, neuspjeh dobavljača, pogrešnu konfiguraciju oblaka, kritičnu ranjivost i neuspjeh prijavljivanja incidenta.
  6. Odaberite SoA kontrole na temelju tih rizika i obveza.
  7. Dokumentirajte izuzeća, kompenzacijske kontrole i prihvaćanje rizika.
  8. Ishodite odobrenje najvišeg rukovodstva za konačne granice i izuzeća.
  9. Uključite konačnu granicu u internu reviziju, preispitivanje od strane uprave i praćenje dobavljača.

Ishod nije samo bolja izjava o opsegu. To je dokaziv lanac od regulirane usluge do imovine, dobavljača, podataka, kontrole, vlasnika i dokaza.

Mapiranje višestruke usklađenosti: jedan opseg, mnogo obveza

Dobro definiran opseg ISMS-a prema ISO 27001 postaje operativni sloj u kojem se mogu uskladiti očekivanja NIS2, DORA, GDPR, NIST CSF i COBIT.

ISO/IEC 27002:2022 kontrolaPrimarna vrijednost za opsegRelevantnost za NIS2Relevantnost za DORARelevantnost za GDPRRelevantnost za NIST CSF i COBIT
5.9 Popis informacija i druge povezane imovineIdentificira imovinu, vlasnike, lokacije, klasifikaciju i ovisnosti uslugaPodržava Article 21 upravljanje imovinom i identifikaciju sustava koji podržavaju uslugePodržava Article 8 identifikaciju IKT imovine, informacijske imovine i funkcijaPodržava točnost RoPA, sigurnost obrade i istragu povredeMapira se na NIST CSF ID.AM i COBIT 2019 BAI09 Manage Assets
5.31 Pravni, zakonski, regulatorni i ugovorni zahtjeviPovezuje obveze s politikama, kontrolama, vlasnicima i dokazimaPodržava upravljanje NIS2 obvezama i usklađenost lanca opskrbePodržava upravljanje IKT rizicima, izvješćivanje i obveze trećih stranaPodržava odgovornost i usklađenost s pravnim zahtjevimaMapira se na NIST CSF GOVERN i COBIT 2019 MEA03 Managed Compliance with External Requirements
5.34 Privatnost i zaštita PIIOsigurava vidljivost i zaštitu obrade osobnih podatakaPodržava zaštitu podataka primatelja usluge gdje je relevantnoPodržava cjelovitost, sigurnost i povjerljivost podataka u IKT uslugamaPodržava GDPR Article 32 i očekivanja zaštite podataka u fazi projektiranjaPodržava upravljanje privatnošću i operativno upravljanje privatnošću

Za ISO/IEC 27002:2022 kontrolu 5.31, Pravni, zakonski, regulatorni i ugovorni zahtjevi, Zenith Controls povezuje obveze usklađenosti s privatnošću, zaštitom PII, zadržavanjem zapisa, neovisnim pregledom i usklađenošću s internim politikama. Prirodno se mapira na GDPR odgovornost, NIS2 usklađenost lanca opskrbe, DORA upravljanje IKT rizicima i usklađenost, upravljanje prema NIST CSF-u i COBIT 2019 praćenje vanjske usklađenosti.

Za ISO/IEC 27002:2022 kontrolu 5.34, Privatnost i zaštita PII, Zenith Controls povezuje privatnost s popisom imovine, uslugama u oblaku, klasifikacijom, prijenosom informacija, kontrolom pristupa, upravljanjem identitetom i pregledima projektnih promjena. Mapiranje na GDPR obuhvaća sigurnost obrade i zaštitu podataka u fazi projektiranja. Mapiranje na DORA podržava cjelovitost, sigurnost i povjerljivost podataka, uključujući osobne podatke kojima se rukuje u IKT uslugama.

Načelo je jednostavno: nemojte stvarati četiri nepovezana programa usklađenosti. Uspostavite jedan ISMS s definiranim opsegom koji može objasniti kako se obveze ispunjavaju, dokazuju i revidiraju.

Opseg prijavljivanja incidenata: gdje granice utječu na regulatorne rokove

Netočan opseg postaje bolno vidljiv tijekom incidenata.

NIS2 Article 23 zahtijeva fazno prijavljivanje značajnih incidenata, uključujući rano upozorenje u roku od 24 sata, obavijest o incidentu u roku od 72 sata, privremena izvješća kada se zatraže i završno izvješće u roku od jednog mjeseca. Može biti potrebna i komunikacija prema pogođenim primateljima.

DORA zahtijeva od financijskih subjekata da otkrivaju, upravljaju, klasificiraju i prijavljuju velike incidente povezane s IKT-om koristeći kriterije kao što su pogođeni klijenti ili druge ugovorne strane, trajanje, vrijeme prekida, geografska rasprostranjenost, gubici podataka, kritičnost pogođenih usluga i ekonomski utjecaj. Klijenti moraju biti obaviješteni bez nepotrebnog odgađanja kada veliki IKT incident utječe na njihove financijske interese.

Prijava povrede osobnih podataka prema GDPR-u ovisi o tome dovodi li povreda do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili pristupa osobnim podacima.

Ako su platforma za podršku, okruženje dnevničkih zapisa, usluga identiteta, kanal za obavješćivanje klijenata ili pružatelj upravljanog otkrivanja izvan opsega ISMS-a, timovi za incidente možda neće znati pokreće li događaj NIS2, DORA, GDPR, ugovorno izvješćivanje prema klijentu ili sve navedeno. Ta neizvjesnost troši vrijeme za prijavu.

Zreo opseg uključuje ovisnosti relevantne za incidente: alate za otkrivanje, spremišta dnevničkih zapisa, forenzičke repozitorije, komunikacijske kanale prema klijentima, alate podrške, okruženja sigurnosnih kopija, komunikacijske mostove za incidente i dobavljače uključene u trijažu ili oporavak.

Kako će revizori i nadzorna tijela testirati opseg vašeg ISMS-a

Snažan opseg izdržava uzorkovanje. Slab opseg pada kada revizori usporede dokumente sa stvarnošću.

Revizijska perspektivaŠto će revizor testiratiTipično traženi dokazi
ISO 27001 revizorUzima li opseg u obzir kontekst, zahtjeve zainteresiranih strana, sučelja, ovisnosti i dokumentirana izuzećaIzjava o opsegu ISMS-a, registar zainteresiranih strana, pravni registar, popis imovine, SoA, odobrenje uprave
Procjenitelj usmjeren na NISTJesu li imovina, dobavljači, odgovori na rizik, praćenje i kriteriji incidenata usklađeni s navedenom granicomTrenutačni i ciljni profili, popis imovine, registar rizika, akcijski plan, obuhvat praćenja, planovi odgovora na incidente
COBIT 2019 revizorObuhvaća li upravljanje vanjske obveze, kritične usluge, praćenje usklađenosti i odgovornostIzvješća odboru, mapiranja usklađenosti, vlasništvo nad uslugama, nadzorne ploče rizika, praćenje u stilu MEA03
ISACA ITAF revizorJesu li dokazi dostatni, prikladni i sljedivi od obveza do kontrola i ishodaUzorkovana imovina, ugovori s dobavljačima, zapisi dnevnika, pravni registar, revizijski tragovi, razgovori s vlasnicima
DORA pregledavateljJesu li identificirane i testirane IKT imovina i usluge trećih strana koje podržavaju kritične ili važne funkcijeIKT registar, mapiranje kritičnih funkcija, ugovori, planovi izlaska, rezultati testiranja, zapisi o incidentima
Revizor privatnostiJe li obrada osobnih podataka popisana, zaštićena i povezana s kontrolamaRoPA, DPIA, ugovori s izvršiteljima obrade, evidencije pristupa, dokazi zadržavanja, postupci za povrede

Zenith Controls daje korisna revizijska očekivanja za ISO/IEC 27002:2022 kontrolu 5.9. Revizori koji primjenjuju pristup ISO/IEC 19011 traže inventar rano kako bi odredili opseg drugih evaluacija i nasumično provjerili fizičku, softversku i oblačnu imovinu. Revizori koji primjenjuju pristup ISO/IEC 27007 pitaju kako i kada se inventar ažurira, tražeći poveznice s nabavom, upravljanjem promjenama i stavljanjem izvan pogona. Revizori koji primjenjuju pristup NIST SP 800-53A provjeravaju uključuju li detalji inventara vrstu imovine, vlasnika, lokaciju, mrežnu adresu gdje je primjenjivo i status te jesu li uključeni oblačni, virtualni i mobilni resursi.

Za kontrolu 5.31, Zenith Controls navodi da certifikacijski revizori očekuju registar usklađenosti ili popis zakona i ugovora, referenciran u SoA i planovima obrade rizika. COBIT revizori traže vlasnike usklađenosti, procjene i izvješćivanje višem rukovodstvu. ISACA ITAF revizori uzorkuju dokaze kako bi potvrdili da organizacija ne samo da poznaje svoje obveze, nego aktivno osigurava njihovo ispunjavanje.

Za kontrolu 5.34, revizori pregledavaju politike privatnosti, popise podataka, DPIA, dnevnike osposobljavanja, dokaze šifriranja, kontrole pristupa, uzorke DSAR zahtjeva, dokaze zaštite privatnosti u fazi projektiranja i zapise o incidentima koji uključuju PII. Izjava o opsegu koja isključuje sustav koji obrađuje osobne podatke brzo će biti osporena.

Pitanje upravnog odbora: što se ne može isključiti?

Najviše rukovodstvo često pita može li poslovna jedinica, lokacija, dobavljač ili sustav ostati izvan opsega ISMS-a. Ponekad je odgovor da. Ali ne ako izuzeće sprječava organizaciju u ispunjavanju pravnih, regulatornih, ugovornih ili sigurnosnih obveza usluge.

Upotrijebite ovaj test izuzeća prije odobravanja bilo kojeg ograničenja granice:

  • Podržava li jedinica, sustav ili dobavljač uslugu reguliranu prema NIS2?
  • Podržava li DORA kritičnu ili važnu funkciju za organizaciju ili njezine regulirane klijente?
  • Prikuplja li, pohranjuje, prenosi, zapisuje u dnevnike, podržava ili briše osobne podatke?
  • Pruža li sigurnosno praćenje, identitet, sigurnosno kopiranje, odgovor na incidente ili oporavak za uslugu u opsegu?
  • Pruža li dokaze potrebne za klasifikaciju incidenta ili regulatorno obavješćivanje?
  • Zahtijeva li ugovor s klijentom da bude obuhvaćen ISMS-om?
  • Bi li njegova kompromitacija utjecala na povjerljivost, cjelovitost, dostupnost, usklađenost s pravnim zahtjevima ili neprekidnost usluge unutar navedenog opsega?

Ako je odgovor da, izuzeće zahtijeva snažne dokaze, kompenzacijsko upravljanje, prihvaćanje rizika i formalno odobrenje najvišeg rukovodstva. U mnogim slučajevima ne smije biti isključeno.

Suvremeni opseg ISMS-a prema ISO 27001 treba uključivati:

  1. Obuhvaćene poslovne usluge i proizvodne linije.
  2. Obuhvaćene pravne osobe, organizacijske jedinice i lokacije.
  3. Segmente klijenata i jurisdikcije koje stvaraju obveze.
  4. Kritične ili važne funkcije i ključne usluge temeljene na BIA.
  5. Informacijsku imovinu, IKT imovinu i okruženja u oblaku.
  6. Aktivnosti obrade osobnih podataka i repozitorije PII.
  7. Procese razvoja, testiranja, podrške, praćenja i incidenata.
  8. Dobavljače i usluge povjerene vanjskim pružateljima koje podržavaju usluge u opsegu.
  9. Sučelja i ovisnosti s društvima u grupi ili vanjskim pružateljima.
  10. Izričita izuzeća s obrazloženjem, prihvaćanjem rizika i odobrenjem najvišeg rukovodstva.

Tako opseg ISO 27001 postaje stav upravljanja na razini odbora, a ne prečac za certifikaciju.

Učinite opseg ISMS-a spremnim za reviziju prije nego što ga revizor definira umjesto vas

Najgore vrijeme za otkrivanje problema s opsegom jest tijekom certifikacije, nadzornog pregleda, dubinske analize klijenta ili aktivnog incidenta.

Uski certifikat može zadovoljiti nabavnu kvačicu, ali neće izdržati ozbiljnu provjeru ako isključuje usluge, IKT funkcije, dobavljače i obradu osobnih podataka koji stvaraju regulatornu izloženost. U 2026. organizacije koje će s povjerenjem prolaziti revizije bit će one koje mogu pokazati jednu koherentnu mapu od regulirane usluge do imovine, dobavljača, osobnih podataka, kontrole, vlasnika i dokaza.

Počnite s tri konkretne radnje:

  1. Upotrijebite Zenith Blueprint Zenith Blueprint fazu Temelji ISMS-a i vodstvo, korak 2, kako biste ponovno oblikovali opseg ISMS-a oko usluga, funkcija, obrade i ovisnosti.
  2. Upotrijebite Zenith Controls Zenith Controls za mapiranje popisa imovine, pravnih obveza i zaštite PII kroz revizijska očekivanja ISO 27001, NIS2, DORA, GDPR, NIST i COBIT 2019.
  3. Uskladite opseg politika koristeći Clarysecovu Politiku informacijske sigurnosti Politika informacijske sigurnosti, Politiku pravne i regulatorne usklađenosti Politika pravne i regulatorne usklađenosti, Politiku upravljanja rizicima Politika upravljanja rizicima, Politiku zaštite podataka i privatnosti Politika zaštite podataka i privatnosti i Politiku neprekidnosti poslovanja i oporavka od katastrofe Politika neprekidnosti poslovanja i oporavka od katastrofe.

Ako vaš trenutačni opseg ISMS-a još uvijek zvuči kao oznaka odjela, ponovno ga izgradite kao granicu usklađenosti. Preuzmite Clarysec alate, mapirajte jednu reguliranu uslugu od početka do kraja i pretvorite svoj opseg ISO 27001 u revizijski spremne dokaze za NIS2, DORA i GDPR.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles