Interna revizija ISO 27001 za NIS2 i DORA

Prvi je sastanak revizijskog odbora u 2026. Sarah, CISO u FinSecureu, brzorastućem pružatelju SaaS i FinTech usluga, ima petnaest minuta na dnevnom redu. Uprava ima pet pitanja.

Jesmo li spremni za nadzornu reviziju ISO/IEC 27001:2022? Jesmo li u opsegu NIS2 kao pružatelj upravljanih usluga? Utječe li DORA na nas jer podržavamo klijente iz financijskog sektora? Možemo li dokazati da prijavljivanje incidenata, dubinska analiza dobavljača i neprekidnost poslovanja doista funkcioniraju? I zašto je prošlotromjesečni pregled pristupa ponovno pronašao račune koji su trebali biti uklonjeni?

Sarah ima dokaze, ali su raspršeni. Inženjering ima izvoze skeniranja ranjivosti. Nabava ima upitnike dobavljača. Pravni poslovi imaju ugovorne odredbe. Voditelj usklađenosti ima alat za praćenje GDPR-a. SOC ima prijave incidenata. Ništa od toga nije očito pogrešno, ali ništa ne daje koherentnu sliku dokazivanja usklađenosti.

To je trenutak u kojem program interne revizije ISO 27001 postaje strateški mehanizam za dokaze ili ostaje godišnja utrka u zadnji čas.

Za organizacije na koje utječu NIS2 i DORA, interna revizija više ne može biti ceremonijalni kontrolni popis. Mora postati sustav dokazivanja usklađenosti temeljen na riziku koji potvrđuje je li opseg ISMS-a ispravan, rade li kontrole u praksi, jesu li regulatorni zahtjevi mapirani, jesu li nalazi dosljedno klasificirani i dolaze li korektivne radnje do preispitivanja od strane uprave. U 2026. najjači programi neće pitati samo: „Jesmo li proveli reviziju?” Pitat će: „Možemo li iz mjeseca u mjesec dokazati da upravljanje kibernetičkom sigurnošću, IKT otpornost, sigurnost dobavljača i spremnost za incidente funkcioniraju?”

Taj pristup Clarysec ugrađuje u Zenith Blueprint: An Auditor’s 30-Step Roadmap, Zenith Controls: The Cross-Compliance Guide i paket politika Clarysec. Cilj nije stvarati odvojene projekte za ISO, NIS2 i DORA. Cilj je ojačati ISMS tako da jedan program revizije proizvodi dokaze za višekratnu uporabu za različite zahtjeve dokazivanja usklađenosti.

Zašto se programi interne revizije u 2026. moraju promijeniti

NIS2 i DORA pomaknuli su revizijski razgovor s dokumentacije na upravljanu otpornost.

NIS2 primjenjuje se na mnoge srednje i velike organizacije u ključnim i važnim sektorima, uključujući digitalnu infrastrukturu, pružatelje usluga računalstva u oblaku, pružatelje usluga podatkovnih centara, pružatelje upravljanih usluga, pružatelje upravljanih sigurnosnih usluga, internetska tržišta, internetske tražilice i platforme društvenih mreža. Države članice počele su primjenjivati nacionalne mjere od listopada 2024., a do 2026. mnoge organizacije posluju u prvoj punoj godini zrelih očekivanja prema NIS2.

DORA se primjenjuje od 17. siječnja 2025. na širok raspon financijskih subjekata, uključujući kreditne institucije, institucije za platni promet, institucije za elektronički novac, investicijska društva, pružatelje usluga povezanih s kriptoimovinom, društva za osiguranje i reosiguranje, pružatelje usluga skupnog financiranja i relevantne pružatelje IKT usluga trećih strana. DORA je sektorski režim digitalne operativne otpornosti za obuhvaćene financijske subjekte. Pružatelji IKT usluga koji opslužuju financijske subjekte mogu osjetiti učinke DORA kroz ugovore, prava na reviziju, sudjelovanje u testiranju, podršku pri incidentima, kontrole podugovaranja i zahtjeve za izlazak.

Obje regulative povećavaju odgovornost. NIS2 Article 20 zahtijeva da upravljačka tijela odobre i nadziru mjere upravljanja rizicima kibernetičke sigurnosti te prođu osposobljavanje iz kibernetičke sigurnosti. DORA Article 5 čini upravljačko tijelo krajnje odgovornim za IKT rizik, uključujući odobravanje i nadzor strategije digitalne operativne otpornosti, IKT politika, aranžmana neprekidnosti poslovanja i rizika trećih strana.

ISO 27001 dobro odgovara tom okruženju jer je riječ o sustavu upravljanja. Od organizacije zahtijeva razumijevanje konteksta, definiranje zainteresiranih strana i zahtjeva, utvrđivanje opsega ISMS-a, procjenu i obradu rizika, praćenje učinkovitosti, provođenje internih revizija i poticanje kontinuiranog poboljšanja. Poanta nije prisiliti NIS2 i DORA u okvir oblikovan prema ISO-u. Poanta je koristiti ISO 27001 kao operativni sustav za ponovljivo dokazivanje usklađenosti.

Počnite s opsegom: revidirajte sustav na koji se uprava oslanja

Slab program interne revizije počinje nejasnim opsegom poput „informacijske sigurnosti”. Snažan program počinje poslovnom i regulatornom granicom.

ISO 27001 zahtijeva da opseg ISMS-a uzme u obzir unutarnja i vanjska pitanja, zahtjeve zainteresiranih strana te sučelja i ovisnosti s drugim organizacijama. To je važno jer se obveze prema NIS2 i DORA često nalaze na rubovima organizacije: platforme u oblaku, vanjski pružatelji SOC usluga, upravljano otkrivanje i odgovor, platni sustavi, fintech API-ji, obrada podataka klijenata, usluge sigurnosnog kopiranja i partneri za eskalaciju incidenata.

Clarysecova Politika praćenja revizije i usklađenosti za MSP-ove postavlja polaznu osnovu upravljanja:

Glavni direktor (GM) mora odobriti godišnji plan revizije.

Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.1.1.

Za veća okruženja Clarysecova Politika praćenja revizije i usklađenosti podiže očekivanje:

Plan revizije temeljen na riziku mora se izraditi i odobriti jednom godišnje, uzimajući u obzir:

Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.2.

Opseg stoga nije samo preferencija revizora. To je obveza dokazivanja usklađenosti koju odobrava uprava.

Program interne revizije ISO 27001 za 2026. koji podržava NIS2 i DORA treba uključivati:

• Točke i procese ISMS-a, uključujući kontekst, vodstvo, upravljanje rizicima, ciljeve, podršku, operacije, vrednovanje učinkovitosti i poboljšanje.
• Relevantna područja kontrola iz Priloga A ISO/IEC 27001:2022, uključujući odnose s dobavljačima, upravljanje incidentima, neprekidnost poslovanja, pravne obveze, privatnost, zapisivanje događaja, praćenje, upravljanje ranjivostima, kontrolu pristupa, kriptografiju, siguran razvoj, upravljanje promjenama i upravljanje uslugama u oblaku.
• Regulatorne slojeve, uključujući NIS2 Articles 20, 21 and 23, DORA Articles 5, 6, 8 to 14, 17 to 19, 24 to 27 and 28 to 30, uz zahtjeve sigurnosti i odgovornosti prema GDPR-u.
• Ključne usluge i poslovne procese, osobito kritične ili važne funkcije, ključne usluge, platforme dostupne klijentima i sustave koji podržavaju regulirane klijente.
• Ovisnosti o trećim stranama, uključujući IKT dobavljače, pružatelje usluga u oblaku, razvoj povjeren vanjskim izvođačima, SOC, MSSP, izvršitelje obrade podataka i kritične podugovaratelje.
• Procese koji proizvode dokaze, uključujući procjene rizika, preglede pristupa, otklanjanje ranjivosti, vježbe incidenata, testove vraćanja iz sigurnosnih kopija, preglede dobavljača, testove neprekidnosti poslovanja i preispitivanja od strane uprave.

Zenith Blueprint to dodatno potvrđuje u fazi Audit, Review & Improvement, Step 25, Internal Audit Program:

Odredite opseg svojeg programa interne revizije. U konačnici, tijekom godine morate obuhvatiti sve relevantne procese i kontrole ISMS-a.

Iz faze Audit, Review & Improvement, Step 25: Internal Audit Program.

Ne morate revidirati sve svaki mjesec. No tijekom godišnjeg ciklusa trebate obuhvatiti sve relevantne procese i kontrole ISMS-a, uz češći rad na područjima visokog rizika i reguliranim područjima.

Izgradite revizijski univerzum oko kontrolnih tema NIS2 i DORA

NIS2 Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere. Njegova polazna osnova uključuje analizu rizika, sigurnosne politike, postupanje s incidentima, neprekidnost poslovanja, upravljanje sigurnosnim kopijama, oporavak od katastrofe, krizno upravljanje, sigurnost opskrbnog lanca, sigurnu nabavu i razvoj, postupanje s ranjivostima, procjenu djelotvornosti, kibernetičku higijenu, osposobljavanje, kriptografiju, sigurnost u području ljudskih resursa, kontrolu pristupa, upravljanje imovinom, MFA ili kontinuiranu autentikaciju gdje je primjenjivo te sigurne komunikacije.

DORA ima sličan operativni životni ciklus. Od financijskih subjekata zahtijeva identifikaciju i klasifikaciju poslovnih funkcija podržanih IKT-om, informacijske imovine, IKT imovine, ovisnosti i međupovezanosti s trećim stranama. Također zahtijeva zaštitu, otkrivanje, klasifikaciju incidenata, odgovor, oporavak, sigurnosno kopiranje, vraćanje podataka, testiranje, učenje nakon incidenta, komunikaciju i upravljanje IKT rizikom trećih strana.

Objedinjeni revizijski univerzum sprječava čestu pogrešku odvojenog revidiranja ISO 27001 u odnosu na NIS2 i DORA.

Ova struktura pretvara svako revizijsko područje u zajednički objekt dokazivanja usklađenosti. Interni revizor testira zahtjev ISO 27001, a zatim bilježi podržavaju li isti dokazi i očekivanja NIS2, DORA, GDPR, NIST CSF i COBIT 2019.

Planirajte godinu prema riziku, a ne prema papirologiji

Zenith Blueprint timovima daje praktičan slijed za pretvaranje revizije u poboljšanje:

• Step 25, Internal Audit Program: planirajte opseg, učestalost, neovisnost i prioritete temeljene na riziku.
• Step 26, Audit Execution: prikupite objektivne dokaze kroz intervjue, pregled dokumenata, promatranje i uzorkovanje.
• Step 27, Audit Findings, Analysis & Root Cause: klasificirajte nalaze i utvrdite temeljni uzrok.
• Step 28, Management Review: uključite rezultate revizije, incidente, nesukladnosti, ciljeve, rizike i potrebe za resursima u preispitivanje od strane uprave.
• Step 29, Continual Improvement: izgradite korektivne radnje koje uklanjaju uzroke, a ne samo simptome.

Zenith Blueprint izričit je u pogledu neovisnosti:

U idealnom slučaju, interni revizor ne bi trebao revidirati vlastiti rad.

Iz faze Audit, Review & Improvement, Step 25: Internal Audit Program.

Za manju SaaS ili fintech organizaciju to može značiti uključivanje rukovoditelja iz druge funkcije za reviziju sigurnosnih procesa, rotaciju vlasnika kontrola ili korištenje vanjskog savjetnika. Ključno je dokumentirati kompetentnost i neovisnost, osobito kada dokaze za NIS2 i DORA kasnije mogu pregledavati klijenti, regulatori, nadzorna tijela ili vanjski revizori.

Politika praćenja revizije i usklađenosti za MSP-ove također definira minimalnu strukturu revizije:

Svaka revizija mora imati definiran opseg, ciljeve, odgovorno osoblje i potrebne dokaze.

Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.2.3.

Praktična tromjesečna struktura za brzorastućeg SaaS ili IKT pružatelja može biti:

Ovo ne zamjenjuje mjesečno prikupljanje dokaza. Godini daje jasan ritam dokazivanja usklađenosti.

Uzorkovanje: koliko je dokaza dovoljno?

Uzorkovanje je mjesto na kojem mnoge interne revizije postaju ili preplitke ili preskupe. U reguliranim IKT okruženjima uzorkovanje mora biti temeljeno na riziku, obrazloživo i dokumentirano.

Zenith Blueprint, Step 26, daje praktično načelo:

Uzmite uzorak i provedite nasumične provjere: ne možete provjeriti sve, zato koristite uzorkovanje.

Iz faze Audit, Review & Improvement, Step 26: Audit Execution.

Clarysecova politika za veća okruženja čini to revizijski provjerljivim:

Dokumentacija strategije uzorkovanja, opsega revizije i ograničenja

Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.5.3.

Za NIS2 i DORA uzorkovanje treba uzeti u obzir kritičnost, rizik, važnost dobavljača, vremensko razdoblje, povijest incidenata, geografiju i podržava li uzorkovani proces kritične ili važne funkcije.

Za okruženja na koja utječe DORA, dokazi testiranja zaslužuju posebnu pozornost. DORA zahtijeva testiranje digitalne operativne otpornosti za financijske subjekte, uz naprednije testiranje kao što je penetracijsko testiranje vođeno prijetnjama za odabrane subjekte najmanje svake tri godine. Revizijski uzorak ne smije uključivati samo izvješća o testiranju, nego i dokaze da su nalazi prioritizirani, otklonjeni i ponovno testirani.

Praktičan primjer revizije: IKT rizik trećih strana

Sigurnost dobavljača često je najbrži način za otkrivanje praznina između dokumentacije i operativne stvarnosti. DORA Articles 28 to 30 zahtijevaju upravljanje IKT rizikom trećih strana, ugovorni sadržaj i registre informacija. NIS2 Article 21 zahtijeva sigurnost opskrbnog lanca koja uzima u obzir ranjivosti i prakse izravnih dobavljača.

Za Q2 reviziju Sarah uzorkuje pet kritičnih dobavljača, tri nova dobavljača uvedena u posljednjih šest mjeseci i dva dobavljača s nedavno obnovljenim ugovorima. Revizor intervjuira nabavu, pravne poslove, vlasnike usluga i vlasnike sigurnosnih kontrola.

Ova tablica ne služi samo kao vodič za prikupljanje dokaza. Ona dokazuje da je organizacija prevela regulatorni tekst u revizijske kriterije usklađene s ISO-om i konkretne dokaze.

Nalazi: napišite ih tako da uprava može djelovati

Revizijski nalaz ne smije zvučati kao nejasna pritužba. Treba biti dovoljno strukturiran da uprava razumije rizik, dodijeli vlasništvo i odobri korektivnu radnju.

Politika praćenja revizije i usklađenosti za MSP-ove navodi:

Svi nalazi revizije moraju biti dokumentirani s ocjenama rizika i predloženim radnjama.

Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.4.1.

Politika za veća okruženja, Politika praćenja revizije i usklađenosti, dodaje disciplinu korektivnih radnji:

Svi nalazi moraju rezultirati dokumentiranom CAPA koja uključuje:

Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.2.1.

U Zenith Blueprint, Step 27 preporučuje kategorizaciju nalaza kao većih nesukladnosti, manjih nesukladnosti ili opažanja, zatim provedbu analize temeljnog uzroka. Veća nesukladnost ukazuje na ozbiljnu prazninu ili sistemski neuspjeh. Manja nesukladnost izolirani je propust u procesu koji je inače usklađen. Opažanje je prilika za poboljšanje.

Snažan nalaz uključuje:

• Zahtjev ili očekivanje kontrole.
• Utvrđeno stanje.
• Uzorkovane dokaze.
• Rizik i poslovni utjecaj.
• Regulatornu relevantnost.
• Klasifikaciju i ocjenu rizika.
• Temeljni uzrok.
• Vlasnika korektivne radnje i rok.

Primjer nalaza:

Nalaz NC-2026-07, manja nesukladnost, kašnjenje pregleda sigurnosti dobavljača

Zahtjev: Pregledi sigurnosti dobavljača za kritične IKT pružatelje moraju se provoditi najmanje jednom godišnje te podržavati kontrole dobavljača prema ISO 27001, očekivanja sigurnosti opskrbnog lanca prema NIS2 i obveze upravljanja IKT rizikom trećih strana prema DORA.

Stanje: Dva od dvanaest kritičnih IKT dobavljača nisu imala dovršene sigurnosne preglede za 2026. do zahtijevanog datuma.

Dokazi: Izvoz registra dobavljača od 15. lipnja 2026., alat za praćenje pregleda dobavljača, intervju s voditeljem nabave i dva nedostajuća zapisa pregleda.

Rizik: Zakašnjeli pregled dobavljača može spriječiti pravodobnu identifikaciju ranjivosti, promjena u podugovaranju, praznina u podršci pri incidentima ili ugovorne neusklađenosti koje utječu na kritične usluge.

Temeljni uzrok: Nabava nije automatski obavještavana kada su se približavali datumi pregleda dobavljača, a vlasništvo nad dokazima dobavljača povezanim s DORA nije bilo dodijeljeno.

Korektivna radnja: Konfigurirati automatizirane podsjetnike za pregled, dodijeliti imenovane vlasnike kontrola za sve kritične IKT dobavljače, dovršiti zakašnjele preglede do 31. srpnja 2026. i provoditi tromjesečne provjere uzorka.

Za analizu temeljnog uzroka korisna je tehnika „5 zašto”. Ako je predugovorna procjena propuštena, stvarni uzrok možda nije pojedinačna pogreška. Može biti da je nabavni radni tok dopuštao da IKT ugovori male vrijednosti zaobiđu sigurnosni pregled, iako se očekivanja prema DORA i NIS2 primjenjuju prema riziku i ovisnosti, a ne samo prema potrošnji.

Kalendar dokaza za 2026.

Kalendar dokaza za 2026. pretvara internu reviziju u operativni ritam. Raspoređuje stvaranje dokaza tijekom godine i izbjegava utrku na kraju godine.

Clarysecova Politika informacijske sigurnosti očekuje upravljački pregled sljedećeg:

Pregled ključnih pokazatelja uspješnosti sigurnosti (KPI), incidenata, nalaza revizije i statusa rizika

Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.3.2.

Dokazi se ne prikupljaju samo za revizore. Oni podupiru odluke o riziku, proračunu, resursima, dobavljačima, alatima, obuci i korektivnim radnjama.

Ovaj kalendar revizijskom odboru daje plan dokazivanja usklađenosti usmjeren prema budućnosti, a vlasnicima kontrola vrijeme da stvaraju dokaze kroz redovne operacije.

Okosnica ISO 27002:2022: 5.31, 5.35 i 5.36

Zenith Controls Clarysecov je vodič za višestruku usklađenost. Mapira područja kontrola ISO/IEC 27001:2022 i ISO/IEC 27002:2022 na druge standarde, regulative, revizijska očekivanja i obrasce dokaza. Posebno je koristan za povezivanje internog pregleda, pravnih obveza i usklađenosti s politikama.

Tri područja kontrola ISO/IEC 27002:2022 čine okosnicu objedinjenog programa interne revizije:

Kontrola 5.35 temelj je dokazivanja usklađenosti jer provjerava pregledava li se ISMS neovisno. Kontrola 5.36 potvrđuje da politike nisu samo odobrene, nego se stvarno poštuju. Kontrola 5.31 povezuje ISMS s pravnim, regulatornim i ugovornim obvezama, uključujući NIS2, DORA, GDPR i sigurnosne zahtjeve klijenata.

Mapiranje višestruke usklađenosti: jedna revizija, više pogleda dokazivanja

Zrela radna dokumentacija interne revizije treba izričito pokazati kako jedan dokazni element podržava više očekivanja dokazivanja usklađenosti.

To omogućuje CISO-u da upravi kaže: „Naša srpanjska revizija incidenata proizvela je dokaze za ISO 27001, NIS2, dokazivanje prema zahtjevima klijenata po DORA, spremnost za prijavu povrede prema GDPR-u, ishode odgovora prema NIST CSF i upravljanje incidentima prema COBIT.”

Preispitivanje od strane uprave: gdje revizija postaje odgovornost

Interna revizija ima malu vrijednost ako nalazi ne dolaze do uprave. Preispitivanje od strane uprave prema ISO 27001 pruža mehanizam, a NIS2 i DORA čine očekivanje upravljanja izričitim.

Politika praćenja revizije i usklađenosti za MSP-ove zahtijeva:

Nalazi revizije i ažuriranja statusa moraju biti uključeni u proces preispitivanja ISMS-a od strane uprave.

Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.4.3.

Također navodi:

GM mora odobriti plan korektivnih radnji i pratiti njegovu provedbu.

Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.4.2.

Preispitivanje od strane uprave treba odgovoriti na sljedeće:

• Jesu li obveze prema NIS2, DORA, GDPR i ugovorima i dalje pravilno odražene u opsegu ISMS-a?
• Revidiraju li se kontrole visokog rizika dovoljno često?
• Koji nalazi ukazuju na sistemsku slabost, a ne na izoliranu pogrešku?
• Kasne li korektivne radnje?
• Prihvaćaju li vlasnici rizika preostali rizik svjesno?
• Jesu li dobavljači, prijavljivanje incidenata, neprekidnost poslovanja i testiranje odgovarajuće resursirani?
• Ukazuju li trendovi revizije na potrebu promjene politika, alata, proračuna ili osposobljavanja?

Ako ti odgovori nisu dokumentirani, organizacija može imati dokaze o aktivnostima, ali ne i dokaze o upravljanju.

Česte zamke koje treba izbjeći u 2026.

Najčešći neuspjeh jest tretiranje interne revizije ISO 27001 odvojeno od regulatornog dokazivanja usklađenosti. To stvara dupliciranje i slijepe točke.

Druge zamke uključuju:

• Opseg isključuje kritične dobavljače, platforme u oblaku ili vanjski ugovorene SOC usluge.
• Primjenjivost NIS2 ili DORA nije dokumentirana u registru pravnih obveza.
• Uprava nije odobrila plan revizije.
• Uzorkovanje se provodi, ali nije dokumentirano.
• Interni revizori pregledavaju vlastiti rad bez mjera ublažavanja.
• Nalazi opisuju simptome, ali ne i temeljne uzroke.
• Korektivne radnje ažuriraju dokumente, ali ne popravljaju procese.
• Preispitivanje od strane uprave prima rezultate revizije, ali ne donosi odluke.
• Vježbe incidenata testiraju tehnički odgovor, ali ne i regulatorno obavješćivanje.
• Revizije dobavljača pregledavaju upitnike, ali ne i ugovore, planove izlaska ili rizik koncentracije.
• Dokazi sigurnosnih kopija pokazuju uspješne poslove, ali ne i cjelovitost vraćanja podataka.
• Pregledi pristupa se provode, ali se iznimke ne prate do zatvaranja.

Svaka zamka može postati manja ili veća nesukladnost, ovisno o ozbiljnosti i sistemskom utjecaju. Još važnije, svaka slabi sposobnost organizacije da dokaže otpornost prema NIS2, DORA i provjeri klijenata.

Pretvorite svoj plan revizije za 2026. u mehanizam za dokaze

Ako je vaš program interne revizije i dalje jedan godišnji događaj, sada je vrijeme da ga redizajnirate.

Počnite s planom revizije koji je odobrila uprava. Definirajte opseg ISMS-a oko stvarnih usluga, reguliranih obveza i ovisnosti o trećim stranama. Izgradite revizijski univerzum temeljen na riziku. Dokumentirajte uzorkovanje. Dosljedno klasificirajte nalaze. Koristite analizu temeljnog uzroka. Pratite CAPA. Uključite rezultate u preispitivanje od strane uprave. Održavajte mjesečni kalendar dokaza.

Clarysec vam može pomoći da napredujete brže uz:

• Zenith Blueprint: An Auditor’s 30-Step Roadmap za planiranje revizije, provedbu, nalaze, preispitivanje od strane uprave i kontinuirano poboljšanje.
• Zenith Controls: The Cross-Compliance Guide za mapiranje dokazivanja prema ISO 27001 na očekivanja NIS2, DORA, GDPR, NIST CSF i COBIT.
• Politika praćenja revizije i usklađenosti i Politika praćenja revizije i usklađenosti za MSP-ove za planiranje revizije i upravljanje nalazima spremno za upravu.
• Politika informacijske sigurnosti za pregled KPI-ja, incidenata, nalaza revizije i statusa rizika na razini uprave.

Odaberite jedno područje visokog rizika, kao što je prijavljivanje incidenata ili upravljanje IKT dobavljačima, i provedite usmjerenu internu reviziju koristeći Clarysecovu strukturu opsega, uzorkovanja i nalaza. Unutar jednog ciklusa znat ćete jesu li vaši dokazi spremni za reviziju, rade li vaše kontrole i ima li vaše upravljačko tijelo informacije potrebne za upravljanje kibernetičkim rizikom.