ISO 27001 kao dokazna okosnica za NIS2 i DORA

Ponedjeljak ujutro: sudar zahtjeva usklađenosti

U ponedjeljak u 08:12 Maria, CISO europskog pružatelja usluga obrade plaćanja, prima tri poruke koje na prvi pogled nisu povezane.

Voditelj interne revizije traži dokaze da je Izjava o primjenjivosti za ISO 27001:2022 ažurna. Pravni tim prosljeđuje upitnik bankarskog partnera o nadzoru rizika IKT trećih strana prema DORA. Direktor operacija pita može li se isti operativni priručnik za incidente koristiti za ispunjavanje očekivanja NIS2 u pogledu obavješćivanja za novo stečenu poslovnu jedinicu u EU.

Do 09:00 ploča u Marijinu uredu prekrivena je kraticama: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. Njezina organizacija ima kontrole. Ima upravljanje pristupom, sigurnosne kopije, upitnike za dobavljače, šifriranje, odgovor na incidente, odobravanje politika, preispitivanja od strane uprave i zapise o osposobljavanju. Ono što nema jest jedinstvena dokazna okosnica spremna za reviziju koja objašnjava zašto te kontrole postoje, koje rizike obrađuju, koje propise podržavaju, tko je za njih odgovoran i gdje se nalaze dokazi.

Taj problem postaje uobičajen diljem Europe. NIS2 naglašava upravljanje rizicima kibernetičke sigurnosti, upravljanje, postupanje s incidentima i otpornost opskrbnog lanca. DORA uvodi detaljno upravljanje IKT rizicima, testiranje otpornosti, prijavljivanje incidenata i nadzor nad IKT trećim stranama za financijske subjekte. GDPR i dalje zahtijeva odgovornost, sigurnost obrade, upravljanje izvršiteljima obrade i procjenu povrede osobnih podataka.

Pogrešan je odgovor izgraditi tri paralelna programa usklađenosti. Time nastaju duplicirane kontrole, nedosljedni dokazi i preopterećeni timovi.

Snažniji je odgovor koristiti ISO 27001:2022 kao okosnicu kontrola. Ne kao certifikat na zidu, nego kao operativni sustav za rizik, politike, upravljanje dobavljačima, odgovor na incidente, mapiranje usklađenosti i revizijske dokaze.

Praktični model Clarysec jednostavan je: koristiti ISMS prema ISO 27001:2022 kao organizacijski sustav, koristiti Izjavu o primjenjivosti kao most, koristiti politike kao provediva operativna pravila i koristiti Zenith Controls: vodič za unakrsnu usklađenost kao kompas za unakrsnu usklađenost. Izgraditi jednom, pažljivo mapirati, kontinuirano dokazivati.

Zašto ISO 27001:2022 funkcionira kao okosnica usklađenosti

NIS2 i DORA imaju različite opsege, pravne mehanizme i modele nadzora. NIS2 se primjenjuje na ključne i važne subjekte u različitim sektorima. DORA se primjenjuje na financijske subjekte i propisuje detaljne zahtjeve za digitalnu operativnu otpornost. GDPR je usmjeren na obradu osobnih podataka i odgovornost.

Ipak, operativna pitanja iza tih okvira preklapaju se:

• Upravlja li se kibernetičkom sigurnošću politikama koje je odobrila uprava?
• Jesu li rizici informacijske sigurnosti i IKT rizici identificirani, procijenjeni i obrađeni?
• Odabiru li se kontrole na temelju rizika, poslovnog konteksta i pravnih obveza?
• Upravlja li se dobavljačima kroz dubinsku analizu dobavljača, ugovore, praćenje i kontrole izlaska?
• Može li osoblje rano prepoznati i prijaviti sigurnosne događaje?
• Mogu li se incidenti trijažirati, eskalirati, istražiti i procijeniti za regulatorno obavješćivanje?
• Može li organizacija brzo dohvatiti dokaze tijekom revizije, pregleda klijenta ili upita nadzornog tijela?

ISO 27001:2022 daje vodstvu sustav upravljanja za dosljedno odgovaranje na ta pitanja. ISO/IEC 27007:2022 tretira Izjavu o primjenjivosti kao revizijski provjerljiv popis odabranih kontrola informacijske sigurnosti, uključujući kontrole iz Priloga A norme ISO 27001:2022, drugih standarda ili mjera specifičnih za organizaciju, s dokumentiranim obrazloženjem uključivanja ili isključivanja. ISO/IEC 27006-1:2024 dodatno potvrđuje da SoA i povezana dokumentacija ISMS-a čine temeljnu dokaznu osnovu za prikaz kontrola koje su potrebne, načina dodjele odgovornosti te načina provedbe i komunikacije politika.

Zbog toga je SoA mnogo više od proračunske tablice. Postaje kontrolni ugovor između rizika, usklađenosti, operacija, pravnih poslova, nabave, revizije i uprave.

Clarysecova [P01] Politika informacijske sigurnosti učvršćuje taj upravljački zahtjev:

Organizacija mora implementirati i održavati sustav upravljanja informacijskom sigurnošću (ISMS) u skladu s ISO/IEC 27001:2022, točkama 4 do 10.

Iz odjeljka “Zahtjevi za provedbu politike”, točka politike 6.1.1.

To je važno jer zahtjevi za dokaze prema NIS2 i DORA rijetko dolaze jezikom ISO-a. Regulator, klijent ili odbor uprave može zatražiti dokaz upravljanja rizicima kibernetičke sigurnosti, IKT upravljanja, nadzora nad ovisnostima o trećim stranama, eskalacije incidenata ili testiranja operativne otpornosti. ISMS prema ISO 27001:2022 daje tim odgovorima strukturu.

SoA je most, a ne administrativna vježba

U Zenith Blueprint: revizorski plan u 30 koraka, u fazi upravljanja rizicima, korak 13, Clarysec opisuje SoA kao ključni mehanizam sljedivosti između obrade rizika i implementiranih kontrola:

SoA je zapravo povezni dokument: povezuje vašu procjenu/obradu rizika sa stvarnim kontrolama koje imate.

Ta je rečenica srž unakrsne usklađenosti. Kontrola bez sljedivosti postaje nepovezan artefakt. Kontrola povezana s rizikom, pravnom obvezom, politikom, vlasnikom, zapisom dokaza i rezultatom testiranja postaje spremna za reviziju.

Korak 13 također preporučuje dodavanje referenci kontrola scenarijima rizika, primjerice povezivanje scenarija povrede baze podataka klijenata s kontrolom pristupa, kriptografijom, upravljanjem ranjivostima, odgovorom na incidente i kontrolama dobavljača. Također preporučuje evidentirati kada kontrole podržavaju vanjske zahtjeve kao što su GDPR, NIS2 ili DORA.

Clarysecova [P06] Politika upravljanja rizicima izričito propisuje to operativno pravilo:

Odluke o kontrolama koje proizlaze iz procesa obrade rizika moraju biti odražene u SoA.

Iz odjeljka “Zahtjevi za provedbu politike”, točka politike 6.5.1.

Za manje organizacije, Politika upravljanja rizicima - SME koristi istu logiku:

Osigurava da je upravljanje rizicima aktivna sastavnica planiranja, provedbe projekata, odabira dobavljača i odgovora na incidente, usklađena s ISO 27001, ISO 31000 i primjenjivim regulatornim zahtjevima.

Iz odjeljka “Svrha”, točka politike 1.2.

Ako obrada rizika trećih strana prema DORA, mjera postupanja s incidentima prema NIS2 ili zahtjev sigurnosti izvršitelja obrade prema GDPR nisu odraženi u SoA ili povezanom registru usklađenosti, organizacija možda i dalje obavlja posao. No teško će ga dokazati na koherentan način.

Praktično mapiranje ISO 27001:2022 na NIS2 i DORA

Sljedeće mapiranje nije pravni savjet. Riječ je o praktičnom modelu dokaza za CISO-e, voditelje usklađenosti, interne revizore i vlasnike poslovnih procesa koji trebaju uskladiti dokaze ISO 27001:2022 s očekivanjima NIS2 i DORA.

ENISA je, u suradnji s Europskom komisijom i Skupinom za suradnju u području NIS-a, objavila savjetodavne smjernice za unakrsno povezivanje koje pomažu uskladiti zahtjeve EU-a u području kibernetičke sigurnosti s međunarodnim i nacionalnim standardima, uključujući ISO 27001. Te smjernice nisu pravno obvezujuće i moraju se dopuniti uputama nacionalnih nadležnih tijela, sektorskim pravilima i pravnom analizom. Ipak, podupiru obrazložljiv pristup mapiranju.

Mapiranje funkcionira jer ne stvara duplicirane kontrole za svaki propis. Koristi ISO 27001:2022 kao okosnicu kontrola i dodaje regulatorne oznake, vlasništvo i očekivanja u pogledu dokaza.

Tri kontrole ISO 27001:2022 koje otključavaju okosnicu

Za NIS2 i DORA važno je više kontrola, no tri kontrole ISO/IEC 27002:2022 često postaju kralježnica modela dokaza: 5.1, 5.19 i 5.24. Četvrta kontrola, 6.8, često određuje funkcionira li prijavljivanje incidenata u stvarnosti.

U Zenith Controls, kontrola ISO/IEC 27002:2022 5.1, Politike informacijske sigurnosti, opisana je kao preventivna kontrola koja podržava povjerljivost, cjelovitost i dostupnost, pri čemu su korporativno upravljanje i upravljanje politikama ključne operativne sposobnosti. Unakrsno mapiranje objašnjava da GDPR Articles 5(2), 24 i 32 zahtijevaju odgovornost i sigurnost obrade. Istu kontrolu mapira i na očekivanja NIS2 u pogledu upravljanja rizicima kibernetičke sigurnosti i upravljanja te na zahtjeve DORA za IKT upravljanje i okvir upravljanja rizicima.

Zato politika informacijske sigurnosti nije samo još jedna politika. Procjenitelj za NIS2 može je čitati kao dokaz upravljanja. Nadzorno tijelo prema DORA može je čitati kao dokaz okvira IKT rizika. Pregledavatelj za GDPR može je čitati kao dokaz odgovornosti. Revizor ISO 27001:2022 može je čitati kao dio strukture politika ISMS-a.

Kontrola 5.19, Informacijska sigurnost u odnosima s dobavljačima, mjesto je na kojem se susreću nabava, pravni poslovi, sigurnost, privatnost i otpornost. Zenith Controls mapira je na GDPR obveze izvršitelja obrade, NIS2 kibernetičku sigurnost opskrbnog lanca i DORA upravljanje rizikom IKT trećih strana. Za DORA ti dokazi postaju još snažniji kada su podržani kontrolama 5.20, Uređivanje informacijske sigurnosti u ugovorima s dobavljačima, 5.21, Upravljanje informacijskom sigurnošću u IKT opskrbnom lancu, i 5.23, Informacijska sigurnost za korištenje usluga u oblaku.

Kontrola 5.24, Planiranje i priprema upravljanja incidentima informacijske sigurnosti, operativni je pokretač spremnosti za incidente. Zenith Controls mapira je na postupanje s incidentima i obavješćivanje prema NIS2, prijavu povrede osobnih podataka prema GDPR i upravljanje te prijavljivanje incidenata povezanih s IKT-om prema DORA. Njezini dokazi nisu samo politika odgovora na incidente. Uključuju kanale za prijavljivanje, kriterije trijaže, zapise o eskalaciji, pravne procjene obavješćivanja, stolne vježbe, prijave incidenata i naučene lekcije.

Kontrola 6.8, Prijavljivanje događaja informacijske sigurnosti, zatvara prazninu između pisanog plana i ljudskog ponašanja. Ako osoblje ne zna kako prijaviti sumnjivi phishing, curenje podataka, prekide usluge dobavljača ili sumnjivu aktivnost sustava, organizacija može izgubiti kritično vrijeme prije nego što pravna ili regulatorna procjena obavješćivanja uopće započne.

Jedan incident dobavljača, jedan koordinirani lanac dokaza

Zamislite da pružatelj analitike u oblaku, kojeg koristi Marijin pružatelj usluga obrade plaćanja, otkrije neovlašteni pristup portalu za podršku. Pružatelj obrađuje pseudonimizirane podatke o korištenju od strane klijenata i podržava poslovno ključan tijek izvješćivanja. Incident može utjecati na osobne podatke, reguliranu IKT otpornost i dostupnost usluge.

Fragmentirani program usklađenosti otvara tri odvojena toka rada: procjenu povrede prema GDPR, pregled IKT incidenta prema DORA i dobavljačku prijavu prema ISO 27001. Svaki tim traži slične dokaze u različitom formatu. Nabava traži ugovor. Pravni poslovi pitaju je li pružatelj izvršitelj obrade. Sigurnost provjerava ispunjava li incident pragove za prijavljivanje. Usklađenost pokreće novu proračunsku tablicu.

Zrela okosnica ISO 27001:2022 otvara jedan koordinirani lanac dokaza.

Prvo, događaj se evidentira u okviru procesa odgovora na incidente. Prijavitelj koristi definirani kanal, sigurnosni tim provodi trijažu događaja, a pravni poslovi procjenjuju obveze obavješćivanja. Clarysecova [P30] Politika odgovora na incidente zahtijeva da incidente s reguliranim podacima procijene Pravni poslovi i DPO:

Ako incident dovede do potvrđene ili vjerojatne izloženosti osobnih podataka ili drugih reguliranih podataka, Pravni poslovi i DPO moraju procijeniti primjenjivost:

Iz odjeljka “Zahtjevi za provedbu politike”, točka politike 6.4.1.

Za manje organizacije, Politika odgovora na incidente-sme - SME dodjeljuje istu praktičnu točku odlučivanja:

Kada su uključeni podaci klijenata, glavni direktor mora procijeniti pravne obveze obavješćivanja na temelju primjenjivosti GDPR, NIS2 ili DORA.

Iz odjeljka “Obrada rizika i iznimke”, točka politike 7.4.1.

Drugo, pregledava se odnos s dobavljačem. Je li pružatelj klasificiran kao kritičan? Je li ugovor uključivao obveze prijave povrede, prava na reviziju, odgovornosti za zaštitu podataka, očekivanja neprekidnosti usluge i odredbe o izlasku? Clarysecova Politika sigurnosti trećih strana i dobavljača postavlja to očekivanje:

Ugraditi standardizirane sigurnosne zahtjeve u sve ugovore s dobavljačima, uključujući obveze prijave povrede, prava na reviziju i odgovornosti za zaštitu podataka.

Iz odjeljka “Ciljevi”, točka politike 3.2.

Za SME organizacije, Politika sigurnosti trećih strana i dobavljača-sme - SME izričito navodi svrhu unakrsne usklađenosti:

Podržati usklađenost s obvezama ISO/IEC 27001:2022, GDPR, NIS2 i DORA povezanima s upravljanjem dobavljačima.

Iz odjeljka “Ciljevi”, točka politike 3.6.

Treće, registar rizika, plan obrade rizika i SoA ažuriraju se ako incident otkrije prazninu. Možda ugovor s dobavljačem ne sadrži konkretan regulatorni rok za obavješćivanje. Možda je učestalost praćenja dobavljača preniska za kritičnog IKT pružatelja. Možda plan odgovora na incidente ne razlikuje jasno kriterije povrede osobnih podataka od kriterija prekida IKT usluge.

Poanta nije stvoriti novi svijet usklađenosti. Poanta je ažurirati jedan integrirani lanac dokaza kako bi isti zapisi mogli odgovoriti na više revizijskih pitanja.

Pretvaranje SoA u mapu dokaza za NIS2 i DORA

Standardni SoA često dobro odgovara na ISO pitanja: koje su kontrole primjenjive, zašto su odabrane i jesu li implementirane. Kako bi postao praktična mapa dokaza za NIS2 i DORA, obogatite ga regulatornim i operativnim poljima dokaza.

Otvorite SoA_Builder.xlsx iz Audit Ready Toolkit koji se spominje u Zenith Blueprint, faza revizije, pregleda i poboljšanja, korak 24. Korak 24 objašnjava da će revizori često uzorkovati kontrolu iz SoA i pitati zašto je implementirana. Stupac s obrazloženjem i povezani rizik ili zahtjev trebali bi odgovoriti na to pitanje.

Dodajte ove stupce:

Zatim to primijenite na temeljni skup kontrola.

Zatim provedite probni test sljedivosti. Odaberite jedan incident dobavljača iz prošle godine i pratite ga od prijave incidenta do ugovora s dobavljačem, od klasifikacije dobavljača do registra rizika, od obrade rizika do SoA te od SoA do preispitivanja od strane uprave.

Ako se lanac prekine, to nije neuspjeh. To je precizna korektivna radnja prije nego što prazninu pronađe revizor, klijent, regulator ili odbor uprave.

Centralizirani dokazi zanemareni su akcelerator

Mnoge organizacije imaju odgovarajuće kontrole, ali slabu mogućnost dohvaćanja dokaza. Dokazi su raspršeni po e-pošti, sustavima za upravljanje tiketima, SharePoint mapama, repozitorijima ugovora, HR platformama, GRC alatima i portalima dobavljača. Tijekom revizijske sezone tim za usklađenost tjednima prikuplja snimke zaslona.

To nije spremnost za reviziju. To je naknadno prikupljanje dokaza za reviziju.

Clarysecova [P33S] Politika praćenja revizije i usklađenosti-sme - SME navodi:

Svi dokazi moraju biti pohranjeni u centraliziranoj mapi za reviziju.

Iz odjeljka “Zahtjevi za provedbu politike”, točka politike 6.2.1.

Centralizirana mapa za reviziju ne znači nekontrolirano odlagalište. To znači strukturirani repozitorij usklađen s ISMS-om, SoA, registrom rizika, planom revizije i registrom usklađenosti.

Clarysecova Politika pravne i regulatorne usklađenosti - SME izravno se bavi problemom mapiranja:

Kada se propis primjenjuje na više područja (npr. GDPR se primjenjuje na zadržavanje, sigurnost i privatnost), to mora biti jasno mapirano u Registru usklađenosti i materijalima za osposobljavanje.

Iz odjeljka “Zahtjevi upravljanja”, točka politike 5.2.2.

Upravo tako ISO 27001:2022 postaje okosnica kontrola za NIS2 i DORA. Ne oslanjate se na neformalno znanje. Propise mapirate kroz procese, politike, kontrole, dokaze i osposobljavanje.

Prijavljivanje incidenata počinje s ljudima, a ne portalima

Česta revizijska slabost pojavljuje se kada plan odgovora na incidente izgleda snažno, ali zaposlenici ne znaju kada ili kako prijaviti događaj. To je opasno za NIS2, DORA i GDPR jer rokovi za regulatornu procjenu i obavješćivanje ovise o otkrivanju, eskalaciji i klasifikaciji.

U Zenith Blueprint, faza kontrola u praksi, korak 16, Clarysec naglašava prijavljivanje incidenata koje pokreće osoblje prema kontroli ISO/IEC 27002:2022 6.8. Smjernica navodi da odgovor na incidente počinje s ljudima. Organizacije trebaju uspostaviti jasan, jednostavan i dostupan kanal za prijavljivanje, kao što su nadzirana adresa e-pošte, interni portal, linija za prijavu ili kategorija u sustavu za upravljanje tiketima. Također preporučuje obuku o sigurnosnoj svijesti, kulturu prijavljivanja bez okrivljavanja, povjerljivost, nizak prag prijavljivanja i periodične simulacije.

Učinak na unakrsnu usklađenost izravan je. Zenith Blueprint povezuje tu sposobnost prijavljivanja od strane osoblja s GDPR Article 33, NIS2 Article 23 i DORA Article 17. Ako zaposlenici oklijevaju prijaviti sumnjivu aktivnost, organizacija može izgubiti kritično vrijeme prije nego što pravni, sigurnosni ili regulatorni timovi mogu procijeniti obveze obavješćivanja.

Praktičan test kontrole jednostavan je:

1. Pitajte pet zaposlenika kako prijaviti sumnjivu phishing poruku e-pošte.
2. Provjerite nadzire li se kanal za prijavljivanje.
3. Potvrdite ima li sustav za upravljanje tiketima kategoriju sigurnosnog incidenta.
4. Pregledajte posljednju simulaciju ili stolnu vježbu.
5. Provjerite jesu li naučene lekcije pregledane u okviru preispitivanja od strane uprave.

Ako je bilo koji odgovor nejasan, ažurirajte upute za incidente, materijal za osposobljavanje, kanal za prijavljivanje i referencu dokaza u SoA.

Kako različiti revizori pregledavaju istu okosnicu

Dokazi za unakrsnu usklađenost moraju izdržati različite revizijske perspektive. Ista se kontrola može testirati različito, ovisno o mandatu pregledavatelja.

Ovdje Zenith Controls donosi vrijednost iznad jednostavne tablice mapiranja. Pomaže prevesti kontrole ISO/IEC 27002:2022 u perspektive relevantne za reviziju, uključujući atribute kontrola, regulatorne odnose i očekivanja u pogledu dokaza. Za kontrolu 5.1, atributi podržavaju upravljanje, upravljanje politikama, odgovornost i sigurnosne ciljeve. Za kontrolu 5.24, atributi podržavaju koncepte odgovora i oporavka, spremnost za incidente i korektivne radnje. Za kontrolu 5.19, atributi odnosa s dobavljačima povezuju upravljanje, rizik ekosustava, zaštitu i nadzor trećih strana.

Što uprava treba vidjeti

Uprava ne treba svaku stavku SoA. Treba priču koju SoA prenosi.

Snažan paket za upravu o usklađivanju ISO 27001:2022, NIS2 i DORA trebao bi uključivati:

• Opseg ISMS-a i obuhvaćene poslovne usluge.
• Najvažnije rizike informacijske sigurnosti i IKT rizike.
• Sažetak primjenjivih kontrola po domenama.
• Status mapiranja NIS2, DORA i GDPR.
• Kritične dobavljače i rizike koncentracije.
• Metrike prijavljivanja incidenata i ishode stolnih vježbi.
• Otvorene korektivne radnje i zakašnjele obrade rizika.
• Odluke potrebne o prihvaćanju rizika, proračunu, vlasništvu i resursima.

Time se usklađenost pretvara u dokaze upravljanja. To je također usklađeno sa svrhom kontrole 5.1 u Zenith Controls, gdje politike informacijske sigurnosti podržavaju smjer na razini izvršnog vodstva, odgovornost i sigurnosne ciljeve.

Česte pogreške koje treba izbjeći

Prva je pogreška pretpostaviti da certifikacija ISO 27001:2022 automatski dokazuje usklađenost s NIS2 ili DORA. Ne dokazuje. ISO 27001:2022 daje snažan sustav upravljanja i okosnicu kontrola, ali i dalje trebate utvrđivanje regulatornog opsega, pravnu analizu, sektorski specifično tumačenje, tijekove obavješćivanja i razumijevanje očekivanja nacionalnih nadležnih tijela.

Druga je pogreška tretirati SoA kao statičan dokument. SoA se mora razvijati kada se pojave novi dobavljači, sustavi, incidenti, propisi, usluge ili rizici. Zenith Blueprint, korak 24, preporučuje unakrsnu provjeru SoA s registrom rizika i planom obrade rizika, uz osiguranje da svaka odabrana kontrola ima obrazloženje temeljeno na mapiranom riziku, pravnom zahtjevu ili poslovnoj potrebi.

Treća je pogreška mapirati na previsokoj razini. Slajd koji kaže „ISO 27001 mapira se na DORA” nije revizijski dokaz. Konkretan unos u SoA koji povezuje sigurnost odnosa s dobavljačima s rizikom kritičnog IKT dobavljača, ugovornom odredbom, zapisom pregleda dobavljača i očekivanjem DORA u pogledu nadzora trećih strana mnogo je snažniji.

Četvrta je pogreška necentraliziranje dokaza. Ako rukovoditelj usklađenosti dva tjedna prikuplja snimke zaslona prije svake revizije, organizacija ima problem dohvaćanja dokaza.

Peta je pogreška zanemariti kontrole osoblja. Prijavljivanje incidenata, uvođenje dobavljača, pregledi pristupa, prihvaćanje politike i eskalacija ovise o ljudskom ponašanju. Uglancan proces koji nitko ne slijedi urušit će se pod revizijskim uzorkovanjem.

Clarysecov operativni model za unakrsnu usklađenost

Clarysecova metoda povezuje priču o usklađenosti od strategije do dokaza:

• U Zenith Blueprint, faza upravljanja rizicima, korak 13, mapirate kontrole na rizike i izgrađujete SoA kao povezni dokument.
• U Zenith Blueprint, faza upravljanja rizicima, korak 14, unakrsno povezujete zahtjeve GDPR, NIS2 i DORA s politikama i kontrolama.
• U Zenith Blueprint, faza kontrola u praksi, korak 16, uspostavljate prijavljivanje incidenata koje pokreće osoblje kako bi eskalacija počela rano.
• U Zenith Blueprint, faza revizije, pregleda i poboljšanja, korak 24, dovršavate i testirate SoA, unakrsno ga provjeravate u odnosu na plan obrade rizika i pripremate ga kao jedan od prvih dokumenata koje će revizor zatražiti.

Tu metodu podupiru Clarysecove politike koje pretvaraju načela u operativna pravila: upravljanje informacijskom sigurnošću, obrada rizika, sigurnost dobavljača, odgovor na incidente, pravno i regulatorno mapiranje te pohrana dokaza.

Rezultat nije samo spremnost za ISO 27001:2022. To je višekratno upotrebljiv sustav dokaza usklađenosti za NIS2, DORA, GDPR, programe dokazivanja sigurnosti prema zahtjevima klijenata, internu reviziju i nadzor uprave.

Sljedeći koraci: izgradite jednom, dokazujte više puta

Ako se vaša organizacija suočava s NIS2, DORA, GDPR, revizijama klijenata ili pritiskom certifikacije ISO 27001:2022, počnite s okosnicom.

1. Pregledajte svoj SoA i dodajte stupce regulatornih pokretača za NIS2, DORA i GDPR.
2. Unakrsno provjerite SoA u odnosu na registar rizika i plan obrade rizika.
3. Mapirajte kritične dobavljače na sigurnosne kontrole dobavljača, ugovorne odredbe i dokaze praćenja.
4. Testirajte tijek prijavljivanja incidenata stolnom vježbom.
5. Centralizirajte revizijske dokaze prema kontroli, propisu, vlasniku i statusu testiranja.
6. Koristite Zenith Controls za prevođenje kontrola ISO/IEC 27002:2022 u dokaze unakrsne usklađenosti.
7. Koristite Zenith Blueprint za prijelaz od obrade rizika do provjere SoA spremne za reviziju.
8. Uvedite Clarysecov skup politika, uključujući Politiku informacijske sigurnosti, Politiku upravljanja rizicima, Politiku sigurnosti trećih strana i dobavljača i Politiku odgovora na incidente, kako biste ubrzali implementaciju.

Najbrži put nije više nepovezanih kontrolnih popisa. To je jedan integrirani ISMS, jedan sljediv SoA, jedan centralizirani model dokaza i jedan operativni ritam unakrsne usklađenosti.

Clarysec vam može pomoći pretvoriti ISO 27001:2022 iz certifikacijskog projekta u praktičnu okosnicu kontrola za NIS2 i DORA. Preuzmite Zenith Blueprint, istražite Zenith Controls ili rezervirajte Clarysec procjenu kako biste izgradili model dokaza spreman za reviziju prije nego što sljedeći regulator, klijent ili odbor uprave zatraži dokaz.