ISO 27001:2022 helyreállítási terv sikertelen audit után
Az e-mail, amelyet senki sem akart megkapni
Az e-mail péntek késő délután érkezik, ártalmatlannak tűnő tárggyal: „Átállási audit eredménye.”
A tartalom azonban nem ártalmatlan. A tanúsító szervezet jelentős nemmegfelelőséget állapított meg. Az ISO/IEC 27001 tanúsítványt felfüggesztették, vagy az átállási döntés nem zárható le. Az auditor megjegyzése egyértelmű: az alkalmazhatósági nyilatkozat nem indokolja a kizárt kontrollokat, a kockázatértékelés nem tükrözi az aktuális kontextust, és nincs elegendő bizonyíték arra, hogy az új szabályozási kötelezettségeket figyelembe vették.
Egy órán belül a kérdés már nem pusztán megfelelőségi probléma. Az értékesítés azt kérdezi, veszélybe került-e egy közszférabeli tender. A jogi terület az ügyfélszerződések záradékait vizsgálja. A CISO magyarázza, miért nincs összhangban a SoA a kockázatkezelési tervvel. A vezérigazgató az egyetlen igazán fontos kérdést teszi fel: „Milyen gyorsan tudjuk ezt kijavítani?”
Sok szervezet számára az ISO 27001:2022 átállási határidő elmulasztása nem elméleti hiányosságot eredményezett. Élő üzletmenet-folytonossági problémává vált. Egy elmulasztott vagy sikertelen ISO 27001:2022 átállási audit hatással lehet a tenderjogosultságra, a beszállítói beléptetésre, a kiberbiztosításra, az ügyfélbizonyossági programokra, a NIS2-re való felkészültségre, a DORA-elvárásokra, a GDPR szerinti elszámoltathatóságra és az igazgatósági bizalomra.
A jó hír: a helyreállítás lehetséges. A rossz hír: a dokumentumok kozmetikázása nem működik. A helyreállítást fegyelmezett IBIR helyesbítőintézkedési programként kell kezelni, nem kapkodó szabályzat-átírásként.
A Clarysec ezt a helyreállítást három összekapcsolt eszköz köré szervezi:
- Zenith Blueprint: az auditor 30 lépéses ütemterve, különösen az Audit, felülvizsgálat és fejlesztés fázis.
- A Clarysec nagyvállalati és KKV-szabályzatkönyvtára, amely az auditmegállapításokat irányított kötelezettségekké alakítja.
- Zenith Controls: a keresztmegfelelési útmutató, amely segít összekapcsolni az ISO/IEC 27002:2022 kontrollkövetelményeit a NIS2, DORA, GDPR, NIST-szemléletű bizonyossági gondolkodás és COBIT 2019 irányítási nézőpontjaival.
Ez a gyakorlati helyreállítási terv azoknak a CISO-knak, megfelelőségi vezetőknek, auditoroknak, alapítóknak és üzleti tulajdonosoknak szól, akik elmulasztották az ISO 27001:2022 átállási határidőt, vagy sikertelen átállási auditon estek át.
Először diagnosztizálja a hibamódot
Mielőtt akár egyetlen szabályzatot módosítana, minősítse a helyzetet. Nem minden sikertelen vagy elmulasztott átállás jár azonos üzleti hatással vagy helyreállítási útvonallal. Az első 24 órában az auditjelentés, a tanúsító szervezet döntése, a nemmegfelelőség megfogalmazása, a bizonyítékkérések, a határidők és az aktuális tanúsítványstátusz beszerzésére kell összpontosítani.
| Helyzet | Üzleti hatás | Azonnali intézkedés |
|---|---|---|
| Az átállási audit jelentős nemmegfelelőséggel sikertelen | A tanúsítási döntés blokkolódhat, vagy a tanúsítvány felfüggesztésre kerülhet a hiba kijavításáig | CAPA megnyitása, gyökérok-elemzés elvégzése, a bizonyítékokkal kapcsolatos elvárások megerősítése a tanúsító szervezettel |
| Az átállási audit kisebb nemmegfelelőségekkel sikeres | A tanúsítás folytatódhat, ha a helyesbítő intézkedéseket elfogadják | A kisebb CAPA-k gyors lezárása és az IBIR bizonyítékcsomag frissítése |
| Az átállás nem fejeződött be a határidő előtt | Előfordulhat, hogy a tanúsítvány már nem érvényes vagy nem elismert | Státusz megerősítése a tanúsító szervezettel, majd átállási vagy újratanúsítási útvonal tervezése |
| A felügyeleti audit gyenge átállási bizonyítékokat tárt fel | A tanúsítás a következő döntési pontnál veszélybe kerülhet | Próbaaudit végrehajtása, valamint a SoA, a kockázatkezelés, a vezetőségi átvizsgálás és a belső audit nyilvántartásainak frissítése |
| Az ügyfél elutasította a tanúsítványt vagy az átállási bizonyítékokat | Kereskedelmi kockázat, tenderkockázat és bizalmi hatás | Ügyfélbizonyossági csomag készítése auditstátusszal, CAPA-tervvel, tervezett határidőkkel és irányítási jóváhagyással |
A helyreállítási terv a hibamódtól függ. A blokkolt tanúsítási döntés célzott helyesbítést igényel. A felfüggesztett tanúsítvány sürgős irányítási és bizonyítékrendezést követel. A visszavont vagy lejárt tanúsítvány szélesebb újratanúsítási útvonalat tehet szükségessé.
Minden esetben rendelje hozzá az egyes problémákat a releváns IBIR-ponthoz, A melléklet szerinti kontrollhoz, kockázati bejegyzéshez, szabályzatgazdához, jogi vagy szerződéses kötelezettséghez és bizonyítékforráshoz.
Itt válik fontossá az ISO/IEC 27001:2022 mint irányítási rendszer, nem csupán mint kontrollkatalógus. A 4–10. pontok megkövetelik, hogy az IBIR értse a kontextust, az érdekelt feleket, a hatályt, a vezetői szerepvállalást, a kockázattervezést, a támogatást, a működést, a teljesítményértékelést és a folyamatos fejlesztést. Ha az átállás sikertelen volt, ezeknek az irányítási rendszerbeli kapcsolatoknak az egyike jellemzően megszakadt.
Miért sikertelenek az ISO 27001:2022 átállási auditok
A sikertelen átállási auditok jellemzően ismétlődő mintázatok köré csoportosulnak. Sok közülük nem mélyen technikai jellegű. Inkább irányítási, visszakövethetőségi, felelősségi és bizonyítékolási hiba.
| Megállapítási minta | Amit az auditor lát | Amit ez általában jelent |
|---|---|---|
| Az alkalmazhatósági nyilatkozat nincs frissítve vagy nincs indokolva | A kontrollokat indoklás nélkül jelölték alkalmazhatónak, vagy bizonyíték nélkül zárták ki | A kontrollkiválasztás nem vezethető vissza kockázatra, jogszabályra vagy üzleti szükségletre |
| A kockázatértékelés nem tükrözi az aktuális kötelezettségeket | Hiányzik a NIS2, DORA, GDPR, az ügyfélszerződések, a felhőfüggőségek vagy a beszállítói kockázat | A kontextust és a kockázati kritériumokat nem frissítették |
| A vezetőségi átvizsgálás felszínes | Vannak jegyzőkönyvek, de nem tárgyalnak döntéseket, erőforrásokat, célkitűzéseket, auditeredményeket vagy kockázati változásokat | A vezetői elszámoltathatóság nem működik |
| A belső audit nem tesztelte az átállási hatályt | Az audit-ellenőrzőlista általános, és nem fedi le a frissített kontrollokat, beszállítókat, felhőt, rezilienciát vagy jogi kötelezettségeket | A teljesítményértékelés nem elegendő |
| A beszállítói és felhőkontrollok gyengék | Nincs kellő gondossági vizsgálat, szerződés-felülvizsgálat, kilépési tervezés vagy folyamatos monitoring | A külső forrásból nyújtott szolgáltatások feletti operatív kontroll hiányos |
| Az incidensreagálás nincs összhangban a szabályozott jelentéstétellel | Nincs 24 órás vagy 72 órás eszkalációs logika, nincs DORA- vagy GDPR-döntési fa, nincs bizonyíték gyakorlatokra | Az incidenskezelés nincs összekapcsolva a jogi jelentéstétellel |
| A CAPA-folyamat gyenge | A megállapításokat kizárólag dokumentumszerkesztéssel zárják le | A gyökérokot nem szüntették meg |
A sikertelen audit azt jelzi, hogy az IBIR nem alkalmazkodott elég gyorsan a szervezet valós működési környezetéhez.
Az ISO/IEC 27005:2022 hasznos a helyreállításban, mert megerősíti a kontextus meghatározásának fontosságát jogi, szabályozási, ágazatspecifikus, szerződéses, belső és meglévő kontrollkövetelmények alapján. Támogatja azokat a kockázati kritériumokat is, amelyek figyelembe veszik a jogi kötelezettségeket, a beszállítókat, az adatvédelmet, az emberi tényezőket, az üzleti célkitűzéseket és a vezetés által jóváhagyott kockázatvállalási hajlandóságot.
A gyakorlatban az átállási helyreállítás frissített kontextussal és kockázati kritériumokkal kezdődik, nem egy régi dokumentum új verziószámával.
1. lépés: Rögzítse az auditnyilvántartást, és hozzon létre helyreállítási irányítóközpontot
A sikertelen audit utáni első működési hiba a bizonyítékok körüli káosz. A csapatok e-mail-fiókokban, megosztott meghajtókon, jegykezelő rendszerekben, chatüzenetekben, személyes mappákban és régi auditcsomagokban kezdenek keresni. Az auditorok ezt annak jeleként értelmezik, hogy az IBIR nem kontrollált.
A Clarysec KKV Audit- és megfelelésfelügyeleti szabályzata – KKV egyértelmű elvárást fogalmaz meg a bizonyítékok kezeléséről:
„Minden bizonyítékot központi auditmappában kell tárolni.”
A „Szabályzat végrehajtási követelményei” szakasz 6.2.1. szabályzati pontjából.
Ez a központi auditmappa lesz a helyreállítás operatív központja. Tartalmaznia kell:
- A tanúsító szervezet jelentését és levelezését.
- A tanúsítványstátusz megerősítését.
- A nemmegfelelőségek nyilvántartását.
- A CAPA-naplót.
- A frissített kockázatértékelést.
- A frissített kockázatkezelési tervet.
- A frissített alkalmazhatósági nyilatkozatot.
- A belső auditjelentést.
- A vezetőségi átvizsgálás jegyzőkönyveit.
- A szabályzat-jóváhagyási bejegyzéseket.
- Az egyes alkalmazható A melléklet szerinti kontrollok bizonyítékait.
- Az ügyfélbizonyossági csomagot, ha kereskedelmi kötelezettségvállalások érintettek.
Nagyvállalati környezetekben a Clarysec Audit- és megfelelésfelügyeleti szabályzata ugyanezt az irányítási elvárást rögzíti:
„Minden megállapításnak dokumentált CAPA-t kell eredményeznie, amely tartalmazza:”
A „Szabályzat végrehajtási követelményei” szakasz 6.2.1. szabályzati pontjából.
A megfogalmazás strukturált helyesbítőintézkedési elvárást vezet be. A lényeg egyszerű: minden auditmegállapításból irányított CAPA-elemnek kell keletkeznie, nem pedig informális feladatnak valaki jegyzetfüzetében.
KKV-k esetében a vezetői részvétel ugyanolyan fontos:
„Az ügyvezetőnek jóvá kell hagynia a helyesbítő intézkedési tervet, és nyomon kell követnie annak végrehajtását.”
Az Audit- és megfelelésfelügyeleti szabályzat – KKV, „Irányítási követelmények” szakaszának 5.4.2. szabályzati pontjából.
Ez azért lényeges, mert az ISO 27001:2022 nem tekinti a vezetői szerepvállalást jelképesnek. A felső vezetésnek ki kell alakítania a szabályzatot, össze kell hangolnia a célkitűzéseket az üzleti stratégiával, biztosítania kell az erőforrásokat, kommunikálnia kell az információbiztonság fontosságát, ki kell jelölnie a felelősségeket, és elő kell mozdítania a folyamatos fejlesztést.
Ha a sikertelen átállást „a megfelelőségi munkatárs problémájaként” kezelik, a következő audit ismét feltárja a gyenge vezetői elszámoltathatóságot.
2. lépés: Építse újjá a kontextust, a kötelezettségeket és a kockázatot
A sikertelen átállási audit gyakran azt jelenti, hogy az IBIR kontextusa már nem tükrözi a szervezet valóságát. Az üzlet felhőplatformokra állhatott át, új beszállítókat vonhatott be, szabályozott piacokra léphetett, több személyes adatot kezelhetett, vagy NIS2 vagy DORA hatálya alá tartozó ügyfelek számára válhatott relevánssá. Ha ezek a változások hiányoznak az IBIR-ből, a kockázatértékelés és a SoA hiányos lesz.
A Clarysec Jogi és szabályozói megfelelési szabályzata meghatározza az alapelvárást:
„Minden jogi és szabályozási kötelezettséget konkrét szabályzatokhoz, kontrollokhoz és felelősökhöz kell rendelni az információbiztonsági irányítási rendszeren (IBIR) belül.”
A „Szabályzat végrehajtási követelményei” szakasz 6.2.1. szabályzati pontjából.
Ez a pont átállási hiba után kritikus. Az ISO 27001:2022 4.1–4.3. pontjai megkövetelik, hogy a szervezetek figyelembe vegyék a belső és külső tényezőket, az érdekelt feleket, a követelményeket, az interfészeket, a függőségeket és a hatályt. A jogi, szabályozási és szerződéses kötelezettségek nem mellékes megjegyzések. Ezek formálják az IBIR-t.
A NIS2 Article 21 megfelelő és arányos műszaki, működési és szervezeti intézkedéseket követel meg, ideértve a kockázatelemzést, a szabályzatokat, az incidenskezelést, a biztonsági mentést, a katasztrófa utáni helyreállítást, a válságkezelést, az ellátási lánc biztonságát, a biztonságos fejlesztést, a sérülékenységkezelést, az eredményességi értékeléseket, a kiberhigiéniát, a képzést, a kriptográfiát, a HR-biztonságot, a hozzáférés-szabályozást, az eszközkezelést és a biztonságos kommunikációt. Az Article 20 a felelősséget vezető testületi szintre helyezi. Az Article 23 szakaszolt jelentős incidensbejelentést hoz létre, beleértve a korai figyelmeztetést, az incidensbejelentést, a frissítéseket és a zárójelentést.
A DORA 2025. január 17-től közvetlenül alkalmazandó a pénzügyi szervezetekre, és kiterjed az IKT-kockázatkezelésre, a jelentős incidensek jelentésére, a rezilienciatesztelésre, az IKT harmadik fél kockázatra, a szerződéses követelményekre és a kritikus IKT harmadik fél szolgáltatók felügyeletére. A hatálya alá tartozó pénzügyi szervezeteknél a DORA az IKT-irányítás, a beszállítói kontroll, a tesztelés, az incidensbesorolás és a vezetői elszámoltathatóság egyik központi hajtóerejévé válik.
A GDPR elszámoltathatóságot ad hozzá a személyes adatok tekintetében. Az Article 5 jogszerű, tisztességes, átlátható, célhoz kötött, pontos, megőrzés szempontjából kontrollált és biztonságos adatkezelést követel meg, igazolható megfeleléssel. Az Article 4 úgy határozza meg a személyesadat-sértést, hogy az közvetlenül befolyásolja az incidensek besorolását. Az Article 6 jogalap-leképezést követel meg, az Article 9 pedig fokozott követelményeket határoz meg a különleges kategóriájú adatokra.
Ez nem külön megfelelési univerzumok létrehozását jelenti. Azt jelenti, hogy az ISO 27001:2022-t integrált irányítási rendszerként kell használni, és a kötelezettségeket egyetlen kockázati és kontrollarchitektúrába kell leképezni.
A Clarysec Kockázatkezelési szabályzata közvetlenül összekapcsolja a kockázatkezelést a kontrollkiválasztással:
„A kockázatkezelési folyamatból eredő kontrolldöntéseket tükrözni kell a SoA-ban.”
A „Szabályzat végrehajtási követelményei” szakasz 6.5.1. szabályzati pontjából.
A sikertelen audit egyben indok a kockázatkezelési folyamat felülvizsgálatára is. A Clarysec KKV Kockázatkezelési szabályzata – KKV ezt kiváltó okként azonosítja:
„Jelentős incidens vagy auditmegállapítás tár fel hiányosságokat a kockázatkezelésben”
A „Felülvizsgálati és frissítési követelmények” szakasz 9.2.1.1. szabályzati pontjából.
Helyreállítási módban ez azt jelenti, hogy a kockázati nyilvántartást, a kockázati kritériumokat, a kockázatkezelési tervet és a SoA-t együtt kell újjáépíteni.
3. lépés: Javítsa a SoA-t mint a visszakövethetőség gerincét
A legtöbb sikertelen átállásnál az alkalmazhatósági nyilatkozat az első ellenőrzendő dokumentum. Ez egyben az egyik első dokumentum, amelyből az auditorok mintát vesznek. A gyenge SoA azt jelzi az auditornak, hogy a kontrollkiválasztás nem kockázatalapú.
A Zenith Blueprint gyakorlati útmutatást ad az Audit, felülvizsgálat és fejlesztés fázis 24. lépésében:
„A SoA-nak összhangban kell lennie a kockázati nyilvántartással és a kockázatkezelési tervvel. Ellenőrizze kétszer, hogy minden kontroll, amelyet kockázatkezelési intézkedésként választott, „Alkalmazható” jelölést kapott-e a SoA-ban. Fordítva: ha egy kontroll „Alkalmazható” jelölést kapott a SoA-ban, annak indoklással kell rendelkeznie – ez általában leképezett kockázat, jogi/szabályozási követelmény vagy üzleti szükséglet.”
A Zenith Blueprint: az auditor 30 lépéses ütemterve, Audit, felülvizsgálat és fejlesztés fázis, 24. lépéséből.
Ez a helyreállítási alapelv. A SoA nem formalitás. Ez a kockázatok, kötelezettségek, kontrollok, bevezetési bizonyítékok és auditkövetkeztetések közötti visszakövethetőségi gerinc.
A gyakorlati SoA-javítási gyakorlatnak ezt a sorrendet kell követnie:
- Exportálja az aktuális SoA-t.
- Adjon hozzá oszlopokat a kockázatazonosító, a szabályozási kötelezettség, az üzleti követelmény, a szabályzati hivatkozás, a bizonyíték helye, a felelős, a bevezetési állapot és az utolsó tesztelési dátum számára.
- Minden alkalmazható kontrollhoz rendeljen legalább egy igazolható indoklást.
- Minden kizárt kontrollhoz írjon konkrét kizárási indokot.
- Egyeztesse a SoA-t a kockázatkezelési tervvel.
- Egyeztesse a SoA-t a belső audit eredményeivel.
- Tegye fel a nehéz kérdést: ha az auditor ebből a sorból mintát vesz, öt percen belül tudjuk bizonyítani?
Egy igazolható SoA-sornak így kell kinéznie:
| SoA-mező | Példa helyreállítási bejegyzésre |
|---|---|
| Kontrollindoklás | Alkalmazható a felhőalapú üzemeltetés, a fizetésfeldolgozó, a kiszervezett támogatás és a szerződéses ügyfélbiztonsági kötelezettségvállalások miatt |
| Kockázati kapcsolat | R-014 harmadik fél szolgáltatáskimaradás, R-021 beszállítói adatkitettség, R-027 szabályozói incidens feldolgozói hiba miatt |
| Kötelezettségi kapcsolat | NIS2 ellátási lánc biztonsága, DORA IKT harmadik fél kockázat, ahol alkalmazandó, GDPR feldolgozói elszámoltathatóság |
| Szabályzati kapcsolat | Harmadik fél és beszállítói biztonsági szabályzat, szerződés-felülvizsgálati eljárás, beszállítói értékelési ellenőrzőlista |
| Bizonyíték | Beszállítói nyilvántartás, kockázati besorolások, kellő gondossági kérdőív, aláírt adatfeldolgozási szerződés, SOC-jelentés felülvizsgálata, kilépési terv, éves felülvizsgálati bejegyzés |
| Felelős | Beszállítókezelő, CISO, jogi terület |
| Tesztelés | Az öt legkritikusabb beszállító belső auditmintája elkészült, a kivételek CAPA-ban naplózva |
| Állapot | Bevezetve, két helyesbítő intézkedés nyitott a szerződésfrissítésekre |
Ez a sor helyreállítási történetet mond el. Megmutatja az üzleti kontextust, a kockázati logikát, a szabályozási relevanciát, a felelősséget, a bevezetést, a tesztelést és a fennmaradó intézkedést.
A kizárásokra ugyanez a fegyelem vonatkozik. Például ha a szervezet nem végez házon belüli szoftverfejlesztést, az ISO/IEC 27002:2022 8.25 Secure development life cycle kontroll és 8.28 Secure coding kontroll kizárása igazolható lehet, de csak akkor, ha ez igaz, dokumentált, és bizonyíték támasztja alá, hogy a szoftver kereskedelmi késztermék vagy teljes mértékben kiszervezett, és a beszállítói kontrollok működnek.
4. lépés: Végezzen gyökérok-elemzést, ne dokumentumkozmetikát
A sikertelen átállási auditot ritkán egyetlen hiányzó fájl okozza. Általában hibás folyamat áll mögötte.
A Zenith Blueprint, Audit, felülvizsgálat és fejlesztés fázis, 27. lépés, Auditmegállapítások – elemzés és gyökérok, kimondja:
„Minden azonosított nemmegfelelőség esetén (jelentős vagy kisebb) gondolja végig, miért történt – ez kritikus a hatékony korrekcióhoz.”
A Zenith Blueprint, Audit, felülvizsgálat és fejlesztés fázis, 27. lépéséből.
Ha a megállapítás szerint „hiányoznak a SoA-indoklások”, a korrekció lehet a SoA frissítése. A gyökérok azonban az is lehet, hogy az eszközgazdák nem vettek részt a kockázatértékelésben, a jogi kötelezettségeket nem képezték le, vagy a megfelelőségi csapat elszigetelten tartotta karban a SoA-t.
Egy hasznos helyreállítási táblázat elkülöníti a gyenge korrekciókat a valódi helyesbítő intézkedésektől:
| Auditmegállapítás | Gyenge korrekció | Megfelelő gyökérok-kérdés | Jobb helyesbítő intézkedés |
|---|---|---|---|
| A SoA nincs összhangban a kockázatkezeléssel | SoA-szöveg frissítése | Miért nem egyeztették a SoA-t a kockázatkezeléssel? | Negyedéves SoA–kockázat egyeztetés bevezetése, IBIR-vezetői felelősséggel |
| Nincsenek beszállítói értékelések | Egy kérdőív feltöltése | Miért nem vizsgálták felül a beszállítókat? | Beszállítói felelős kijelölése, kockázati besorolás meghatározása, felülvizsgálatok elvégzése, éves nyomon követés |
| Hiányos vezetőségi átvizsgálás | Napirendi pont utólagos hozzáadása | Miért nem fedte le a vezetőségi átvizsgálás az átállási státuszt? | Vezetőségi átvizsgálási sablon frissítése és negyedéves irányítási felülvizsgálat ütemezése |
| Az incidensjelentést nem tesztelték | Incidenseljárás szerkesztése | Miért nem gyakorolták a jelentéstételt? | Asztali gyakorlat futtatása NIS2, DORA és GDPR döntési pontokkal, bizonyítékok megőrzésével |
| A belső audit túl szűk volt | Ellenőrzőlista bővítése | Miért hagyta ki az audittervezés az átállási hatályt? | Kockázatalapú auditterv jóváhagyása, amely lefedi a szabályozást, a beszállítókat, a felhőt és a rezilienciát |
Itt tér vissza a hitelesség. Az auditorok nem tökéletességet várnak. Olyan kontrollált rendszert várnak, amely észlel, javít, tanul és fejlődik.
5. lépés: Építsen olyan CAPA-t, amelyben az auditor megbízhat
A helyesbítő és megelőző intézkedés az a pont, ahol sok szervezet visszaszerzi az irányítást. A CAPA-nyilvántartásnak a helyreállítási ütemtervvé és annak elsődleges bizonyítékává kell válnia, hogy a sikertelen auditot rendszerszerűen kezelték.
A Zenith Blueprint, Audit, felülvizsgálat és fejlesztés fázis, 29. lépés, Folyamatos fejlesztés, ismerteti a struktúrát:
„Gondoskodjon arról, hogy minden helyesbítő intézkedés konkrét, hozzárendelhető és időhöz kötött legyen. Lényegében minden problémához egy mini projektet hoz létre.”
A Zenith Blueprint, Audit, felülvizsgálat és fejlesztés fázis, 29. lépéséből.
A CAPA-naplónak tartalmaznia kell:
- Megállapításazonosító.
- Forrásaudit.
- Pont- vagy kontrollhivatkozás.
- Súlyosság.
- Problémaleírás.
- Azonnali korrekció.
- Gyökérok.
- Helyesbítő intézkedés.
- Megelőző intézkedés, ahol releváns.
- Felelős.
- Határidő.
- Szükséges bizonyíték.
- Állapot.
- Eredményességi ellenőrzés.
- Vezetői jóváhagyás.
A Clarysec Audit- és megfelelésfelügyeleti szabályzata – KKV a jelentős nemmegfelelőséget szintén felülvizsgálati kiváltó okként azonosítja:
„Egy tanúsítási audit vagy felügyeleti audit jelentős nemmegfelelőséget eredményez”
A „Felülvizsgálati és frissítési követelmények” szakasz 9.2.2. szabályzati pontjából.
Ha az átállási audit jelentős nemmegfelelőséget eredményezett, vizsgálja felül magát az audit- és megfelelésfelügyeleti folyamatot is. Miért nem észlelte először a belső audit a problémát? Miért nem eszkalálta a vezetőségi átvizsgálás? Miért nem tárta fel a SoA a bizonyítékhiányt?
Így válik a sikertelen audit erősebb IBIR-ré.
6. lépés: Használja a Zenith Controlst az ISO-bizonyítékok keresztmegfelelési összekapcsolására
Az újraauditálás nem elszigetelten történik. Ügyfelek, szabályozó hatóságok, biztosítók és belső irányítási csapatok ugyanazt a bizonyítékot különböző nézőpontokból vizsgálhatják. Itt értékes a Zenith Controls keresztmegfelelési útmutatóként. Segít a csapatoknak abban, hogy ne külön ellenőrzőlistákként kezeljék az ISO 27001, NIS2, DORA, GDPR, NIST-szemléletű bizonyosság és COBIT 2019 irányítás követelményeit.
Három ISO/IEC 27002:2022 kontroll különösen releváns az átállási helyreállításban.
| ISO/IEC 27002:2022 kontroll | Helyreállítási relevancia | Előkészítendő bizonyíték |
|---|---|---|
| 5.31 Jogi, törvényi, szabályozási és szerződéses követelmények | Megerősíti, hogy a kötelezettségek azonosítottak, dokumentáltak és az IBIR-be kapcsolódnak | Jogi nyilvántartás, szerződéses kötelezettségek, szabályozási térkép, szabályzatgazda-mátrix, SoA-indoklás |
| 5.35 Az információbiztonság független felülvizsgálata | Megerősíti, hogy a felülvizsgálati tevékenység objektív, megfelelő hatályú, kompetens és intézkedéseket eredményez | Belső auditterv, független felülvizsgálati jelentés, auditori kompetencia, CAPA-nyilvántartások, vezetői jelentéstétel |
| 5.36 Megfelelés az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak | Megerősíti, hogy a szabályzatok nemcsak közzétettek, hanem felügyelet alatt állnak és betartatásuk megtörténik | Szabályzati nyilatkozatok, kivételi naplók, monitoringjelentések, fegyelmi munkafolyamat, megfelelőségi tesztelés |
A Zenith Controls az ISO/IEC 27002:2022 5.31 kontrollt közvetlenül összekapcsolja az adatvédelemmel és a személyes információkkal (PII):
„Az 5.34 az adatvédelmi jogszabályoknak való megfelelést fedi le (pl. GDPR), amely az 5.31 szerinti jogi követelmények egyik kategóriája.”
A Zenith Controls, 5.31 kontroll, kapcsolódás más kontrollokhoz részéből.
Helyreállításkor ez azt jelenti, hogy a jogi nyilvántartás nem állhat az IBIR-en kívül. Meghatározó szerepet kell játszania a SoA-ban, a kockázatkezelési tervben, a szabályzatkészletben, a kontrollfelelősségben és az auditbizonyítékokban.
Az ISO/IEC 27002:2022 5.35 kontrollnál a Zenith Controls kiemeli, hogy a független felülvizsgálat gyakran a működési bizonyítékokig terjed:
„Az 5.35 szerinti független felülvizsgálatok gyakran értékelik a naplózási és felügyeleti tevékenységek megfelelőségét.”
A Zenith Controls, 5.35 kontroll, kapcsolódás más kontrollokhoz részéből.
Ez gyakorlati szempontból fontos. Az auditor irányítással kezdhet, majd mintát vehet naplókból, riasztásokból, felügyeleti nyilvántartásokból, hozzáférés-felülvizsgálatokból, incidensjegyekből, biztonsági mentési tesztekből, beszállítói felülvizsgálatokból és vezetői döntésekből.
Az ISO/IEC 27002:2022 5.36 kontrollnál a Zenith Controls elmagyarázza a kapcsolatot a belső szabályzati irányítással:
„Az 5.36 kontroll az 5.1 alatt meghatározott szabályok betartatási mechanizmusaként szolgál.”
A Zenith Controls, 5.36 kontroll, kapcsolódás más kontrollokhoz részéből.
Itt bukik el sok átállási program. A szabályzatok léteznek, de a megfelelést nem felügyelik. Az eljárások léteznek, de a kivételeket nem rögzítik. A kontrollokat deklarálják, de nem tesztelik.
7. lépés: Készüljön fel különböző auditnézőpontokra
Egy erős helyreállítási csomagnak egynél több auditori nézőpontot is ki kell állnia. Az ISO tanúsítási auditorok, a DORA felügyeleti szervek, a NIS2 felülvizsgálók, a GDPR érintettek, az ügyfélbizonyossági csapatok, a NIST-orientált értékelők és a COBIT 2019 irányítási felülvizsgálók mind különböző kérdéseket tehetnek fel ugyanarról a bizonyítékról.
| Auditori nézőpont | Valószínű kérdés | Hasznos bizonyíték |
|---|---|---|
| ISO 27001:2022 auditor | Hatékony, kockázatalapú, megfelelő hatályú, vezetőség által átvizsgált és folyamatosan fejlesztett-e az IBIR? | Hatály, kontextus, érdekelt felek, kockázatértékelés, SoA, kezelési terv, belső audit, vezetőségi átvizsgálás, CAPA |
| NIST-orientált értékelő | Koherensen működnek-e az irányítási, kockázatazonosítási, védelmi, észlelési, reagálási és helyreállítási tevékenységek? | Eszköznyilvántartás, kockázati nyilvántartás, hozzáférés-szabályozás, naplózás, felügyelet, incidenskezelési forgatókönyvek, helyreállítási tesztek |
| COBIT 2019 vagy ISACA-szemléletű auditor | Beépültek-e az irányítási célkitűzések, a felelősség, a teljesítményfelügyelet, a kockázatkezelés és a megfelelési bizonyosság? | RACI, jóváhagyott célkitűzések, mutatók, auditterv, vezetői jelentéstétel, kontrollfelelősség, problémakövetés |
| NIS2 megfelelési felülvizsgáló | Jóváhagyta és felügyelte-e a vezetés az arányos kiberbiztonsági kockázatkezelési intézkedéseket és az incidensjelentési munkafolyamatokat? | Igazgatósági jegyzőkönyvek, kockázati intézkedések, beszállítói kontrollok, incidenseszkaláció, képzés, folytonossági és válságkezelési bizonyítékok |
| DORA-felülvizsgáló | Dokumentált, tesztelt, beszállítótudatos és irányításba integrált-e az IKT-kockázatkezelés? | IKT-kockázati keretrendszer, rezilienciatesztek, incidensbesorolás, IKT-szerződésnyilvántartás, kilépési tervek, auditálási jog |
| GDPR-felülvizsgáló | Tudja-e a szervezet igazolni az elszámoltathatóságot a személyes adatok védelme és az adatvédelmi incidensek kezelése terén? | RoPA, jogalap-leképezés, szükség szerinti DPIA-k, adatfeldolgozói szerződések, adatvédelmi incidensnaplók, technikai és szervezési intézkedések |
A cél nem a bizonyítékok duplikálása. A naplózásról és felügyeletről szóló egyetlen SoA-sor támogathat ISO-bizonyítékot, NIST-szemléletű észlelési elvárásokat, DORA incidenskezelést, NIS2 eredményességi értékelést és GDPR adatvédelmi incidens észlelését. Egyetlen beszállítói kockázati fájl támogathat ISO beszállítói kontrollokat, DORA IKT harmadik fél kockázatot, NIS2 ellátási lánc biztonságot és GDPR adatfeldolgozói elszámoltathatóságot.
Ez a keresztmegfelelés gyakorlati értéke.
8. lépés: Végezzen végső dokumentációs felülvizsgálatot és próbaauditot
Mielőtt visszatérne a tanúsító szervezethez, végezzen szigorú belső kihívást. A Zenith Blueprint, Audit, felülvizsgálat és fejlesztés fázis, 30. lépés, Tanúsítási felkészülés – végső felülvizsgálat és próbaaudit, azt javasolja, hogy egyenként ellenőrizzék az ISO 27001:2022 4–10. pontjait, és minden alkalmazható A melléklet szerinti kontrollnál erősítsék meg a bizonyítékokat.
Ezt tanácsolja:
„Ellenőrizze az A melléklet kontrolljait: győződjön meg arról, hogy minden, a SoA-ban „Alkalmazható” jelöléssel ellátott kontrollhoz van mit bemutatnia.”
A Zenith Blueprint, Audit, felülvizsgálat és fejlesztés fázis, 30. lépéséből.
A végső felülvizsgálat legyen közvetlen:
- Megmagyarázható-e minden alkalmazható kontroll?
- Indokolható-e minden kizárt kontroll?
- Bemutatható-e a maradványkockázat elfogadása?
- Átvizsgálta-e a vezetés az átállási hibát, az erőforrásokat, a célkitűzéseket, az auditeredményeket és a helyesbítő intézkedéseket?
- Tesztelte-e a belső audit a frissített SoA-t és kockázatkezelési tervet?
- Bizonyítottak-e a beszállítói, felhő-, folytonossági, incidens-, adatvédelmi, hozzáférési, sérülékenységkezelési, naplózási és felügyeleti kontrollok?
- Jóváhagyottak, aktuálisak, kommunikáltak és verziókezelt állapotúak-e a szabályzatok?
- Kapcsolódnak-e a CAPA-k gyökérokokhoz és eredményességi ellenőrzésekhez?
- Gyorsan megtalálhatók-e a bizonyítékok a központi auditmappában?
A Clarysec Információbiztonsági szabályzata megadja az irányítási alapot:
„A szervezetnek az ISO/IEC 27001:2022 4–10. pontjaival összhangban információbiztonsági irányítási rendszert (IBIR) kell bevezetnie és fenntartania.”
A „Szabályzat végrehajtási követelményei” szakasz 6.1.1. szabályzati pontjából.
KKV-k esetében a felülvizsgálatnak a tanúsítási követelményeket és a szabályozási változásokat is nyomon kell követnie. A Clarysec Információbiztonsági szabályzata – KKV kimondja:
„Ezt a szabályzatot az ügyvezetőnek (GM) legalább évente felül kell vizsgálnia annak érdekében, hogy biztosított legyen a folyamatos megfelelés az ISO/IEC 27001 tanúsítási követelményeinek, a szabályozási változásoknak (például GDPR, NIS2 és DORA), valamint a változó üzleti igényeknek.”
A „Felülvizsgálati és frissítési követelmények” szakasz 9.1.1. szabályzati pontjából.
Pontosan ezt hagyta ki sok átállási program: az ISO, a szabályozás és az üzleti változás együtt mozog.
Mit mondjon az ügyfeleknek a helyreállítás alatt
Ha egy sikertelen vagy elmulasztott átállás ügyfélszerződéseket érint, a hallgatás veszélyes. Nem kell minden belső audit részletet feltárni, de kontrollált bizonyosságot kell adni.
Az ügyfélkommunikációs csomagnak tartalmaznia kell:
- A tanúsító szervezet által megerősített aktuális tanúsítványstátuszt.
- Az átállási audit státuszát és a magas szintű helyreállítási tervet.
- Annak megerősítését, hogy a CAPA-folyamat aktív és vezetés által jóváhagyott.
- A helyesbítő intézkedések és az auditlezárás tervezett határidőit.
- Nyilatkozatot arról, hogy az IBIR továbbra is működik.
- Biztonsági bizonyossági kapcsolattartási pontot.
- Frissített biztonsági szabályzati nyilatkozatot, ha indokolt.
- Bizonyítékot kompenzáló kontrollokra bármely magas kockázatú terület esetén.
Kerülje az olyan homályos állításokat, mint „teljes mértékben megfelelünk”, amíg az audit nincs lezárva. Azt mondja, ami igaz: az IBIR működik, a helyesbítő intézkedést jóváhagyták, a bizonyítékokat konszolidálják, és lezáró felülvizsgálat vagy újraauditálás van ütemezve.
Ez különösen fontos, ha az ügyfelek beszállítóként támaszkodnak Önre NIS2-releváns ágazatokban, például digitális infrastruktúra, felhő, adatközpontok, tartalomkézbesítési hálózatok, DNS, bizalmi szolgáltatások, nyilvános elektronikus hírközlés, menedzselt szolgáltatások vagy menedzselt biztonsági szolgáltatások területén. Ha az auditstátusz befolyásolja az ellátási lánc kockázatukat, hiteles bizonyosságra van szükségük.
10 napos gyakorlati helyreállítási sprint
Az ütemezés a tanúsító szervezettől, a súlyosságtól, a hatálytól és a bizonyítékok érettségétől függ. A helyreállítási sorrend azonban megbízható.
| Nap | Tevékenység | Kimenet |
|---|---|---|
| 1 | Auditjelentés összegyűjtése, tanúsítványstátusz megerősítése, központi auditmappa megnyitása | Helyreállítási irányítóközpont |
| 2 | Megállapítások besorolása, felelősök kijelölése, vezetőség tájékoztatása | Jóváhagyott helyreállítási irányítás |
| 3 | Kontextus, kötelezettségek, érdekelt felek és hatályfeltételezések frissítése | Frissített kontextus- és megfelelési térkép |
| 4 | Kockázatértékelés és kockázatkezelési terv egyeztetése | Frissített kockázati nyilvántartás és kezelési terv |
| 5 | SoA javítása indoklásokkal, kizárásokkal, bizonyítékokkal és felelősökkel | Auditra kész SoA |
| 6 | Gyökérok-elemzés végrehajtása minden megállapításra | Gyökérok-napló |
| 7 | CAPA-terv készítése tervezett határidőkkel és bizonyítékkövetelményekkel | CAPA-nyilvántartás |
| 8 | Bizonyítékok összegyűjtése és tesztelése a prioritást élvező kontrollokhoz | Bizonyítékcsomag |
| 9 | Vezetőségi átvizsgálás megtartása és maradványkockázatok jóváhagyása | Vezetőségi átvizsgálási jegyzőkönyv |
| 10 | Próbaaudit futtatása és a tanúsító szervezetnek szóló válasz előkészítése | Újraauditálási felkészültségi csomag |
Ne nyújtsa be a választ addig, amíg az nem mond el koherens történetet. Az auditornak követnie kell tudni a láncot a megállapítástól a gyökérokig, a gyökérokból a helyesbítő intézkedésig, a helyesbítő intézkedéstől a bizonyítékig, a bizonyítéktól pedig a vezetőségi átvizsgálásig.
A Clarysec helyreállítási munkafolyamata
Amikor a Clarysec elmulasztott vagy sikertelen ISO 27001:2022 átállást támogat, a munkát fókuszált helyreállítási munkafolyamatba szervezzük.
| Helyreállítási fázis | Clarysec-eszköz | Kimenet |
|---|---|---|
| Audittriázs | Zenith Blueprint 24., 27., 29., 30. lépés | Megállapítások besorolása, bizonyítéktérkép, auditlezárási terv |
| Irányítás újraindítása | Információbiztonsági szabályzat, Audit- és megfelelésfelügyeleti szabályzat | Jóváhagyott felelősségek, vezetői részvétel, központi bizonyítékmappa |
| Kockázatok frissítése | Kockázatkezelési szabályzat, ISO/IEC 27005:2022 módszer | Frissített kontextus, kritériumok, kockázati nyilvántartás, kezelési terv |
| SoA-javítás | Zenith Blueprint 24. lépés, Kockázatkezelési szabályzat | Visszakövethető SoA kockázattal, kötelezettséggel, felelőssel, bizonyítékkal és státusszal |
| Keresztmegfelelési leképezés | Zenith Controls | NIS2, DORA, GDPR, NIST-szemléletű és COBIT 2019 bizonyossági összhang |
| CAPA-végrehajtás | Zenith Blueprint 29. lépés, audit szabályzatok | Gyökérok, helyesbítő intézkedés, felelős, határidő, eredményességi ellenőrzés |
| Próbaaudit | Zenith Blueprint 30. lépés | Újraauditálási felkészültségi csomag és ügyfélbizonyossági csomag |
Ez nem papírgyártásról szól. Arról szól, hogy helyreálljon a bizalom: az IBIR irányított, kockázatalapú, bizonyítékokkal alátámasztott és fejlődő rendszer.
Záró tanács: kezelje a sikertelen átállást stressztesztként
Az elmulasztott ISO 27001:2022 átállási határidő vagy a sikertelen átállási audit válságnak tűnik, de egyben diagnosztikai lehetőség is. Megmutatja, hogy az IBIR képes-e elnyelni a változást, integrálni a jogi kötelezettségeket, kezelni a beszállítókat, bizonyítani a kontrollok működését és tanulni a hibából.
A leggyorsabban helyreálló szervezetek három dolgot csinálnak jól:
- Központosítják a bizonyítékokat és megszüntetik a káoszt.
- Újjáépítik a visszakövethetőséget a kockázat, a SoA, a kontrollok, a szabályzatok és a kötelezettségek között.
- Az auditmegállapításokat fegyelmezett CAPA-n és vezetőségi átvizsgáláson keresztül kezelik.
A nehezen haladó szervezetek dokumentumszerkesztéssel próbálják megoldani a problémát anélkül, hogy kijavítanák a felelősségeket, a felügyeletet, a bizonyítékokat vagy a gyökérokot.
Ha elmulasztotta a határidőt, vagy sikertelen volt az átállási auditja, a következő lépés nem a pánik. Hanem a strukturált helyreállítás.
A Clarysec segít az átállási audit triázsában, a SoA újjáépítésében, a NIS2, DORA, GDPR, NIST-szemléletű és COBIT 2019 elvárások Zenith Controls segítségével történő leképezésében, a helyesbítő intézkedések Zenith Blueprint szerinti végrehajtásában, valamint a szabályzati bizonyítékok összehangolásában az Információbiztonsági szabályzat, az Audit- és megfelelésfelügyeleti szabályzat, a Kockázatkezelési szabályzat és a Jogi és szabályozói megfelelési szabályzat használatával.
A tanúsítvánnyal kapcsolatos problémája helyrehozható. Az IBIR erősebbé válhat, mint amilyen az audit előtt volt. Ha az átállási auditja nincs lezárva, kezdje meg most a helyreállítási értékelést, konszolidálja a bizonyítékait, és készítsen olyan újraauditálási csomagot, amely bizonyítja, hogy az IBIR nemcsak dokumentált, hanem működik is.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
