ISO 27001:2022 dokazi o osposobljavanju za NIS2 i DORA
U utorak ujutro u veljači 2026. u 09:12 financijski analitičar u brzorastućem fintech društvu prima e-poštu koja izgleda kao da dolazi od CFO-a i traži hitan pregled datoteke za plaćanje dobavljaču. Privitak otvara uvjerljivu Microsoft stranicu za prijavu. Analitičar zastaje, prisjeća se prošlomjesečne simulacije phishinga i modula o prijevarama u plaćanjima te prijavljuje e-poštu putem sigurnosnog portala umjesto da unese vjerodajnice.
Za CISO-a ta je pojedinačna odluka kontrola koja funkcionira u stvarnom okruženju.
Za revizora priča nije dovoljna.
Zahtjev za dokazima stiže tjedan dana kasnije: „Dostavite dokaze o sveobuhvatnom programu podizanja svijesti i osposobljavanja o informacijskoj sigurnosti, utemeljenom na ulogama, uključujući pokazatelje učinkovitosti i zapise koji dokazuju obuhvat za svo osoblje, uključujući upravu.”
Ta rečenica mijenja razgovor. Proračunska tablica u kojoj uz 97 posto zaposlenika stoji „Završeno” više nije dovoljna. Revizor će pitati tko je osposobio analitičara, kada je osposobljavanje dodijeljeno, je li bilo obvezno, je li bilo utemeljeno na ulozi, je li odjel financija dobio dodatno osposobljavanje o prijevarama u plaćanjima, jesu li obuhvaćeni novi zaposlenici i vanjski suradnici, je li uprava odobrila program, je li osposobljavanje izmijenjeno nakon posljednje phishing kampanje i jesu li zapisi o završetku osposobljavanja sačuvani.
U 2026. dokazi o osposobljavanju za podizanje svijesti o informacijskoj sigurnosti nalaze se na sjecištu ISO/IEC 27001:2022, NIS2, DORA, GDPR i NIST CSF 2.0. To više nije godišnja HR aktivnost. To je upravljanje na razini uprave, obrada rizika, spremnost za incidente, pravna odgovornost i revizijski dokaz.
Clarysec sigurnosnu svijest tretira kao operativni sustav dokaza, a ne kao prezentaciju. Zenith Blueprint: 30-koračni plan puta za revizore Zenith Blueprint, Zenith Controls: vodič za međuregulatornu usklađenost Zenith Controls, Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti - SME Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti - SME i Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti povezuju osposobljavanje utemeljeno na ulogama s ISMS-om, regulatornim obvezama, odgovorom na incidente, pristupom dobavljača i preispitivanjem koje provodi uprava.
Zašto generičko osposobljavanje za podizanje svijesti o informacijskoj sigurnosti ne uspijeva u 2026.
Regulatorni pomak je jasan. NIS2 kibernetičku sigurnost postavlja kao odgovornost uprave za ključne i važne subjekte. Article 20 zahtijeva da upravljačka tijela odobravaju mjere upravljanja rizicima kibernetičke sigurnosti, nadziru njihovu provedbu i prolaze osposobljavanje. Article 21 uključuje osnovnu kibernetičku higijenu i osposobljavanje o kibernetičkoj sigurnosti kao dio obvezne osnovice upravljanja rizicima. Za pružatelje usluga u oblaku, pružatelje podatkovnih centara, pružatelje upravljanih usluga, pružatelje upravljanih sigurnosnih usluga, DNS pružatelje, registre TLD-ova, internetska tržišta i tražilice osposobljavanje je postalo pitanje za upravu.
DORA podiže zahtjeve za financijske subjekte i IKT pružatelje koji opslužuju financijski sektor. Primjenjuje se od 17. siječnja 2025. i zahtijeva da financijski subjekti održavaju interni okvir upravljanja i kontrola za upravljanje IKT rizicima. Upravljačka tijela moraju nadzirati IKT rizik, proračune, revizije, aranžmane s trećim stranama, neprekidnost poslovanja, planove odgovora i oporavka te digitalnu operativnu otpornost. DORA Articles 17 to 19 također zahtijevaju da se incidenti povezani s IKT-om otkrivaju, klasificiraju, eskaliraju, komuniciraju i prijavljuju. Osposobljavanje omogućuje da ti postupci budu provedivi pod pritiskom.
ISO/IEC 27001:2022 organizacijama daje okosnicu sustava upravljanja. Točke 4 do 10 obuhvaćaju kontekst, zainteresirane strane, vodstvo, procjenu rizika, obradu rizika, kompetencije, svijest, dokumentirane informacije, vrednovanje učinkovitosti i poboljšanje. Standard je skalabilan kroz sektore i veličine organizacija, zbog čega ga Clarysec koristi kao operativni model za integrirano usklađivanje ISO, NIS2, DORA, GDPR i NIST ISO/IEC 27001:2022.
GDPR dodaje sloj odgovornosti. Organizacije moraju dokazati da se osobni podaci obrađuju zakonito, pošteno, sigurno i uz primjerene tehničke i organizacijske mjere. Zaposlenici koji rukuju osobnim podacima, administriraju sustave, razvijaju softver, pružaju korisničku podršku ili istražuju incidente trebaju osposobljavanje o privatnosti i eskalaciji povrede.
NIST CSF 2.0 potvrđuje isti smjer. Njegova funkcija GOVERN povezuje pravne, regulatorne, ugovorne, privatnosne i zahtjeve dionika s ulogama, odgovornostima, politikama, resursima, nadzorom i upravljanjem rizicima organizacije. NIST CSF profili također pomažu prevesti obveze osposobljavanja u planove poboljšanja za trenutačno i ciljno stanje.
Zaključak je jednostavan: revizijski spremno osposobljavanje za podizanje svijesti o informacijskoj sigurnosti mora dokazati da ljudi poznaju svoje odgovornosti, da je osposobljavanje prilagođeno ulozi i riziku te da su dokazi dovoljno potpuni za revizore, regulatore, klijente i upravu.
Revizijski problem: „osposobili smo sve” nije dokaz
Mnoge organizacije ne padaju na reviziji zato što nisu provele osposobljavanje, nego zato što ne mogu dokazati da je osposobljavanje osmišljeno, dodijeljeno, završeno, pregledano i poboljšano.
Slab paket dokaza obično uključuje jedan godišnji PDF, proračunsku tablicu završetka bez datuma, bez dokaza o uvođenju u posao, bez obuhvata vanjskih suradnika, bez osposobljavanja za korisnike s povišenim ovlastima, bez osposobljavanja uprave, bez modula utemeljenih na ulogama za razvojne inženjere ili financije, bez poveznice s procjenom rizika i bez dokaza da je osposobljavanje ažurirano nakon incidenata ili regulatornih promjena.
Revizori ne žele motivacijski plakat. Žele lanac dokaza.
Clarysecova SME politika to očekivanje izričito postavlja. Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti - SME, Ciljevi, točka 3.3, zahtijeva od organizacija da:
„Uspostave dokumentirane zapise o završetku osposobljavanja radi dokazivanja usklađenosti s pravnim, ugovornim i revizijskim zahtjevima.”
Ista SME politika pretvara osposobljavanje u zadržane dokumentirane informacije. Zahtjevi za provedbu politike, točka 6.3.2, navode:
„Središnja proračunska tablica ili informacijski sustav za upravljanje ljudskim resursima mora čuvati te zapise najmanje tri godine.”
Za korporativna okruženja Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti, Svrha, točka 1.2, postavlja strukturiranije očekivanje:
„Ova politika podržava ISO/IEC 27001 točku 7.3 i kontrolu 6.3 iz Priloga A zahtijevajući strukturirani okvir za podizanje svijesti i osposobljavanje, utemeljen na riziku i prilagođen organizacijskim ulogama i promjenjivim prijetnjama.”
Ta je formulacija važna: strukturirano, utemeljeno na riziku, prilagođeno ulogama i usklađeno s prijetnjama. To je razlika između privida svijesti i dokazivih kompetencija.
Počnite s ulogama, ne s tečajevima
Najčešća je pogreška kupnja sadržaja prije definiranja odgovornosti. U integriranom programu usklađenosti pravo prvo pitanje nije „Koju platformu za osposobljavanje trebamo koristiti?” Pravo je pitanje „Koje uloge stvaraju, upravljaju, odobravaju, obrađuju, štite ili oporavljaju informacijsku imovinu?”
ISO/IEC 27001:2022 točka 5.3 zahtijeva dodjelu i komunikaciju odgovornosti i ovlasti za uloge informacijske sigurnosti. Točka 7.2 zahtijeva kompetentnost osoba koje obavljaju posao pod nadzorom organizacije, na temelju obrazovanja, osposobljavanja ili iskustva. Točka 7.3 zahtijeva svijest o politici informacijske sigurnosti, doprinos djelotvornosti ISMS-a i posljedicama nesukladnosti.
U Zenith Blueprint, ISMS Foundation & Leadership, Step 5: Communication, Awareness, and Competence, Clarysec to prevodi u jezik provedbe:
„Identificirajte potrebne kompetencije: utvrdite koja su znanja i vještine potrebni za različite uloge u vašem ISMS-u.”
Blueprint daje praktične primjere: IT osoblju može trebati sigurna konfiguracija poslužitelja, razvojnim inženjerima sigurno kodiranje, HR-u sigurno postupanje s osobnim podacima, a općem osoblju svijest o phishingu. Također naglašava zapise:
„Održavajte zapise o kompetencijama: točka 7.2 očekuje da zadržite dokumentirane informacije kao dokaz kompetentnosti.”
To znači da program osposobljavanja treba početi matricom uloga i rizika.
| Skupina uloga | Fokus osposobljavanja | Dokazi koje treba zadržati | Vrijednost za usklađenost |
|---|---|---|---|
| Svi zaposlenici | Phishing, higijena lozinki, MFA, prihvatljivo korištenje, sigurnost uređaja, prijavljivanje incidenata | Izvješće o završetku osposobljavanja, rezultat kviza, potvrda upoznatosti s politikom, verzija sadržaja | ISO/IEC 27001:2022 točka 7.3, ISO/IEC 27002:2022 kontrola 6.3, NIS2 Article 21 |
| Izvršni rukovoditelji i odbor | Upravljanje kibernetičkim rizicima, obveze iz NIS2 Article 20, DORA nadzor, apetit za rizik, krizno odlučivanje | Evidencija prisutnosti, materijali za odbor, zapisnici, odobrenje programa | NIS2 Article 20, DORA Article 5, ISO/IEC 27001:2022 dokazi vodstva |
| Razvojni inženjeri | Sigurno kodiranje, OWASP Top 10, sigurni SDLC, sigurnost API-ja, postupanje s ranjivostima, upravljanje tajnama | Završetak modula, rezultati laboratorijskih vježbi, kontrolni popis sigurnog kodiranja, dokazi o korektivnim radnjama | ISO/IEC 27002:2022 kontrole 8.25 i 8.28, DORA očekivanja u vezi s IKT rizicima |
| IT i administratori sustava | Privilegirani pristup, zapisivanje događaja, upravljanje ranjivostima, vraćanje iz sigurnosne kopije, upravljanje promjenama, sigurnosno očvršćivanje | Zapis o završetku osposobljavanja, poveznica s pregledom pristupa, sudjelovanje u vježbi za stolom | ISO/IEC 27002:2022 kontrole 8.8 i 8.13, DORA spremnost za otpornost |
| HR | Povjerljivost, uvođenje u posao i izlazni postupak, disciplinski postupak, postupanje s posebnim kategorijama podataka | HR zapis o osposobljavanju, kontrolni popis za uvođenje, potvrda upoznatosti s politikom | GDPR odgovornost, ISO/IEC 27002:2022 kontrole osoblja |
| Financije | Prijevare u plaćanjima, lažno predstavljanje dobavljača, razdvajanje dužnosti, eskalacija sumnjivih zahtjeva | Završetak ciljanog modula, rezultati simulacije phishinga | Smanjenje rizika prijevara, spremnost za incidente prema NIS2 i DORA |
| Korisnička podrška | Provjera identiteta, sigurno postupanje s tiketima, zaštita osobnih podataka, putovi eskalacije | Završetak modula za ulogu, uzorak pregleda tiketa, potvrda upoznatosti s privatnošću | Odgovornost izvršitelja obrade prema GDPR-u, pružanje potvrda klijentima |
| Osobe zadužene za odgovor na incidente | Klasifikacija, eskalacija, očuvanje dokaza, regulatorni rokovi obavješćivanja, naučene lekcije | Zapis o vježbi, izvješće o scenariju, dodjela uloga, alat za praćenje radnji | NIS2 Article 23, DORA Articles 17 to 19, ISO/IEC 27002:2022 kontrole incidenata |
| Vanjski suradnici s pristupom sustavima | Prihvatljivo korištenje, kanal za prijavu, postupanje s podacima, uvjeti pristupa | Potvrda vanjskog suradnika, zapis o uvođenju, poveznica s odobrenjem pristupa | Dokazivanje sigurnosti dobavljača, upravljanje pravima pristupa, ugovorna usklađenost |
Ova matrica nije samo raspored osposobljavanja. Ona je mapa usklađenosti koja pokazuje zašto različite skupine primaju različito osposobljavanje.
Povežite osposobljavanje s lancem kontrola
U Zenith Controls, ISO/IEC 27002:2022 kontrola 6.3, podizanje svijesti, edukacija i osposobljavanje o informacijskoj sigurnosti, kategorizirana je kao preventivna kontrola koja podržava povjerljivost, cjelovitost i dostupnost. Njezin koncept kibernetičke sigurnosti je Protect, operativna sposobnost je sigurnost ljudskih resursa, a sigurnosne domene su upravljanje i ekosustav.
Tumačenje međuregulatorne usklađenosti u Zenith Controls izravno je:
„Kontrola 6.3 obrađuje zahtjev NIS2 za sigurnosnim osposobljavanjem i podizanjem svijesti provedbom strukturiranog programa podizanja svijesti koji obuhvaća kibernetičku higijenu, nove prijetnje i odgovornosti osoblja.”
Isto mapiranje povezuje ISO/IEC 27002:2022 kontrolu 6.3 s GDPR očekivanjima za zaposlenike koji postupaju s osobnim podacima, DORA osposobljavanjem o IKT sigurnosti prilagođenim ulogama te NIST SP 800-53 Rev.5 AT-2, AT-3 i AT-4 za osnovno osposobljavanje i podizanje svijesti, osposobljavanje utemeljeno na ulogama i zapise o osposobljavanju.
Ključna je poruka da kontrola 6.3 ne stoji sama. Zenith Controls povezuje je s ISO/IEC 27002:2022 kontrolom 5.2, uloge i odgovornosti za informacijsku sigurnost, jer uloge određuju kome je potrebno koje osposobljavanje. Povezuje je s kontrolom 6.8, prijavljivanje događaja informacijske sigurnosti, jer zaposlenici ne mogu prijaviti ono što ne prepoznaju. Povezuje je i s kontrolom 5.36, usklađenost s politikama, pravilima i standardima informacijske sigurnosti, jer usklađenost ovisi o tome znaju li ljudi pravila.
Time nastaje praktičan lanac kontrola:
- Definirajte odgovornosti.
- Dodijelite osnovno osposobljavanje i osposobljavanje utemeljeno na ulogama.
- Dokažite završetak osposobljavanja.
- Provjerite razumijevanje.
- Pratite usklađenost.
- Ispravite nedostatke.
- Uključite naučene lekcije u obradu rizika i preispitivanje koje provodi uprava.
To je važno za NIS2 jer Article 21 zahtijeva analizu rizika, politike, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, sigurnu nabavu i održavanje, procjenu djelotvornosti kontrola, kibernetičku higijenu i osposobljavanje, kriptografiju, HR sigurnost, kontrolu pristupa, upravljanje imovinom te MFA ili sigurnu autentifikaciju gdje je primjereno.
Važno je za DORA jer upravljanje, upravljanje incidentima, odgovor i oporavak, rizik trećih strana i testiranje otpornosti funkcioniraju samo ako ljudi znaju što trebaju učiniti prije nego što se incident dogodi.
Izgradite paket dokaza spreman za reviziju
Zreo paket dokaza sadržava više od evidencija prisutnosti. On pokazuje upravljanje, dizajn, provedbu, završetak, učinkovitost i poboljšanje. Clarysec preporučuje strukturu od šest mapa.
| Mapa dokaza | Što sadržava | Zašto je važno |
|---|---|---|
| 01 Upravljanje | Odobrena politika, ciljevi osposobljavanja, odobrenje uprave, proračun, godišnji plan | Pokazuje predanost vodstva i nadzor |
| 02 Mapiranje uloga | Popis uloga, matrica kompetencija, pravila dodjele osposobljavanja, opseg vanjskih suradnika | Dokazuje dizajn utemeljen na riziku i ulogama |
| 03 Sadržaj osposobljavanja | Prezentacije tečajeva, LMS moduli, predlošci za phishing, sigurnosni bilteni, povijest verzija | Pokazuje što je osoblju stvarno predavano |
| 04 Zapisi o završetku | LMS izvozi, HRIS zapisi, evidencije prisutnosti, rezultati kvizova, potvrde | Dokazuje sudjelovanje i zadržane dokumentirane informacije |
| 05 Dokazi učinkovitosti | Metrike simulacija phishinga, rezultati intervjua, trendovi prijavljivanja incidenata, ishodi vježbi za stolom | Pokazuje je li osposobljavanje promijenilo ponašanje |
| 06 Poboljšanje | Korektivne radnje, ažurirani moduli, naučene lekcije, ulazni podaci za preispitivanje koje provodi uprava | Pokazuje kontinuirano poboljšanje |
Korporativna Clarysec politika zahtijeva uvođenje u posao, godišnje obnovno osposobljavanje i module utemeljene na ulogama. Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti, zahtjevi upravljanja, točka 5.1.1.2, navodi:
„Uključiti uvođenje u posao, godišnje obnovno osposobljavanje i module osposobljavanja utemeljene na ulogama”
Ista politika dodjeljuje vlasništvo nad dokazima. Zahtjevi upravljanja, točke 5.3.1 i 5.3.1.1, navode:
„CISO ili delegirana osoba mora održavati:”
„Zapise o završetku osposobljavanja za svakog korisnika”
Za SME organizacije SME politika dodaje pragmatičan ritam. Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti - SME, Zahtjevi za provedbu politike, točka 6.1.1, navodi:
„Materijali moraju biti praktični, primjereni ulozi i ažurirani jednom godišnje.”
Obuhvaća i osposobljavanje potaknuto promjenama. Točka 6.5.1 navodi:
„Kada se promijene radne uloge ili uvedu sustavi, može biti potrebno ciljano osposobljavanje za podizanje svijesti (npr. sigurno dijeljenje datoteka, novi zahtjevi zaštite podataka i minimizacije podataka).”
Ta je točka osobito važna u 2026. jer migracija u oblak, AI alati, nove integracije plaćanja, novi izvršitelji obrade i promjene regulatornog izvješćivanja mogu promijeniti rizik brže od godišnjeg ciklusa.
Jednotjedni plan spašavanja prije revizije
Zamislite SaaS ili fintech pružatelja sa 180 zaposlenika koji se priprema za ISO/IEC 27001:2022 nadzornu reviziju, DORA dubinsku analizu dobavljača od strane klijenta, GDPR pregled odgovornosti i pitanja klijenata potaknuta NIS2. CISO ima jedan tjedan da generičke zapise o završetku osposobljavanja pretvori u dokaziv paket dokaza.
Dan 1: Potvrdite opseg i obveze
Upotrijebite ISO/IEC 27001:2022 točke 4.1 do 4.4 za potvrdu konteksta, zainteresiranih strana i opsega ISMS-a. Zabilježite ugovorne obveze prema klijentima, GDPR obveze voditelja obrade ili izvršitelja obrade, NIS2 očekivanja kritičnih klijenata i DORA zahtjeve dubinske analize IKT dobavljača.
Zatim te obveze prevedite u potrebe osposobljavanja. GDPR zahtijeva da osoblje koje postupa s osobnim podacima razumije povjerljivost, minimizaciju, zadržavanje i eskalaciju povrede. NIS2 zahtijeva kibernetičku higijenu, osposobljavanje zaposlenika i nadzor uprave. Klijenti vođeni zahtjevima DORA očekivat će dokaze da timovi koji podržavaju kritične usluge razumiju eskalaciju incidenata, otpornost, kontrolu pristupa, sigurnosno kopiranje i oporavak te koordinaciju s trećim stranama.
Dan 2: Izgradite matricu utemeljenu na ulogama
Upotrijebite smjernice iz Zenith Blueprint i mapiranja iz Zenith Controls za ISO/IEC 27002:2022 kontrole 5.2 i 6.3. Uključite zaposlenike, vanjske suradnike, korisnike s privilegiranim pristupom, razvojne inženjere, timove podrške, HR, financije, izvršne rukovoditelje i osobe zadužene za odgovor na incidente.
Povežite svaku ulogu sa sustavima i rizicima. Razvojni inženjeri dobivaju sigurno kodiranje i postupanje s ranjivostima. Timovi podrške dobivaju provjeru identiteta i sigurno postupanje s tiketima. Financije dobivaju osposobljavanje o prijevarama u plaćanjima i provjeri promjena dobavljača. Izvršni rukovoditelji dobivaju upravljanje, pravnu odgovornost, apetit za rizik i krizno odlučivanje.
Dan 3: Uskladite politiku i dodjele
Usvojite ili ažurirajte odgovarajuću Clarysec politiku. Upotrijebite SME politiku za jednostavan operativni model ili korporativnu politiku za snažnije upravljanje i vlasništvo nad dokazima. Potvrdite da politika uključuje uvođenje u posao, godišnje obnovno osposobljavanje, module utemeljene na ulogama, čuvanje dokaza, obuhvat vanjskih suradnika i osposobljavanje potaknuto promjenama.
Objavite politiku, prikupite potvrde upoznatosti i povežite module osposobljavanja s obiteljima radnih mjesta u HRIS-u ili LMS-u.
Dan 4: Provedite ciljano osposobljavanje
Nemojte sve osposobljavati o svemu. Sve osposobite o osnovnim kontrolama, zatim dodijelite module specifične za ulogu.
Osnovni modul treba obuhvatiti phishing i socijalni inženjering, higijenu lozinki i MFA, prihvatljivo korištenje, sigurno postupanje s informacijama, kanale za prijavljivanje incidenata, prijavu izgubljenog uređaja i osnove zaštite podataka.
Moduli specifični za ulogu trebaju obuhvatiti sigurni SDLC za razvojne inženjere, privilegirani pristup i vraćanje iz sigurnosne kopije za IT, podatke zaposlenika za HR, prijevare u plaćanjima za financije, klasifikaciju incidenata za osobe zadužene za odgovor i NIS2 i DORA upravljanje za izvršne rukovoditelje.
Dan 5: Izvezite i provjerite dokaze
Izradite paket dokaza od šest mapa. Izvezite izvješća o završetku osposobljavanja, rezultate kvizova, brojeve verzija tečajeva, potvrde upoznatosti s politikom i rasporede osposobljavanja. Identificirajte nezavršena osposobljavanja i otvorite korektivne radnje.
Zatim provjerite razumijevanje putem intervjua. Pitajte zaposlenike iz različitih odjela:
- Koje ste sigurnosno osposobljavanje završili?
- Kako prijavljujete sumnjivu e-poštu?
- Što biste učinili ako izgubite prijenosno računalo?
- Gdje možete pronaći politiku informacijske sigurnosti?
- Kojim osobnim podacima rukujete u svojoj ulozi?
Zabilježite rezultate kao uzorak interne revizije. Revizori često koriste intervjue kako bi provjerili je li svijest usvojena, a ne samo isporučena.
Dan 6: Povežite osposobljavanje s odgovorom na incidente
Upotrijebite osposobljavanje o prijavljivanju incidenata kao most prema ISO/IEC 27002:2022 kontroli 6.8, NIS2 Article 23 i DORA Articles 17 to 19.
NIS2 Article 23 zahtijeva fazno izvješćivanje o značajnim incidentima, uključujući rano upozorenje u roku od 24 sata od saznanja, obavijest u roku od 72 sata i završno izvješće u roku od mjesec dana. DORA zahtijeva da se veliki incidenti povezani s IKT-om klasificiraju, eskaliraju, komuniciraju i prijave kroz propisani životni ciklus izvješćivanja.
Zaposlenici ne moraju pamtiti zakonske rokove, ali moraju prijaviti sumnjive incidente dovoljno brzo da ih organizacija može ispuniti.
U Zenith Blueprint, Controls in Action, Step 16: People Controls II, Clarysec navodi:
„Učinkovit sustav odgovora na incidente ne počinje alatima, nego ljudima.”
To nije mekana smjernica. To je operativna otpornost.
Dan 7: Pripremite revizijski narativ
Završni revizijski narativ treba biti kratak i potkrijepljen dokazima:
„Identificirali smo potrebe za osposobljavanjem na temelju ISMS uloga, pravnih i ugovornih obveza, rezultata procjene rizika i pristupa sustavima. Dodijelili smo osnovne module i module utemeljene na ulogama putem LMS-a. Zadržali smo zapise o završetku osposobljavanja, rezultate kvizova, verzije sadržaja i potvrde. Učinkovitost smo testirali kroz simulacije phishinga, intervjue i metrike prijavljivanja incidenata. Nezavršavanje osposobljavanja prati se kao korektivna radnja. Uprava pregledava program jednom godišnje i nakon značajnih promjena.”
Potkrijepljen dokazima, taj narativ može izdržati pitanja u ISO/IEC 27001:2022 reviziji, NIS2 provjeru upravljanja, DORA dubinsku analizu klijenata, GDPR pregled odgovornosti i NIST procjenu kontrola.
Mapiranje međuregulatorne usklađenosti za osposobljavanje za podizanje svijesti o informacijskoj sigurnosti
Sigurnosna svijest često se pogrešno klasificira kao HR zadatak. U praksi je to međuregulatorna kontrola usklađenosti koja obuhvaća upravljanje, upravljanje rizicima, privatnost, odgovor na incidente, dokazivanje sigurnosti dobavljača i otpornost.
| Okvir ili regulativa | Relevantnost osposobljavanja | Clarysec točka provedbe |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetentnost, svijest, vodstvo, dodjela uloga, dokumentirane informacije, praćenje, interna revizija i poboljšanje | Zenith Blueprint Step 5 i Step 15, točke politike o uvođenju u posao, godišnjim obnovnim osposobljavanjima, osposobljavanju utemeljenom na ulogama i dokazima |
| ISO/IEC 27002:2022 | Kontrola 6.3 svijest, edukacija i osposobljavanje, povezana s 5.2 ulogama, 6.8 prijavljivanjem događaja i 5.36 praćenjem usklađenosti | Zenith Controls mapira atribute, povezane kontrole, revizijska očekivanja i usklađivanje među okvirima |
| NIS2 | Osposobljavanje uprave, osposobljavanje zaposlenika o kibernetičkoj sigurnosti, kibernetička higijena, spremnost za incidente i upravljačka odgovornost | Modul za odbor, osnovno osposobljavanje zaposlenika, modul za prijavljivanje incidenata, dokazi odobrenja uprave |
| DORA | IKT upravljanje, nadzor uprave, učenje i razvoj, eskalacija incidenata, testiranje otpornosti i očekivanja trećih strana | Osposobljavanje izvršnih rukovoditelja, IKT moduli po ulogama, osposobljavanje osoba zaduženih za odgovor na incidente, paket dokaza za dobavljače |
| GDPR | Odgovornost, sigurnost obrade, svijest o ulozi u privatnosti, prepoznavanje povrede i postupanje s osobnim podacima | Osposobljavanje o privatnosti za HR, podršku, prodaju, inženjering i timove za incidente |
| NIST CSF 2.0 | Funkcija GOVERN, uloge, politike, pravne obveze, nadzor, profili i planiranje poboljšanja | Trenutačni i ciljni profil osposobljavanja, registar nedostataka i prioritizirani akcijski plan |
| NIST SP 800-53 Rev.5 | Osposobljavanje za podizanje svijesti, osposobljavanje utemeljeno na ulogama i zapisi o osposobljavanju | Mapiranje na AT-2, AT-3 i AT-4 kroz Zenith Controls |
| COBIT 2019-informed assurance | Ciljevi upravljanja, odgovornost, sposobnost, metrike uspješnosti i izvješćivanje upravi | KPI-jevi osposobljavanja, vlasništvo nad ulogama, preispitivanje koje provodi uprava i zatvaranje korektivnih radnji |
NIST CSF 2.0 posebno je koristan za organizacije koje trebaju objasniti zrelost dionicima koji ne koriste ISO. Njegova metoda organizacijskih profila podržava planiranje trenutačnog i ciljnog stanja. Primjerice, trenutačni profil može navesti da osnovna svijest postoji, ali da osposobljavanje razvojnih inženjera o sigurnom kodiranju nije dovršeno. Ciljni profil može zahtijevati da svi razvojni inženjeri dovrše osposobljavanje o sigurnom kodiranju, koordiniranoj objavi ranjivosti i upravljanju tajnama do trećeg tromjesečja.
Kako revizori i regulatori testiraju dokaze o osposobljavanju
Različiti pregledavatelji postavljaju različita pitanja, ali svi testiraju istu stvarnost: zna li organizacija što ljudi moraju činiti i može li dokazati da su ljudi spremni to učiniti?
ISO/IEC 27001:2022 revizor povezat će dokaze o osposobljavanju s točkama 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 i 10.2, uz kontrole iz Priloga A. Očekujte pitanja o tome kako su utvrđeni zahtjevi za kompetencije, kako zaposlenici poznaju politiku informacijske sigurnosti, kako se osposobljavaju novi zaposlenici i vanjski suradnici, kako se postupa s nezavršavanjem osposobljavanja, kako je osposobljavanje utemeljeno na ulogama povezano s procjenom rizika i Izjavom o primjenjivosti te kako se vrednuje učinkovitost.
Zenith Controls navodi da će revizori koji koriste ISO/IEC 19011:2018 pregledati kurikulum, rasporede, materijale, evidencije prisutnosti, potvrde o završetku osposobljavanja i kompetentnost predavača. Također navodi da revizori prema ISO/IEC 27007:2020 mogu koristiti intervjue kako bi utvrdili znaju li zaposlenici kako prijaviti incidente i sjećaju li se ključnih poruka osposobljavanja.
Pregled usmjeren na NIS2 gledat će dalje od stopa završetka. Pitat će je li upravljačko tijelo odobrilo i nadziralo mjere upravljanja rizicima kibernetičke sigurnosti, je li uprava prošla osposobljavanje, je li osposobljavanje osoblja o kibernetičkoj higijeni redovito i razumije li se prijavljivanje incidenata. Article 21 također zahtijeva postupke za procjenu djelotvornosti mjera upravljanja rizicima kibernetičke sigurnosti, pa metrike phishinga, trendovi prijavljivanja incidenata i nalazi revizije postaju dokazi djelotvornosti kontrola.
DORA pregled, osobito kada financijski klijent procjenjuje IKT pružatelja, usredotočit će se na operativnu otpornost. Očekujte pitanja o osoblju koje podržava kritične financijske usluge, zapisima o osposobljavanju za timove koji upravljaju platnim sustavima, osposobljavanju uprave o IKT riziku trećih strana, klasifikaciji incidenata prema DORA Article 18 i osposobljavanju vanjskih suradnika za pristup korisničkom okruženju.
GDPR pregled usredotočit će se na odgovornost. Organizacija mora pokazati da osoblje koje postupa s osobnim podacima razumije zakonitu obradu, povjerljivost, minimizaciju, zadržavanje, sigurno postupanje i eskalaciju povrede. Za SaaS, fintech i pružatelje upravljanih usluga dokazi o osposobljavanju dio su dokazivanja da su zahtjevi privatnosti ugrađeni u operativno ponašanje.
Metrike koje dokazuju djelotvornost kontrola
Završetak osposobljavanja je nužan, ali nije dovoljan. Snažnija nadzorna ploča za 2026. pokazuje je li osposobljavanje poboljšalo ponašanje.
| Metrika | Što pokazuje | Revizijsko tumačenje |
|---|---|---|
| Završetak po ulozi | Jesu li dodijeljene skupine završile obvezne module | Osnovna usklađenost i obuhvat |
| Završetak osposobljavanja novih zaposlenika unutar cilja | Funkcioniraju li kontrole uvođenja u posao | Zrelost HR-a i upravljanja pravima pristupa |
| Završetak osposobljavanja korisnika s privilegiranim pristupom | Jesu li korisnici visokog rizika pripremljeni | Prioritizacija utemeljena na riziku |
| Stopa klikanja i prijavljivanja u simulaciji phishinga | Poboljšava li se ponašanje | Učinkovitost podizanja svijesti |
| Prijave incidenata od zaposlenika | Prepoznaju li ljudi i prijavljuju događaje | Poveznica sa spremnošću za incidente |
| Vrijeme od sumnjive e-pošte do prijave | Podržava li prijavljivanje regulatorne rokove | Spremnost za NIS2 i DORA |
| Ponavljano nezavršavanje osposobljavanja | Funkcioniraju li provedba i eskalacija | Praćenje usklađenosti |
| Ažuriranja osposobljavanja nakon incidenata ili promjena | Pokreću li naučene lekcije poboljšanje | Kontinuirano poboljšanje |
Te metrike podržavaju ISO/IEC 27001:2022 točku 9.1 za praćenje i mjerenje, točku 9.2 za internu reviziju, točku 10.1 za kontinuirano poboljšanje i točku 10.2 za nesukladnost i korektivne radnje. ISO/IEC 27002:2022 kontrola 5.36 dodatno potvrđuje da se usklađenost s politikama, pravilima i standardima mora pratiti, vrednovati i otklanjati.
Česti nalazi koje Clarysec vidi u revizijama
Iste se slabosti ponavljaju.
Organizacije osposobljavaju zaposlenike, ali zaboravljaju izvršne rukovoditelje. Prema NIS2 i DORA, osposobljavanje uprave dio je upravljanja, a ne dodatak zrelosti.
Organizacije provode godišnje osposobljavanje, ali zanemaruju promjene uloga. Inženjer podrške koji prelazi u DevOps treba osposobljavanje o privilegiranom pristupu, zapisivanju događaja, sigurnosnom kopiranju i eskalaciji incidenata.
Organizacije uključuju zaposlenike, ali zaboravljaju vanjske suradnike. Zenith Blueprint Step 15 savjetuje proširenje osposobljavanja na vanjske suradnike ili treće strane koje imaju pristup sustavima ili podacima.
Organizacije poučavaju prijavljivanje incidenata, ali stvaraju strah. Ako osoblje vjeruje da će biti kažnjeno zbog klika na phishing poveznicu, može šutjeti. Zenith Blueprint Step 16 naglašava jednostavne kanale za prijavu, prijavljivanje potkrijepljeno sviješću i kulturu bez okrivljavanja.
Organizacije ne mogu dokazati verzioniranje sadržaja. Ako revizor pita što su zaposlenici završili u ožujku, trenutačna prezentacija na SharePointu nije dovoljna. Zadržite verziju koja je isporučena.
Organizacije ne uspijevaju povezati osposobljavanje s obradom rizika. Ako su ransomware, prijevare u plaćanjima, pogrešna konfiguracija oblaka ili curenje podataka najviši rizici, plan osposobljavanja treba pokazati ciljanu obradu za relevantne uloge.
Gdje se uklapa Clarysec
Clarysec pomaže organizacijama izgraditi jedan dokaziv program umjesto pet nepovezanih tokova usklađenosti.
Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti - SME manjim organizacijama daje praktičnu polaznu osnovu: očekivanja utemeljena na ulogama, dokumentirane zapise, godišnja ažuriranja, osposobljavanje potaknuto promjenama i čuvanje najmanje tri godine.
Korporativna Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti većim organizacijama daje snažnije upravljanje: strukturirano podizanje svijesti utemeljeno na riziku, uvođenje u posao, godišnje obnovno osposobljavanje, module utemeljene na ulogama, CISO vlasništvo nad zapisima i spremnost za regulatorne inspekcije prema GDPR, DORA i NIS2.
Zenith Blueprint implementacijskim timovima govori što treba učiniti kojim redoslijedom. Step 5 ugrađuje kompetencije i svijest u temelj ISMS-a. Step 15 provodi ISO/IEC 27002:2022 kontrolu 6.3 kroz godišnje osposobljavanje, module specifične za uloge, uvođenje u posao, simulacije phishinga, dokaze sudjelovanja, ciljane biltene, osposobljavanje vanjskih suradnika i jačanje ponašanja. Step 16 povezuje svijest s prijavljivanjem incidenata koje pokreće osoblje.
Zenith Controls timovima za usklađenost daje preslikavanje. Povezuje ISO/IEC 27002:2022 kontrolu 6.3 s ulogama, prijavljivanjem događaja, praćenjem usklađenosti, rizicima ljudskog faktora prema ISO/IEC 27005:2024, GDPR očekivanjima osposobljavanja, NIS2 Article 21, DORA IKT osposobljavanjem, NIST kontrolama svijesti i revizijskim metodologijama. Također povezuje kontrolu 5.2 s upravljačkim odgovornostima i kontrolu 5.36 s praćenjem usklađenosti i korektivnim radnjama.
Zajedno, ti resursi omogućuju CISO-u da objasni ne samo koje je osposobljavanje provedeno, nego zašto je provedeno, tko ga je zahtijevao, koji je rizik obradilo, kako je dokazano i kako se poboljšava.
Učinite dokaze o sigurnosnom osposobljavanju spremnima za reviziju sada
Ako su vaši trenutačni dokazi proračunska tablica, prezentacija i nada da će zaposlenici zapamtiti adresu e-pošte za prijavu, sada je vrijeme za podizanje zrelosti.
Počnite s četiri aktivnosti ovaj tjedan:
- Izradite matricu osposobljavanja utemeljenu na ulogama povezanu s ISMS odgovornostima, pristupom sustavima i regulatornim obvezama.
- Usvojite ili ažurirajte svoju Clarysec politiku podizanja svijesti koristeći Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti - SME ili Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti.
- Izgradite paket dokaza od šest mapa za upravljanje, mapiranje uloga, sadržaj, završetak, učinkovitost i poboljšanje.
- Upotrijebite Zenith Blueprint i Zenith Controls za mapiranje dokaza o osposobljavanju na revizijska očekivanja ISO/IEC 27001:2022, NIS2, DORA, GDPR i NIST.
Sigurnosna svijest vrijedna je kada mijenja ponašanje. Dokazi o usklađenosti vrijedni su kada dosljedno dokazuju to ponašanje.
Clarysec vam pomaže izgraditi oboje.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
