⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
HR EN BG CS DA DE EL ES ET FI FR GA HU IT LT LV MT NL PL PT RO SK SL SV
ISO 27001 NIS2 DORA GDPR NIST COBIT 2019

Revizijski dokazi prema ISO 27001 za NIS2 i DORA

Igor Petreski
15 min read
#Revizija #ISMS #Upravljanje rizicima #Upravljanje dobavljačima #Odgovor na incidente #Neprekidnost poslovanja #Zaštita podataka #Evidentiranje događaja i nadzor
Mapiranje revizijskih dokaza prema ISO 27001 za usklađenost s NIS2 i DORA

Utorak je, 08:17, a CISO brzorastuće fintech SaaS tvrtke ima tri poruke koje čekaju odgovor.

Prva je od velikog bankarskog klijenta: „Molimo pošaljite najnovije izvješće interne revizije, zapisnik preispitivanja uprave, status korektivnih radnji, postupak obavješćivanja o incidentima, registar dobavljača i dokaze o nadzoru upravljačkog tijela.”

Druga je od financijskog direktora: „Jesmo li u opsegu NIS2 ili DORA i koje dokaze već imamo?”

Treća je od glavnog izvršnog direktora: „Možemo li reći da smo spremni za reviziju?”

Neugodan odgovor u mnogim organizacijama nije da se ništa ne događa. Gore je od toga. Sigurnosne aktivnosti odvijaju se posvuda, ali dokaza nema nigdje. Kontrole postoje, ali nema revizijskog traga. Postoje zapisi u sustavima, ali nema jasne veze s rizicima. Vodstvo prima ažuriranja, ali nema formalnih izlaza preispitivanja uprave. O dobavljačima se raspravlja, ali nema dokazivog registra dobavljača, pregleda ugovora ni izlazne strategije.

Upravo u tom raskoraku interna revizija i preispitivanje uprave prema ISO/IEC 27001:2022 postaju više od certifikacijskih aktivnosti. Postaju operativni ritam za NIS2, DORA, GDPR, dokazivanje prema zahtjevima klijenata, kibernetičko osiguranje i odgovornost upravljačkog tijela.

SaaS, cloud, pružatelji upravljanih usluga (MSP), pružatelji upravljanih sigurnosnih usluga (MSSP) i fintech timovi rijetko ne uspiju zato što nemaju sigurnosne aktivnosti. Ne uspiju zato što su aktivnosti raspršene po Slacku, Jiri, proračunskim tablicama, portalima dobavljača, SOC zapisima, nabavnoj dokumentaciji i prezentacijama za odbor. Regulator, vanjski revizor ili korporativni klijent ne traži herojsko objašnjenje. Traži objektivne dokaze.

Praktično rješenje nije pokretati zasebne revizijske programe za svaki okvir. Rješenje je koristiti ISO 27001 ISMS kao središnji mehanizam dokazivanja, a zatim te dokaze označiti za NIS2, DORA, GDPR i ugovorne zahtjeve. Kada se to provede ispravno, jedan ciklus interne revizije i jedno preispitivanje uprave mogu odgovoriti na brojna pitanja usklađenosti.

Od zamora okvirima do jedinstvenog dokaznog modela ISMS-a

Mnogi CISO-i suočavaju se s inačicom Marijina problema. Maria vodi sigurnost u B2B SaaS društvu s klijentima iz financijskog sektora. Njezin je tim prije šest mjeseci prošao certifikacijsku reviziju prema ISO/IEC 27001:2022. ISMS sazrijeva, politike se poštuju, a vlasnici kontrola razumiju svoje odgovornosti. Zatim glavni izvršni direktor prosljeđuje dva članka, jedan o Direktivi NIS2 i jedan o DORA, uz kratko pitanje: „Jesmo li pokriveni?”

Odgovor ovisi o opsegu, uslugama, klijentima i pravnim subjektima. No operativni odgovor je jasan: ako Maria tretira NIS2 i DORA kao zasebne projekte usklađenosti, stvorit će duplicirani posao, nedosljedne dokaze i sve veći zamor revizijama. Ako ih tretira kao zahtjeve zainteresiranih strana unutar ISMS-a, može koristiti ISO 27001 za uključivanje, testiranje i dokazivanje spremnosti.

ISO/IEC 27001:2022 osmišljen je upravo za to. Točka 4 zahtijeva da organizacija razumije svoj kontekst i zahtjeve zainteresiranih strana, uključujući pravne, regulatorne i ugovorne obveze te obveze proizašle iz ovisnosti. Točka 5 zahtijeva vodstvo i integraciju u poslovne procese. Točka 6 zahtijeva procjenu rizika i obradu rizika. Točka 9 zahtijeva vrednovanje učinkovitosti kroz praćenje, internu reviziju i preispitivanje uprave. Točka 10 zahtijeva poboljšavanje i korektivne radnje.

NIS2 i DORA prirodno se uklapaju u tu strukturu.

NIS2 zahtijeva od ključnih i važnih subjekata provedbu primjerenih i razmjernih tehničkih, operativnih i organizacijskih mjera upravljanja rizicima kibernetičke sigurnosti. Također postavlja odgovornost upravljačkih tijela da odobre te mjere, nadziru njihovu provedbu i mogu snositi odgovornost za povrede. Minimalne mjere obuhvaćaju analizu rizika, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, siguran razvoj, postupanje s ranjivostima, procjenu učinkovitosti, osposobljavanje, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom te, prema potrebi, višefaktorsku autentifikaciju ili kontinuiranu autentifikaciju.

DORA se primjenjuje od 17. siječnja 2025. i uspostavlja sektorski režim digitalne operativne otpornosti za financijske subjekte. Zahtijeva odgovornost upravljačkog tijela za upravljanje IKT rizicima, dokumentirani okvir upravljanja IKT rizicima, strategiju digitalne operativne otpornosti, planove IKT kontinuiteta i oporavka, testiranje otpornosti, upravljanje IKT incidentima i upravljanje rizicima IKT trećih strana. Za SaaS i pružatelje usluga u oblaku koji opslužuju financijske subjekte, DORA se može pojaviti kroz ugovorne obveze, revizije klijenata i očekivanja upravljanja rizicima IKT trećih strana, čak i kada sam pružatelj nije financijski subjekt.

GDPR dodaje sloj odgovornosti. Kada se osobni podaci obrađuju u opsegu GDPR-a, organizacije moraju moći dokazati usklađenost s načelima zaštite podataka i odgovarajućim tehničkim i organizacijskim mjerama.

ISO 27001 nije čarobna potvrda usklađenosti za te obveze. To je sustav upravljanja koji ih može organizirati, dokazati i poboljšavati.

Pitanje opsega: što dokazujete i za koga?

Prije izrade paketa dokaza spremnog za reviziju, vodstvo mora odgovoriti na osnovno pitanje: koje su obveze u opsegu?

Za SaaS i poslovanje u oblaku, opseg NIS2 može biti širi od očekivanog. NIS2 se primjenjuje na javne ili privatne subjekte u navedenim sektorima koji ispunjavaju pragove veličine te na određene subjekte visokog učinka neovisno o veličini. Relevantni sektori mogu uključivati digitalnu infrastrukturu, pružatelje usluga računalstva u oblaku, pružatelje usluga podatkovnih centara, mreže za isporuku sadržaja, pružatelje usluga povjerenja, pružatelje javnih elektroničkih komunikacija i B2B pružatelje upravljanih IKT usluga, kao što su pružatelji upravljanih usluga i pružatelji upravljanih sigurnosnih usluga. SaaS pružatelji trebaju posebno paziti na način isporuke usluga, sektore koje podržavaju i omogućuju li administraciju na zahtjev te širok udaljeni pristup skalabilnim dijeljenim računalnim resursima.

Za fintech i pružatelje usluga financijskom sektoru, DORA se mora analizirati zasebno. DORA izravno obuhvaća širok raspon financijskih subjekata, uključujući kreditne institucije, platne institucije, pružatelje usluga informiranja o računima, institucije za elektronički novac, investicijska društva, pružatelje usluga povezanih s kriptoimovinom, mjesta trgovanja, upravitelje fondova, društva za osiguranje i reosiguranje te pružatelje usluga skupnog financiranja. Pružatelji IKT usluga trećih strana također su dio DORA ekosustava jer financijski subjekti moraju upravljati svojim IKT ovisnostima, održavati registre ugovornih aranžmana i uključivati posebne ugovorne odredbe za IKT usluge koje podržavaju kritične ili važne funkcije.

NIS2 i DORA također međusobno djeluju. Kada sektorski pravni akt EU-a nameće ekvivalentne zahtjeve upravljanja rizicima kibernetičke sigurnosti ili obavješćivanja o incidentima, odgovarajuće odredbe NIS2 možda se ne primjenjuju na te subjekte u tim područjima. DORA je sektorski režim operativne otpornosti za financijske subjekte. To ne čini NIS2 nevažnim za sve okolne pružatelje. To znači da dokazni model mora razlikovati je li organizacija financijski subjekt izravno podložan DORA, pružatelj IKT usluga treće strane koji podržava financijske subjekte, SaaS pružatelj u opsegu NIS2 ili grupa s više pravnih subjekata i linija usluga.

Ova analiza opsega pripada kontekstu ISMS-a i registru zainteresiranih strana. Bez nje će plan revizije testirati pogrešne stvari.

Jedan revizijski trag, mnoga pitanja usklađenosti

Česta je pogreška izrada zasebnih paketa dokaza za ISO 27001, NIS2, DORA, GDPR, kibernetičko osiguranje i revizije klijenata. Takav pristup stvara dupliciranje i proturječne odgovore. Bolji je pristup jedan dokazni model s više perspektiva.

U središtu je ISMS. Oko njega je pet skupina dokaza.

Skupina dokazaŠto dokazujeTipični zapisi
Dokazi upravljanjaUprava je odobrila, osigurala resurse i preispitala ISMSPolitika informacijske sigurnosti, uloge, plan revizije, zapisnici preispitivanja uprave, izvješćivanje upravljačkom tijelu
Dokazi o rizicimaRizici su identificirani, procijenjeni, dodijeljeni vlasnicima i obrađeniKriteriji rizika, registar rizika, plan obrade rizika, Izjava o primjenjivosti, odobrenja preostalog rizika
Dokazi o kontrolamaKontrole rade kako je predviđenoPregledi pristupa, testovi sigurnosnih kopija, upozorenja iz nadzora, izvješća o ranjivostima, dubinska provjera dobavljača, zapisi sigurnog razvoja
Dokazi osiguranjaNeovisne ili interne provjere utvrdile su praznine i potvrdile usklađenostPlan interne revizije, revizijski kontrolni popis, revizijsko izvješće, registar nesukladnosti, CAPA evidencija
Dokazi poboljšanjaNalazi su doveli do ispravka, analize temeljnog uzroka i kontinuiranog poboljšavanjaPlanovi korektivnih radnji, naučene lekcije, odluke uprave, ažurirane politike, zapisi ponovnog testiranja

Ova je struktura usklađena s Zenith Blueprint: Plan revizora u 30 koraka Zenith Blueprint. U fazi Revizija, pregled i poboljšavanje, korak 25 usmjeren je na program interne revizije, korak 26 na provedbu revizije, korak 28 na preispitivanje uprave, a korak 29 na kontinuirano poboljšavanje.

Smjernice Blueprinta za korak 25 namjerno su praktične:

„Izradite raspored koji navodi kada će se revizije provoditi i što će obuhvatiti.”

„Upotrijebite predložak plana interne revizije ako je dostupan; to može biti jednostavan dokument ili proračunska tablica s datumima revizije, opsegom i dodijeljenim revizorima.”

Iz Zenith Blueprint, faza Revizija, pregled i poboljšavanje, korak 25: Program interne revizije Zenith Blueprint

Taj jednostavan plan revizije postaje snažan kada je temeljen na riziku i označen prema obvezama NIS2, DORA i GDPR.

Kontrole ISO 27001 koje učvršćuju spremnost za reviziju

Za spremnost za reviziju tri su kontrole ISO/IEC 27002:2022 posebno važne kada se tumače kroz Zenith Controls: Vodič za međusobnu usklađenost Zenith Controls:

  • 5.4 Odgovornosti uprave
  • 5.35 Neovisno preispitivanje informacijske sigurnosti
  • 5.36 Usklađenost s politikama, pravilima i normama informacijske sigurnosti

To nisu zasebne „Zenith kontrole”. To su kontrole ISO/IEC 27002:2022 koje Zenith Controls pomaže mapirati, revidirati i tumačiti kroz različite okvire.

Kontrola 5.4 provjerava jesu li odgovornosti za informacijsku sigurnost dodijeljene i razumljive. Kontrola 5.35 provjerava preispituje li se informacijska sigurnost neovisno. Kontrola 5.36 provjerava pridržava li se organizacija svojih politika, pravila i normi.

Zenith Controls klasificira kontrolu 5.35 na način usmjeren na osiguranje:

Kontrola ISO/IEC 27002:2022 5.35, „Neovisno preispitivanje informacijske sigurnosti”, u Zenith Controls tretira se kao „preventivna, korektivna”, podupire povjerljivost, cjelovitost i dostupnost kroz koncepte kibernetičke sigurnosti „identificirati” i „zaštititi”, uz operativnu sposobnost u području „osiguranje informacijske sigurnosti”. Zenith Controls

To je važno jer je interna revizija i preventivna i korektivna. Sprječava slijepe točke testiranjem ISMS-a prije vanjskog nadzora i ispravlja slabosti kroz dokumentirane radnje.

Šire mapiranje započinje zahtjevima NIS2 i DORA, a zatim identificira dokaze ISO 27001 kojima se oni mogu dokazati.

Regulatorna temaDokazi prema ISO/IEC 27001:2022 i ISO/IEC 27002:2022Praktični fokus revizije
Odgovornost upraveTočke 5, 9.3 i kontrole 5.2, 5.4, 5.35, 5.36Odobrenja vodstva, zapisnici pregleda, dodjele uloga, CAPA odluke
Analiza rizika i sigurnosne politikeTočke 4, 6.1, 6.2 i kontrole 5.1, 5.7, 5.9, 5.31Kriteriji rizika, registar rizika, odobrenja politika, pravni i ugovorni zahtjevi
Postupanje s incidentimaKontrole 5.24, 5.25, 5.26, 5.27, 5.28Klasifikacija, eskalacija, zapisi odgovora, naučene lekcije, očuvanje dokaza
Neprekidnost poslovanja i oporavakKontrole 5.29, 5.30, 8.13Planovi neprekidnosti, IKT spremnost, testovi vraćanja iz sigurnosne kopije, metrike oporavka
Rizik dobavljača i oblakaKontrole 5.19, 5.20, 5.21, 5.22, 5.23Dubinska provjera dobavljača, ugovori, praćenje, planovi izlaska iz oblaka, rizik koncentracije
Siguran razvoj i ranjivostiKontrole 8.8, 8.25, 8.26, 8.27, 8.28, 8.29SLA-ovi za ranjivosti, zapisi sigurnog SDLC-a, odobrenja promjena, sigurnosno testiranje
Pristup, ljudski resursi i osposobljavanjeKontrole 5.15, 5.16, 5.17, 5.18, 6.1, 6.2, 6.3, 6.5, 6.6, 6.7Pregledi pristupa, uzorci za zapošljavanja, premještaje i odlaske, zapisi o podizanju svijesti, kontrole rada na daljinu
Evidentiranje događaja, nadzor i kriptografijaKontrole 8.15, 8.16, 8.17, 8.24Rokovi čuvanja dnevničkih zapisa, pregled upozorenja, sinkronizacija vremena, standardi šifriranja
Privatnost i pravna usklađenostKontrole 5.31, 5.34, 5.36Pravni registar, kontrole privatnosti, dokazi izvršitelja obrade, pregledi usklađenosti

Mapiranje kontrola korisno je samo kada su dokazi snažni. Ako je zapis slab, nijedno mapiranje neće ga spasiti. Ako je zapis potpun, isti dokazi mogu odgovoriti na pitanja u stilu ISO, NIS2, DORA, GDPR, NIST Cybersecurity Framework 2.0 i COBIT 2019.

Dokazi iz politika koje Clarysec očekuje da organizacije zadrže

Clarysec politike pretvaraju teoriju ISMS-a u očekivanja u pogledu dokaza.

Za mala i srednja poduzeća, Politika praćenja revizije i usklađenosti za SME Audit and Compliance Monitoring Policy-sme zahtijeva odobrenje vodstva i revizijsku disciplinu:

„Generalni direktor (GM) mora odobriti godišnji plan revizije.”

Iz Politika praćenja revizije i usklađenosti za SME, Zahtjevi upravljanja, točka 5.1.1 Audit and Compliance Monitoring Policy-sme

Također određuje minimalnu učestalost:

„Interne revizije ili pregledi usklađenosti moraju se provoditi najmanje jednom godišnje.”

Iz Politika praćenja revizije i usklađenosti za SME, Zahtjevi upravljanja, točka 5.2.1

I povezuje nalaze s ispravkom i preispitivanjem uprave:

„GM mora odobriti plan korektivnih radnji i pratiti njegovu provedbu.”

Iz Politika praćenja revizije i usklađenosti za SME, Zahtjevi upravljanja, točka 5.4.2

„Nalazi revizije i ažuriranja statusa moraju biti uključeni u proces preispitivanja ISMS-a od strane uprave.”

Iz Politika praćenja revizije i usklađenosti za SME, Zahtjevi upravljanja, točka 5.4.3

Čuvanje dokaza također je izričito propisano:

„Dokazi se moraju čuvati najmanje dvije godine ili dulje kada to zahtijevaju certifikacijski ili klijentski ugovori.”

Iz Politika praćenja revizije i usklađenosti za SME, Zahtjevi provedbe politike, točka 6.2.4

Za veće organizacije, Politika praćenja revizije i usklađenosti Audit and Compliance Monitoring Policy, koja se u nekim Clarysec materijalima navodi i kao P33 Audit and Compliance Monitoring Policy, proširuje strukturu:

„Plan revizije temeljen na riziku mora se izraditi i odobriti jednom godišnje, uzimajući u obzir:”

Iz Politika praćenja revizije i usklađenosti, Zahtjevi upravljanja, točka 5.2 Audit and Compliance Monitoring Policy

„Organizacija mora održavati Registar revizije koji sadržava:”

Iz Politika praćenja revizije i usklađenosti, Zahtjevi upravljanja, točka 5.4

„Interne revizije moraju slijediti dokumentirani postupak koji uključuje:”

Iz Politika praćenja revizije i usklađenosti, Zahtjevi provedbe politike, točka 6.1.1

„Svi nalazi moraju rezultirati dokumentiranim CAPA zapisom koji uključuje:”

Iz Politika praćenja revizije i usklađenosti, Zahtjevi provedbe politike, točka 6.2.1

Preispitivanje uprave utemeljeno je u Politici informacijske sigurnosti Information Security Policy, koja se u nekim Clarysec materijalima navodi i kao P01 Politika informacijske sigurnosti:

„Aktivnosti preispitivanja uprave (prema ISO/IEC 27001 točki 9.3) moraju se provoditi najmanje jednom godišnje i moraju uključivati:”

Iz Politika informacijske sigurnosti, Zahtjevi upravljanja, točka 5.3 Information Security Policy

Ti zahtjevi stvaraju lanac dokaza koji revizori očekuju: odobren plan, definiran postupak, registar revizije, nalazi, CAPA, čuvanje dokaza i pregled vodstva.

Izrada paketa dokaza spremnog za reviziju

Paket dokaza spreman za reviziju nije velika mapa izrađena dva dana prije revizije. To je živa struktura koja se održava tijekom cijele godine.

Stavka dokazaSvrha prema ISO 27001Relevantnost za NIS2 i DORA
Opseg ISMS-a i registar zainteresiranih stranaPokazuje da su identificirani pravni, ugovorni i zahtjevi ovisnostiPodržava opseg subjekta prema NIS2, analizu uloga prema DORA i odgovornost prema GDPR-u
Kriteriji rizika i registar rizikaPokazuje dosljednu procjenu rizika i vlasništvo nad rizikomPodržava mjere upravljanja rizicima prema NIS2 i okvir IKT rizika prema DORA
Izjava o primjenjivostiPokazuje odabrane kontrole, obrazloženje i status provedbeStvara objedinjenu kontrolnu osnovicu za međusobnu usklađenost
Godišnji plan interne revizijePokazuje planirano osiguranjePodržava nadzor uprave i planiranje IKT revizije prema DORA
Revizijski kontrolni popisPokazuje revizijske kriterije i metodu uzorkovanjaDokazuje kako su zahtjevi NIS2, DORA i GDPR testirani
Revizijsko izvješće i registar nalazaPokazuje objektivne dokaze i nesukladnostiPodržava procjenu učinkovitosti i regulatorno osiguranje
CAPA evidencijaPokazuje temeljni uzrok, vlasnika, rok i zatvaranjePodržava korektivne mjere prema NIS2 i otklanjanje nedostataka prema DORA
Paket za preispitivanje upravePokazuje da je vodstvo pregledalo učinak, incidente, rizike i resursePodržava odgovornost upravljačkog tijela prema NIS2 i DORA
Registar dobavljača i ugovorni dokaziPokazuje kontrolu rizika trećih stranaPodržava sigurnost opskrbnog lanca prema NIS2 i upravljanje rizicima IKT trećih strana prema DORA
Zapisi o obavješćivanju o incidentima i naučenim lekcijamaPokazuje odgovor i poboljšanjePodržava fazno izvješćivanje prema NIS2 i upravljanje incidentima prema DORA

Paket dokaza treba mapirati na točke ISO/IEC 27001:2022 i kontrole iz Priloga A, ali ga treba označiti prema regulatornoj relevantnosti. Zapis revizije dobavljača, primjerice, može podržati kontrole dobavljača iz Priloga A, sigurnost opskrbnog lanca prema NIS2 i upravljanje rizicima IKT trećih strana prema DORA. Zapis stolne vježbe incidenta može podržati upravljanje incidentima prema ISO 27001, spremnost za fazno obavješćivanje prema NIS2 i upravljanje većim incidentima povezanima s IKT-om prema DORA.

Kako provesti integriranu internu reviziju

Korak 26 u Zenith Blueprint naglašava objektivne dokaze:

„Provedite reviziju prikupljanjem objektivnih dokaza za svaku stavku na kontrolnom popisu.”

„Intervjuirajte relevantno osoblje.”

„Pregledajte dokumentaciju.”

„Promatrajte praksu.”

„Uzmite uzorke i provedite nasumične provjere.”

Iz Zenith Blueprint, faza Revizija, pregled i poboljšavanje, korak 26: Provedba revizije Zenith Blueprint

Upravo to zahtijeva spremnost za NIS2 i DORA. Regulatori i klijenti neće prihvatiti „vjerujemo da ovo funkcionira”. Pitat će kako to znate.

Dobro provedena revizija testira četiri dimenzije dokaza.

Dimenzija dokazaPrimjer revizijskog testaDobri dokazi
DizajnDefinira li politika ili proces zahtjev?Odobrena politika, postupak, standard, radni tok
ProvedbaJe li proces implementiran?Zapisi, konfiguracije, zapisi osposobljavanja, zapisi dobavljača
Operativna učinkovitostJe li funkcionirao tijekom vremena?Uzorci kroz više mjeseci, upozorenja, zapisi pregleda, rezultati testiranja
Eskalacija prema upravljanjuJe li uprava vidjela rezultate i postupila po njima?CAPA odobrenje, zapisnici preispitivanja uprave, odluka o proračunu

Razmotrite simulirani ransomware događaj na pripremnom poslužitelju. Revizor testira može li proces odgovora na incidente ispuniti zahtjeve ISO 27001, očekivanja faznog izvješćivanja prema NIS2 i obveze prema klijentima prema DORA.

Prikupljeni dokazRelevantnost za ISO 27001Relevantnost za NIS2Relevantnost za DORA
Registar incidenta s početnom klasifikacijom i vremenskom oznakomKontrola 5.26 odgovor na incidente informacijske sigurnostiUtvrđuje trenutak saznanja za rokove izvješćivanjaPodržava identifikaciju i evidentiranje incidenata povezanih s IKT-om
Eskalacija prema CSIRT-u i pravnom savjetnikuKontrola 5.25 procjena i odluka o događajima informacijske sigurnostiPodržava odlučivanje o obavješćivanju o značajnom incidentuPodržava interne komunikacijske i eskalacijske postupke
Nacrt predloška za rano upozorenjeKontrola 5.24 planiranje i priprema upravljanja incidentimaPodržava sposobnost ispunjavanja očekivanja ranog upozorenja u roku od 24 sataMože podržati spremnost za ugovornu komunikaciju
Zapis odluke o vraćanju iz sigurnosne kopijeKontrole 5.29, 5.30 i 8.13Podržava dokaze o neprekidnosti poslovanja i oporavku od katastrofePodržava očekivanja odgovora, oporavka i vraćanja iz sigurnosne kopije
Zapis komunikacije s klijentomKontrole 5.20 i 5.22 ugovori s dobavljačima i praćenje usluga dobavljačaMože podržati ugovornu komunikaciju i komunikaciju u opskrbnom lancuPodržava obveze financijskog klijenta u pogledu rizika trećih strana

NIS2 ima faznu strukturu izvješćivanja za značajne incidente, uključujući rano upozorenje u roku od 24 sata od saznanja, obavijest o incidentu u roku od 72 sata i završno izvješće u roku od mjesec dana od obavijesti o incidentu. DORA ima vlastiti okvir klasifikacije i izvješćivanja o incidentima povezanima s IKT-om za financijske subjekte. Interna revizija treba provjeriti bilježe li operativne upute vrijeme saznanja, kriterije ozbiljnosti, zahvaćene usluge, pokazatelje kompromitacije, mjere ublažavanja, temeljni uzrok, obveze obavješćivanja klijenata i podatke za završno izvješćivanje.

Pretvaranje jednog revizijskog nalaza u dokaze za NIS2 i DORA

Realističan nalaz povezan s dobavljačem pokazuje kako bi dokazi trebali teći.

Tijekom interne revizije revizor uzorkuje pet kritičnih dobavljača. Jedan pružatelj usluga evidentiranja događaja u oblaku podržava praćenje prijevara i sigurnosno upozoravanje za fintech platformu. Dobavljač je naveden u popisu, ali nema dokumentiranog izlaznog plana, nema dokaza o godišnjem sigurnosnom pregledu i nema potvrde da ugovor uključuje pomoć u slučaju incidenta ili prava na reviziju.

Revizor evidentira nesukladnost u odnosu na zahtjeve sigurnosti dobavljača i izlaska iz oblaka. Slab odgovor glasio bi „nedostaje pregled dobavljača”. Snažan odgovor stvara lanac dokaza međusobne usklađenosti:

  1. Zabilježiti nalaz u revizijskom izvješću, uključujući veličinu uzorka, naziv dobavljača, ugovornu referencu i nedostajuće dokaze.
  2. Dodati CAPA zapis s temeljnim uzrokom, primjerice „kontrolni popis za uključivanje dobavljača nije uključivao klasifikaciju kritičnosti ili okidač za izlazni plan”.
  3. Dodijeliti vlasnika dobavljača i vlasnika rizika.
  4. Ažurirati registar dobavljača kako bi se usluga označila kao podrška kritičnoj ili važnoj funkciji.
  5. Provesti procjenu rizika koja obuhvaća prekid usluge, pristup podacima, rizik koncentracije, ovisnost o obavješćivanju o incidentima i ugovorne nedostatke.
  6. Ažurirati plan obrade rizika i Izjavu o primjenjivosti gdje je relevantno.
  7. Ishoditi ažurirani dodatak ugovoru ili dokumentirano prihvaćanje rizika.
  8. Izraditi ili testirati izlazni plan.
  9. Ponovno revidirati dokaze dobavljača nakon otklanjanja nedostataka.
  10. Izvijestiti o nalazu, riziku i potrebama za resursima u preispitivanju uprave.

Ovaj jedinstveni lanac podržava više obveza. NIS2 očekuje sigurnost opskrbnog lanca i razmatranje ranjivosti dobavljača, praksi kibernetičke sigurnosti i postupaka sigurnog razvoja. DORA zahtijeva od financijskih subjekata upravljanje rizicima IKT trećih strana, održavanje registara ugovornih aranžmana, procjenu pružatelja prije sklapanja ugovora, uključivanje prava na reviziju i inspekciju gdje je prikladno, održavanje prava raskida i dokumentiranje izlaznih strategija za IKT usluge koje podržavaju kritične ili važne funkcije. GDPR također može biti relevantan ako dobavljač obrađuje osobne podatke.

Revizijski zapis više nije samo dokaz usklađenosti. To je dokaz otpornosti.

Preispitivanje uprave: gdje dokazi postaju odgovornost

Interna revizija utvrđuje stvarno stanje. Preispitivanje uprave odlučuje što s time učiniti.

Korak 28 u Zenith Blueprint opisuje ulazni paket za preispitivanje uprave:

„ISO 27001 navodi nekoliko obveznih ulaznih elemenata za preispitivanje uprave. Pripremite kratko izvješće ili prezentaciju koja obuhvaća te točke.”

Blueprint navodi status prethodnih radnji, promjene vanjskih i unutarnjih pitanja, učinkovitost i djelotvornost ISMS-a, incidente ili nesukladnosti, prilike za poboljšanje i potrebe za resursima.

Iz Zenith Blueprint, faza Revizija, pregled i poboljšavanje, korak 28: Preispitivanje uprave Zenith Blueprint

Za NIS2 i DORA, preispitivanje uprave mjesto je na kojem odgovornost na razini odbora postaje vidljiva. Pregled ne smije samo reći „raspravljalo se o sigurnosti”. Treba pokazati da je vodstvo pregledalo:

  • Promjene zahtjeva NIS2, DORA, GDPR, klijenata i ugovornih zahtjeva.
  • Promjene opsega, uključujući nove države, proizvode, regulirane klijente ili IKT ovisnosti.
  • Rezultate interne revizije, uključujući veće i manje nesukladnosti.
  • Status CAPA zapisa i zakašnjelih radnji.
  • Sigurnosne ciljeve i metrike.
  • Trendove incidenata, zamalo nastale događaje i naučene lekcije.
  • Rizike koncentracije dobavljača i oblaka.
  • Rezultate testova neprekidnosti poslovanja i sigurnosnog kopiranja.
  • Učinkovitost upravljanja ranjivostima i zakrpavanja.
  • Potrebe za resursima, uključujući ljude, alate, osposobljavanje i proračun.
  • Preostale rizike koji zahtijevaju formalno prihvaćanje.
  • Odluke o poboljšanju i odgovorne vlasnike.

Ovdje Maria može pretvoriti tehničko izvješće u strateško osiguranje. Umjesto da kaže „pronašli smo jedan nedostatak u procesu za incidente”, može reći: „Revizija je identificirala jednu manju nesukladnost u našim kriterijima odlučivanja za obavješćivanje o incidentima prema NIS2. CAPA ažurira postupak, dodaje matricu odlučivanja i zahtijeva stolnu vježbu u roku od 30 dana. Potrebno nam je odobrenje uprave za pravni pregled i vrijeme za osposobljavanje.”

To je vrsta zapisa koja podržava upravljanje, nadzor i dokazivo donošenje odluka.

Korektivna radnja: razlika između nalaza i zrelosti

Interna revizija bez korektivne radnje samo je dijagnoza.

Korak 29 u Zenith Blueprint upućuje organizacije da koriste CAPA evidenciju:

„Popunite ga za svako pitanje: opis pitanja, temeljni uzrok, korektivna radnja, odgovorni vlasnik, ciljni datum dovršetka, status.”

Iz Zenith Blueprint, faza Revizija, pregled i poboljšavanje, korak 29: Kontinuirano poboljšavanje Zenith Blueprint

Također uvodi važnu razliku:

„U revizijskom smislu: ispravak uklanja simptom, korektivna radnja uklanja uzrok. Oboje je važno.”

Iz Zenith Blueprint, faza Revizija, pregled i poboljšavanje, korak 29: Kontinuirano poboljšavanje

Ako nedostaju dokazi o vraćanju iz sigurnosne kopije, ispravak može biti pokretanje i dokumentiranje testa vraćanja ovaj tjedan. Korektivna radnja je promjena postupka sigurnosnog kopiranja tako da se testovi vraćanja planiraju tromjesečno, automatski evidentiraju u sustavu prijava, pregledava ih vlasnik usluge i uključuju se u metrike preispitivanja uprave.

Revizori traže tu zrelost. Revizor ISO 27001 testira usklađenost s ISMS-om i odabranim kontrolama. Provjeravatelj NIS2 pita jesu li mjere upravljanja rizicima učinkovite i pod nadzorom. Provjeravatelj DORA traži integraciju okvira IKT rizika, testiranje otpornosti, upravljanje ovisnostima o trećim stranama i otklanjanje nedostataka. Procjenitelj NIST Cybersecurity Framework 2.0 može pitati funkcioniraju li ishodi upravljanja, identificiranja, zaštite, otkrivanja, odgovora i oporavka. Revizor COBIT 2019 može se usredotočiti na ciljeve upravljanja, vlasništvo, pokazatelje uspješnosti i osiguranje.

Isti CAPA zapis može zadovoljiti te perspektive ako uključuje temeljni uzrok, vlasnika, utjecaj rizika, korektivnu radnju, rok, dokaz provedbe, pregled učinkovitosti i vidljivost prema upravi.

Višestruke perspektive revizora

Različiti revizori različito čitaju iste dokaze. Zenith Controls pomaže predvidjeti ta pitanja djelujući kao vodič za međusobnu usklađenost za kontrole ISO/IEC 27002:2022 i povezane okvire.

Perspektiva revizijeŠto će revizor vjerojatno pitatiDokazi koji dobro odgovaraju
Revizor ISO 27001Je li ISMS planiran, implementiran, vrednovan i poboljšan u skladu sa zahtjevima ISO/IEC 27001:2022?Opseg, procjena rizika, Izjava o primjenjivosti, plan interne revizije, revizijsko izvješće, izlazi preispitivanja uprave, CAPA
Provjeravatelj NIS2Je li uprava odobrila i nadzirala odgovarajuće mjere upravljanja rizicima i može li subjekt pokazati učinkovitost i korektivne radnje?Zapisnici odbora ili preispitivanja uprave, plan obrade rizika, operativne upute za incidente, pregledi dobavljača, zapisi osposobljavanja, metrike učinkovitosti
Provjeravatelj DORAJe li upravljanje IKT rizicima integrirano u upravljanje, strategiju otpornosti, testiranje, rizik trećih strana i otklanjanje nedostataka?Okvir IKT rizika, plan revizije, dokazi testiranja otpornosti, registar trećih strana, mapiranje kritičnih funkcija, zapisi otklanjanja nedostataka
Provjeravatelj GDPRMože li organizacija dokazati odgovornost za obradu osobnih podataka i sigurnost?Popis podataka, zapisi pravne osnove, ugovori s izvršiteljima obrade, evidencije povreda, kontrole pristupa, dokazi čuvanja, sigurnosne mjere
Procjenitelj NIST CSF 2.0Funkcioniraju li učinkovito ishodi upravljanja, rizika, zaštite, otkrivanja, odgovora i oporavka?Dokazi o kontrolama mapirani na ishode, dnevnički zapisi, nadzor, zapisi o incidentima, testovi oporavka, radnje poboljšanja
Revizor COBIT 2019Jesu li ciljevi upravljanja, vlasništvo, upravljanje učinkom i aktivnosti osiguranja definirani i praćeni?RACI, politike, KPI-jevi, registar revizije, upravljanje pitanjima, izvješćivanje uprave, zapisi odluka

Kontrola 5.36 dobar je primjer. Revizor ISO 27001 može se usredotočiti na to provode li se pregledi usklađenosti i ulaze li u korektivne radnje. Provjeravatelj NIS2 može pitati testiraju li ti pregledi zakonske mjere kibernetičke sigurnosti, a ne samo interna pravila. Provjeravatelj DORA može se usredotočiti na to uključuju li pregledi usklađenosti kritične IKT pružatelje i provedbu ugovornih obveza.

Zato dokazi od početka moraju biti osmišljeni za više čitatelja.

Praktičan 30-dnevni sprint za spremnost za reviziju

Ako glavni izvršni direktor pita može li organizacija biti spremna za reviziju u 30 dana, iskren odgovor glasi: možete izgraditi vjerodostojnu dokaznu osnovu ako vodstvo podrži sprint i ako je opseg realan.

DaniAktivnostIzlazni rezultat
1 do 3Potvrditi opseg ISMS-a, regulirane usluge, zainteresirane strane i obvezeIzjava o opsegu, bilješka o primjenjivosti NIS2, DORA i GDPR
4 do 7Ažurirati kriterije rizika, registar rizika i ključne vlasnike rizikaAžurirani registar rizika i prioriteti obrade rizika
8 do 10Izraditi plan interne revizije temeljen na rizikuOdobren plan revizije i revizijski kontrolni popis
11 do 17Provesti revizijske intervjue, uzorkovanje i pregled dokazaEvidencija dokaza, nalazi, pozitivna opažanja
18 do 20Potvrditi nalaze s vlasnicima i klasificirati ozbiljnostRevizijsko izvješće i registar nesukladnosti
21 do 24Izraditi CAPA evidenciju s temeljnim uzrocima, vlasnicima i rokovimaOdobren plan korektivnih radnji
25 do 27Pripremiti paket za preispitivanje upravePrezentacija ili izvješće pregleda s metrikama, rizicima, incidentima i resursima
28 do 30Održati preispitivanje uprave i zabilježiti odlukeZapisnik, evidencija radnji, prihvaćanja rizika, odluke o resursima

Ovaj sprint ne zamjenjuje dugoročnu zrelost. On stvara dokazivu operativnu osnovu. Prava vrijednost nastaje kada organizacija ponavlja ciklus tromjesečno ili polugodišnje, a ne samo jednom godišnje.

Česti nedostaci dokaza koje Clarysec pronalazi

Iste se slabosti pojavljuju u SaaS, cloud i fintech revizijama:

  • Plan revizije postoji, ali nije temeljen na riziku.
  • Revizijski kontrolni popis testira ISO točke, ali zanemaruje NIS2, DORA, GDPR i obveze prema klijentima.
  • Zapisnici preispitivanja uprave postoje, ali ne pokazuju odluke, dodjelu resursa ili prihvaćanje rizika.
  • CAPA zapisi navode radnje, ali ne i temeljni uzrok.
  • Nalazi se zatvaraju bez provjere učinkovitosti.
  • Pregledi dobavljača se provode, ali kritični dobavljači ne razlikuju se od dobavljača niskog rizika.
  • Operativne upute za incidente postoje, ali nitko ne može dokazati da bi tijek izvješćivanja u roku od 24 ili 72 sata funkcionirao.
  • Poslovi sigurnosnog kopiranja su zeleni, ali testovi vraćanja nisu dokazani.
  • Pregledi pristupa se izvoze, ali se iznimke ne prate do zatvaranja.
  • Dnevnički zapisi se prikupljaju, ali nitko ne može pokazati nadzor, eskalaciju ili odgovor.
  • Dokazi se pohranjuju u osobnim mapama umjesto u kontroliranom repozitoriju.
  • Zahtjevi čuvanja nisu jasni ili nisu usklađeni s ugovorima klijenata.

Ti se nedostaci mogu ispraviti. Zahtijevaju strukturiranu dokaznu arhitekturu ISMS-a, a ne traženje dokumenata u zadnji čas.

Kako dobar rezultat izgleda upravljačkom tijelu

Kada se CISO vrati glavnom izvršnom direktoru i financijskom direktoru, najsnažniji odgovor nije „prošli smo revizijski kontrolni popis”. Odgovor je:

„Imamo odobren plan revizije. Proveli smo internu reviziju temeljenu na riziku. Identificirali smo nalaze s objektivnim dokazima. Odobrili smo CAPA zapise s vlasnicima i rokovima. Eskalirali smo značajne rizike, incidente, ovisnosti o dobavljačima i potrebe za resursima u preispitivanje uprave. Mapirali smo dokaze na ISO/IEC 27001:2022, NIS2, DORA i GDPR. Možemo pokazati revizijski trag.”

Taj odgovor mijenja razgovor. Glavnom izvršnom direktoru daje sigurnost prema klijentima. Financijskom direktoru daje jasnoću o regulatornoj izloženosti. Upravljačkom tijelu daje dokaziv zapis nadzora. CISO-u daje prioritizirani plan umjesto gomile nepovezanih zahtjeva.

Najvažnije, organizaciju pomiče iz predstave usklađenosti prema operativnoj otpornosti.

Sljedeći koraci s Clarysec

Vaša sljedeća revizija ne bi trebala biti improvizacija. Trebala bi biti vidljiv dokaz da vaš ISMS funkcionira, da je vodstvo uključeno i da je organizacija spremna za ISO 27001, NIS2, DORA, GDPR i dokazivanje prema zahtjevima klijenata.

Clarysec vam može pomoći:

  • Izraditi plan interne revizije temeljen na riziku koristeći Zenith Blueprint: Plan revizora u 30 koraka Zenith Blueprint.
  • Mapirati revizijske dokaze kroz Zenith Controls: Vodič za međusobnu usklađenost Zenith Controls.
  • Implementirati upravljanje revizijom za SME ili korporativno okruženje koristeći Politika praćenja revizije i usklađenosti za SME Audit and Compliance Monitoring Policy-sme ili Politika praćenja revizije i usklađenosti Audit and Compliance Monitoring Policy.
  • Pripremiti pakete za preispitivanje uprave usklađene s Politikom informacijske sigurnosti Information Security Policy i očekivanjima ISO/IEC 27001:2022 točke 9.3.
  • Pretvoriti nalaze u CAPA zapise, odluke uprave i mjerljivo poboljšanje.

Preuzmite Clarysec alate, rezervirajte procjenu spremnosti ili zatražite demonstraciju kako biste svoju sljedeću internu reviziju pretvorili u dokaze za ISO 27001, NIS2, DORA i šire, spremne za upravljačko tijelo.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ISO 27001 SoA za spremnost na NIS2 i DORA

ISO 27001 SoA za spremnost na NIS2 i DORA

Saznajte kako koristiti ISO 27001 Izjavu o primjenjivosti kao revizijski spreman most između NIS2, DORA, GDPR, obrade rizika, dobavljača, odgovora na incidente i dokaza.

Mapiranje kontrola NIS2 2024/2690 na ISO 27001 za pružatelje usluga u oblaku

Mapiranje kontrola NIS2 2024/2690 na ISO 27001 za pružatelje usluga u oblaku

Jedinstveno mapiranje kontrola Provedbene uredbe NIS2 2024/2690 na ISO/IEC 27001:2022 za pružatelje usluga u oblaku, MSP-ove, MSSP-ove i pružatelje usluga podatkovnih centara. Uključuje odredbe Clarysec politika, revizijske dokaze, usklađivanje s DORA i GDPR te praktičan plan implementacije.