ISO 27001 SoA za spremnost na NIS2 i DORA
Ponedjeljak je, 08:30, a Elena, direktorica informacijske sigurnosti (CISO) brzorastućeg B2B FinTech SaaS pružatelja usluga, otvara hitan zahtjev upravnog odbora. Tvrtka je upravo stekla ISO/IEC 27001:2022 certifikaciju, ali veliki potencijalni bankarski klijent iz EU postavlja zahtjevnija pitanja od uobičajenog sigurnosnog upitnika.
Ne pitaju samo šifrira li tvrtka podatke, koristi li MFA ili ima li izvješće o penetracijskom testiranju. Žele znati podržava li SaaS platforma njihove obveze prema DORA, može li pružatelj usluge biti obuhvaćen NIS2 kao IKT usluga ili ovisnost digitalne infrastrukture te može li ISO 27001 Izjava o primjenjivosti obrazložiti svaku uključenu kontrolu, svaku isključenu kontrolu i svaki dokaz.
Upravni odbor postavlja pitanje koje sve češće čuju svaki CISO, voditelj usklađenosti i osnivač SaaS tvrtke:
Može li naša ISO 27001 SoA dokazati spremnost na NIS2 i DORA?
Elena zna da bi pogrešan odgovor bio pokrenuti tri odvojena programa usklađenosti: jedan za ISO 27001, jedan za NIS2 i jedan za DORA. To bi stvorilo duplicirane dokaze, sukobljene vlasnike kontrola i stalnu žurbu prije svake procjene klijenta. Bolji je odgovor koristiti postojeći ISMS kao operativni sustav usklađenosti, a Izjavu o primjenjivosti, odnosno SoA, kao glavni dokument sljedivosti.
SoA nije samo proračunska tablica za ISO certifikaciju. U EU okruženju kibernetičke sigurnosti i operativne otpornosti, to je mjesto na kojem organizacija dokazuje zašto kontrole postoje, zašto su isključenja dokaziva, tko je vlasnik svake kontrole, koji dokazi podupiru implementaciju i kako skup kontrola adresira NIS2, DORA, GDPR, ugovore s klijentima i internu obradu rizika.
Clarysecova Enterprise Politika informacijske sigurnosti Politika informacijske sigurnosti navodi:
ISMS mora uključivati definirane granice opsega, metodologiju procjene rizika, mjerljive ciljeve i dokumentirane kontrole obrazložene u Izjavi o primjenjivosti (SoA).
Taj zahtjev, iz točke politike 6.1.2 u Politici informacijske sigurnosti, temelj je revizijski spremnog pristupa. SoA treba postati most između obveza, rizika, kontrola, dokaza i odluka rukovodstva.
Zašto su NIS2 i DORA promijenili značenje pojma „primjenjivo”
Tradicionalna ISO/IEC 27001:2022 SoA često počinje jednostavnim pitanjem: „Koje se kontrole iz Priloga A primjenjuju na naš plan obrade rizika?” To je i dalje ispravno, ali više nije dovoljno za SaaS, oblak, upravljane usluge, fintech i pružatelje usluga u kritičnom opskrbnom lancu.
NIS2 podiže polaznu razinu upravljanja rizicima kibernetičke sigurnosti za ključne i važne subjekte u EU. Obuhvaća sektore kao što su digitalna infrastruktura, pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnih centara, mreže za isporuku sadržaja, pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga, bankarstvo i infrastrukture financijskih tržišta. Države članice moraju identificirati ključne i važne subjekte te pružatelje usluga registracije naziva domena, a mnogi pružatelji tehnologije koji su regulaciju kibernetičke sigurnosti ranije promatrali kao pitanje klijenta sada su ili izravno obuhvaćeni ili izloženi kroz ugovorne zahtjeve koji se prenose niz lanac.
NIS2 Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere u području analize rizika, sigurnosnih politika, postupanja s incidentima, neprekidnosti poslovanja, sigurnosti opskrbnog lanca, sigurne nabave i razvoja, procjene djelotvornosti kontrola, kibernetičke higijene, osposobljavanja, kriptografije, sigurnosti ljudskih resursa, kontrole pristupa, upravljanja imovinom i autentifikacije gdje je primjenjivo. NIS2 Article 23 dodaje očekivanja postupnog prijavljivanja incidenata, uključujući rano upozorenje, obavijest, ažuriranja i završno izvješćivanje za značajne incidente.
DORA, Digital Operational Resilience Act, primjenjuje se od 17. siječnja 2025. i usmjerena je na financijske subjekte i njihov ekosustav IKT rizika. Obuhvaća upravljanje IKT rizicima, prijavljivanje incidenata povezanih s IKT-om, prijavljivanje operativnih ili sigurnosnih incidenata povezanih s plaćanjima za određene subjekte, testiranje digitalne operativne otpornosti, razmjenu obavještajnih podataka o kibernetičkim prijetnjama, upravljanje rizicima trećih strana u području IKT-a, ugovorne aranžmane i nadzor nad kritičnim pružateljima IKT usluga trećih strana.
Za financijske subjekte koji su ujedno ključni ili važni subjekti prema NIS2, DORA djeluje kao sektorski režim za ekvivalentne obveze upravljanja IKT rizicima i prijavljivanja incidenata. No za SaaS pružatelje, pružatelje usluga u oblaku, MSP-ove i MDR pružatelje koji opslužuju financijske klijente, praktična je stvarnost da očekivanja DORA dolaze kroz nabavu, ugovore, prava na reviziju, obveze podrške u incidentima, planiranje izlaska, transparentnost podizvršitelja i dokaze otpornosti.
To mijenja razgovor o SoA. Pitanje više nije: „Sadrži li Prilog A ovu kontrolu?” Bolje pitanje glasi:
Možemo li dokazati da je odabir kontrola utemeljen na riziku, svjestan obveza, razmjeran, dodijeljen vlasnicima, implementiran, praćen, potkrijepljen dokazima i odobren?
ISO 27001 univerzalni je prevoditelj za NIS2 i DORA
ISO/IEC 27001:2022 vrijedan je jer je standard sustava upravljanja, a ne uski kontrolni popis. Zahtijeva da ISMS bude integriran u organizacijske procese i razmjeran potrebama organizacije. Zbog toga je učinkovit univerzalni prevoditelj za preklapajuće zahtjeve usklađenosti.
Točke 4.1 do 4.4 zahtijevaju da organizacija razumije svoj kontekst, identificira zainteresirane strane, utvrdi relevantne zahtjeve i definira opseg ISMS-a. Za FinTech SaaS pružatelja poput Elenine organizacije, ti zahtjevi zainteresiranih strana mogu uključivati klijente iz EU, financijske klijente na koje utječe DORA, izloženost sektoru prema NIS2, obveze voditelja obrade i izvršitelja obrade prema GDPR, vanjsko ugovorene ovisnosti o oblaku, sučelja dobavljača i očekivanja upravnog odbora.
Točke 6.1.1 do 6.1.3 zahtijevaju planiranje rizika i prilika, ponovljiv proces procjene rizika informacijske sigurnosti, proces obrade rizika, usporedbu s Prilogom A i Izjavu o primjenjivosti koja identificira uključene kontrole, status implementacije i obrazloženja isključenja.
Tu SoA postaje zapis odluke o kontroli. Kontrola može biti uključena jer obrađuje rizik, zadovoljava pravni zahtjev, ispunjava ugovor s klijentom, podržava poslovni cilj ili predstavlja polaznu mjeru kibernetičke higijene. Kontrola se može isključiti samo nakon što ju je organizacija svjesno procijenila, utvrdila da nije relevantna za opseg ISMS-a, dokumentirala obrazloženje i ishodila odgovarajuće odobrenje.
Clarysecova Enterprise Politika upravljanja rizicima Politika upravljanja rizicima navodi:
Izjava o primjenjivosti (SoA) mora odražavati sve odluke o obradi rizika i mora se ažurirati svaki put kada se promijeni obuhvat kontrola.
Taj zahtjev, iz točke politike 5.4 u Politici upravljanja rizicima, ključan je za spremnost na NIS2 i DORA. Novi regulirani klijent, nova ovisnost o oblaku, nova obveza prijavljivanja incidenata ili novi rizik koncentracije dobavljača mogu promijeniti primjenjivost kontrola.
Počnite od registra usklađenosti, ne od popisa kontrola
Slaba SoA počinje s Prilogom A i pita: „Koje kontrole već imamo?” Snažna SoA počinje od operativne stvarnosti organizacije i pita: „Koje obveze, usluge, rizike, podatke, dobavljače i klijente ISMS mora adresirati?”
ISO/IEC 27005:2022 podržava takav pristup naglašavanjem zahtjeva zainteresiranih strana, kriterija rizika i potrebe razmatranja standarda, internih pravila, zakona, propisa, ugovora i postojećih kontrola. Također naglašava da neprimjenjivost ili neusklađenost treba objasniti i obrazložiti.
Clarysecova Politika pravne i regulatorne usklađenosti za SME Politika pravne i regulatorne usklađenosti za SME obuhvaća isto operativno načelo:
Glavni direktor mora održavati jednostavan, strukturiran registar usklađenosti koji navodi:
Taj zahtjev proizlazi iz točke 5.1.1 Politike pravne i regulatorne usklađenosti za SME. Za manju organizaciju registar može biti jednostavan. Za poduzeće treba biti detaljniji. Logika je ista: obveze moraju biti vidljive prije nego što se mogu mapirati.
Clarysecova Enterprise Politika pravne i regulatorne usklađenosti Politika pravne i regulatorne usklađenosti izričita je:
Sve pravne i regulatorne obveze moraju se mapirati na određene politike, kontrole i vlasnike unutar sustava upravljanja informacijskom sigurnošću (ISMS).
To je točka politike 6.2.1 u Politici pravne i regulatorne usklađenosti. Ona je upravljačka okosnica za korištenje ISO 27001 Izjave o primjenjivosti radi spremnosti na usklađenost s NIS2 i DORA.
| Polje registra | Primjer unosa | Zašto je važno za SoA |
|---|---|---|
| Izvor obveze | NIS2 Article 21 | Pokreće uključivanje kontrola za analizu rizika, postupanje s incidentima, neprekidnost poslovanja, sigurnost dobavljača, kriptografiju, kontrolu pristupa, upravljanje imovinom i osposobljavanje |
| Obrazloženje primjenjivosti | SaaS pružatelj koji podržava financijske klijente i klijente iz ključnih sektora u EU | Pokazuje zašto se NIS2 razmatra čak i ako konačni pravni status ovisi o određivanju države članice |
| Vlasnik kontrole | Voditelj sigurnosnih operacija | Podržava odgovornost i vlasništvo nad dokazima |
| Mapirana ISO/IEC 27001:2022 kontrola | A.5.24 do A.5.28 kontrole upravljanja incidentima | Povezuje pravnu obvezu s odabirom kontrola iz Priloga A |
| Izvor dokaza | Plan odgovora na incidente, uzorci prijava, pregled nakon incidenta, vježba izvješćivanja | Olakšava revizijsko uzorkovanje |
| Odluka u SoA | Primjenjivo | Stvara sljedivost između obveze, rizika, kontrole i dokaza |
Izgradite kriterije rizika koji odražavaju otpornost, privatnost, dobavljače i regulativu
Mnoga obrazloženja u SoA ne uspijevaju jer je model bodovanja rizika preuzak. Mjeri tehničku vjerojatnost i utjecaj, ali ne obuhvaća regulatornu izloženost, kritičnost usluge, štetu za klijenta, ovisnost o dobavljaču, utjecaj na privatnost ili sustavni operativni poremećaj.
NIS2 nije usmjeren samo na povjerljivost. Fokus je na sprječavanju i minimiziranju utjecaja incidenata na usluge i primatelje usluga. DORA definira kritične ili važne funkcije prema tome bi li poremećaj materijalno narušio financijsku uspješnost, kontinuitet pružanja usluge ili usklađenost s regulatornim zahtjevima. GDPR dodaje odgovornost, cjelovitost, povjerljivost, spremnost na povredu i štetu za ispitanika.
Clarysecova Politika upravljanja rizicima za SME Politika upravljanja rizicima za SME daje praktični minimum:
Svaki unos rizika mora uključivati: opis, vjerojatnost, utjecaj, ocjenu, vlasnika i plan obrade rizika.
To je točka 5.1.2 Politike upravljanja rizicima za SME. Za spremnost na NIS2 i DORA, Clarysec taj minimum proširuje poljima kao što su izvor obveze, zahvaćena usluga, kategorija podataka, ovisnost o dobavljaču, vlasnik poslovanja, regulatorni utjecaj, preostali rizik, status obrade i izvor dokaza.
| ID rizika | Scenarij rizika | Pokretač obveze | Kontrole obrade | Obrazloženje u SoA |
|---|---|---|---|---|
| R-021 | Prekid rada platforme u oblaku sprječava klijente u pristupu reguliranim nadzornim pločama za analitiku prijevara | NIS2 Article 21, ovisnost klijenta prema DORA, ugovorni SLA | A.5.29, A.5.30, A.8.13, A.8.15, A.8.16 | Primjenjivo jer kontinuitet pružanja usluge, sigurnosno kopiranje, zapisivanje događaja, praćenje i IKT spremnost smanjuju operativni poremećaj i podržavaju obveze otpornosti klijenata |
| R-034 | Sigurnosni incident koji uključuje osobne podatke iz EU nije otkriven, eskaliran ili prijavljen u propisanim rokovima | odgovornost prema GDPR, NIS2 Article 23, obveze podrške u incidentima prema DORA | A.5.24 do A.5.28, A.8.15, A.8.16 | Primjenjivo jer postupno postupanje s incidentima, prikupljanje dokaza, učenje, zapisivanje događaja i praćenje podržavaju regulatorne i klijentske radne tokove obavješćivanja |
| R-047 | Slabost kritičnog podizvršitelja utječe na sigurnu isporuku usluge financijskim klijentima | NIS2 Article 21 sigurnost opskrbnog lanca, DORA rizik trećih strana u području IKT-a | A.5.19 do A.5.23, A.5.31, A.5.36 | Primjenjivo jer su rizik dobavljača, ugovorni zahtjevi, upravljanje uslugama u oblaku, obveze usklađenosti i usklađenost s politikama potrebni za dokazivanje sigurnosti IKT ovisnosti |
Obratite pozornost na jezik. Snažno obrazloženje ne kaže samo „implementirano”. Ono objašnjava zašto je kontrola primjenjiva u poslovnom, regulatornom i rizičnom kontekstu organizacije.
Mapirajte domene NIS2 i DORA na ISO 27001:2022 kontrole
Nakon uspostave registra usklađenosti i kriterija rizika, praktičan je posao mapirati regulatorne domene na kontrole iz Priloga A. To mapiranje samo po sebi ne dokazuje usklađenost, ali revizorima i klijentima daje jasan indeks za testiranje dokaza.
| Područje regulatornih zahtjeva | Referenca NIS2 | Referenca DORA | Primjeri ISO/IEC 27001:2022 kontrola |
|---|---|---|---|
| Upravljanje i odgovornost rukovodstva | Article 20 | Article 5 | A.5.1, A.5.2, A.5.31, A.5.35, A.5.36 |
| Okvir za upravljanje rizicima | Article 21(1) | Article 6 | ISO 27001 točke 6.1.1 do 6.1.3, A.5.7, A.5.31, A.5.36 |
| Postupanje s incidentima i izvješćivanje | Article 23 | Articles 17 to 19 | A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.8.15, A.8.16 |
| Neprekidnost poslovanja i otpornost | Article 21(2)(c) | Articles 11 and 12 | A.5.29, A.5.30, A.8.13, A.8.14, A.8.15, A.8.16 |
| Opskrbni lanac i rizik trećih strana | Article 21(2)(d), Article 21(3) | Articles 28 to 30 | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 |
| Sigurna nabava i razvoj | Article 21(2)(e) | Article 9 | A.8.25, A.8.26, A.8.27, A.8.28, A.8.29, A.8.32 |
| Testiranje i djelotvornost kontrola | Article 21(2)(f) | Articles 24 to 27 | A.5.35, A.5.36, A.8.8, A.8.29, A.8.34 |
| Kontrola pristupa i upravljanje imovinom | Article 21(2)(i) | Article 9(4)(d) | A.5.9, A.5.15, A.5.16, A.5.17, A.5.18, A.8.2, A.8.3 |
| Kriptografija i šifriranje | Article 21(2)(h) | Article 9(4)(d) | A.8.24 |
Za Elenu je ovo mapiranje promijenilo razgovor s upravnim odborom. Umjesto predstavljanja NIS2 i DORA kao odvojenih projekata, mogla je pokazati preklapanje: upravljanje, upravljanje rizicima, incidente, kontinuitet, dobavljače, testiranje, kontrolu pristupa i kriptografiju.
Tri ISO kontrole o kojima ovisi svaka SoA za NIS2 i DORA
U Zenith Controls: The Cross-Compliance Guide Zenith Controls, Clarysec tretira tri ISO/IEC 27002:2022 kontrole kao središnje za revizijski spremno upravljanje SoA u kontekstu NIS2 i DORA. To su ISO kontrole, obogaćene atributima međusobne usklađenosti u vodiču Zenith Controls.
| ISO/IEC 27002:2022 kontrola | Naziv kontrole | Atributi Zenith Controls | Zašto je važno za upravljanje SoA |
|---|---|---|---|
| 5.31 | Pravni, zakonski, regulatorni i ugovorni zahtjevi | Preventivno, CIA, Identify, Pravni poslovi i usklađenost, upravljanje, ekosustav, zaštita | Uspostavlja polaznu osnovu obveza koja pokreće uključivanje kontrola i dodjelu vlasnika |
| 5.35 | Neovisni pregled informacijske sigurnosti | Preventivno i korektivno, CIA, Identify and Protect, osiguranje informacijske sigurnosti, upravljanje, ekosustav | Pruža osiguranje da odluke u SoA i dokazi implementacije mogu izdržati neovisni pregled |
| 5.36 | Usklađenost s politikama, pravilima i standardima informacijske sigurnosti | Preventivno, CIA, Identify and Protect, Pravni poslovi i usklađenost, osiguranje informacijske sigurnosti, upravljanje, ekosustav | Povezuje SoA s operativnom usklađenošću, usklađenošću s politikama i praćenjem |
Te kontrole nisu izolirane. Izravno se povezuju s kontrolama odnosa s dobavljačima A.5.19 do A.5.23, kontrolama upravljanja incidentima A.5.24 do A.5.28, kontrolama neprekidnosti poslovanja A.5.29 i A.5.30, kontrolom privatnosti A.5.34, upravljanjem ranjivostima A.8.8, upravljanjem konfiguracijom A.8.9, sigurnosnim kopiranjem informacija A.8.13, zapisivanjem događaja A.8.15, aktivnostima praćenja A.8.16, kriptografijom A.8.24, kontrolama sigurnog razvoja A.8.25 do A.8.29 i upravljanjem promjenama A.8.32.
Vrijednost Zenith Controls jest u tome što pomaže timovima izbjeći tretiranje SoA kao artefakta jednog standarda. Kontrola 5.31 podržava pravno i ugovorno mapiranje. Kontrola 5.35 podržava unutarnju reviziju, neovisni pregled i osiguranje rukovodstva. Kontrola 5.36 podržava operativnu usklađenost s politikama, postupcima, standardima i zahtjevima kontrola.
Upotrijebite Zenith Blueprint za izradu, testiranje i obranu SoA
U Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Clarysec smješta izradu SoA u fazu upravljanja rizicima, korak 13: planiranje obrade rizika i Izjava o primjenjivosti. Blueprint upućuje organizacije da koriste list SoA u predlošku “Risk Register and SoA Builder.xlsx”, odluče je li svaka od 93 kontrole iz Priloga A primjenjiva i utemelje odluku na obradi rizika, pravnim i ugovornim zahtjevima, relevantnosti opsega i organizacijskom kontekstu.
Blueprint navodi:
SoA je u praksi dokument povezivanja: povezuje vašu procjenu/obradu rizika sa stvarnim kontrolama koje imate.
Ta rečenica obuhvaća operativni model. SoA povezuje obveze, rizike, politike, kontrole, dokaze i zaključke revizije.
Zenith Blueprint također upućuje timove da u napomenama SoA prema potrebi unakrsno upućuju na propise. Ako je kontrola implementirana radi GDPR, NIS2 ili DORA, to treba biti navedeno u registru rizika ili napomenama SoA. Kasnije, u koraku 24, Blueprint upućuje organizacije da ažuriraju SoA nakon implementacije i unakrsno je provjere s planom obrade rizika. U koraku 30, priprema za certifikaciju, završni pregled i probna revizija, Blueprint usmjerava timove da potvrde kako svaka primjenjiva kontrola iz Priloga A ima dokaze kao što su politika, postupak, izvješće, plan ili zapis implementacije.
Taj slijed čini SoA živim instrumentom usklađenosti:
- Korak 13 gradi je iz obrade rizika i obveza.
- Korak 24 testira je u odnosu na stvarno stanje implementacije.
- Korak 30 brani je završnim pregledom dokaza i probnom revizijom.
Kako pisati obrazloženja uključivanja koja revizori mogu pratiti
Kontrolu treba uključiti kada postoji barem jedan dokaziv pokretač: obrada rizika, pravni zahtjev, ugovorni zahtjev, relevantnost opsega, polazna kibernetička higijena, očekivanje klijenta u pogledu dokazivanja sigurnosti ili cilj otpornosti koji je odobrilo rukovodstvo.
Korisna formula glasi:
Primjenjivo jer [rizik ili obveza] utječe na [uslugu, imovinu, podatke ili proces], a ova kontrola osigurava [preventivni, detektivni, korektivni ili ishod otpornosti], potkrijepljeno [politikom, zapisom, testom, izvješćem ili izlazom sustava].
| Područje kontrole | Slabo obrazloženje | Obrazloženje spremno za reviziju |
|---|---|---|
| Upravljanje incidentima | Implementirano | Primjenjivo jer NIS2 Article 23 i očekivanja DORA o životnom ciklusu incidenta zahtijevaju otkrivanje, klasifikaciju, eskalaciju, podršku izvješćivanju, komunikaciju, analizu temeljnog uzroka, prikupljanje dokaza i naučene lekcije za incidente koji utječu na regulirane klijente |
| Sigurnost dobavljača | Obvezno | Primjenjivo jer hosting u oblaku, pružatelji podrške i MDR usluge utječu na dostupnost usluge i povjerljivost podataka, a NIS2 Article 21 te očekivanja DORA o riziku trećih strana u području IKT-a zahtijevaju dubinsku analizu dobavljača, ugovorne zaštitne mjere, praćenje, pregled podizvršitelja i planiranje izlaska |
| Kriptografija | U uporabi | Primjenjivo jer podaci klijenata, autentifikacijske tajne, sigurnosne kopije i regulirani financijski podaci zahtijevaju zaštitne mjere povjerljivosti i cjelovitosti prema NIS2, DORA, GDPR, ugovorima s klijentima i internoj obradi rizika |
| Neovisni pregled | Da | Primjenjivo jer rukovodstvo, klijenti i revizori zahtijevaju osiguranje da se kontrole ISMS-a, odluke u SoA, dokazi i regulatorna mapiranja periodično neovisno pregledavaju |
Za fintech SaaS pružatelja, jedan redak SoA mogao bi izgledati ovako:
| Polje SoA | Primjer unosa |
|---|---|
| Kontrola | A.5.19 Upravljanje informacijskom sigurnošću u odnosima s dobavljačima |
| Primjenjivost | Da |
| Obrazloženje | Primjenjivo jer hosting u oblaku, alati za podršku i MDR usluge utječu na povjerljivost, dostupnost, otkrivanje incidenata i dokazivanje sigurnosti prema reguliranim klijentima. Podržava očekivanja NIS2 u pogledu opskrbnog lanca, očekivanja DORA o riziku trećih strana u području IKT-a za financijske klijente, odgovornost izvršitelja obrade prema GDPR i ugovorne zahtjeve za reviziju. |
| Status implementacije | Implementirano i praćeno |
| Vlasnik | Voditelj upravljanja dobavljačima |
| Dokazi | registar dobavljača, kontrolni popis dubinske analize dobavljača, ugovorne sigurnosne odredbe, zapisi godišnjih pregleda, SOC ili izvješća o osiguranju, pregled podizvršitelja, plan izlaska za kritične pružatelje |
| Povezani rizici | R-047, R-021, R-034 |
| Povezane politike | Politika sigurnosti trećih strana i dobavljača, Politika pravne i regulatorne usklađenosti, Politika upravljanja rizicima |
| Učestalost pregleda | Godišnje te pri promjeni dobavljača, većem incidentu, novom reguliranom klijentu ili proširenju usluge |
Ovo je spremno za reviziju jer povezuje kontrolu s kontekstom, rizikom, obvezom, implementacijom, vlasništvom i dokazima.
Kako obrazložiti isključenja bez stvaranja revizijske izloženosti
Isključenja nisu neuspjesi. Loše obrazložena isključenja jesu neuspjesi.
ISO/IEC 27001:2022 zahtijeva da SoA obrazloži isključene kontrole iz Priloga A. ISO/IEC 27005:2022 dodatno potvrđuje da neprimjenjivost treba objasniti i obrazložiti. Clarysecova Enterprise Politika informacijske sigurnosti navodi:
Polazna osnova može se prilagoditi; međutim, isključenja moraju biti dokumentirana s formalnim odobrenjem i obrazloženjem u SoA.
To je točka 7.2.2 Politike informacijske sigurnosti.
Clarysecova Politika informacijske sigurnosti za SME Politika informacijske sigurnosti za SME navodi:
Svako odstupanje od ove politike mora biti dokumentirano, uz jasno objašnjenje zašto je odstupanje potrebno, koje su alternativne zaštitne mjere uspostavljene i koji je datum određen za ponovno preispitivanje.
Taj zahtjev proizlazi iz točke 7.2.1 Politike informacijske sigurnosti za SME.
| Područje kontrole | Obrazloženje isključenja | Potrebne zaštitne mjere |
|---|---|---|
| Kontrole sigurnog razvoja za interni kod | Nije primjenjivo jer opseg ISMS-a obuhvaća samo preprodajnu uslugu bez internog razvoja softvera, bez izmjena koda i bez CI/CD cjevovoda | Dokazivanje sigurnosti dobavljača, odobravanje promjena, zaprimanje ranjivosti, komunikacija s klijentima i godišnje ponovno preispitivanje |
| Praćenje fizičke sigurnosti za vlastite objekte | Nije primjenjivo jer organizacija nema vlastiti podatkovni centar, poslužiteljsku sobu ni uredski objekt u opsegu ISMS-a, a cjelokupnom produkcijskom infrastrukturom upravljaju revidirani pružatelji usluga u oblaku | Dubinska analiza dobavljača usluga u oblaku, ugovorne kontrole, pregledi pristupa, pregled modela zajedničke odgovornosti i dokazi iz izvješća pružatelja o osiguranju |
| Određene aktivnosti postupanja s medijima u vlastitim prostorijama | Nije primjenjivo jer se u usluzi u opsegu ne koriste prijenosni mediji ni lokalna pohrana u vlastitim prostorijama | Ograničenja krajnjih uređaja, DLP praćenje gdje je primjenjivo, popis imovine i periodična provjera |
Za NIS2 i DORA isključenja zahtijevaju dodatnu pažnju. SaaS tvrtka rijetko bi smjela isključiti zapisivanje događaja, praćenje, sigurnosne kopije, upravljanje incidentima, kontrolu pristupa, sigurnost dobavljača ili upravljanje ranjivostima. Čak i kada kontrola nije povezana s jednim specifičnim rizikom, i dalje može biti potrebna kao polazna sigurnosna mjera, dokazivanje sigurnosti prema klijentima, ugovorno očekivanje ili pravna obveza.
Clarysecova Politika upravljanja rizicima za SME također podsjeća timove kako treba postupati s prihvaćenim rizikom:
Prihvatiti: obrazložiti zašto nije potrebna daljnja radnja i zabilježiti preostali rizik.
Ta točka, 6.1.1 u Politici upravljanja rizicima za SME, upravo je način razmišljanja potreban za isključenja i odluke o preostalom riziku.
Prijavljivanje incidenata: dokažite radni tok, ne postojanje politike
NIS2 Article 23 zahtijeva postupno prijavljivanje značajnih incidenata, uključujući rano upozorenje u roku od 24 sata od saznanja, obavijest u roku od 72 sata, ažuriranja kada se zatraže i završno izvješće u roku od mjesec dana od 72-satne obavijesti. DORA zahtijeva od financijskih subjekata da otkrivaju, upravljaju, klasificiraju, eskaliraju, komuniciraju i prijavljuju velike incidente povezane s IKT-om, informiraju pogođene klijente gdje je potrebno, provedu analizu temeljnog uzroka i poboljšaju kontrole.
SaaS pružatelj ne mora uvijek izravno izvješćivati nadležno tijelo prema DORA, ali može morati podržati rokove izvješćivanja financijskih klijenata. Zbog toga su kontrole incidenata izrazito relevantne u SoA.
Slaba SoA kaže: „Politika odgovora na incidente postoji.”
Snažna SoA kaže: „Primjenjivo jer organizacija mora otkriti, procijeniti, klasificirati, eskalirati, komunicirati, očuvati dokaze, podržati regulatorne rokove izvješćivanja, obavijestiti pogođene klijente kada je to ugovorno potrebno i učiti iz incidenata koji utječu na usluge, podatke ili regulirane klijente.”
Dokazi trebaju uključivati:
- Plan odgovora na incidente i matricu eskalacije.
- Kriterije klasifikacije ozbiljnosti.
- Radni tok obavješćivanja klijenata.
- Stablo odluka za regulatorno obavješćivanje gdje je primjenjivo.
- Prijave incidenata i vremenske slijedove.
- Zapise dnevnika i upozorenja praćenja.
- Zapise stolnih vježbi.
- Pregled nakon incidenta i korektivne radnje.
- Postupke očuvanja dokaza.
Clarysecova Enterprise Politika praćenja revizije i usklađenosti Politika praćenja revizije i usklađenosti objašnjava zašto je to važno:
Generirati dokazive dokaze i revizijski trag kao podršku regulatornim upitima, pravnim postupcima ili zahtjevima klijenata za pružanje potvrda.
Taj cilj proizlazi iz točke 3.4 Politike praćenja revizije i usklađenosti.
Za manje organizacije zadržavanje dokaza također mora biti izričito. Clarysecova Politika praćenja revizije i usklađenosti za SME Politika praćenja revizije i usklađenosti za SME navodi:
Dokazi se moraju čuvati najmanje dvije godine ili dulje ako to zahtijevaju certifikacija ili ugovori s klijentima.
To je točka 6.2.4 Politike praćenja revizije i usklađenosti za SME.
Jedna SoA, više revizijskih razgovora
Najbolja SoA ne duplicira okvire. Ona stvara sljediv narativ kontrola koji različiti revizori mogu razumjeti.
| Okvir ili perspektiva | Što će revizor ili procjenitelj pitati | Kako SoA pomaže |
|---|---|---|
| ISO/IEC 27001:2022 | Zašto je ova kontrola iz Priloga A uključena ili isključena, koji je status implementacije i gdje su dokazi? | Povezuje odluke o kontrolama s rizicima, obvezama, statusom implementacije, vlasnicima i dokazima |
| NIS2 | Kako u praksi funkcioniraju upravljanje, analiza rizika, postupanje s incidentima, neprekidnost poslovanja, opskrbni lanac, šifriranje, kontrola pristupa, upravljanje imovinom i osposobljavanje? | Mapira očekivanja iz Article 21 i Article 23 na kontrole iz Priloga A i operativne zapise |
| DORA | Kako su dokazani IKT rizik, upravljanje incidentima, testiranje otpornosti, rizik trećih strana, ugovori, prava na reviziju, planovi izlaska i nadzor rukovodstva? | Pokazuje koje kontrole podržavaju obveze financijskog subjekta ili dokazivanje sigurnosti SaaS dobavljača |
| GDPR | Može li organizacija dokazati cjelovitost, povjerljivost, odgovornost, spremnost na povredu, podršku zakonitoj obradi i kontrole izvršitelja obrade? | Povezuje obveze privatnosti s kontrolom pristupa, kriptografijom, zapisivanjem događaja, dobavljačima, incidentima, zadržavanjem i kontrolama dokaza |
| NIST CSF 2.0 | Kako su ishodi Govern, Identify, Protect, Detect, Respond i Recover podržani implementiranim kontrolama? | Koristi istu bazu dokaza za prikaz funkcionalnog obuhvata kibernetičke sigurnosti |
| COBIT 2019 i ISACA revizija | Jesu li definirani ciljevi upravljanja, vlasništvo nad kontrolama, aktivnosti osiguranja, metrike i odgovornost rukovodstva? | Povezuje odluke u SoA s vlasnicima, pregledom učinkovitosti, neovisnim pregledom i korektivnim radnjama |
ISO 27001 revizor obično počinje logikom točaka: opseg, zainteresirane strane, procjena rizika, obrada rizika, SoA, ciljevi, unutarnja revizija, preispitivanje od strane uprave i poboljšanje. Recenzent usmjeren na NIS2 fokusira se na razmjernost, odgovornost rukovodstva, osposobljavanje, opskrbni lanac, rokove za incidente i utjecaj na uslugu. Procjenitelj klijenta usmjeren na DORA fokusira se na IKT rizik, kritične ili važne funkcije, velike IKT incidente, testiranje otpornosti, ugovorne odredbe, prava na reviziju, planove izlaska, podugovaranje i rizik koncentracije. Recenzent privatnosti fokusira se na odgovornost prema GDPR i spremnost na povredu. Revizor u stilu COBIT 2019 ili ISACA testira upravljanje, metrike, vlasništvo, osiguranje i korektivne radnje.
Zato SoA ne može održavati samo sigurnosni tim. Potrebno je vlasništvo pravnih poslova, privatnosti, nabave, inženjeringa, operacija, ljudskih resursa i izvršnog rukovodstva.
Česti neuspjesi SoA u projektima spremnosti za NIS2 i DORA
Clarysec u projektima spremnosti opetovano pronalazi iste probleme:
- SoA označava kontrole kao primjenjive, ali nije zabilježen rizik, obveza ili poslovni razlog.
- NIS2 i DORA spominju se u politikama, ali nisu mapirani na kontrole, vlasnike ili dokaze.
- Kontrole dobavljača označene su kao implementirane, ali ne postoji registar dobavljača, ocjena kritičnosti, pregled ugovora ili plan izlaska.
- Kontrole incidenata postoje, ali proces ne podržava radne tokove izvješćivanja za 24 sata, 72 sata, klijenta ili završno izvješće.
- Odobrenje rukovodstva se podrazumijeva, ali ne postoji zapis o prihvaćanju rizika, odobrenju SoA ili odluci o preostalom riziku.
- Isključenja su kopirana iz predloška i ne odgovaraju stvarnom operativnom modelu u oblaku, radu na daljinu, SaaS-u ili fintechu.
- Dokazi postoje u različitim alatima, ali nijedan revizijski trag ne povezuje dokaze sa SoA.
- Obrada osobnih podataka prema GDPR nije povezana sa sigurnosnim kontrolama, odgovorom na povredu, ugovorima s dobavljačima ili zadržavanjem.
- Unutarnja revizija provjerava dokumente, ali ne testira odražava li SoA stvarnu implementaciju.
- SoA se ažurira samo prije certifikacije, a ne nakon novih klijenata, dobavljača, incidenata, nalaza revizije ili regulatornih promjena.
To nisu administrativni problemi. To su problemi upravljanja.
Praktični kontrolni popis za ISO 27001 SoA spremnu za reviziju
Upotrijebite ovaj kontrolni popis prije ISO 27001 certifikacijske revizije, pregleda spremnosti za NIS2, procjene klijenta prema DORA, sastanka upravnog odbora ili procesa dubinske analize investitora.
| Kontrolna točka | Dobar odgovor |
|---|---|
| Opseg | Opseg ISMS-a odražava usluge, klijente, podatke, dobavljače, vanjsko ugovorena sučelja i regulirane ovisnosti |
| Zainteresirane strane | Identificirani su NIS2, klijenti prema DORA, uloge prema GDPR, regulatori, klijenti, dobavljači i interni dionici |
| Registar usklađenosti | Pravne, regulatorne, ugovorne i klijentske obveze mapirane su na politike, kontrole i vlasnike |
| Kriteriji rizika | Uključeni su pravni, operativni, privatnosni, dobavljački, financijski, reputacijski utjecaji i utjecaji na otpornost |
| Registar rizika | Svaki rizik uključuje opis, vjerojatnost, utjecaj, ocjenu, vlasnika, plan obrade rizika i preostali rizik |
| Uključivanje u SoA | Svaka primjenjiva kontrola ima obrazloženje povezano s rizikom, obvezom, opsegom, ugovorom ili polaznom sigurnošću |
| Isključenje u SoA | Svaka isključena kontrola ima konkretno, odobreno obrazloženje utemeljeno na dokazima i okidač za pregled |
| Dokazi | Svaka primjenjiva kontrola ima dokaze u obliku politike, postupka, konfiguracije, izvješća, testa, prijave, zapisa dnevnika, pregleda ili zapisa |
| Odobrenje rukovodstva | Vlasnici rizika odobravaju planove obrade i preostale rizike, a rukovodstvo preispituje učinkovitost ISMS-a |
| Neovisni pregled | Unutarnja revizija ili neovisni pregled testira točnost SoA, kvalitetu dokaza i stvarno stanje implementacije |
| Okidači za ažuriranje | SoA se ažurira nakon promjena usluga, promjena dobavljača, incidenata, novih klijenata, regulatornih promjena ili nalaza revizije |
Pretvorite SoA u dokaziv most usklađenosti
Elenina prezentacija upravnom odboru uspjela je jer nije predstavila tri nepovezana projekta usklađenosti. Predstavila je jedan kontroliran operativni model utemeljen na dokazima, izgrađen na ISO/IEC 27001:2022, sa SoA kao mostom između regulative, rizika, implementacije kontrola, dokaza i nadzora rukovodstva.
NIS2 i DORA ne čine ISO 27001 zastarjelim. One čine dobro izrađenu ISO 27001 Izjavu o primjenjivosti vrednijom. SoA može postati jedinstveno mjesto na kojem vaša organizacija objašnjava zašto kontrole postoje, zašto su isključenja dokaziva, kako se dokazi čuvaju, kako se upravlja dobavljačima, kako se incidenti eskaliraju i kako rukovodstvo zna da ISMS funkcionira.
Vaša neposredna radnja je jednostavna:
- Otvorite svoju trenutačnu SoA.
- Odaberite pet kontrola označenih kao primjenjive i pitajte: „Koji rizik, obveza ili ugovor to opravdava?”
- Odaberite pet isključenja i pitajte: „Bi li to i dalje imalo smisla revizoru za NIS2, DORA, GDPR ili ISO/IEC 27001:2022?”
- Provjerite ima li svaka primjenjiva kontrola ažurne dokaze.
- Potvrdite da je rukovodstvo odobrilo preostale rizike i odluke u SoA.
- Ažurirajte registar usklađenosti, registar rizika i SoA svaki put kada se promijene usluge, dobavljači, klijenti, propisi ili incidenti.
Clarysec pomaže organizacijama to postići kroz Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, Enterprise i SME skupove politika, alate za registar rizika, SoA predloške, pripremu za reviziju i mapiranje međusobne usklađenosti za NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 i dokazivanje sigurnosti prema klijentima.
Ako vaša SoA ne može odgovoriti zašto, tko je vlasnik, koji dokazi to potvrđuju i koju obvezu podržava, još nije spremna. Upotrijebite Clarysec kako biste je pretvorili u revizijski spreman most usklađenosti prije nego što regulator, revizor ili klijent prvi postavi ista pitanja.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
