Plan oporavka nakon neuspjele revizije ISO 27001:2022
E-pošta koju nitko nije želio primiti
Poruka stiže kasno u petak s naizgled bezazlenim predmetom: „Ishod prijelazne revizije.”
Sadržaj nije bezazlen. Certifikacijsko tijelo utvrdilo je veću nesukladnost. Certifikat ISO/IEC 27001 je suspendiran ili se odluka o prijelazu ne može zaključiti. Napomena revizora je izravna: Izjava o primjenjivosti ne opravdava isključene kontrole, procjena rizika ne odražava trenutačni kontekst, a dokazi da su nove regulatorne obveze razmotrene nisu dostatni.
U roku od sat vremena problem više nije samo pitanje usklađenosti. Prodaja pita je li javni natječaj sada ugrožen. Pravni poslovi pregledavaju ugovorne odredbe s klijentima. CISO objašnjava zašto SoA nije usklađena s planom obrade rizika. CEO postavlja jedino pitanje koje je važno: „Koliko brzo to možemo popraviti?”
Za mnoge organizacije protek roka za prijelaz na ISO 27001:2022 nije stvorio teoretsku prazninu. Stvorio je stvarni problem kontinuiteta poslovanja. Propuštena ili neuspjela prijelazna revizija za ISO 27001:2022 može utjecati na prihvatljivost za natječaje, uključivanje dobavljača, kibernetičko osiguranje, programe dokazivanja sigurnosti prema zahtjevima klijenata, spremnost za NIS2, očekivanja DORA, odgovornost prema GDPR i povjerenje upravnog odbora.
Dobra je vijest da je oporavak moguć. Loša je vijest da kozmetičke izmjene dokumenata neće pomoći. Oporavak se mora tretirati kao disciplinirani program korektivnih radnji u okviru ISMS-a, a ne kao užurbano prepisivanje politika.
U Clarysecu ovaj oporavak organiziramo oko triju povezanih resursa:
- Zenith Blueprint: An Auditor’s 30-Step Roadmap, osobito faze Audit, Review & Improvement.
- Clarysecove biblioteke politika za velike organizacije i SME, koja revizijske nalaze pretvara u upravljane obveze.
- Zenith Controls: The Cross-Compliance Guide, koji pomaže povezati očekivanja kontrola ISO/IEC 27002:2022 s NIS2, DORA, GDPR, NIST pristupom dokazivanja i perspektivama upravljanja prema COBIT 2019.
Ovo je praktičan plan oporavka za CISO-e, rukovoditelje usklađenosti, revizore, osnivače i vlasnike poslovanja koji su propustili rok za prijelaz na ISO 27001:2022 ili nisu prošli prijelaznu reviziju.
Najprije dijagnosticirajte način neuspjeha
Prije uređivanja ijedne politike klasificirajte situaciju. Nema svaki neuspjeli ili propušteni prijelaz jednak poslovni učinak ni isti put oporavka. Prva 24 sata trebaju biti usmjerena na pribavljanje revizijskog izvješća, odluke certifikacijskog tijela, formulacije nesukladnosti, zahtjeva za dokazima, rokova i trenutačnog statusa certifikata.
| Situacija | Poslovni učinak | Neposredna radnja |
|---|---|---|
| Prijelazna revizija nije prošla zbog veće nesukladnosti | Certifikacijska odluka može biti blokirana ili certifikat može biti suspendiran dok se problem ne ispravi | Otvoriti CAPA, provesti analizu temeljnog uzroka, potvrditi očekivanja u pogledu dokaza s certifikacijskim tijelom |
| Prijelazna revizija prošla je uz manje nesukladnosti | Certifikacija se može nastaviti ako se korektivne radnje prihvate | Brzo zatvoriti manje CAPA stavke i ažurirati paket dokaza ISMS-a |
| Prijelaz nije dovršen prije roka | Certifikat možda više nije valjan ili priznat | Potvrditi status s certifikacijskim tijelom i planirati postupak prijelaza ili ponovne certifikacije |
| Nadzorna revizija otkrila je slabe dokaze o prijelazu | Certifikacija može biti ugrožena pri sljedećoj odluci | Provesti probnu reviziju i ažurirati SoA, obradu rizika, preispitivanje uprave i zapise interne revizije |
| Klijent je odbio vaš certifikat ili dokaze o prijelazu | Komercijalni rizik, rizik natječaja i utjecaj na povjerenje | Pripremiti paket za dokazivanje sigurnosti klijentu sa statusom revizije, CAPA planom, ciljanim datumima i odobrenjem uprave |
Plan oporavka ovisi o načinu neuspjeha. Blokirana certifikacijska odluka zahtijeva ciljano otklanjanje nedostataka. Suspendirani certifikat zahtijeva hitnu korekciju upravljanja i dokaza. Povučeni ili istekli certifikat može zahtijevati širi postupak ponovne certifikacije.
U svakom slučaju svaku stavku treba mapirati na relevantnu točku ISMS-a, kontrolu iz Priloga A, zapis rizika, vlasnika politike, pravnu ili ugovornu obvezu i izvor dokaza.
Tu je ISO/IEC 27001:2022 važan kao sustav upravljanja, a ne samo kao katalog kontrola. Točke 4 do 10 zahtijevaju da ISMS razumije kontekst, zainteresirane strane, opseg, vodstvo, planiranje rizika, podršku, operacije, vrednovanje uspješnosti i kontinuirano poboljšanje. Ako je prijelaz neuspješan, jedna od tih poveznica sustava upravljanja obično je prekinuta.
Zašto prijelazne revizije za ISO 27001:2022 ne uspijevaju
Neuspjele prijelazne revizije najčešće se grupiraju oko ponavljajućih obrazaca. Mnogi nisu izrazito tehnički. Riječ je o neuspjesima u upravljanju, sljedivosti, vlasništvu i dokazima.
| Obrazac nalaza | Što revizor vidi | Što to obično znači |
|---|---|---|
| Izjava o primjenjivosti nije ažurirana ili nije obrazložena | Kontrole su označene kao primjenjive bez obrazloženja ili su isključene bez dokaza | Odabir kontrola nije sljediv do rizika, propisa ili poslovne potrebe |
| Procjena rizika ne odražava trenutačne obveze | Nedostaju NIS2, DORA, GDPR, ugovori s klijentima, ovisnosti o oblaku ili rizik dobavljača | Kontekst i kriteriji rizika nisu osvježeni |
| Preispitivanje uprave je površno | Zapisnik postoji, ali se ne raspravlja o odlukama, resursima, ciljevima, rezultatima revizije ili promjenama rizika | Odgovornost vodstva nije operativno uspostavljena |
| Interna revizija nije testirala opseg prijelaza | Revizijski kontrolni popis je generički i ne obuhvaća ažurirane kontrole, dobavljače, oblak, otpornost ili pravne obveze | Vrednovanje uspješnosti nije dostatno |
| Kontrole dobavljača i oblaka su slabe | Nema dubinske analize dobavljača, pregleda ugovora, planiranja izlaska ili kontinuiranog praćenja | Operativna kontrola nad uslugama koje pružaju vanjske strane nije potpuna |
| Odgovor na incidente nije usklađen s regulatornim izvješćivanjem | Nema logike eskalacije od 24 ili 72 sata, nema stabla odlučivanja za DORA ili GDPR, nema dokaza o vježbama | Upravljanje incidentima nije povezano s pravnim izvješćivanjem |
| CAPA proces je slab | Nalazi se zatvaraju samo izmjenama dokumenata | Temeljni uzrok nije uklonjen |
Neuspjela revizija signal je da se ISMS nije dovoljno brzo prilagodio stvarnom operativnom okruženju organizacije.
ISO/IEC 27005:2022 koristan je u oporavku jer naglašava važnost uspostave konteksta na temelju pravnih, regulatornih, sektorskih, ugovornih, internih i postojećih zahtjeva kontrola. Podržava i kriterije rizika koji uzimaju u obzir pravne obveze, dobavljače, privatnost, ljudske čimbenike, poslovne ciljeve i apetit za rizik koji je odobrila uprava.
U praksi oporavak prijelaza počinje osvježenim kontekstom i kriterijima rizika, a ne novim brojem verzije na starom dokumentu.
Korak 1: Zamrznite revizijski zapis i uspostavite zapovjedni centar za oporavak
Prva operativna pogreška nakon neuspjele revizije jest kaos s dokazima. Timovi počinju pretraživati pretince e-pošte, dijeljene diskove, sustave za evidentiranje zahtjeva, poruke u chatu, osobne mape i stare revizijske pakete. Revizori to tumače kao znak da ISMS nije pod kontrolom.
Clarysecova SME Audit and Compliance Monitoring Policy - SME izričita je u pogledu kontrole dokaza:
„Svi dokazi moraju biti pohranjeni u centraliziranoj mapi za reviziju.”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka politike 6.2.1.
Ta centralizirana mapa za reviziju postaje upravljačko mjesto oporavka. Treba sadržavati:
- Izvješće i korespondenciju certifikacijskog tijela.
- Potvrdu statusa certifikata.
- Registar nesukladnosti.
- CAPA zapisnik.
- Ažuriranu procjenu rizika.
- Ažurirani plan obrade rizika.
- Ažuriranu Izjavu o primjenjivosti.
- Izvješće interne revizije.
- Zapisnik preispitivanja uprave.
- Zapise o odobrenju politika.
- Dokaze za svaku primjenjivu kontrolu iz Priloga A.
- Paket za dokazivanje sigurnosti klijentu, ako su pogođene komercijalne obveze.
Za korporativna okruženja Clarysecova Audit and Compliance Monitoring Policy postavlja isto upravljačko očekivanje:
„Svi nalazi moraju rezultirati dokumentiranom CAPA koja uključuje:”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka politike 6.2.1.
Ta formulacija uvodi očekivanje strukturirane korektivne radnje. Ključna je poruka jednostavna: svaki revizijski nalaz mora postati upravljana CAPA stavka, a ne neformalni zadatak u nečijoj bilježnici.
Za SME jednako je važno sudjelovanje vodstva:
„GM mora odobriti plan korektivnih radnji i pratiti njegovu implementaciju.”
Iz Audit and Compliance Monitoring Policy - SME, odjeljak „Zahtjevi upravljanja”, točka politike 5.4.2.
To je važno jer ISO 27001:2022 ne tretira vodstvo simbolički. Najviše rukovodstvo mora uspostaviti politiku, uskladiti ciljeve s poslovnom strategijom, osigurati resurse, komunicirati važnost informacijske sigurnosti, dodijeliti odgovornosti i poticati kontinuirano poboljšanje.
Ako se neuspjeli prijelaz tretira kao „problem osobe zadužene za usklađenost”, sljedeća revizija ponovno će otkriti slabu odgovornost vodstva.
Korak 2: Ponovno izgradite kontekst, obveze i rizik
Neuspjela prijelazna revizija često znači da kontekst ISMS-a više ne odražava stvarnost organizacije. Organizacija je možda prešla na platforme u oblaku, dodala nove dobavljače, ušla na regulirana tržišta, obrađuje više osobnih podataka ili je postala relevantna za klijente prema NIS2 ili DORA. Ako te promjene nedostaju u ISMS-u, procjena rizika i SoA bit će nepotpuni.
Clarysecova Legal and Regulatory Compliance Policy postavlja polaznu osnovu:
„Sve pravne i regulatorne obveze moraju biti mapirane na određene politike, kontrole i vlasnike unutar sustava upravljanja informacijskom sigurnošću (ISMS).”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka politike 6.2.1.
Ova je točka ključna nakon neuspjeha prijelaza. Točke 4.1 do 4.3 norme ISO 27001:2022 zahtijevaju da organizacije razmotre interna i vanjska pitanja, zainteresirane strane, zahtjeve, sučelja, ovisnosti i opseg. Pravne, regulatorne i ugovorne obveze nisu sporedne napomene. One oblikuju ISMS.
NIS2 Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere, uključujući analizu rizika, politike, postupanje s incidentima, sigurnosno kopiranje, oporavak od katastrofe, krizno upravljanje, sigurnost opskrbnog lanca, siguran razvoj, postupanje s ranjivostima, procjene učinkovitosti, kibernetičku higijenu, osposobljavanje, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom i sigurne komunikacije. Article 20 postavlja odgovornost na razini upravljačkog tijela. Article 23 uvodi fazno prijavljivanje značajnih incidenata, uključujući rano upozorenje, obavijest o incidentu, ažuriranja i završno izvješćivanje.
DORA se izravno primjenjuje na financijske subjekte od 17. siječnja 2025. i obuhvaća upravljanje IKT rizicima, prijavljivanje većih incidenata, testiranje otpornosti, IKT rizik trećih strana, ugovorne zahtjeve i nadzor nad kritičnim IKT pružateljima trećih strana. Za financijske subjekte u opsegu DORA postaje ključni pokretač IKT upravljanja, kontrole dobavljača, testiranja, klasifikacije incidenata i odgovornosti uprave.
GDPR dodaje odgovornost za osobne podatke. Article 5 zahtijeva zakonitu, poštenu, transparentnu, ograničenu, točnu, vremenski ograničenu i sigurnu obradu, uz dokazivu usklađenost. Article 4 definira povredu osobnih podataka na način koji izravno utječe na klasifikaciju incidenata. Article 6 zahtijeva mapiranje pravne osnove, a Article 9 dodaje pojačane zahtjeve za posebne kategorije podataka.
To ne znači stvaranje odvojenih svjetova usklađenosti. To znači korištenje ISO 27001:2022 kao integriranog sustava upravljanja i mapiranje obveza u jedinstvenu arhitekturu rizika i kontrola.
Clarysecova Risk Management Policy izravno povezuje obradu rizika s odabirom kontrola:
„Odluke o kontrolama koje proizlaze iz procesa obrade rizika moraju se odražavati u SoA.”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka politike 6.5.1.
Neuspjela revizija također je razlog za pregled samog procesa upravljanja rizicima. Clarysecova SME Risk Management Policy - SME prepoznaje ovaj okidač:
„Veći incident ili nalaz revizije otkriva praznine u upravljanju rizicima”
Iz odjeljka „Zahtjevi za pregled i ažuriranje”, točka politike 9.2.1.1.
U načinu oporavka to znači da se registar rizika, kriteriji rizika, plan obrade i SoA moraju ponovno izgraditi zajedno.
Korak 3: Popravite SoA kao okosnicu sljedivosti
U većini neuspjelih prijelaza Izjava o primjenjivosti prvi je dokument koji treba pregledati. To je ujedno jedan od prvih dokumenata koje revizori uzorkuju. Slaba SoA revizoru pokazuje da odabir kontrola nije temeljen na riziku.
Zenith Blueprint daje praktičnu uputu u fazi Audit, Review & Improvement, korak 24, Audit, Review & Improvement:
„Vaša SoA treba biti usklađena s vašim Registrom rizika i Planom obrade rizika. Dvaput provjerite da je svaka kontrola koju ste odabrali kao obradu rizika označena kao ‘primjenjiva’ u SoA. Obrnuto, ako je kontrola u SoA označena kao ‘primjenjiva’, morate imati obrazloženje za to - obično mapirani rizik, pravni/regulatorni zahtjev ili poslovnu potrebu.”
Iz Zenith Blueprint: An Auditor’s 30-Step Roadmap, faza Audit, Review & Improvement, korak 24.
To je načelo oporavka. SoA nije formalnost. Ona je okosnica sljedivosti između rizika, obveza, kontrola, dokaza implementacije i zaključaka revizije.
Praktična vježba korekcije SoA treba slijediti ovaj redoslijed:
- Izvezite trenutačnu SoA.
- Dodajte stupce za ID rizika, regulatornu obvezu, poslovni zahtjev, referencu politike, lokaciju dokaza, vlasnika, status implementacije i datum posljednjeg testiranja.
- Za svaku primjenjivu kontrolu mapirajte barem jedno dokazivo obrazloženje.
- Za svaku isključenu kontrolu napišite konkretan razlog isključenja.
- Uskladite SoA s planom obrade rizika.
- Uskladite SoA s rezultatima interne revizije.
- Postavite teško pitanje: ako revizor uzorkuje ovaj redak, možemo li ga dokazati u pet minuta?
Dokaziv redak SoA treba izgledati ovako:
| Polje SoA | Primjer unosa za oporavak |
|---|---|
| Obrazloženje kontrole | Primjenjivo zbog hostinga u oblaku, procesora plaćanja, vanjski ugovorene podrške i ugovornih sigurnosnih obveza prema klijentima |
| Poveznica s rizikom | R-014 prekid usluge treće strane, R-021 izloženost podataka kod dobavljača, R-027 regulatorna povreda zbog neuspjeha izvršitelja obrade |
| Poveznica s obvezom | NIS2 sigurnost opskrbnog lanca, DORA IKT rizik trećih strana gdje je primjenjivo, GDPR odgovornost izvršitelja obrade |
| Poveznica s politikom | Politika sigurnosti trećih strana i dobavljača, postupak pregleda ugovora, kontrolni popis procjene dobavljača |
| Dokazi | registar dobavljača, ocjene rizika, upitnik dubinske analize dobavljača, potpisani ugovor o obradi podataka, pregled SOC izvješća, plan izlaska, zapis godišnjeg pregleda |
| Vlasnik | voditelj dobavljača, CISO, pravni poslovi |
| Testiranje | Uzorak interne revizije za pet najkritičnijih dobavljača dovršen, iznimke evidentirane u CAPA |
| Status | Implementirano uz dvije otvorene korektivne radnje za ažuriranje ugovora |
Ovaj redak priča priču oporavka. Prikazuje poslovni kontekst, logiku rizika, regulatornu relevantnost, vlasništvo, implementaciju, testiranje i preostalu radnju.
Ista disciplina vrijedi za isključenja. Primjerice, ako organizacija ne provodi interni razvoj softvera, isključenje za kontrolu ISO/IEC 27002:2022 8.25 Secure development life cycle i kontrolu 8.28 Secure coding može biti dokazivo, ali samo ako je istinito, dokumentirano i potkrijepljeno dokazima da je softver komercijalni gotov proizvod ili da je razvoj potpuno vanjski ugovoren uz uspostavljene kontrole dobavljača.
Korak 4: Provedite analizu temeljnog uzroka, a ne kozmetiku dokumenata
Neuspjela prijelazna revizija rijetko je uzrokovana jednom datotekom koja nedostaje. Obično je uzrokovana neispravnim procesom.
Zenith Blueprint, faza Audit, Review & Improvement, korak 27, Audit Findings - Analysis & Root Cause, navodi:
„Za svaku utvrđenu nesukladnost (veću ili manju) razmislite zašto se dogodila - to je ključno za učinkovitu ispravku.”
Iz Zenith Blueprint, faza Audit, Review & Improvement, korak 27.
Ako nalaz kaže „nedostaju obrazloženja u SoA”, ispravak može biti ažuriranje SoA. No temeljni uzrok može biti to što vlasnici imovine nisu bili uključeni u procjenu rizika, pravne obveze nisu mapirane ili je tim za usklađenost održavao SoA izolirano.
Korisna tablica oporavka odvaja slabe ispravke od stvarnih korektivnih radnji:
| Nalaz revizije | Loš ispravak | Pravo pitanje o temeljnom uzroku | Bolja korektivna radnja |
|---|---|---|---|
| SoA nije usklađena s obradom rizika | Ažurirati formulaciju SoA | Zašto SoA nije usklađena s obradom rizika? | Uvesti tromjesečno usklađivanje SoA i rizika pod odgovornošću Voditelja ISMS-a |
| Nema procjena dobavljača | Prenijeti jedan upitnik | Zašto dobavljači nisu pregledani? | Dodijeliti vlasnika dobavljača, definirati razvrstavanje prema riziku, dovršiti preglede i pratiti ih godišnje |
| Preispitivanje uprave je nepotpuno | Retroaktivno dodati točku dnevnog reda | Zašto preispitivanje uprave nije obuhvatilo status prijelaza? | Ažurirati predložak preispitivanja uprave i zakazati tromjesečni upravljački pregled |
| Prijavljivanje incidenata nije testirano | Urediti postupak za incidente | Zašto izvješćivanje nije uvježbano? | Provesti stolnu vježbu s točkama odlučivanja za NIS2, DORA i GDPR te zadržati dokaze |
| Interna revizija bila je preuska | Proširiti kontrolni popis | Zašto planiranje revizije nije obuhvatilo opseg prijelaza? | Odobriti plan revizije temeljen na riziku koji obuhvaća propise, dobavljače, oblak i otpornost |
Tu se vraća vjerodostojnost. Revizori ne očekuju savršenstvo. Očekuju kontrolirani sustav koji otkriva, ispravlja, uči i poboljšava se.
Korak 5: Izgradite CAPA kojoj revizor može vjerovati
Korektivne i preventivne radnje (CAPA) mjesto su na kojem mnoge organizacije ponovno uspostavljaju kontrolu. CAPA registar treba postati plan oporavka i glavni dokaz da je neuspjela revizija obrađena sustavno.
Zenith Blueprint, faza Audit, Review & Improvement, korak 29, Continual Improvement, objašnjava strukturu:
„Pobrinite se da je svaka korektivna radnja konkretna, dodjeljiva i vremenski ograničena. U biti stvarate mini projekt za svaki problem.”
Iz Zenith Blueprint, faza Audit, Review & Improvement, korak 29.
Vaš CAPA zapisnik treba uključivati:
- ID nalaza.
- Izvornu reviziju.
- Referencu na točku ili kontrolu.
- Ozbiljnost.
- Opis problema.
- Neposredni ispravak.
- Temeljni uzrok.
- Korektivnu radnju.
- Preventivnu radnju, gdje je relevantno.
- Vlasnika.
- Krajnji rok.
- Potrebne dokaze.
- Status.
- Provjeru učinkovitosti.
- Odobrenje uprave.
Clarysecova Audit and Compliance Monitoring Policy - SME također prepoznaje veću nesukladnost kao okidač za pregled:
„Certifikacijska revizija ili nadzorna revizija rezultira većom nesukladnošću”
Iz odjeljka „Zahtjevi za pregled i ažuriranje”, točka politike 9.2.2.
Ako je prijelazna revizija proizvela veću nesukladnost, pregledajte i sam proces praćenja revizije i usklađenosti. Zašto interna revizija nije prva otkrila problem? Zašto ga preispitivanje uprave nije eskaliralo? Zašto SoA nije pokazala prazninu u dokazima?
Tako neuspjela revizija postaje jači ISMS.
Korak 6: Upotrijebite Zenith Controls za povezivanje ISO dokaza s međuuskladivošću
Ponovna revizija ne događa se izolirano. Klijenti, regulatori, osiguravatelji i interni timovi za upravljanje mogu promatrati iste dokaze iz različitih kutova. Tu je Zenith Controls vrijedan kao vodič za međuuskladivost. Pomaže timovima prestati tretirati ISO 27001, NIS2, DORA, GDPR, NIST pristup dokazivanja i COBIT 2019 upravljanje kao odvojene kontrolne popise.
Tri kontrole ISO/IEC 27002:2022 osobito su relevantne u oporavku prijelaza.
| Kontrola ISO/IEC 27002:2022 | Relevantnost za oporavak | Dokazi koje treba pripremiti |
|---|---|---|
| 5.31 Pravni, zakonski, regulatorni i ugovorni zahtjevi | Potvrđuje da su obveze identificirane, dokumentirane i povezane s ISMS-om | Pravni registar, ugovorne obveze, regulatorna mapa, matrica vlasnika politika, obrazloženje SoA |
| 5.35 Neovisni pregled informacijske sigurnosti | Potvrđuje da je aktivnost pregleda objektivna, pravilno obuhvaćena, kompetentna i da se po njoj postupa | Plan interne revizije, izvješće o neovisnom pregledu, kompetencije revizora, CAPA zapisi, izvješćivanje upravi |
| 5.36 Usklađenost s politikama, pravilima i standardima za informacijsku sigurnost | Potvrđuje da politike nisu samo objavljene, nego se prate i provode | Potvrda upoznatosti s politikom, registri iznimaka, izvješća o praćenju, disciplinski radni tok, testiranje usklađenosti |
U Zenith Controls, kontrola ISO/IEC 27002:2022 5.31 izravno je povezana s privatnošću i osobnim podacima (PII):
„5.34 obuhvaća usklađenost sa zakonima o zaštiti podataka (npr. GDPR), što je jedna kategorija pravnih zahtjeva pod 5.31.”
Iz Zenith Controls, kontrola 5.31, poveznice s drugim kontrolama.
Za oporavak to znači da pravni registar ne smije stajati izvan ISMS-a. Mora pokretati SoA, plan obrade rizika, skup politika, vlasništvo nad kontrolama i revizijske dokaze.
Za kontrolu ISO/IEC 27002:2022 5.35, Zenith Controls naglašava da neovisni pregled često ulazi u operativne dokaze:
„Neovisni pregledi prema 5.35 često procjenjuju primjerenost aktivnosti zapisivanja događaja i praćenja.”
Iz Zenith Controls, kontrola 5.35, poveznice s drugim kontrolama.
To je praktično. Revizor može početi od upravljanja, a zatim uzorkovati zapise dnevnika, upozorenja, zapise praćenja, preglede pristupa, prijave incidenata, testove sigurnosnih kopija, preglede dobavljača i odluke uprave.
Za kontrolu ISO/IEC 27002:2022 5.36, Zenith Controls objašnjava odnos s internim upravljanjem politikama:
„Kontrola 5.36 služi kao mehanizam provedbe za pravila definirana pod 5.1.”
Iz Zenith Controls, kontrola 5.36, poveznice s drugim kontrolama.
Tu mnogi programi prijelaza ne uspijevaju. Politike postoje, ali se njihovo poštivanje ne prati. Postupci postoje, ali se iznimke ne evidentiraju. Kontrole su deklarirane, ali nisu testirane.
Korak 7: Pripremite se za različite revizijske perspektive
Snažan paket oporavka treba izdržati više od jedne revizijske perspektive. ISO certifikacijski revizori, DORA nadzorna tijela, NIS2 pregledavatelji, GDPR dionici, timovi klijenata za dokazivanje sigurnosti, procjenitelji usmjereni na NIST i pregledavatelji upravljanja prema COBIT 2019 mogu postavljati različita pitanja o istim dokazima.
| Revizijska perspektiva | Vjerojatno pitanje | Dokazi koji pomažu |
|---|---|---|
| Revizor ISO 27001:2022 | Je li ISMS učinkovit, temeljen na riziku, ispravno opsežan, pregledan od strane vodstva i kontinuirano poboljšavan? | Opseg, kontekst, zainteresirane strane, procjena rizika, SoA, plan obrade, interna revizija, preispitivanje uprave, CAPA |
| Procjenitelj usmjeren na NIST | Djeluju li upravljanje, identifikacija rizika, zaštita, otkrivanje, odgovor i oporavak usklađeno? | Popis imovine, registar rizika, kontrole pristupa, zapisivanje događaja, praćenje, operativne upute za incidente, testovi oporavka |
| Revizor prema COBIT 2019 ili ISACA pristupu | Jesu li ciljevi upravljanja, vlasništvo, praćenje uspješnosti, upravljanje rizicima i osiguranje usklađenosti ugrađeni? | RACI, odobreni ciljevi, metrike, plan revizije, izvješćivanje upravi, vlasništvo nad kontrolama, praćenje problema |
| Pregledavatelj usklađenosti s NIS2 | Je li uprava odobrila i nadzirala razmjerne mjere rizika kibernetičke sigurnosti i radne tokove prijavljivanja incidenata? | Zapisnici upravnog odbora, mjere rizika, kontrole dobavljača, eskalacija incidenata, osposobljavanje, dokazi o kontinuitetu i krizi |
| Pregledavatelj DORA | Je li upravljanje IKT rizicima dokumentirano, testirano, svjesno dobavljača i integrirano u upravljanje? | Okvir IKT rizika, testovi otpornosti, klasifikacija incidenata, registar IKT ugovora, planovi izlaska, prava na reviziju |
| Pregledavatelj GDPR | Može li organizacija dokazati odgovornost za zaštitu osobnih podataka i odgovor na povrede? | RoPA, mapiranje pravne osnove, DPIA gdje je potrebno, ugovori s izvršiteljima obrade, dnevnici povreda, tehničke i organizacijske mjere |
Cilj nije dupliciranje dokaza. Jedan redak SoA za zapisivanje događaja i praćenje može podržati ISO dokaze, NIST očekivanja otkrivanja, DORA postupanje s incidentima, NIS2 procjenu učinkovitosti i GDPR otkrivanje povreda. Jedna datoteka rizika dobavljača može podržati ISO kontrole dobavljača, DORA IKT rizik trećih strana, NIS2 sigurnost opskrbnog lanca i GDPR odgovornost izvršitelja obrade.
To je praktična vrijednost međuuskladivosti.
Korak 8: Provedite završni pregled dokumentacije i probnu reviziju
Prije povratka certifikacijskom tijelu provedite strogu internu provjeru. Zenith Blueprint, faza Audit, Review & Improvement, korak 30, Certification Preparation - Final Review & Mock Audit, preporučuje provjeru točaka 4 do 10 norme ISO 27001:2022 jednu po jednu i provjeru dokaza za svaku primjenjivu kontrolu iz Priloga A.
Savjetuje:
„Provjerite kontrole Annex A: osigurajte da za svaku kontrolu koju ste u SoA označili kao ‘primjenjivu’ imate nešto što možete pokazati.”
Iz Zenith Blueprint, faza Audit, Review & Improvement, korak 30.
Završni pregled treba biti izravan:
- Može li se svaka primjenjiva kontrola objasniti?
- Može li se svaka isključena kontrola opravdati?
- Može li se prikazati prihvaćanje preostalog rizika?
- Je li uprava pregledala neuspjeh prijelaza, resurse, ciljeve, rezultate revizije i korektivne radnje?
- Je li interna revizija testirala ažurirani SoA i plan obrade rizika?
- Jesu li potkrijepljene kontrole dobavljača, oblaka, kontinuiteta, incidenata, privatnosti, pristupa, ranjivosti, zapisivanja događaja i praćenja?
- Jesu li politike odobrene, aktualne, komunicirane i pod verzijskom kontrolom?
- Jesu li CAPA stavke povezane s temeljnim uzrocima i provjerama učinkovitosti?
- Mogu li se dokazi brzo pronaći u centraliziranoj mapi za reviziju?
Clarysecova Information Security Policy daje polaznu osnovu upravljanja:
„Organizacija mora implementirati i održavati sustav upravljanja informacijskom sigurnošću (ISMS) u skladu s točkama 4 do 10 norme ISO/IEC 27001:2022.”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka politike 6.1.1.
Za SME pregled također mora pratiti certifikacijske zahtjeve i regulatorne promjene. Clarysecova Information Security Policy - SME navodi:
„Ovu politiku mora pregledati glavni direktor (GM) najmanje jednom godišnje kako bi se osigurala stalna usklađenost sa zahtjevima certifikacije ISO/IEC 27001, regulatornim promjenama (kao što su GDPR, NIS2 i DORA) i promjenjivim poslovnim potrebama.”
Iz odjeljka „Zahtjevi za pregled i ažuriranje”, točka politike 9.1.1.
Upravo je to ono što su mnogi programi prijelaza propustili: ISO, regulativa i poslovna promjena kreću se zajedno.
Što reći klijentima dok se oporavljate
Ako neuspjeli ili propušteni prijelaz utječe na ugovore s klijentima, šutnja je opasna. Ne morate otkriti svaki detalj interne revizije, ali trebate pružiti kontrolirano dokazivanje sigurnosti.
Komunikacijski paket za klijente treba uključivati:
- Trenutačni status certifikacije potvrđen od certifikacijskog tijela.
- Status prijelazne revizije i plan otklanjanja nedostataka na visokoj razini.
- Potvrdu da je CAPA proces aktivan i odobren od uprave.
- Ciljane datume korektivnih radnji i zatvaranja revizije.
- Izjavu da ISMS ostaje operativan.
- Kontakt točku za sigurnosna pitanja.
- Ažuriranu izjavu politike sigurnosti, ako je primjereno.
- Dokaze o kompenzacijskim kontrolama za svako visokorizično područje.
Izbjegavajte neodređene tvrdnje poput „u potpunosti smo usklađeni” dok revizija nije riješena. Recite ono što je točno: ISMS radi, korektivna radnja je odobrena, dokazi se konsolidiraju, a pregled zatvaranja ili ponovna revizija je zakazana.
To je osobito važno ako se klijenti oslanjaju na vas kao dobavljača u sektorima relevantnima za NIS2, kao što su digitalna infrastruktura, oblak, podatkovni centri, mreže za isporuku sadržaja, DNS, usluge povjerenja, javne elektroničke komunikacije, upravljane usluge ili upravljane sigurnosne usluge. Ako vaš revizijski status utječe na njihov rizik opskrbnog lanca, potrebna im je vjerodostojna potvrda.
Praktični 10-dnevni sprint oporavka
Rokovi se razlikuju prema certifikacijskom tijelu, ozbiljnosti, opsegu i zrelosti dokaza. No redoslijed oporavka pouzdan je.
| Dan | Aktivnost | Izlazni rezultat |
|---|---|---|
| 1 | Prikupiti revizijsko izvješće, potvrditi status certifikata, otvoriti centraliziranu mapu za reviziju | Zapovjedni centar za oporavak |
| 2 | Klasificirati nalaze, dodijeliti vlasnike, informirati upravu | Odobreno upravljanje oporavkom |
| 3 | Osvježiti kontekst, obveze, zainteresirane strane i pretpostavke opsega | Ažurirani kontekst i mapa usklađenosti |
| 4 | Uskladiti procjenu rizika i plan obrade rizika | Ažurirani registar rizika i plan obrade |
| 5 | Popraviti SoA s obrazloženjem, isključenjima, dokazima i vlasnicima | SoA spremna za reviziju |
| 6 | Provesti analizu temeljnog uzroka za sve nalaze | Dnevnik temeljnih uzroka |
| 7 | Izraditi CAPA plan s ciljanim datumima i zahtjevima za dokaze | CAPA registar |
| 8 | Prikupiti i testirati dokaze za prioritetne kontrole | Paket dokaza |
| 9 | Provesti preispitivanje uprave i odobriti preostale rizike | Zapisnik preispitivanja uprave |
| 10 | Provesti probnu reviziju i pripremiti odgovor certifikacijskom tijelu | Paket spremnosti za ponovnu reviziju |
Ne šaljite odgovor dok ne priča koherentnu priču. Revizor mora moći pratiti lanac od nalaza do temeljnog uzroka, od temeljnog uzroka do korektivne radnje, od korektivne radnje do dokaza i od dokaza do preispitivanja uprave.
Clarysec tijek oporavka
Kada Clarysec podržava propušten ili neuspjeli prijelaz na ISO 27001:2022, rad organiziramo u usmjereni tijek oporavka.
| Faza oporavka | Clarysec resurs | Izlazni rezultat |
|---|---|---|
| Trijaža revizije | Zenith Blueprint koraci 24, 27, 29, 30 | Klasifikacija nalaza, mapa dokaza, plan zatvaranja revizije |
| Ponovno uspostavljanje upravljanja | Information Security Policy, Audit and Compliance Monitoring Policy | Odobrene odgovornosti, sudjelovanje uprave, centralizirana mapa dokaza |
| Osvježavanje rizika | Risk Management Policy, metoda ISO/IEC 27005:2022 | Ažurirani kontekst, kriteriji, registar rizika, plan obrade |
| Korekcija SoA | Zenith Blueprint korak 24, Risk Management Policy | Sljediva SoA s rizikom, obvezom, vlasnikom, dokazom i statusom |
| Mapiranje međuuskladivosti | Zenith Controls | Usklađivanje dokazivanja s NIS2, DORA, GDPR, NIST pristupom i COBIT 2019 |
| Provedba CAPA | Zenith Blueprint korak 29, revizijske politike | Temeljni uzrok, korektivna radnja, vlasnik, rok, provjera učinkovitosti |
| Probna revizija | Zenith Blueprint korak 30 | Paket spremnosti za ponovnu reviziju i paket za dokazivanje sigurnosti klijentu |
Ovdje nije riječ o proizvodnji papirologije. Riječ je o obnovi povjerenja da je ISMS upravljan, temeljen na riziku, potkrijepljen dokazima i usmjeren na poboljšanje.
Završni savjet: tretirajte neuspjeli prijelaz kao test otpornosti
Propušteni rok za prijelaz na ISO 27001:2022 ili neuspjela prijelazna revizija djeluje kao kriza, ali je i dijagnostička prilika. Pokazuje može li vaš ISMS apsorbirati promjene, integrirati pravne obveze, upravljati dobavljačima, dokazati rad kontrola i učiti iz neuspjeha.
Organizacije koje se najbrže oporavljaju dobro rade tri stvari:
- Centraliziraju dokaze i zaustavljaju kaos.
- Ponovno grade sljedivost između rizika, SoA, kontrola, politika i obveza.
- Revizijske nalaze obrađuju disciplinirano kroz CAPA i preispitivanje uprave.
Organizacije koje se muče pokušavaju riješiti problem uređivanjem dokumenata bez popravljanja vlasništva, praćenja, dokaza ili temeljnog uzroka.
Ako ste propustili rok ili niste prošli prijelaznu reviziju, vaš sljedeći korak nije panika. To je strukturirani oporavak.
Clarysec vam može pomoći provesti trijažu prijelazne revizije, obnoviti SoA, mapirati očekivanja NIS2, DORA, GDPR, NIST pristupa i COBIT 2019 kroz Zenith Controls, provesti korektivne radnje uz Zenith Blueprint i uskladiti dokaze politika koristeći Information Security Policy, Audit and Compliance Monitoring Policy, Risk Management Policy i Legal and Regulatory Compliance Policy.
Problem s certifikatom može se popraviti. Vaš ISMS može postati snažniji nego što je bio prije revizije. Ako vaša prijelazna revizija nije riješena, odmah započnite procjenu oporavka, konsolidirajte dokaze i pripremite paket za ponovnu reviziju koji dokazuje da vaš ISMS nije samo dokumentiran, nego i funkcionira.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
