ISO 27001 auditbizonyítékok NIS2- és DORA-megfelelőséghez
Kedd reggel 08:17 van, és egy gyorsan növekvő fintech SaaS-vállalat információbiztonsági vezetőjét (CISO) három üzenet várja.
Az első egy jelentős banki ügyféltől érkezett: „Kérjük, küldjék meg a legutóbbi belső auditjelentést, a vezetőségi átvizsgálás jegyzőkönyveit, a helyesbítő intézkedések státuszát, az incidensbejelentési eljárást, a beszállítói nyilvántartást és a vezető testületi felügyelet bizonyítékait.”
A második a pénzügyi vezetőtől érkezett: „A NIS2 vagy a DORA hatálya alá tartozunk, és milyen bizonyítékaink vannak már most?”
A harmadik a vezérigazgatótól: „Mondhatjuk, hogy auditra felkészültek vagyunk?”
Sok szervezetben a kényelmetlen válasz nem az, hogy nem történik semmi. Ennél rosszabb a helyzet. Biztonsági munka mindenhol zajlik, de bizonyíték sehol sincs. Vannak kontrollok, de nincs auditnyom. Vannak jegyek, de nincs egyértelmű kapcsolatuk a kockázatokhoz. Vannak vezetői tájékoztatók, de nincsenek formális vezetőségi átvizsgálási kimenetek. Vannak beszállítói egyeztetések, de nincs igazolható beszállítói nyilvántartás, szerződés-felülvizsgálat vagy kilépési stratégia.
Pontosan ebben a résben válik az ISO/IEC 27001:2022 szerinti belső audit és vezetőségi átvizsgálás többé, mint tanúsítási tevékenységgé. Ezek adják a működési ritmust a NIS2, DORA, GDPR, ügyfélbizonyosság, kiberbiztosítás és vezető testületi elszámoltathatóság számára.
A SaaS-, felhő-, MSP-, MSSP- és fintech-csapatok ritkán azért buknak el, mert nincs biztonsági tevékenységük. Azért buknak el, mert a tevékenységek szétszóródnak a Slackben, Jirában, táblázatokban, beszállítói portálokon, SOC-jegyekben, beszerzési fájlokban és igazgatósági prezentációkban. Egy szabályozó hatóság, külső auditor vagy nagyvállalati ügyfél nem hősies magyarázatot kér. Objektív bizonyítékot kér.
A gyakorlati megoldás nem az, hogy minden keretrendszerhez külön auditprogramot működtetünk. Az ISO 27001 szerinti IBIR-t kell központi bizonyítékmotorként használni, majd ezeket a bizonyítékokat NIS2-, DORA-, GDPR- és szerződéses követelményekhez címkézni. Jól megvalósítva egy belső audit és egy vezetőségi átvizsgálási ciklus számos megfelelőségi kérdésre választ adhat.
A keretrendszer-fáradtságtól az egységes IBIR-bizonyítékmodell felé
Sok CISO találkozik Maria problémájának valamelyik változatával. Maria egy pénzügyi szektorbeli ügyfeleket kiszolgáló B2B SaaS-vállalat biztonságáért felel. Csapata hat hónapja sikeresen teljesített egy ISO/IEC 27001:2022 tanúsítási auditot. Az IBIR érik, a szabályzatokat követik, a kontrollgazdák értik a felelősségeiket. Ezután a vezérigazgató továbbít két cikket, az egyiket a NIS2 irányelvről, a másikat a DORA-ról, egy rövid kérdéssel: „Lefedjük ezt?”
A válasz az alkalmazási területtől, a szolgáltatásoktól, az ügyfelektől és a jogi személyektől függ. Az operatív válasz azonban egyértelmű: ha Maria a NIS2-t és a DORA-t külön megfelelőségi projektként kezeli, párhuzamos munkát, következetlen bizonyítékokat és növekvő auditfáradtságot hoz létre. Ha ezeket az IBIR-en belüli érdekelt fél követelményeiként kezeli, az ISO 27001 segítségével be tudja fogadni, tesztelni és igazolni a felkészültséget.
Az ISO/IEC 27001:2022 erre készült. A 4. pont előírja, hogy a szervezet értse meg a környezetét és az érdekelt felek követelményeit, beleértve a jogi, szabályozási, szerződéses és függőségekből eredő kötelezettségeket. Az 5. pont vezetést és az üzleti folyamatokba történő integrációt követel meg. A 6. pont kockázatértékelést és kockázatkezelést ír elő. A 9. pont teljesítményértékelést követel meg figyelemmel kísérés, belső audit és vezetőségi átvizsgálás útján. A 10. pont fejlesztést és helyesbítő intézkedést ír elő.
A NIS2 és a DORA természetesen illeszkedik ebbe a struktúrába.
A NIS2 előírja, hogy az alapvető és fontos szervezetek megfelelő és arányos műszaki, működési és szervezeti kiberbiztonsági kockázatkezelési intézkedéseket vezessenek be. A vezető testületek felelősségét is rögzíti: jóvá kell hagyniuk ezeket az intézkedéseket, felügyelniük kell a végrehajtásukat, és jogsértés esetén felelősségre vonhatók. Minimális intézkedései kiterjednek a kockázatelemzésre, incidenskezelésre, üzletmenet-folytonosságra, ellátási lánc biztonságára, biztonságos fejlesztésre, sérülékenységkezelésre, eredményességértékelésre, képzésre, kriptográfiára, HR-biztonságra, hozzáférés-szabályozásra, eszközkezelésre, valamint adott esetben többtényezős hitelesítésre vagy folyamatos hitelesítésre.
A DORA 2025. január 17-től alkalmazandó, és pénzügyi szervezetek számára ágazatspecifikus digitális működési reziliencia-keretrendszert hoz létre. Előírja a vezető testület felelősségét az IKT-kockázatkezelésért, a dokumentált IKT-kockázatkezelési keretrendszert, a digitális működési reziliencia stratégiáját, az IKT-folytonossági és helyreállítási terveket, a rezilienciatesztelést, az IKT-incidensirányítást és az IKT harmadik fél kockázatkezelést. A pénzügyi szervezeteket kiszolgáló SaaS- és felhőszolgáltatók esetében a DORA szerződéses kötelezettségek, ügyfélauditok és IKT harmadik fél kockázatkezelési elvárások formájában jelenhet meg, még akkor is, ha maga a szolgáltató nem pénzügyi szervezet.
A GDPR az elszámoltathatósági réteget adja hozzá. Ahol a személyes adatok kezelése a GDPR hatálya alá tartozik, a szervezeteknek képesnek kell lenniük igazolni az adatvédelmi alapelveknek, valamint a megfelelő technikai és szervezési intézkedéseknek való megfelelést.
Az ISO 27001 nem varázslatos megfelelőségi tanúsítvány ezekre a kötelezettségekre. Ez az az irányítási rendszer, amely képes ezeket rendszerezni, bizonyítani és fejleszteni.
Az alkalmazási terület kérdése: mit igazol, és kinek?
Mielőtt auditra felkészült bizonyítékcsomagot építene, a vezetésnek egy alapvető kérdésre kell válaszolnia: mely kötelezettségek tartoznak a hatályba?
SaaS- és felhőalapú vállalkozások esetében a NIS2 hatálya szélesebb lehet a vártnál. A NIS2 olyan köz- vagy magánszervezetekre vonatkozik a felsorolt ágazatokban, amelyek elérik a méretküszöböket, valamint bizonyos nagy hatású szervezetekre mérettől függetlenül. Releváns ágazatok lehetnek a digitális infrastruktúra, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózatok, a bizalmi szolgáltatók, a nyilvános elektronikus hírközlési szolgáltatók, valamint az IKT szolgáltatásmenedzsmentet nyújtó B2B szolgáltatók, például a menedzselt szolgáltatók és a menedzselt biztonsági szolgáltatók. A SaaS-szolgáltatóknak különös figyelmet kell fordítaniuk arra, hogyan nyújtják a szolgáltatásokat, mely ágazatokat támogatják, és lehetővé teszik-e az igény szerinti adminisztrációt, valamint a skálázható, megosztott számítási erőforrásokhoz való széles körű távoli hozzáférést.
Fintech- és pénzügyi szektorbeli szolgáltatók esetében a DORA-t külön kell elemezni. A DORA közvetlenül pénzügyi szervezetek széles körére terjed ki, ideértve a hitelintézeteket, pénzforgalmi intézményeket, számlainformációs szolgáltatókat, elektronikuspénz-kibocsátó intézményeket, befektetési vállalkozásokat, kriptoeszköz-szolgáltatókat, kereskedési helyszíneket, alapkezelőket, biztosítókat és viszontbiztosítókat, valamint közösségi finanszírozási szolgáltatókat. Az IKT harmadik fél szolgáltatók szintén a DORA-ökoszisztéma részei, mert a pénzügyi szervezeteknek kezelniük kell IKT-függőségeiket, nyilvántartást kell vezetniük a szerződéses megállapodásokról, és konkrét szerződéses rendelkezéseket kell beépíteniük a kritikus vagy fontos funkciókat támogató IKT-szolgáltatásokra.
A NIS2 és a DORA egymással is kölcsönhatásban áll. Ha egy ágazatspecifikus uniós jogi aktus egyenértékű kiberbiztonsági kockázatkezelési vagy incidensbejelentési követelményeket ír elő, az adott területeken a megfelelő NIS2-rendelkezések nem feltétlenül alkalmazandók ezekre a szervezetekre. A DORA a pénzügyi szervezetek ágazatspecifikus működési reziliencia-rendszere. Ez nem teszi a NIS2-t irrelevánssá minden kapcsolódó szolgáltató számára. Azt jelenti, hogy a bizonyítékmodellnek meg kell különböztetnie, hogy a szervezet közvetlenül DORA hatálya alá tartozó pénzügyi szervezet, pénzügyi szervezeteket támogató IKT harmadik fél szolgáltató, NIS2 hatálya alá tartozó SaaS-szolgáltató, vagy több jogi személlyel és szolgáltatási vonallal rendelkező csoport.
Ez az alkalmazási területre vonatkozó elemzés az IBIR környezetéhez és az érdekelt felek nyilvántartásához tartozik. Enélkül az auditterv rossz dolgokat fog tesztelni.
Egy auditnyom, sok megfelelőségi kérdés
Gyakori hiba külön bizonyítékcsomagokat létrehozni ISO 27001, NIS2, DORA, GDPR, kiberbiztosítás és ügyfélauditok számára. Ez a megközelítés párhuzamosságot és ellentmondó válaszokat hoz létre. Jobb megközelítés az egyetlen bizonyítékmodell több nézőponttal.
A középpontban az IBIR áll. Körülötte öt bizonyítékcsalád helyezkedik el.
| Bizonyítékcsalád | Mit igazol | Tipikus nyilvántartások |
|---|---|---|
| Irányítási bizonyíték | A vezetés jóváhagyta, erőforrásokkal ellátta és felülvizsgálta az IBIR-t | Információbiztonsági szabályzat, szerepkörök, auditterv, vezetőségi átvizsgálás jegyzőkönyvei, vezető testületi jelentéstétel |
| Kockázati bizonyíték | A kockázatokat azonosították, értékelték, gazdához rendelték és kezelték | Kockázati kritériumok, kockázati nyilvántartás, kezelési terv, alkalmazhatósági nyilatkozat, maradványkockázat-jóváhagyások |
| Kontrollbizonyíték | A kontrollok a tervezett módon működnek | Hozzáférés-felülvizsgálatok, biztonsági mentési tesztek, felügyeleti riasztások, sérülékenységi jelentések, beszállítói átvilágítás, biztonságos fejlesztési nyilvántartások |
| Bizonyossági bizonyíték | Független vagy belső ellenőrzések hiányosságokat tártak fel és ellenőrizték a megfelelőséget | Belső auditterv, audit-ellenőrzőlista, auditjelentés, meg nem felelési nyilvántartás, CAPA-nyilvántartás |
| Fejlesztési bizonyíték | A megállapítások korrekcióhoz, gyökérok-elemzéshez és folyamatos fejlesztéshez vezettek | Helyesbítő intézkedési tervek, tanulságok, vezetői döntések, frissített szabályzatok, újratesztelési bejegyzések |
Ez a struktúra összhangban van a Zenith Blueprint: An Auditor’s 30-Step Roadmap útmutatóval Zenith Blueprint. Az Audit, Review & Improvement fázisban a 25. lépés a belső auditprogramra, a 26. lépés az audit végrehajtására, a 28. lépés a vezetőségi átvizsgálásra, a 29. lépés pedig a folyamatos fejlesztésre fókuszál.
A Blueprint 25. lépésének útmutatása szándékosan gyakorlati:
„Készítsen ütemezést, amely meghatározza, mikor kerül sor auditokra, és mit fognak lefedni.”
„Használja az Internal Audit Plan template sablont, ha rendelkezésre áll; ez lehet egy egyszerű dokumentum vagy táblázat, amely felsorolja az auditdátumokat, az alkalmazási területet és a kijelölt auditorokat.”
Forrás: Zenith Blueprint, Audit, Review & Improvement fázis, 25. lépés: Internal Audit Program Zenith Blueprint
Ez az egyszerű auditterv akkor válik igazán erőssé, ha kockázatalapú, és NIS2-, DORA- és GDPR-kötelezettségekhez van címkézve.
Az auditra való felkészültséget megalapozó ISO 27001 kontrollok
Az auditra való felkészültség szempontjából három ISO/IEC 27002:2022 kontroll különösen fontos, ha a Zenith Controls: The Cross-Compliance Guide alapján értelmezzük őket Zenith Controls:
- 5.4 Vezetői felelősségek
- 5.35 Az információbiztonság független felülvizsgálata
- 5.36 Megfelelés az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak
Ezek nem különálló „Zenith kontrollok”. Ezek ISO/IEC 27002:2022 kontrollok, amelyeket a Zenith Controls segít keretrendszerek között leképezni, auditálni és értelmezni.
Az 5.4 kontroll azt vizsgálja, hogy az információbiztonsági felelősségeket kijelölték-e és megértették-e. Az 5.35 kontroll azt kérdezi, hogy az információbiztonságot függetlenül felülvizsgálják-e. Az 5.36 kontroll azt vizsgálja, hogy a szervezet megfelel-e saját szabályzatainak, szabályainak és szabványainak.
A Zenith Controls az 5.35 kontrollt bizonyosságorientált módon osztályozza:
Az ISO/IEC 27002:2022 5.35 kontrollját, „Independent Review of Information Security”, a Zenith Controls „Preventive, Corrective” kontrollként kezeli, amely az „Identify” és „Protect” kiberbiztonsági koncepciókon keresztül támogatja a bizalmasságot, sértetlenséget és rendelkezésre állást, operatív képességként pedig az „Information Security Assurance” területhez kapcsolódik. Zenith Controls
Ez azért fontos, mert a belső audit egyszerre megelőző és helyesbítő jellegű. Megelőzi a vakfoltokat azzal, hogy az IBIR-t külső vizsgálat előtt teszteli, és dokumentált intézkedésekkel javítja a gyengeségeket.
A szélesebb megfeleltetés a NIS2 és DORA követelményeiből indul ki, majd azonosítja azokat az ISO 27001 bizonyítékokat, amelyekkel ezek igazolhatók.
| Szabályozási téma | ISO/IEC 27001:2022 és ISO/IEC 27002:2022 bizonyíték | Gyakorlati auditfókusz |
|---|---|---|
| Vezetői elszámoltathatóság | 5., 9.3 pontok és 5.2, 5.4, 5.35, 5.36 kontrollok | Vezetői jóváhagyások, átvizsgálási jegyzőkönyvek, szerepkör-hozzárendelések, CAPA-döntések |
| Kockázatelemzés és biztonsági szabályzatok | 4., 6.1, 6.2 pontok és 5.1, 5.7, 5.9, 5.31 kontrollok | Kockázati kritériumok, kockázati nyilvántartás, szabályzatjóváhagyások, jogi és szerződéses követelmények |
| Incidenskezelés | 5.24, 5.25, 5.26, 5.27, 5.28 kontrollok | Osztályozás, eszkaláció, reagálási nyilvántartások, tanulságok, bizonyítékmegőrzés |
| Üzletmenet-folytonosság és helyreállítás | 5.29, 5.30, 8.13 kontrollok | Folytonossági tervek, IKT-felkészültség, biztonsági mentésből történő helyreállítási tesztek, helyreállítási mutatók |
| Beszállítói és felhőkockázat | 5.19, 5.20, 5.21, 5.22, 5.23 kontrollok | Beszállítói átvilágítás, szerződések, felügyelet, felhőkilépési tervek, koncentrációs kockázat |
| Biztonságos fejlesztés és sérülékenységek | 8.8, 8.25, 8.26, 8.27, 8.28, 8.29 kontrollok | Sérülékenységi SLA-k, biztonságos SDLC-nyilvántartások, változtatás-jóváhagyások, biztonsági tesztelés |
| Hozzáférés, HR és képzés | 5.15, 5.16, 5.17, 5.18, 6.1, 6.2, 6.3, 6.5, 6.6, 6.7 kontrollok | Hozzáférés-felülvizsgálatok, belépés–áthelyezés–kilépés minták, tudatossági nyilvántartások, távmunka-kontrollok |
| Naplózás, felügyelet és kriptográfia | 8.15, 8.16, 8.17, 8.24 kontrollok | Naplómegőrzés, riasztások áttekintése, időszinkronizálás, titkosítási szabványok |
| Adatvédelem és jogi megfelelés | 5.31, 5.34, 5.36 kontrollok | Jogi nyilvántartás, adatvédelmi kontrollok, adatfeldolgozói bizonyítékok, megfelelőségi felülvizsgálatok |
A kontrollok leképezése csak akkor hasznos, ha a bizonyíték erős. Ha a bejegyzés gyenge, egyetlen megfeleltetés sem menti meg. Ha a bejegyzés teljes, ugyanaz a bizonyíték válaszolhat ISO-, NIS2-, DORA-, GDPR-, NIST Cybersecurity Framework 2.0- és COBIT 2019 jellegű kérdésekre.
A Clarysec által elvárt szabályzati bizonyítékok
A Clarysec szabályzatai az IBIR-elméletet bizonyítékelvárásokká alakítják.
KKV-k számára az Audit- és megfelelőségfelügyeleti szabályzat-sme Audit- és megfelelőségfelügyeleti szabályzat-sme vezetői jóváhagyást és auditfegyelmet ír elő:
„Az ügyvezetőnek (GM) jóvá kell hagynia az éves audittervet.”
Forrás: Audit- és megfelelőségfelügyeleti szabályzat-sme, irányítási követelmények, 5.1.1 pont Audit- és megfelelőségfelügyeleti szabályzat-sme
Minimális gyakoriságot is meghatároz:
„A belső auditokat vagy megfelelőségi felülvizsgálatokat legalább évente el kell végezni.”
Forrás: Audit- és megfelelőségfelügyeleti szabályzat-sme, irányítási követelmények, 5.2.1 pont
A megállapításokat összekapcsolja a korrekcióval és a vezetőségi átvizsgálással:
„A GM-nek jóvá kell hagynia a helyesbítő intézkedési tervet, és nyomon kell követnie annak végrehajtását.”
Forrás: Audit- és megfelelőségfelügyeleti szabályzat-sme, irányítási követelmények, 5.4.2 pont
„Az auditmegállapításokat és a státuszfrissítéseket be kell vonni az IBIR vezetőségi átvizsgálási folyamatába.”
Forrás: Audit- és megfelelőségfelügyeleti szabályzat-sme, irányítási követelmények, 5.4.3 pont
A bizonyítékmegőrzés szintén kifejezett:
„A bizonyítékokat legalább két évig, vagy ha tanúsítási vagy ügyfélszerződések ezt előírják, hosszabb ideig meg kell őrizni.”
Forrás: Audit- és megfelelőségfelügyeleti szabályzat-sme, a szabályzat végrehajtásának követelményei, 6.2.4 pont
Nagyobb szervezetek esetében az Audit- és megfelelőségfelügyeleti szabályzat Audit- és megfelelőségfelügyeleti szabályzat, amelyet egyes Clarysec-anyagok P33 Audit and Compliance Monitoring Policy néven is említenek, kibővíti a struktúrát:
„Évente kockázatalapú audittervet kell kidolgozni és jóváhagyni, figyelembe véve:”
Forrás: Audit- és megfelelőségfelügyeleti szabályzat, irányítási követelmények, 5.2 pont Audit- és megfelelőségfelügyeleti szabályzat
„A szervezetnek auditnyilvántartást kell fenntartania, amely tartalmazza:”
Forrás: Audit- és megfelelőségfelügyeleti szabályzat, irányítási követelmények, 5.4 pont
„A belső auditoknak dokumentált eljárást kell követniük, amely tartalmazza:”
Forrás: Audit- és megfelelőségfelügyeleti szabályzat, a szabályzat végrehajtásának követelményei, 6.1.1 pont
„Minden megállapításnak dokumentált CAPA-t kell eredményeznie, amely tartalmazza:”
Forrás: Audit- és megfelelőségfelügyeleti szabályzat, a szabályzat végrehajtásának követelményei, 6.2.1 pont
A vezetőségi átvizsgálást az Információbiztonsági szabályzat Információbiztonsági szabályzat alapozza meg, amelyre egyes Clarysec-anyagok P01 Information Security Policy néven is hivatkoznak:
„A vezetőségi átvizsgálási tevékenységeket (az ISO/IEC 27001 9.3 pontja szerint) legalább évente el kell végezni, és azoknak tartalmazniuk kell:”
Forrás: Információbiztonsági szabályzat, irányítási követelmények, 5.3 pont Információbiztonsági szabályzat
Ezek a követelmények hozzák létre az auditorok által elvárt bizonyítékláncot: jóváhagyott terv, meghatározott eljárás, auditnyilvántartás, megállapítások, CAPA, megőrzés és vezetői átvizsgálás.
Az auditra felkészült bizonyítékcsomag kialakítása
Az auditra felkészült bizonyítékcsomag nem egy óriási mappa, amelyet két nappal az audit előtt hoznak létre. Élő struktúra, amelyet egész évben fenn kell tartani.
| Bizonyítékelem | ISO 27001 cél | NIS2 és DORA szempontú relevancia |
|---|---|---|
| IBIR alkalmazási terület és érdekelt felek nyilvántartása | Igazolja a jogi, szerződéses és függőségi követelmények azonosítását | Támogatja a NIS2 szervezeti hatályát, a DORA szerepelemzést és a GDPR elszámoltathatóságot |
| Kockázati kritériumok és kockázati nyilvántartás | Igazolja a következetes kockázatértékelést és felelősség-hozzárendelést | Támogatja a NIS2 kockázatkezelési intézkedéseit és a DORA IKT-kockázati keretrendszerét |
| Alkalmazhatósági nyilatkozat | Igazolja a kiválasztott kontrollokat, az indoklást és a bevezetési státuszt | Konszolidált kontrollalapvonalat hoz létre a keresztmegfeleléshez |
| Éves belső auditterv | Igazolja a tervezett bizonyossági tevékenységet | Támogatja a vezetői felügyeletet és a DORA IKT-audittervezést |
| Belső audit-ellenőrzőlista | Igazolja az auditkritériumokat és a mintavételi módszert | Bemutatja, hogyan tesztelték a NIS2-, DORA- és GDPR-követelményeket |
| Auditjelentés és megállapítási nyilvántartás | Objektív bizonyítékokat és meg nem feleléseket mutat | Támogatja az eredményességértékelést és a szabályozói bizonyosságot |
| CAPA-nyilvántartás | Megmutatja a gyökérokot, a felelőst, a határidőt és a lezárást | Támogatja a NIS2 szerinti helyesbítő intézkedéseket és a DORA szerinti javító intézkedéseket |
| Vezetőségi átvizsgálási csomag | Igazolja, hogy a vezetés áttekintette a teljesítményt, incidenseket, kockázatokat és erőforrásokat | Támogatja a NIS2 és DORA szerinti vezető testületi elszámoltathatóságot |
| Beszállítói nyilvántartás és szerződéses bizonyítékok | Igazolja a harmadik felekkel kapcsolatos kockázatok kontrollját | Támogatja a NIS2 ellátási lánc biztonságát és a DORA IKT harmadik fél kockázatkezelését |
| Incidensbejelentési és tanulságokat rögzítő nyilvántartások | Igazolja a reagálást és a fejlesztést | Támogatja a NIS2 szakaszos jelentéstételét és a DORA incidensirányítását |
A bizonyítékcsomagot le kell képezni az ISO/IEC 27001:2022 pontjaira és az A melléklet kontrolljaira, de szabályozási relevancia szerint is címkézni kell. Egy beszállítói auditbejegyzés például támogathatja az A melléklet beszállítói kontrolljait, a NIS2 ellátási lánc biztonságát és a DORA IKT harmadik fél kockázatkezelését. Egy incidens-asztali gyakorlat bejegyzése támogathatja az ISO 27001 incidenskezelést, a NIS2 szakaszos bejelentési felkészültségét és a DORA szerinti jelentős IKT-vel kapcsolatos incidensirányítást.
Az integrált belső audit végrehajtása
A Zenith Blueprint 26. lépése az objektív bizonyítékot hangsúlyozza:
„Végezze el az auditot úgy, hogy objektív bizonyítékot gyűjt az ellenőrzőlista minden eleméhez.”
„Készítsen interjút az érintett munkatársakkal.”
„Tekintse át a dokumentációt.”
„Figyelje meg a gyakorlatokat.”
„Végezzen mintavételt és szúrópróbaszerű ellenőrzést.”
Forrás: Zenith Blueprint, Audit, Review & Improvement fázis, 26. lépés: Audit Execution Zenith Blueprint
Pontosan ezt igényli a NIS2- és DORA-felkészültség. A szabályozók és az ügyfelek nem fogadják el azt, hogy „úgy gondoljuk, működik”. Azt kérdezik majd: honnan tudják?
Egy jól végrehajtott audit négy bizonyítékdimenziót tesztel.
| Bizonyítékdimenzió | Példa audittesztre | Jó bizonyíték |
|---|---|---|
| Tervezés | Meghatározza-e a szabályzat vagy folyamat a követelményt? | Jóváhagyott szabályzat, eljárás, szabvány, munkafolyamat |
| Bevezetés | A folyamatot bevezették-e? | Jegyek, konfigurációk, képzési nyilvántartások, beszállítói nyilvántartások |
| Működési hatékonyság | Időben tartósan működött-e? | Több hónapot lefedő minták, riasztások, felülvizsgálati naplók, teszteredmények |
| Irányítási eszkaláció | Látta-e a vezetés az eredményeket, és intézkedett-e? | CAPA-jóváhagyás, vezetőségi átvizsgálási jegyzőkönyvek, költségvetési döntés |
Vegyünk egy szimulált zsarolóvírus-eseményt egy előéles szerveren. Az auditor azt teszteli, hogy az incidensreagálási folyamat képes-e megfelelni az ISO 27001 követelményeinek, a NIS2 szakaszos jelentéstételi elvárásainak és a DORA szerinti ügyfélkötelezettségeknek.
| Gyűjtött bizonyíték | ISO 27001 relevancia | NIS2 relevancia | DORA relevancia |
|---|---|---|---|
| Incidensnapló kezdeti osztályozással és időbélyeggel | 5.26 kontroll: reagálás információbiztonsági incidensekre | Meghatározza a tudomásszerzés időpontját a jelentéstételi határidőkhöz | Támogatja az IKT-vel kapcsolatos incidensek azonosítását és naplózását |
| Eszkaláció a CSIRT-hez és jogi tanácsadóhoz | 5.25 kontroll: információbiztonsági események értékelése és döntéshozatal | Támogatja a döntéshozatalt jelentős incidens bejelentéséhez | Támogatja a belső kommunikációs és eszkalációs eljárásokat |
| Korai figyelmeztetési értesítéssablon tervezete | 5.24 kontroll: incidenskezelés tervezése és előkészítése | Támogatja a 24 órás korai figyelmeztetési elvárás teljesítésének képességét | Támogathatja a szerződéses kommunikációs felkészültséget |
| Biztonsági mentés visszaállításáról szóló döntési bejegyzés | 5.29, 5.30 és 8.13 kontrollok | Támogatja az üzletmenet-folytonossági és katasztrófa utáni helyreállítási bizonyítékokat | Támogatja a reagálási, helyreállítási és biztonsági mentésből történő visszaállítási elvárásokat |
| Ügyfélkommunikációs bejegyzés | 5.20 és 5.22 kontrollok: beszállítói megállapodások és beszállítói szolgáltatásfelügyelet | Támogathatja a szerződéses és ellátási lánc kommunikációt | Támogatja a pénzügyi ügyfelek harmadik fél kockázati kötelezettségeit |
A NIS2 szakaszos jelentéstételi struktúrát ír elő jelentős incidensekre, ideértve a tudomásszerzéstől számított 24 órán belüli korai figyelmeztetést, a 72 órán belüli incidensbejelentést és az incidensbejelentéstől számított egy hónapon belüli zárójelentést. A DORA saját IKT-vel kapcsolatos incidensosztályozási és jelentéstételi keretrendszerrel rendelkezik a pénzügyi szervezetek számára. A belső auditnak ellenőriznie kell, hogy a forgatókönyvek rögzítik-e a tudomásszerzés idejét, a súlyossági kritériumokat, az érintett szolgáltatásokat, a kompromittálódás indikátorait, a kockázatcsökkentő intézkedéseket, a gyökérokot, az ügyfélértesítési kötelezettségeket és a zárójelentés adatait.
Egyetlen auditmegállapítás NIS2- és DORA-bizonyítékká alakítása
Egy valószerű beszállítói megállapítás jól mutatja, hogyan kell a bizonyítéknak áramlania.
A belső audit során az auditor öt kritikus beszállítóból vesz mintát. Egy felhőalapú naplózási szolgáltató csalásmonitorozást és biztonsági riasztást támogat a fintech platformhoz. A beszállító szerepel az eszköznyilvántartásban, de nincs dokumentált kilépési terv, nincs bizonyíték éves biztonsági felülvizsgálatra, és nincs megerősítés arról, hogy a szerződés incidens-támogatást vagy auditálási jogot tartalmaz.
Az auditor meg nem felelést rögzít a beszállítói biztonsági és felhőkilépési követelményekkel szemben. Gyenge válasz lenne annyit írni: „hiányzik a beszállítói felülvizsgálat”. Erős válasz keresztmegfelelési bizonyítékláncot hoz létre:
- Rögzítse a megállapítást az auditjelentésben, beleértve a mintaméretet, a beszállító nevét, a szerződéshivatkozást és a hiányzó bizonyítékokat.
- Vegyen fel CAPA-bejegyzést gyökérok megjelölésével, például: „a beszállítói beléptetési ellenőrzőlista nem tartalmazott kritikussági besorolást vagy kilépési tervet kiváltó feltételt.”
- Jelölje ki a beszállítói felelőst és a kockázatgazdát.
- Frissítse a beszállítói nyilvántartást úgy, hogy a szolgáltatás kritikus vagy fontos funkciót támogató szolgáltatásként legyen megjelölve.
- Végezzen kockázatértékelést, amely lefedi a szolgáltatáskimaradást, az adathozzáférést, a koncentrációs kockázatot, az incidensbejelentési függőséget és a szerződéses hiányosságokat.
- Frissítse a kockázatkezelési tervet és adott esetben az alkalmazhatósági nyilatkozatot.
- Szerezzen be frissített szerződésmódosítást vagy dokumentált kockázatelfogadást.
- Hozzon létre vagy teszteljen kilépési tervet.
- A javító intézkedések után auditálja újra a beszállítói bizonyítékokat.
- Jelentse a megállapítást, a kockázatot és az erőforrásigényeket a vezetőségi átvizsgálásban.
Ez az egyetlen lánc több kötelezettséget is támogat. A NIS2 elvárja az ellátási lánc biztonságát, valamint a beszállítói sérülékenységek, kiberbiztonsági gyakorlatok és biztonságos fejlesztési eljárások figyelembevételét. A DORA előírja, hogy a pénzügyi szervezetek kezeljék az IKT harmadik fél kockázatot, vezessenek nyilvántartást a szerződéses megállapodásokról, szerződéskötés előtt értékeljék a szolgáltatókat, megfelelő esetben építsenek be auditálási és ellenőrzési jogokat, tartsanak fenn megszüntetési jogokat, és dokumentáljanak kilépési stratégiákat a kritikus vagy fontos funkciókat támogató IKT-szolgáltatásokhoz. A GDPR is releváns lehet, ha a beszállító személyes adatokat kezel.
Az auditbejegyzés így már nem pusztán megfelelőségi bizonyíték. Reziliencia-bizonyíték.
Vezetőségi átvizsgálás: ahol a bizonyíték elszámoltathatósággá válik
A belső audit feltárja a valós helyzetet. A vezetőségi átvizsgálás dönt arról, mi történjen vele.
A Zenith Blueprint 28. lépése leírja a vezetőségi átvizsgálás bemeneti csomagját:
„Az ISO 27001 több kötelező bemenetet határoz meg a vezetőségi felülvizsgálathoz. Készítsen rövid jelentést vagy prezentációt ezekről a pontokról.”
A Blueprint felsorolja a korábbi intézkedések státuszát, a külső és belső tényezők változásait, az ISMS teljesítményét és eredményességét, az incidenseket vagy meg nem feleléseket, a fejlesztési lehetőségeket és az erőforrásigényeket.
Forrás: Zenith Blueprint, Audit, Review & Improvement fázis, 28. lépés: Management Review Zenith Blueprint
A NIS2 és DORA szempontjából a vezetőségi átvizsgálás az a pont, ahol a vezető testületi szintű elszámoltathatóság láthatóvá válik. Az átvizsgálásnak nem elég azt rögzítenie, hogy „a biztonságról volt szó”. Meg kell mutatnia, hogy a vezetés áttekintette:
- A NIS2, DORA, GDPR, ügyfél- és szerződéses követelmények változásait.
- Az alkalmazási terület változásait, ideértve az új országokat, termékeket, szabályozott ügyfeleket vagy IKT-függőségeket.
- A belső audit eredményeit, beleértve a jelentős és kisebb meg nem feleléseket.
- A CAPA-k és lejárt határidejű intézkedések státuszát.
- A biztonsági célkitűzéseket és mutatókat.
- Az incidenstrendeket, majdnem bekövetkezett eseményeket és tanulságokat.
- A beszállítói és felhőalapú koncentrációs kockázatokat.
- Az üzletmenet-folytonossági és biztonsági mentési tesztek eredményeit.
- A sérülékenység- és javításkezelési teljesítményt.
- Az erőforrásigényeket, beleértve a munkatársakat, eszközöket, képzést és költségvetést.
- A formális elfogadást igénylő maradványkockázatokat.
- A fejlesztési döntéseket és az elszámoltatható felelősöket.
Maria itt tud egy technikai jelentést stratégiai bizonyossággá alakítani. Ahelyett, hogy azt mondaná: „találtunk egy incidensfolyamati hiányosságot”, így fogalmazhat: „Az audit egy kisebb meg nem felelést azonosított a NIS2 szerinti incidensbejelentési döntési kritériumainkban. A CAPA frissíti az eljárást, döntési mátrixot ad hozzá, és 30 napon belül asztali gyakorlatot ír elő. Vezetői jóváhagyásra van szükségünk jogi felülvizsgálathoz és képzési időhöz.”
Ez az a fajta bejegyzés, amely támogatja az irányítást, a felügyeletet és az igazolható döntéshozatalt.
Helyesbítő intézkedés: a megállapítás és az érettség közötti különbség
A helyesbítő intézkedés nélküli belső audit csupán diagnózis.
A Zenith Blueprint 29. lépése arra kéri a szervezeteket, hogy használjanak CAPA-nyilvántartást:
„Töltse fel minden problémával: probléma leírása, gyökérok, helyesbítő intézkedés, felelős tulajdonos, tervezett teljesítési határidő, státusz.”
Forrás: Zenith Blueprint, Audit, Review & Improvement fázis, 29. lépés: Continual Improvement Zenith Blueprint
Fontos különbséget is tesz:
„Auditkifejezéssel: a korrekció a tünetet javítja, a helyesbítő intézkedés az okot javítja. Mindkettő fontos.”
Forrás: Zenith Blueprint, Audit, Review & Improvement fázis, 29. lépés: Continual Improvement
Ha hiányzik a biztonsági mentésből történő helyreállítás bizonyítéka, a korrekció lehet egy helyreállítási teszt lefuttatása és dokumentálása még ezen a héten. A helyesbítő intézkedés az, hogy a biztonsági mentési eljárást úgy módosítják, hogy a helyreállítási tesztek negyedévente ütemezetten, automatikus jeggyel, a szolgáltatásgazda felülvizsgálatával és vezetőségi átvizsgálási mutatókba építve történjenek.
Az auditorok ezt az érettséget keresik. Egy ISO 27001 auditor az IBIR-nek és a kiválasztott kontrolloknak való megfelelést teszteli. Egy NIS2-felülvizsgáló azt kérdezi, hogy a kockázatkezelési intézkedések hatékonyak-e és felügyeltek-e. Egy DORA-felülvizsgáló az IKT-kockázati keretrendszer integrációját, a rezilienciatesztelést, a harmadik féltől való függőségek kezelését és a javító intézkedéseket keresi. Egy NIST Cybersecurity Framework 2.0 értékelő megkérdezheti, hogy az irányítási, azonosítási, védelmi, észlelési, reagálási és helyreállítási eredmények működnek-e. Egy COBIT 2019 auditor az irányítási célokra, felelősségre, teljesítménymutatókra és bizonyosságra fókuszálhat.
Ugyanaz a CAPA-bejegyzés ki tudja szolgálni ezeket a nézőpontokat, ha tartalmazza a gyökérokot, a felelőst, a kockázati hatást, a helyesbítő intézkedést, a határidőt, a bevezetés bizonyítékát, az eredményességi felülvizsgálatot és a vezetői láthatóságot.
Az auditor többféle nézőpontja
Különböző auditorok ugyanazt a bizonyítékot eltérően olvassák. A Zenith Controls azzal segít ezekre a kérdésekre előre felkészülni, hogy keresztmegfelelési útmutatóként működik az ISO/IEC 27002:2022 kontrollokhoz és kapcsolódó keretrendszerekhez.
| Auditnézőpont | Mit fog valószínűleg kérdezni az auditor | Jól válaszoló bizonyíték |
|---|---|---|
| ISO 27001 auditor | Az IBIR-t az ISO/IEC 27001:2022 követelményei szerint tervezték, vezették be, értékelték és fejlesztették? | Alkalmazási terület, kockázatértékelés, alkalmazhatósági nyilatkozat, belső auditterv, auditjelentés, vezetőségi átvizsgálási kimenetek, CAPA |
| NIS2-felülvizsgáló | A vezetés jóváhagyta és felügyelte-e a megfelelő kockázatkezelési intézkedéseket, és a szervezet tudja-e igazolni az eredményességet és a helyesbítő intézkedést? | Igazgatósági vagy vezetőségi átvizsgálási jegyzőkönyvek, kockázatkezelési terv, incidens-forgatókönyvek, beszállítói felülvizsgálatok, képzési nyilvántartások, eredményességi mutatók |
| DORA-felülvizsgáló | Az IKT-kockázatkezelés beépül-e az irányításba, a rezilienciastratégiába, a tesztelésbe, a harmadik fél kockázatkezelésébe és a javító intézkedésekbe? | IKT-kockázati keretrendszer, auditterv, rezilienciateszt-bizonyítékok, harmadik fél nyilvántartás, kritikus funkciók leképezése, javító intézkedési nyilvántartások |
| GDPR-felülvizsgáló | A szervezet igazolni tudja-e az elszámoltathatóságot a személyes adatok kezelése és biztonsága terén? | Adatnyilvántartás, jogalap-nyilvántartások, adatfeldolgozói megállapodások, adatsértési naplók, hozzáférés-szabályozás, megőrzési bizonyítékok, biztonsági intézkedések |
| NIST CSF 2.0 értékelő | Az irányítási, kockázati, védelmi, észlelési, reagálási és helyreállítási eredmények hatékonyan működnek? | Eredményekhez leképezett kontrollbizonyítékok, naplók, felügyelet, incidensnyilvántartások, helyreállítási tesztek, fejlesztési intézkedések |
| COBIT 2019 auditor | Meghatározták és monitorozzák-e az irányítási célokat, a felelősséget, a teljesítménymenedzsmentet és a bizonyossági tevékenységeket? | RACI, szabályzatok, KPI-k, auditnyilvántartás, problémakezelés, vezetői jelentéstétel, döntési bejegyzések |
Az 5.36 kontroll jó példa. Az ISO 27001 auditor arra fókuszálhat, hogy a megfelelőségi felülvizsgálatok megtörténnek-e, és bekerülnek-e a helyesbítő intézkedésekbe. A NIS2-felülvizsgáló azt kérdezheti, hogy ezek a felülvizsgálatok tesztelik-e a jogi kiberbiztonsági intézkedéseket, nem csupán a belső szabályokat. A DORA-felülvizsgáló arra fókuszálhat, hogy a megfelelőségi felülvizsgálatok kiterjednek-e a kritikus IKT-szolgáltatókra és a szerződéses betartatásra.
Ezért kell a bizonyítékot kezdettől fogva több olvasó számára megtervezni.
Gyakorlati 30 napos auditra való felkészültségi sprint
Ha a vezérigazgató azt kérdezi, hogy a szervezet 30 nap alatt auditra felkészültté válhat-e, az őszinte válasz ez: hiteles bizonyítékalapot lehet kialakítani, ha a vezetés támogatja a sprintet, és az alkalmazási terület reális.
| Napok | Tevékenység | Kimenet |
|---|---|---|
| 1–3 | Erősítse meg az IBIR alkalmazási területét, a szabályozott szolgáltatásokat, az érdekelt feleket és a kötelezettségeket | Hatókör-nyilatkozat, NIS2-, DORA- és GDPR-alkalmazhatósági feljegyzés |
| 4–7 | Frissítse a kockázati kritériumokat, a kockázati nyilvántartást és a kulcsfontosságú kockázatgazdákat | Frissített kockázati nyilvántartás és kezelési prioritások |
| 8–10 | Készítsen kockázatalapú belső audittervet | Jóváhagyott auditterv és audit-ellenőrzőlista |
| 11–17 | Hajtsa végre az auditinterjúkat, a mintavételt és a bizonyítékok áttekintését | Bizonyítéknapló, megállapítások, pozitív észrevételek |
| 18–20 | Erősítse meg a megállapításokat a felelősökkel, és sorolja be a súlyosságot | Auditjelentés és meg nem felelési nyilvántartás |
| 21–24 | Hozzon létre CAPA-nyilvántartást gyökérokokkal, felelősökkel és határidőkkel | Jóváhagyott helyesbítő intézkedési terv |
| 25–27 | Készítse elő a vezetőségi átvizsgálási csomagot | Átvizsgálási diasor vagy jelentés mutatókkal, kockázatokkal, incidensekkel, erőforrásokkal |
| 28–30 | Tartsa meg a vezetőségi átvizsgálást, és rögzítse a döntéseket | Jegyzőkönyv, intézkedési nyilvántartás, kockázatelfogadások, erőforrás-döntések |
Ez a sprint nem helyettesíti a hosszú távú érettséget. Igazolható működési alapvonalat teremt. A valódi érték akkor keletkezik, ha a szervezet negyedévente vagy félévente ismétli a ciklust, nem csak évente egyszer.
A Clarysec által gyakran feltárt bizonyítékhiányosságok
Ugyanazok a gyengeségek jelennek meg a SaaS-, felhő- és fintech-auditokban:
- Az auditterv létezik, de nem kockázatalapú.
- Az audit-ellenőrzőlista ISO-pontokat tesztel, de figyelmen kívül hagyja a NIS2-, DORA-, GDPR- és ügyfélkötelezettségeket.
- Léteznek vezetőségi átvizsgálási jegyzőkönyvek, de nem mutatnak döntéseket, erőforrás-allokációt vagy kockázatelfogadást.
- A CAPA-nyilvántartások intézkedéseket sorolnak fel, de gyökérokot nem.
- A megállapításokat eredményességi ellenőrzés nélkül zárják le.
- Beszállítói felülvizsgálatokat végeznek, de a kritikus beszállítókat nem különböztetik meg az alacsony kockázatú beszállítóktól.
- Az incidens-forgatókönyvek léteznek, de senki sem tudja igazolni, hogy a 24 vagy 72 órás jelentéstételi munkafolyamat működne.
- A biztonsági mentési feladatok zöldek, de a helyreállítási tesztek nincsenek bizonyítva.
- A hozzáférés-felülvizsgálatokat exportálják, de a kivételeket nem követik nyomon lezárásig.
- A naplókat gyűjtik, de senki sem tud felügyeletet, eszkalációt vagy reagálást bemutatni.
- A bizonyítékokat személyes mappákban tárolják, nem szabályozott adattárban.
- A megőrzési követelmények nem egyértelműek, vagy nincsenek összhangban az ügyfélszerződésekkel.
Ezek a hiányosságok javíthatók. Strukturált IBIR-bizonyítékarchitektúrát igényelnek, nem utolsó pillanatos dokumentumvadászatot.
Mi számít jónak az igazgatóság számára?
Amikor a CISO visszatér a vezérigazgatóhoz és a pénzügyi vezetőhöz, a legerősebb válasz nem az, hogy „átmentünk egy audit-ellenőrzőlistán”. Hanem ez:
„Van jóváhagyott audittervünk. Kockázatalapú belső auditot hajtottunk végre. Objektív bizonyítékokkal alátámasztott megállapításokat azonosítottunk. CAPA-kat hagytunk jóvá felelősökkel és határidőkkel. A lényeges kockázatokat, incidenseket, beszállítói függőségeket és erőforrásigényeket eszkaláltuk a vezetőségi átvizsgálásba. A bizonyítékokat leképeztük az ISO/IEC 27001:2022, NIS2, DORA és GDPR követelményekhez. Meg tudjuk mutatni az auditnyomot.”
Ez a válasz megváltoztatja a beszélgetést. Ügyféloldali bizalmat ad a vezérigazgatónak. Szabályozási kitettségi tisztánlátást ad a pénzügyi vezetőnek. Igazolható felügyeleti bejegyzést ad az igazgatóságnak. A CISO számára pedig priorizált ütemtervet ad a szétszórt kérések halmaza helyett.
A legfontosabb, hogy a szervezetet a megfelelőségi színjátéktól a működési reziliencia felé mozdítja.
Következő lépések a Clarysec-kel
A következő audit nem lehet kapkodás. Látható bizonyítéknak kell lennie arra, hogy az IBIR működik, a vezetés elkötelezett, és a szervezet készen áll az ISO 27001, NIS2, DORA, GDPR és ügyfélbizonyossági elvárásokra.
A Clarysec segíthet Önnek:
- Kockázatalapú belső auditterv kialakításában a Zenith Blueprint: An Auditor’s 30-Step Roadmap segítségével Zenith Blueprint.
- Auditbizonyítékok leképezésében a Zenith Controls: The Cross-Compliance Guide segítségével Zenith Controls.
- KKV- vagy nagyvállalati auditirányítás bevezetésében az Audit- és megfelelőségfelügyeleti szabályzat-sme Audit- és megfelelőségfelügyeleti szabályzat-sme vagy az Audit- és megfelelőségfelügyeleti szabályzat Audit- és megfelelőségfelügyeleti szabályzat alapján.
- Vezetőségi átvizsgálási csomagok előkészítésében az Információbiztonsági szabályzat Információbiztonsági szabályzat és az ISO/IEC 27001:2022 9.3 pont szerinti elvárások alapján.
- A megállapítások CAPA-bejegyzésekké, vezetői döntésekké és mérhető fejlesztéssé alakításában.
Töltse le a Clarysec eszközkészleteit, foglaljon felkészültségi értékelést, vagy kérjen demót, hogy a következő belső auditját igazgatóság számára felhasználható bizonyítékká alakítsa az ISO 27001, NIS2, DORA és további követelményekhez.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
