ISO 27001 kontrollgerinc NIS2- és DORA-bizonyítékokhoz

A hétfő reggeli megfelelési ütközés

Hétfőn 08:12-kor Maria, egy európai fizetésfeldolgozó információbiztonsági vezetője három, látszólag egymástól független üzenetet kap.

A belső audit vezetője bizonyítékot kér arra, hogy az ISO 27001:2022 alkalmazhatósági nyilatkozat naprakész. A jogi csapat továbbítja egy banki partner DORA IKT harmadik feles kockázatfelügyeletre vonatkozó kérdőívét. Az üzemeltetési igazgató azt kérdezi, hogy ugyanaz az incidenskezelési forgatókönyv alkalmas-e egy újonnan felvásárolt EU-s üzleti egység NIS2 szerinti bejelentési elvárásainak támogatására.

09:00-ra Maria irodájában a tábla tele van rövidítésekkel: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. A szervezet rendelkezik kontrollokkal. Van hozzáféréskezelés, biztonsági mentés, beszállítói kérdőív, titkosítás, incidensreagálás, szabályzat-jóváhagyás, vezetőségi átvizsgálás és képzési nyilvántartás. Ami hiányzik, az egyetlen auditra kész bizonyítékgerinc, amely megmagyarázza, miért léteznek ezek a kontrollok, mely kockázatokat kezelik, mely jogszabályokat támogatják, ki felel értük, és hol található a bizonyíték.

Ez a probléma Európa-szerte egyre gyakoribb. A NIS2 a kiberbiztonsági kockázatkezelést, az irányítást, az incidenskezelést és az ellátási lánc rezilienciáját erősíti. A DORA részletes IKT-kockázatkezelési, rezilienciatesztelési, incidensjelentési és IKT harmadik feles felügyeleti követelményeket ír elő a pénzügyi szervezetek számára. A GDPR továbbra is elszámoltathatóságot, adatkezelés biztonságát, adatfeldolgozói irányítást és személyesadat-sértési értékelést követel meg.

A hibás válasz három párhuzamos megfelelési program felépítése. Ez duplikált kontrollokat, következetlen bizonyítékokat és túlterhelt csapatokat eredményez.

Az erősebb megoldás az ISO 27001:2022 kontrollgerincként való használata. Nem fali tanúsítványként, hanem a kockázat, a szabályzatok, a beszállítói irányítás, az incidensreagálás, a megfelelési leképezés és az auditbizonyítékok működési rendszereként.

A Clarysec gyakorlati modellje egyszerű: az ISO 27001:2022 szerinti IBIR legyen a rendszerező keret, az alkalmazhatósági nyilatkozat legyen a híd, a szabályzatok legyenek végrehajtható működési szabályok, a Zenith Controls: keresztmegfelelési útmutató pedig legyen a keresztmegfelelési iránytű. Egyszer kell felépíteni, gondosan kell leképezni, és folyamatosan kell bizonyítani.

Miért működik az ISO 27001:2022 megfelelési gerincként?

A NIS2 és a DORA hatálya, jogi mechanizmusai és felügyeleti modelljei eltérnek. A NIS2 az alapvető és fontos szervezetekre vonatkozik több ágazatban. A DORA pénzügyi szervezetekre alkalmazandó, és részletes követelményeket határoz meg a digitális működési rezilienciára. A GDPR a személyes adatok kezelésére és az elszámoltathatóságra fókuszál.

A keretrendszerek mögötti működési kérdések azonban átfednek:

• A kiberbiztonságot vezetőség által jóváhagyott szabályzatok irányítják?
• Az információbiztonsági és IKT-kockázatokat azonosítják, értékelik és kezelik?
• A kontrollokat kockázat, üzleti környezet és jogszabályi kötelezettségek alapján választják ki?
• A beszállítókat kellő gondosság, szerződések, felügyelet és kilépési kontrollok alapján irányítják?
• A munkatársak képesek korán felismerni és jelenteni a biztonsági eseményeket?
• Az incidensek triázsolhatók, eszkalálhatók, kivizsgálhatók és értékelhetők szabályozói bejelentés szempontjából?
• A szervezet gyorsan elő tudja keresni a bizonyítékokat audit, ügyfél-felülvizsgálat vagy felügyeleti megkeresés során?

Az ISO 27001:2022 olyan irányítási rendszert ad a felső vezetésnek, amellyel ezek a kérdések következetesen megválaszolhatók. Az ISO/IEC 27007:2022 az alkalmazhatósági nyilatkozatot a kiválasztott információbiztonsági kontrollok audittal ellenőrizhető listájaként kezeli, beleértve az ISO 27001:2022 A mellékletéből, más szabványokból vagy szervezetspecifikus intézkedésekből származó kontrollokat, a bevonás vagy kizárás dokumentált indokolásával. Az ISO/IEC 27006-1:2024 megerősíti, hogy a SoA és a kapcsolódó IBIR-dokumentáció alapvető bizonyítékbázist alkot annak bemutatásához, mely kontrollok szükségesek, hogyan vannak hozzárendelve a felelősségek, és hogyan történik a szabályzatok végrehajtása és kommunikálása.

Ezért a SoA sokkal több, mint táblázat. Kontrollmegállapodássá válik a kockázatkezelés, a megfelelés, az üzemeltetés, a jogi terület, a beszerzés, az audit és az igazgatóság között.

A Clarysec [P01] Információbiztonsági szabályzata rögzíti ezt az irányítási követelményt:

A szervezet köteles az ISO/IEC 27001:2022 4–10. pontjainak megfelelő információbiztonság-irányítási rendszert (IBIR) bevezetni és fenntartani.

A „Szabályzat végrehajtási követelményei” szakasz 6.1.1. szabályzati pontjából.

Ez azért fontos, mert a NIS2- és DORA-bizonyítékkérések ritkán ISO-nyelven érkeznek. Egy szabályozó hatóság, ügyfél vagy igazgatósági bizottság bizonyítékot kérhet a kiberbiztonsági kockázatkezelésre, az IKT-irányításra, a harmadik feles függőségek felügyeletére, az incidenseszkalációra vagy a működési rezilienciatesztelésre. Az ISO 27001:2022 szerinti IBIR ezeknek a válaszoknak ad szerkezetet.

A SoA híd, nem papírmunka

A Zenith Blueprint: auditori 30 lépéses ütemtervben, a Kockázatkezelés fázis 13. lépésében a Clarysec a SoA-t a kockázatkezelés és a bevezetett kontrollok közötti kulcsfontosságú visszakövethetőségi mechanizmusként írja le:

A SoA gyakorlatilag híddokumentum: összekapcsolja a kockázatértékelést/kockázatkezelést a ténylegesen meglévő kontrollokkal.

Ez a mondat a keresztmegfelelés lényege. A visszakövethetőség nélküli kontroll laza artefaktummá válik. A kockázathoz, jogszabályi kötelezettséghez, szabályzathoz, felelőshöz, bizonyítékbejegyzéshez és teszteredményhez kapcsolt kontroll auditra kész kontrollá válik.

A 13. lépés azt is javasolja, hogy a kockázati forgatókönyvekhez kontrollhivatkozásokat kell hozzáadni, például egy ügyféladatbázist érintő adatsértési forgatókönyvet hozzáférés-szabályozási, kriptográfiai, sérülékenységkezelési, incidensreagálási és beszállítói kontrollokhoz kell kapcsolni. Azt is javasolja, hogy jelölni kell, ha a kontrollok külső követelményeket, például GDPR-, NIS2- vagy DORA-követelményeket támogatnak.

A Clarysec [P06] Kockázatkezelési szabályzata ezt a működési szabályt egyértelművé teszi:

A kockázatkezelési folyamatból eredő kontrolldöntéseket tükrözni kell a SoA-ban.

A „Szabályzat végrehajtási követelményei” szakasz 6.5.1. szabályzati pontjából.

Kisebb szervezetek esetében a Kockázatkezelési szabályzat – KKV ugyanezt a logikát alkalmazza:

Biztosítja, hogy a kockázatkezelés a tervezés, a projektvégrehajtás, a beszállítóválasztás és az incidensreagálás aktív összetevője legyen, összhangban az ISO 27001, ISO 31000 és az alkalmazandó szabályozási követelményekkel.

A „Cél” szakasz 1.2. szabályzati pontjából.

Ha egy DORA harmadik feles kockázatkezelési követelmény, egy NIS2 incidenskezelési intézkedés vagy egy GDPR adatfeldolgozói biztonsági követelmény nem jelenik meg a SoA-ban vagy a kapcsolódó megfelelési nyilvántartásban, a szervezet lehet, hogy ténylegesen elvégzi a munkát. De nehezen fogja azt koherensen igazolni.

Gyakorlati ISO 27001:2022 megfeleltetés NIS2 és DORA esetén

Az alábbi megfeleltetés nem jogi tanácsadás. Gyakorlati bizonyítékmodell információbiztonsági vezetők, megfelelési vezetők, belső auditorok és üzleti felelősök számára, akiknek az ISO 27001:2022 bizonyítékait NIS2- és DORA-elvárásokhoz kell igazítaniuk.

Az ENISA az Európai Bizottsággal és a NIS együttműködési csoporttal együtt tanácsadó jellegű kereszthivatkozási útmutatást adott ki, amely segíti az uniós kiberbiztonsági követelmények nemzetközi és nemzeti szabványokkal, köztük az ISO 27001-gyel való összehangolását. Ez az útmutatás nem jogilag kötelező, és nemzeti hatósági utasításokkal, ágazati szabályokkal és jogi felülvizsgálattal kell kiegészíteni. Ugyanakkor támogatja az igazolható leképezési megközelítést.

A megfeleltetés azért működik, mert nem hoz létre minden jogszabályhoz külön kontrollokat. Az ISO 27001:2022-t használja kontrollgerincként, és szabályozási címkéket, felelősséget és bizonyítékelvárásokat ad hozzá.

Három ISO 27001:2022 kontroll, amely aktiválja a gerincet

Számos kontroll fontos a NIS2 és a DORA szempontjából, de három ISO/IEC 27002:2022 kontroll gyakran válik a bizonyítékmodell gerincévé: 5.1, 5.19 és 5.24. Egy negyedik kontroll, a 6.8, gyakran meghatározza, hogy az incidensjelentés a gyakorlatban is működik-e.

A Zenith Controls az ISO/IEC 27002:2022 5.1 kontrollját, az Információbiztonsági szabályzatokat megelőző kontrollként jellemzi, amely támogatja a bizalmasságot, sértetlenséget és rendelkezésre állást, miközben az irányítás és a szabályzatkezelés alapvető működési képességek. A keresztleképezés kifejti, hogy a GDPR Articles 5(2), 24 és 32 elszámoltathatóságot, felelősséget és az adatkezelés biztonságát követeli meg. Ugyanezt a kontrollt a NIS2 kiberbiztonsági kockázatkezelési és irányítási elvárásaihoz, valamint a DORA IKT-irányítási és kockázatkezelési keretrendszer követelményeihez is leképezi.

Ezért az Információbiztonsági szabályzat nem csupán egy újabb szabályzat. Egy NIS2-értékelő irányítási bizonyítékként olvashatja. Egy DORA-felügyelet IKT-kockázati keretrendszer bizonyítékaként értékelheti. Egy GDPR-felülvizsgáló elszámoltathatósági bizonyítékként tekinthet rá. Egy ISO 27001:2022 auditor az IBIR szabályzati struktúrájának részeként vizsgálhatja.

Az 5.19 kontroll, az Információbiztonság a beszállítói kapcsolatokban az a pont, ahol a beszerzés, a jogi terület, a biztonság, az adatvédelem és a reziliencia találkozik. A Zenith Controls ezt a kontrollt a GDPR adatfeldolgozói kötelezettségeihez, a NIS2 ellátásilánc-kiberbiztonságához és a DORA IKT harmadik feles kockázatkezeléséhez kapcsolja. DORA esetén ez a bizonyíték még erősebbé válik, ha az 5.20, Információbiztonság kezelése a beszállítói megállapodásokban, az 5.21, Információbiztonság kezelése az IKT ellátási láncban, valamint az 5.23, Információbiztonság felhőszolgáltatások használata esetén kontrollok is támogatják.

Az 5.24 kontroll, az Információbiztonsági incidenskezelés tervezése és előkészítése az incidensfelkészültség működési motorja. A Zenith Controls ezt a NIS2 incidenskezeléshez és bejelentéshez, a GDPR szerinti személyesadat-sértés bejelentéséhez, valamint a DORA IKT-vonatkozású incidenskezeléséhez és jelentéstételéhez kapcsolja. Bizonyítéka nem csupán egy Incidenskezelési szabályzat. Ide tartoznak a bejelentési csatornák, triázskritériumok, eszkalációs nyilvántartások, jogi bejelentési értékelések, asztali gyakorlatok, incidensjegyek és a levont tanulságok.

A 6.8 kontroll, az Információbiztonsági események jelentése zárja le a szakadékot az írott terv és az emberi viselkedés között. Ha a munkatársak nem tudják, hogyan kell jelenteni a gyanús adathalászatot, adatszivárgást, beszállítói kiesést vagy gyanús rendszertevékenységet, a szervezet kritikus időt veszíthet, mielőtt a jogi vagy szabályozói jelentéstételi értékelések egyáltalán megkezdődnének.

Egy beszállítói incidens, egy összehangolt bizonyítéklánc

Képzeljük el, hogy Maria fizetésfeldolgozója által használt felhőalapú analitikai szolgáltató jogosulatlan hozzáférést észlel egy támogatási portálhoz. A szolgáltató álnevesített ügyfélhasználati adatokat tárol, és egy üzletmenet-kritikus jelentéstételi munkafolyamatot támogat. Az incidens érintheti a személyes adatokat, a szabályozott IKT-rezilienciát és a szolgáltatás rendelkezésre állását.

Egy széttöredezett megfelelési program három külön munkafolyamatot indít: GDPR adatsértési értékelést, DORA IKT-incidensfelülvizsgálatot és ISO 27001 beszállítói jegyet. Minden csapat hasonló bizonyítékot kér, más formátumban. A beszerzés a szerződést keresi. A jogi terület azt kérdezi, hogy a szolgáltató adatfeldolgozó-e. A biztonsági csapat azt vizsgálja, hogy az incidens eléri-e a jelentési küszöbértékeket. A megfelelési terület új táblázatot nyit.

Egy érett ISO 27001:2022 gerinc egyetlen összehangolt bizonyítékláncot nyit meg.

Először az eseményt az incidensreagálási folyamat szerint naplózzák. A bejelentő meghatározott csatornát használ, a biztonsági csapat triázsolja az eseményt, a jogi terület pedig értékeli a bejelentési kötelezettségeket. A Clarysec [P30] Incidenskezelési szabályzata előírja, hogy a szabályozott adatokat érintő incidenseket a jogi területnek és az adatvédelmi tisztviselőnek kell értékelnie:

Ha egy incidens személyes adatok vagy más szabályozott adatok megerősített vagy valószínű kitettségét eredményezi, a jogi területnek és az adatvédelmi tisztviselőnek értékelnie kell az alábbiak alkalmazhatóságát:

A „Szabályzat végrehajtási követelményei” szakasz 6.4.1. szabályzati pontjából.

Kisebb szervezetek esetében az Incidenskezelési szabályzat – KKV ugyanezt a gyakorlati döntési pontot rendeli hozzá:

Ha ügyféladatok érintettek, az ügyvezető köteles értékelni a jogi értesítési kötelezettségeket a GDPR, NIS2 vagy DORA alkalmazhatósága alapján.

A „Kockázatkezelés és kivételek” szakasz 7.4.1. szabályzati pontjából.

Másodszor, felül kell vizsgálni a beszállítói kapcsolatot. Kritikusnak minősítették a szolgáltatót? A szerződés tartalmazott incidensbejelentési kötelezettségeket, auditálási jogot, adatvédelmi felelősségeket, szolgáltatás-folytonossági elvárásokat és kilépési rendelkezéseket? A Clarysec Harmadik fél és beszállítói biztonsági szabályzata ezt az elvárást rögzíti:

Szabványosított biztonsági követelményeket kell beépíteni valamennyi beszállítói szerződésbe, beleértve az incidensbejelentési kötelezettségeket, az auditálási jogot és az adatvédelmi felelősségeket.

A „Célkitűzések” szakasz 3.2. szabályzati pontjából.

KKV-k esetében a Harmadik fél és beszállítói biztonsági szabályzat – KKV egyértelművé teszi a keresztmegfelelési célt:

Támogatja az ISO/IEC 27001:2022, GDPR, NIS2 és DORA beszállítói irányítással kapcsolatos kötelezettségeinek való megfelelést.

A „Célkitűzések” szakasz 3.6. szabályzati pontjából.

Harmadszor, frissíteni kell a kockázati nyilvántartást, a kockázatkezelési tervet és a SoA-t, ha az incidens hiányosságot tár fel. Lehet, hogy a beszállítói szerződés nem tartalmaz konkrét szabályozói értesítési határidőt. Lehet, hogy a beszállítói felügyelet gyakorisága túl alacsony egy kritikus IKT-szolgáltató esetében. Lehet, hogy az incidensreagálási terv nem különbözteti meg egyértelműen a személyesadat-sértési kritériumokat az IKT-szolgáltatási zavar kritériumaitól.

A cél nem egy új megfelelési univerzum létrehozása. A cél egy integrált bizonyítéklánc frissítése, hogy ugyanazok a nyilvántartások több auditkérdésre is választ adjanak.

A SoA átalakítása NIS2- és DORA-bizonyítéktérképpé

Egy standard SoA gyakran jól megválaszolja az ISO-kérdéseket: mely kontrollok alkalmazandók, miért választották ki őket, és bevezették-e őket. Ahhoz, hogy gyakorlati NIS2- és DORA-bizonyítéktérképpé váljon, szabályozási és működési bizonyítékmezőkkel kell kiegészíteni.

Nyissa meg a Zenith Blueprint Audit, felülvizsgálat és fejlesztés fázisának 24. lépésében hivatkozott auditra kész eszközkészlet SoA_Builder.xlsx fájlját. A 24. lépés elmagyarázza, hogy az auditorok gyakran mintát vesznek egy kontrollból a SoA alapján, és megkérdezik, miért vezették be. Az indokolási oszlopnak és a kapcsolódó kockázatnak vagy követelménynek meg kell válaszolnia ezt a kérdést.

Adja hozzá ezeket az oszlopokat:

Ezután alkalmazza az alapvető kontrollkészletre.

Ezután futtasson mintavételes visszakövetést. Válasszon ki egy beszállítói incidenst az elmúlt évből, és kövesse végig az incidensjegytől a beszállítói szerződésig, a beszállítói osztályozástól a kockázati nyilvántartásig, a kockázatkezeléstől a SoA-ig, valamint a SoA-tól a vezetőségi átvizsgálásig.

Ha a lánc megszakad, az nem kudarc. Pontos helyesbítő intézkedés, mielőtt egy auditor, ügyfél, szabályozó hatóság vagy igazgatósági bizottság találja meg a hiányosságot.

A központosított bizonyíték a figyelmen kívül hagyott gyorsító

Sok szervezetnél megfelelő kontrollok vannak, de gyenge a bizonyítékok visszakereshetősége. A bizonyítékok e-mailekben, jegykezelő rendszerekben, SharePoint-mappákban, szerződéses adattárakban, HR-platformokon, GRC-eszközökben és beszállítói portálokon szóródnak szét. Auditidőszakban a megfelelési csapat heteket tölt képernyőképek begyűjtésével.

Ez nem auditra való felkészültség. Ez auditmentés.

A Clarysec [P33S] Audit- és megfelelésfelügyeleti szabályzat – KKV kimondja:

Minden bizonyítékot központi auditmappában kell tárolni.

A „Szabályzat végrehajtási követelményei” szakasz 6.2.1. szabályzati pontjából.

A központi auditmappa nem ellenőrizetlen gyűjtőhelyet jelent. Olyan strukturált adattárat jelent, amely igazodik az IBIR-hez, a SoA-hoz, a kockázati nyilvántartáshoz, az audittervhez és a megfelelési nyilvántartáshoz.

A Clarysec Jogi és szabályozói megfelelési szabályzat – KKV közvetlenül kezeli a leképezési problémát:

Ha egy jogszabály több területen is alkalmazandó (például a GDPR a megőrzésre, a biztonságra és az adatvédelemre), ezt egyértelműen le kell képezni a Megfelelési nyilvántartásban és a képzési anyagokban.

Az „Irányítási követelmények” szakasz 5.2.2. szabályzati pontjából.

Pontosan így válik az ISO 27001:2022 a NIS2 és a DORA kontrollgerincévé. Nem a törzstudásra kell támaszkodni. A jogszabályokat folyamatokra, szabályzatokra, kontrollokra, bizonyítékokra és képzésre kell leképezni.

Az incidensjelentés emberekkel kezdődik, nem portálokkal

Gyakori auditgyengeség, amikor az incidensreagálási terv erősnek tűnik, de a munkavállalók nem tudják, mikor és hogyan kell jelenteni. Ez NIS2, DORA és GDPR szempontból veszélyes, mert a szabályozói értékelési határidők az észleléstől, eszkalációtól és osztályozástól függenek.

A Zenith Blueprint Kontrollok működés közben fázisának 16. lépésében a Clarysec az ISO/IEC 27002:2022 6.8 kontroll szerinti, munkatársak által vezérelt incidensjelentés jelentőségét hangsúlyozza. Az útmutatás kimondja, hogy az incidensreagálás az emberekkel kezdődik. A szervezeteknek egyértelmű, egyszerű és hozzáférhető bejelentési csatornát kell létrehozniuk, például felügyelt e-mail címet, belső portált, forródrótot vagy jegykezelési kategóriát. Emellett biztonságtudatossági képzést, hibáztatásmentes jelentési kultúrát, bizalmasságot, alacsony küszöbű jelentéstételt és időszakos szimulációkat is javasol.

A keresztmegfelelési hatás közvetlen. A Zenith Blueprint ezt a munkatársi jelentési képességet a GDPR Article 33, a NIS2 Article 23 és a DORA Article 17 követelményeihez kapcsolja. Ha a munkavállalók haboznak jelenteni a gyanús tevékenységet, a szervezet kritikus időt veszíthet, mielőtt a jogi, biztonsági vagy szabályozói csapatok értékelni tudnák a bejelentési kötelezettségeket.

Egy gyakorlati kontrollteszt egyszerű:

1. Kérdezzen meg öt munkavállalót, hogyan jelentenének egy gyanús adathalász e-mailt.
2. Ellenőrizze, hogy a bejelentési csatorna felügyelet alatt áll-e.
3. Erősítse meg, hogy a jegykezelő rendszerben van biztonsági incidens kategória.
4. Tekintse át a legutóbbi szimulációt vagy asztali gyakorlatot.
5. Ellenőrizze, hogy a levont tanulságokat áttekintették-e a vezetőségi átvizsgálás során.

Ha bármelyik válasz nem egyértelmű, frissítse az incidensjelentési útmutatót, a képzési anyagot, a bejelentési csatornát és a SoA bizonyítékhivatkozását.

Hogyan vizsgálják különböző auditorok ugyanazt a gerincet?

A keresztmegfelelési bizonyítékoknak különböző auditnézőpontok alatt is meg kell állniuk. Ugyanazt a kontrollt a felülvizsgáló megbízásától függően eltérően tesztelhetik.

Itt ad többletértéket a Zenith Controls egy egyszerű leképezési táblán túl. Segít az ISO/IEC 27002:2022 kontrollokat audit szempontból releváns nézőpontokra lefordítani, beleértve a kontrollattribútumokat, szabályozási kapcsolatokat és bizonyítékelvárásokat. Az 5.1 kontroll esetében az attribútumok az irányítást, szabályzatkezelést, elszámoltathatóságot és biztonsági célkitűzéseket támogatják. Az 5.24 kontroll esetében az attribútumok a reagálás és helyreállítás koncepcióit, az incidensfelkészültséget és a helyesbítő intézkedést támogatják. Az 5.19 kontroll esetében a beszállítói kapcsolati attribútumok összekapcsolják az irányítást, az ökoszisztéma-kockázatot, a védelmet és a harmadik feles felügyeletet.

Mit kell látnia az igazgatóságnak?

Az igazgatóságnak nincs szüksége minden SoA-sorra. Szüksége van azonban arra a történetre, amelyet a SoA elmond.

Egy erős igazgatósági anyagnak az ISO 27001:2022, NIS2 és DORA összhang tekintetében tartalmaznia kell:

• Az IBIR alkalmazási területét és az érintett üzleti szolgáltatásokat.
• A legfontosabb információbiztonsági és IKT-kockázatokat.
• Az alkalmazandó kontrollok összefoglalását területenként.
• A NIS2, DORA és GDPR leképezési állapotát.
• A kritikus beszállítókat és koncentrációs kockázatokat.
• Az incidensjelentési mutatókat és az asztali gyakorlatok eredményeit.
• A nyitott helyesbítő intézkedéseket és lejárt kockázatkezeléseket.
• A kockázatelfogadással, költségvetéssel, felelősséggel és erőforrásokkal kapcsolatos döntési igényeket.

Ez a megfelelést irányítási bizonyítékká alakítja. Összhangban áll a Zenith Controls 5.1 kontrolljának céljával is, ahol az Információbiztonsági szabályzatok felsővezetői irányt, elszámoltathatóságot és biztonsági célkitűzéseket támogatnak.

Gyakori hibák, amelyeket el kell kerülni

Az első hiba annak feltételezése, hogy az ISO 27001:2022 tanúsítás automatikusan igazolja a NIS2- vagy DORA-megfelelést. Nem igazolja. Az ISO 27001:2022 erős irányítási rendszert és kontrollgerincet ad, de továbbra is szükség van szabályozási hatókör-meghatározásra, jogi elemzésre, ágazatspecifikus értelmezésre, értesítési munkafolyamatokra és a nemzeti hatósági elvárások ismeretére.

A második hiba a SoA statikus dokumentumként való kezelése. A SoA-nak fejlődnie kell, amikor új beszállítók, rendszerek, incidensek, jogszabályok, szolgáltatások vagy kockázatok jelennek meg. A Zenith Blueprint 24. lépése a SoA keresztellenőrzését javasolja a kockázati nyilvántartással és a kezelési tervvel szemben, biztosítva, hogy minden kiválasztott kontrollnak leképezett kockázaton, jogi követelményen vagy üzleti igényen alapuló indokolása legyen.

A harmadik hiba a túl magas szintű leképezés. Egy dia, amely szerint „az ISO 27001 leképezhető a DORA-ra”, nem auditbizonyíték. Egy konkrét SoA-bejegyzés, amely a beszállítói kapcsolatok biztonságát kritikus IKT-beszállítói kockázathoz, szerződéses záradékhoz, beszállítói felülvizsgálati nyilvántartáshoz és DORA harmadik feles felügyeleti elváráshoz kapcsolja, sokkal erősebb.

A negyedik hiba a bizonyítékok központosításának elmulasztása. Ha a megfelelési vezető minden audit előtt két hetet tölt képernyőképek gyűjtésével, a szervezetnek visszakeresési problémája van.

Az ötödik hiba a személyi biztonsági intézkedések figyelmen kívül hagyása. Az incidensjelentés, beszállítói beléptetés, hozzáférés-felülvizsgálatok, szabályzat elfogadása és eszkaláció mind emberi viselkedéstől függnek. Egy kifinomult folyamat, amelyet senki sem követ, összeomlik az auditmintavétel során.

A Clarysec működési modellje a keresztmegfeleléshez

A Clarysec módszere a megfelelési történetet a stratégiától a bizonyítékig kapcsolja össze:

• A Zenith Blueprint Kockázatkezelés fázisának 13. lépésében a kontrollokat kockázatokhoz rendeli, és a SoA-t híddokumentumként építi fel.
• A Zenith Blueprint Kockázatkezelés fázisának 14. lépésében a GDPR, NIS2 és DORA követelményeket szabályzatokhoz és kontrollokhoz kereszthivatkozza.
• A Zenith Blueprint Kontrollok működés közben fázisának 16. lépésében működésbe helyezi a munkatársak által vezérelt incidensjelentést, hogy az eszkaláció korán megkezdődjön.
• A Zenith Blueprint Audit, felülvizsgálat és fejlesztés fázisának 24. lépésében véglegesíti és teszteli a SoA-t, keresztellenőrzi a kockázatkezelési tervvel szemben, és előkészíti az egyik első dokumentumként, amelyet az auditor kérni fog.

Ezt a módszert Clarysec-szabályzatok támogatják, amelyek az alapelveket működési szabályokká alakítják: információbiztonsági irányítás, kockázatkezelés, beszállítói biztonság, incidensreagálás, jogi és szabályozási leképezés, valamint bizonyítéktárolás.

Az eredmény nem csupán ISO 27001:2022 felkészültség. Újrahasznosítható megfelelési bizonyítékrendszer NIS2, DORA, GDPR, ügyfélbizonyosság, belső audit és igazgatósági felügyelet számára.

Következő lépések: építse fel egyszer, igazolja sokszor

Ha szervezete NIS2, DORA, GDPR, ügyfélauditok vagy ISO 27001:2022 tanúsítási nyomás előtt áll, kezdje a gerinccel.

1. Vizsgálja felül a SoA-t, és adjon hozzá szabályozási hajtóerő oszlopokat NIS2, DORA és GDPR szerint.
2. Ellenőrizze keresztben a SoA-t a kockázati nyilvántartással és a kockázatkezelési tervvel.
3. Térképezze fel a kritikus beszállítókat a beszállítói biztonsági kontrollokhoz, szerződéses záradékokhoz és felügyeleti bizonyítékokhoz.
4. Tesztelje az incidensjelentési munkafolyamatot asztali gyakorlattal.
5. Központosítsa az auditbizonyítékokat kontroll, jogszabály, felelős és tesztállapot szerint.
6. Használja a Zenith Controls megoldást az ISO/IEC 27002:2022 kontrollok keresztmegfelelési bizonyítékokká fordításához.
7. Használja a Zenith Blueprint megoldást, hogy a kockázatkezeléstől eljusson az auditra kész SoA-ellenőrzésig.
8. Vezesse be a Clarysec szabályzatkészletét, beleértve az Információbiztonsági szabályzatot, a Kockázatkezelési szabályzatot, a Harmadik fél és beszállítói biztonsági szabályzatot és az Incidenskezelési szabályzatot, a bevezetés felgyorsításához.

A leggyorsabb út nem még több elszigetelt ellenőrzőlista. Hanem egy integrált IBIR, egy visszakövethető SoA, egy központosított bizonyítékmodell és egy egységes keresztmegfelelési működési ritmus.

A Clarysec segíthet abban, hogy az ISO 27001:2022 tanúsítási projektből gyakorlati kontrollgerinc váljon NIS2 és DORA esetén. Töltse le a Zenith Blueprint anyagot, ismerje meg a Zenith Controls megoldást, vagy foglaljon Clarysec értékelést, hogy auditra kész bizonyítékmodellt építsen ki, mielőtt a következő szabályozó hatóság, ügyfél vagy igazgatósági bizottság bizonyítékot kér.