ISO 27001 belső audit NIS2- és DORA-megfeleléshez
2026 első auditbizottsági ülése zajlik. Sarah, a gyorsan növekvő SaaS- és FinTech-szolgáltató, a FinSecure CISO-ja, tizenöt percet kapott a napirenden. Az igazgatóságnak öt kérdése van.
Készen állunk az ISO/IEC 27001:2022 felügyeleti auditjára? A NIS2 hatálya alá tartozunk menedzselt szolgáltatóként? Érint minket a DORA, mert pénzügyi szektorbeli ügyfeleket támogatunk? Tudjuk bizonyítani, hogy az incidensbejelentés, a beszállítói átvilágítás és az üzletmenet-folytonosság működik? És miért talált a múlt negyedévi hozzáférés-felülvizsgálat még mindig olyan fiókokat, amelyeket már el kellett volna távolítani?
Sarahnak vannak bizonyítékai, de ezek szétszórtan találhatók. A fejlesztési területnél sérülékenységvizsgálati exportok vannak. A beszerzésnél beszállítói kérdőívek. A jogi területnél szerződéses záradékok. A megfelelőségi vezetőnél GDPR-nyomkövető. A SOC-nál incidensjegyek. Egyik sem nyilvánvalóan hibás, de együtt sem adnak koherens bizonyossági történetet.
Ez az a pillanat, amikor egy ISO 27001 belső auditprogram vagy stratégiai bizonyítékelőállító rendszerré válik, vagy megmarad évente egyszeri kapkodásnak.
A NIS2 és DORA által érintett szervezeteknél a belső audit már nem lehet formális ellenőrzőlista. Kockázatalapú bizonyossági rendszerré kell válnia, amely igazolja, hogy az IBIR alkalmazási területe megfelelő-e, a kontrollok a gyakorlatban működnek-e, a szabályozási követelmények le vannak-e képezve, a megállapítások besorolása következetes-e, és a helyesbítő intézkedések eljutnak-e a vezetőségi felülvizsgálatig. 2026-ban a legerősebb programok nem csak azt kérdezik majd: „Elvégeztük az auditot?” Hanem azt: „Hónapról hónapra tudjuk bizonyítani, hogy a kiberbiztonsági irányítás, az IKT-reziliencia, a beszállítói biztonság és az incidenskezelési felkészültség működik?”
Ezt a megközelítést építi be a Clarysec a Zenith Blueprint: An Auditor’s 30-Step Roadmap, a Zenith Controls: The Cross-Compliance Guide és a Clarysec szabályzati csomagjába. A cél nem külön ISO-, NIS2- és DORA-projektek létrehozása. A cél az IBIR megerősítése úgy, hogy egyetlen auditprogram több bizonyossági követelményhez is újrafelhasználható auditbizonyítékokat állítson elő.
Miért kell változniuk a 2026-os belső auditprogramoknak
A NIS2 és a DORA a dokumentációról a szabályozott rezilienciára helyezte át az auditbeszélgetést.
A NIS2 számos közepes és nagy szervezetre vonatkozik a kritikus és fontos ágazatokban, ideértve a digitális infrastruktúrát, a felhőszolgáltatókat, az adatközpont-szolgáltatókat, a menedzselt szolgáltatókat, a menedzselt biztonsági szolgáltatókat, az online piactereket, az online keresőmotorokat és a közösségi hálózati platformokat. A tagállamok 2024 októberétől kezdték alkalmazni a nemzeti intézkedéseket, és 2026-ra sok szervezet már a kiforrott NIS2-elvárások első teljes évében működik.
A DORA 2025. január 17-től számos pénzügyi szervezetre alkalmazandó, ideértve a hitelintézeteket, pénzforgalmi intézményeket, elektronikuspénz-kibocsátó intézményeket, befektetési vállalkozásokat, kriptoeszköz-szolgáltatókat, biztosítókat és viszontbiztosítókat, közösségi finanszírozási szolgáltatókat és releváns harmadik fél IKT-szolgáltatókat. A DORA az érintett pénzügyi szervezetek ágazatspecifikus digitális működési reziliencia-keretrendszere. A pénzügyi szervezeteket kiszolgáló IKT-szolgáltatók is érzékelhetik a DORA hatását szerződéseken, auditálási jogokon, tesztelésben való részvételen, incidenskezelési támogatáson, alvállalkozói kontrollokon és kilépési követelményeken keresztül.
Mindkét jogszabály erősíti az elszámoltathatóságot. A NIS2 Article 20 előírja, hogy a vezető testületek hagyják jóvá és felügyeljék a kiberbiztonsági kockázatkezelési intézkedéseket, valamint vegyenek részt kiberbiztonsági képzésen. A DORA Article 5 szerint a vezető testület végső felelősséggel tartozik az IKT-kockázatért, ideértve a digitális működési reziliencia-stratégia, az IKT-szabályzatok, a folytonossági megállapodások és a harmadik fél kockázatának jóváhagyását és felügyeletét.
Az ISO 27001 jól illeszkedik ehhez a környezethez, mert irányítási rendszer. Megköveteli, hogy a szervezet megértse a kontextusát, meghatározza az érdekelt feleket és követelményeket, kijelölje az IBIR alkalmazási területét, értékelje és kezelje a kockázatokat, figyelje a teljesítményt, belső auditokat végezzen, és folyamatos fejlesztést hajtson végre. A cél nem az, hogy a NIS2-t és a DORA-t ISO-formába kényszerítsük. A cél az, hogy az ISO 27001 a megismételhető bizonyosság működési rendszere legyen.
Kezdje az alkalmazási területtel: auditálja azt a rendszert, amelyre az igazgatóság támaszkodik
A gyenge belső auditprogram homályos alkalmazási területtel indul, például „információbiztonság”. Az erős program az üzleti és szabályozási határokkal kezdődik.
Az ISO 27001 előírja, hogy az IBIR alkalmazási területének figyelembe kell vennie a belső és külső tényezőket, az érdekelt felek követelményeit, valamint a más szervezetekkel fennálló interfészeket vagy függőségeket. Ez azért fontos, mert a NIS2- és DORA-kötelezettségek gyakran a szervezet peremén helyezkednek el: felhőplatformok, kiszervezett SOC-szolgáltatók, menedzselt észlelési és reagálási szolgáltatások, fizetési rendszerek, fintech alkalmazásprogramozási interfészek, ügyféladat-kezelés, biztonsági mentési szolgáltatások és incidenseszkalációs partnerek.
A Clarysec Audit- és megfelelőségfelügyeleti szabályzat kkv-k számára meghatározza az irányítási alapvonalat:
Az ügyvezetőnek (GM) jóvá kell hagynia az éves audittervet.
Az „irányítási követelmények” szakaszból, 5.1.1 szabályzati pont.
Nagyobb környezetekben a Clarysec Audit- és megfelelőségfelügyeleti szabályzat magasabb elvárást állít:
Évente kockázatalapú audittervet kell kidolgozni és jóváhagyni, figyelembe véve:
Az „irányítási követelmények” szakaszból, 5.2 szabályzati pont.
Az alkalmazási terület ezért nem pusztán auditori preferencia. Vezetőség által jóváhagyott bizonyossági kötelezettségvállalás.
Egy NIS2-t és DORA-t támogató 2026-os ISO 27001 belső auditprogramnak tartalmaznia kell:
- IBIR-követelményeket és -folyamatokat, ideértve a kontextust, a vezetői szerepvállalást, a kockázatkezelést, a célkitűzéseket, a támogatást, a működést, a teljesítményértékelést és a fejlesztést.
- A releváns ISO/IEC 27001:2022 A melléklet szerinti kontrollterületeket, ideértve a beszállítói kapcsolatokat, az incidenskezelést, az üzletmenet-folytonosságot, a jogi kötelezettségeket, az adatvédelmet, a naplózást, a felügyeletet, a sérülékenységkezelést, a hozzáférés-szabályozást, a kriptográfiát, a biztonságos fejlesztést, a változáskezelést és a felhőirányítást.
- Szabályozási rávetítéseket, ideértve a NIS2 Articles 20, 21 and 23, a DORA Articles 5, 6, 8 to 14, 17 to 19, 24 to 27 and 28 to 30, valamint a GDPR biztonsági és elszámoltathatósági követelményeit.
- Kulcsszolgáltatásokat és üzleti folyamatokat, különösen a kritikus vagy fontos funkciókat, alapvető szolgáltatásokat, ügyféloldali platformokat és szabályozott ügyfeleket támogató rendszereket.
- Harmadik féltől való függőségeket, ideértve az IKT-beszállítókat, felhőszolgáltatókat, kiszervezett fejlesztést, SOC-ot, MSSP-t, adatfeldolgozókat és kritikus alvállalkozókat.
- Bizonyítékokat előállító folyamatokat, ideértve a kockázatértékeléseket, hozzáférés-felülvizsgálatokat, sérülékenységek helyesbítő intézkedéseit, incidensgyakorlatokat, biztonsági mentésből történő helyreállítási teszteket, beszállítói felülvizsgálatokat, folytonossági teszteket és vezetőségi felülvizsgálatokat.
A Zenith Blueprint ezt erősíti meg az Audit, Review & Improvement fázis 25. lépésében, Internal Audit Program:
Határozza meg a belső auditprogram alkalmazási területét. Végső soron egy év alatt az összes releváns IBIR-folyamatot és kontrollt le kell fednie.
Az Audit, Review & Improvement fázisból, 25. lépés: Internal Audit Program.
Nem kell mindent minden hónapban auditálni. Az éves ciklus során azonban le kell fedni az összes releváns IBIR-folyamatot és kontrollt, a magas kockázatú és szabályozott területeken gyakoribb munkával.
Építse az audituniverzumot a NIS2 és DORA kontrolltémái köré
A NIS2 Article 21 megfelelő és arányos technikai, operatív és szervezeti intézkedéseket követel meg. Alapkövetelményei közé tartozik a kockázatelemzés, a biztonsági szabályzatok, az incidenskezelés, az üzletmenet-folytonosság, a biztonsági mentések kezelése, a katasztrófa utáni helyreállítás, a válságkezelés, az ellátási lánc biztonsága, a biztonságos beszerzés és fejlesztés, a sérülékenységek kezelése, az eredményesség értékelése, a kiberhigiénia, a képzés, a kriptográfia, a HR-biztonság, a hozzáférés-szabályozás, az eszközkezelés, adott esetben az MFA vagy folyamatos hitelesítés, valamint a biztonságos kommunikáció.
A DORA hasonló működési életciklust ír le. Megköveteli, hogy a pénzügyi szervezetek azonosítsák és osztályozzák az IKT által támogatott üzleti funkciókat, az információs vagyont, az IKT-eszközöket, a függőségeket és a harmadik felekkel fennálló összekapcsolásokat. Emellett előírja a védelmet, az észlelést, az incidensbesorolást, a reagálást, a helyreállítást, a biztonsági mentést, a visszaállítást, a tesztelést, az incidens utáni tanulást, a kommunikációt és a harmadik fél IKT-kockázatkezelést.
Az egységes audituniverzum megelőzi azt a gyakori hibát, hogy az ISO 27001 auditot elkülönítve végzik a NIS2- és DORA-bizonyossági követelményektől.
| Auditterület | ISO 27001 audit horgony | NIS2- és DORA-relevancia | Tipikus auditbizonyítékok |
|---|---|---|---|
| Irányítás és jogi kötelezettségek | Kontextus, vezetői szerepvállalás, kockázatkezelés, jogi és szerződéses követelmények | NIS2 igazgatósági felügyelet, DORA vezető testületi felelősség, GDPR elszámoltathatóság | Jogi nyilvántartás, érdekelt felek nyilvántartása, IBIR alkalmazási területe, kockázatvállalási hajlandóság, igazgatósági jegyzőkönyvek, vezetőségi felülvizsgálat |
| Kockázatértékelés és kockázatkezelés | Kockázatértékelés, alkalmazhatósági nyilatkozat, kezelési terv | NIS2 megfelelő és arányos intézkedések, DORA IKT-kockázatkezelési keretrendszer | Kockázati nyilvántartás, kockázati kritériumok, kezelési jóváhagyások, maradványkockázat elfogadása |
| Eszköz- és függőségi nyilvántartás | Eszközkezelés, felhőszolgáltatás-irányítás, beszállítói szolgáltatások | DORA IKT-eszközök és összekapcsolások, NIS2 szolgáltatásnyújtási rendszerek | CMDB, adatáramlási térképek, beszállítói nyilvántartás, felhőnyilvántartás, kritikussági besorolás |
| Hozzáférés-szabályozás és identitás | HR-biztonság, hozzáférés-kezelés, MFA, emelt jogosultságú hozzáférés | NIS2 hozzáférés-szabályozás és MFA, DORA legkisebb jogosultság elve és erős hitelesítés | Belépő-áthelyezett-kilépő jegyek, hozzáférés-felülvizsgálatok, MFA-jelentések, emelt jogosultságú fiókok naplói |
| Naplózás, felügyelet és észlelés | Naplózás, felügyelet, eseményértékelés | DORA anomáliadetektálás és incidensbesorolás, NIS2 incidenskezelési felkészültség | SIEM-riasztások, észlelési szabályok, incidensek elsődleges értékelési feljegyzései, monitorozási irányítópultok |
| Incidenskezelés | Incidenstervezés, reagálás, bizonyítékgyűjtés, tanulságok | NIS2 jelentéstételi munkafolyamat, DORA IKT-incidens-életciklus | Incidensnapló, súlyossági mátrix, értesítési sablonok, gyökérok-jelentések, gyakorlati feljegyzések |
| Üzletmenet-folytonosság és helyreállítás | IKT-felkészültség, biztonsági mentések, zavarbiztonság | NIS2 biztonsági mentés és válságkezelés, DORA folytonosság és helyreállítás | BIA, folytonossági tervek, biztonsági mentési tesztek, RTO- és RPO-nyilvántartások, válságkommunikációs teszt |
| Beszállítói és harmadik fél IKT-kockázat | Beszállítói megállapodások, IKT-ellátási lánc, felhőbeszerzés és kilépés | NIS2 ellátási lánc biztonsága, DORA harmadik fél IKT-nyilvántartás és szerződéses záradékok | Beszállítói átvilágítás, szerződések, auditálási jogok, kilépési tervek, koncentrációs kockázatelemzés |
| Biztonságos fejlesztés és sérülékenység | Biztonságos beszerzés, fejlesztés, változás, sérülékenységkezelés | NIS2 sérülékenységkezelés, DORA javításkezelés és tesztelés | Sérülékenységvizsgálatok, helyesbítő intézkedési SLA-k, változásjegyek, kód-felülvizsgálat, penetrációs tesztelési jelentések |
| Megfelelőség felügyelete és helyesbítő intézkedés | Felügyelet, belső audit, nemmegfelelőség és helyesbítő intézkedés | NIS2 helyesbítő intézkedések, DORA audit és korrekciós intézkedések nyomon követése | Auditjelentések, CAPA-nyomkövető, KPI-irányítópult, vezetőségi felülvizsgálati intézkedések |
Ez a struktúra minden auditterületet közös bizonyossági objektummá alakít. A belső auditor teszteli az ISO 27001 követelményt, majd rögzíti, hogy ugyanaz a bizonyíték támogatja-e a NIS2, DORA, GDPR, NIST CSF és COBIT 2019 elvárásokat is.
Tervezze az évet kockázat, ne papírmunka alapján
A Zenith Blueprint gyakorlati sorrendet ad a csapatoknak ahhoz, hogy az audit fejlesztéssé váljon:
- lépés, Internal Audit Program: az alkalmazási terület, a gyakoriság, a függetlenség és a kockázatalapú prioritások megtervezése.
- lépés, Audit Execution: objektív auditbizonyítékok gyűjtése interjúk, dokumentum-felülvizsgálat, megfigyelés és mintavétel útján.
- lépés, Audit Findings, Analysis & Root Cause: a megállapítások besorolása és a gyökérok azonosítása.
- lépés, Management Review: az auditeredmények, incidensek, nemmegfelelőségek, célkitűzések, kockázatok és erőforrásigények beépítése a vezetőségi felülvizsgálatba.
- lépés, Continual Improvement: olyan helyesbítő intézkedések kialakítása, amelyek az okokat szüntetik meg, nem csupán a tüneteket.
A Zenith Blueprint egyértelműen fogalmaz a függetlenségről:
Ideális esetben a belső auditor nem auditálja a saját munkáját.
Az Audit, Review & Improvement fázisból, 25. lépés: Internal Audit Program.
Egy kisebb SaaS- vagy fintechvállalatnál ez jelentheti azt, hogy egy másik funkció vezetője auditálja a biztonsági folyamatokat, a kontrollgazdákat rotálják, vagy külső tanácsadót vesznek igénybe. A lényeg a kompetencia és a függetlenség dokumentálása, különösen akkor, ha a NIS2- és DORA-bizonyítékokat később ügyfelek, szabályozó hatóságok, felügyeleti szervek vagy külső auditorok vizsgálhatják.
Az Audit- és megfelelőségfelügyeleti szabályzat kkv-k számára a minimális auditstruktúrát is meghatározza:
Minden auditnak tartalmaznia kell meghatározott alkalmazási területet, célkitűzéseket, felelős személyeket és szükséges bizonyítékokat.
Az „irányítási követelmények” szakaszból, 5.2.3 szabályzati pont.
Egy gyorsan növekvő SaaS- vagy IKT-szolgáltató esetében egy gyakorlati negyedéves struktúra a következő lehet:
| Negyedév | Elsődleges auditfókusz | Szabályozási hangsúly | Fő kimenetek |
|---|---|---|---|
| Q1 | Incidenskezelés és jelentéstétel | NIS2 Article 23, DORA Articles 17 to 19 | Incidensaudit-jelentés, értesítési munkafolyamat tesztje, súlyossági mátrix felülvizsgálata |
| Q2 | Harmadik fél IKT-kockázatkezelés | NIS2 Article 21, DORA Articles 28 to 30 | Beszállítói minta, szerződés-felülvizsgálat, átvilágítási bizonyítékok, kilépéstervezési felülvizsgálat |
| Q3 | Üzletmenet-folytonosság és rezilienciatesztelés | NIS2 Article 21, DORA Articles 11, 12, 24 to 27 | Biztonsági mentésből történő helyreállítás bizonyítékai, folytonossági gyakorlat, rezilienciateszt korrekciós intézkedései |
| Q4 | Irányítás, kockázat és megfelelőség | NIS2 Article 20, DORA Articles 5 and 6, ISO 27001 Clauses 5, 9 and 10 | Vezetőségi felülvizsgálati csomag, CAPA-státusz, maradványkockázati döntések, következő évi auditterv |
Ez nem helyettesíti a havi bizonyítékgyűjtést. Az évnek egyértelmű bizonyossági ritmust ad.
Mintavétel: mennyi bizonyíték elegendő?
A mintavétel az a pont, ahol sok belső audit vagy túl felületes, vagy túl költséges lesz. Szabályozott IKT-környezetekben a mintavételnek kockázatalapúnak, indokolhatónak és dokumentáltnak kell lennie.
A Zenith Blueprint 26. lépése gyakorlati elvet ad:
Mintavétel és szúrópróbaszerű ellenőrzés: nem ellenőrizhet mindent, ezért alkalmazzon mintavételt.
Az Audit, Review & Improvement fázisból, 26. lépés: Audit Execution.
A Clarysec vállalati szabályzata ezt auditra alkalmassá teszi:
A mintavételi stratégia, az audit alkalmazási területe és a korlátozások dokumentálása
Az „irányítási követelmények” szakaszból, 5.5.3 szabályzati pont.
A NIS2 és DORA esetében a mintavételnek figyelembe kell vennie a kritikusságot, a kockázatot, a beszállító fontosságát, az időszakot, az incidenselőzményeket, a földrajzi tényezőket, valamint azt, hogy a mintavételezett folyamat kritikus vagy fontos funkciókat támogat-e.
| Kontrollterület | Populáció | Javasolt minta | Kockázatalapú módosítás |
|---|---|---|---|
| Hozzáférés-kiosztás | A negyedévben létrehozott összes új felhasználói fiók | 10 fiók vagy 10 százalék, amelyik nagyobb | Tartalmazza az összes emelt jogosultságú fiókot és kritikus alkalmazásadminisztrátort |
| Kilépők hozzáférésének megszüntetése | A negyedévben megszüntetett összes felhasználó | 100 százalék az emelt jogosultságú felhasználóknál, 10 standard felhasználó | Növelje a mintát, ha a HR- vagy IAM-integráció változott |
| Beszállítói átvilágítás | Aktív IKT-beszállítók | Minden kritikus beszállító, 5 közepes kockázatú beszállító, 3 alacsony kockázatú beszállító | Tartalmazza a pénzügyi ügyfeleket vagy alapvető szolgáltatásokat támogató beszállítókat |
| Sérülékenységek helyesbítő intézkedése | A negyedévben lezárt kritikus és magas súlyosságú megállapítások | 15 jegy több rendszerből | Tartalmazza az internet felől elérhető rendszereket és az ismétlődő kivételeket |
| Incidenskezelés | A negyedév összes biztonsági incidense | Minden jelentős incidens, 5 kisebb incidens, 3 téves pozitív triage-példa | Tartalmazza a személyes adatokat, ügyfélhatást vagy határokon átnyúló relevanciát érintő incidenseket |
| Biztonsági mentésből történő helyreállítás | A negyedévben végzett biztonsági mentési tesztek | Minden kritikus rendszerteszt, 3 nem kritikus rendszer | Tartalmazza a kritikus vagy fontos funkciókat támogató rendszereket |
| Változáskezelés | A negyedév éles környezetbeli változtatásai | 15 változtatás, beleértve a sürgősségi változtatásokat | Tartalmazza a hitelesítést, naplózást, titkosítást vagy ügyféladatokat érintő változtatásokat |
| Biztonsági képzés | Az időszakban aktív munkavállalók és vállalkozók | 20 felhasználó több szervezeti egységből | Tartalmazza a vezető testület tagjait és az emelt jogosultságú technikai szerepköröket |
DORA által érintett környezetekben a tesztelési bizonyítékok külön figyelmet igényelnek. A DORA digitális működési rezilienciatesztelést ír elő a pénzügyi szervezetek számára, kiválasztott szervezeteknél pedig fejlettebb tesztelést, például fenyegetésvezérelt penetrációs tesztelést legalább háromévente. Az auditmintának nemcsak tesztjelentéseket kell tartalmaznia, hanem bizonyítékokat is arról, hogy a megállapításokat priorizálták, javították és újratesztelték.
Gyakorlati auditpélda: harmadik fél IKT-kockázat
A beszállítói biztonság gyakran a leggyorsabb módja annak, hogy feltárjuk a dokumentáció és a működési valóság közötti hiányosságokat. A DORA Articles 28 to 30 harmadik fél IKT-kockázatkezelést, szerződéses tartalmat és információs nyilvántartásokat követel meg. A NIS2 Article 21 olyan ellátásilánc-biztonságot ír elő, amely figyelembe veszi a közvetlen beszállítók sérülékenységeit és gyakorlatait.
Egy Q2 audit során Sarah öt kritikus beszállítót, az elmúlt hat hónapban bevont három új beszállítót és két nemrég megújított szerződésű beszállítót választ mintába. Az auditor interjút készít a beszerzéssel, a jogi területtel, a szolgáltatásgazdákkal és a biztonsági kontrollgazdákkal.
| DORA- vagy NIS2-követelmény | ISO 27001:2022 kontrollhorgony | Auditkérdés | Gyűjtendő bizonyítékok |
|---|---|---|---|
| DORA Article 28, harmadik fél IKT-nyilvántartás | A.5.19 Információbiztonság a beszállítói kapcsolatokban | Létezik teljes és naprakész nyilvántartás a harmadik fél IKT-szolgáltatói megállapodásokról? | Élő beszállítói nyilvántartás és mintavételezett kritikus beszállítói bejegyzések |
| DORA Article 28, szerződéskötés előtti kockázatértékelés | A.5.19 Információbiztonság a beszállítói kapcsolatokban | Történt-e átvilágítás a beszállítói szerződések aláírása vagy megújítása előtt? | Átvilágítási jelentések, kockázatértékelések és jóváhagyási bejegyzések |
| DORA Article 30, szerződéses tartalom | A.5.20 Az információbiztonság kezelése beszállítói megállapodásokban | Tartalmaznak-e a szerződések biztonsági intézkedéseket, auditálási jogokat, incidenssegítséget és felmondási támogatást, ahol ez szükséges? | Szerződések, kiegészítések, biztonsági mellékletek és jogi felülvizsgálati megjegyzések |
| NIS2 Article 21, ellátási lánc biztonsága | A.5.21 Információbiztonság kezelése az IKT ellátási láncban | Ismertek-e a beszállítói biztonsági gyakorlatok, az alvállalkozói kapcsolatok és a szolgáltatási függőségek? | Beszállítói kérdőívek, alvállalkozók feltárása és függőségi térképek |
| Folyamatos beszállítói felügyelet | A.5.22 Beszállítói szolgáltatások felügyelete, felülvizsgálata és változáskezelése | Idővel felülvizsgálják-e a beszállítói teljesítményt és biztonságot? | QBR-jegyzőkönyvek, SLA-jelentések, auditjelentések és éves felülvizsgálati bejegyzések |
Ez a táblázat többet tesz, mint az adatgyűjtés irányítása. Bizonyítja, hogy a szervezet a szabályozási szöveget ISO-hoz igazított auditkritériumokká és konkrét bizonyítékokká alakította.
Megállapítások: úgy írja meg őket, hogy a vezetőség intézkedni tudjon
Egy auditmegállapítás nem hangozhat homályos panaszként. Elég strukturáltnak kell lennie ahhoz, hogy a vezetőség megértse a kockázatot, felelőst jelöljön ki és jóváhagyja a helyesbítő intézkedést.
Az Audit- és megfelelőségfelügyeleti szabályzat kkv-k számára kimondja:
Minden auditmegállapítást kockázati besorolással és javasolt intézkedésekkel együtt kell dokumentálni.
Az „irányítási követelmények” szakaszból, 5.4.1 szabályzati pont.
A vállalati Audit- és megfelelőségfelügyeleti szabályzat ehhez hozzáadja a helyesbítő intézkedések fegyelmét:
Minden megállapításnak dokumentált CAPA-t kell eredményeznie, amely tartalmazza:
A „szabályzat végrehajtásának követelményei” szakaszból, 6.2.1 szabályzati pont.
A Zenith Blueprint 27. lépése azt javasolja, hogy a megállapításokat jelentős nemmegfelelőségként, kisebb nemmegfelelőségként vagy észrevételként sorolják be, majd végezzenek gyökérok-elemzést. A jelentős nemmegfelelőség súlyos hiányosságot vagy rendszerszintű hibát jelez. A kisebb nemmegfelelőség elszigetelt eltérés egy egyébként megfelelő folyamatban. Az észrevétel fejlesztési lehetőség.
Egy erős megállapítás tartalmazza:
- Követelmény vagy kontrollelvárás.
- Megfigyelt állapot.
- Mintavételezett bizonyítékok.
- Kockázat és üzleti hatás.
- Szabályozási relevancia.
- Besorolás és kockázati minősítés.
- Gyökérok.
- Helyesbítő intézkedés felelőse és határideje.
Példamegállapítás:
NC-2026-07 megállapítás, kisebb nemmegfelelőség, beszállítói biztonsági felülvizsgálat késedelme
Követelmény: A kritikus IKT-szolgáltatók beszállítói biztonsági felülvizsgálatát legalább évente el kell végezni, támogatva az ISO 27001 beszállítói kontrollokat, a NIS2 ellátási láncra vonatkozó elvárásait és a DORA harmadik fél IKT-kockázati kötelezettségeit.
Állapot: A tizenkét kritikus IKT-beszállítóból kettőnél a 2026-os biztonsági felülvizsgálat nem készült el az előírt dátumig.
Bizonyítékok: 2026. június 15-i beszállítóinyilvántartás-export, beszállítói felülvizsgálati nyomkövető, interjú a beszerzési vezetővel és két hiányzó felülvizsgálati bejegyzés.
Kockázat: A késedelmes beszállítói felülvizsgálat megakadályozhatja a sérülékenységek, alvállalkozói változások, incidenssegítségi hiányosságok vagy kritikus szolgáltatásokat érintő szerződéses nemmegfelelőség időben történő azonosítását.
Gyökérok: A beszerzés nem kapott automatikus értesítést a beszállítói felülvizsgálati dátumok közeledtével, és a DORA-val kapcsolatos beszállítói bizonyítékok felelősségét nem rendelték hozzá.
Helyesbítő intézkedés: Automatikus felülvizsgálati emlékeztetők konfigurálása, megnevezett kontrollgazdák kijelölése minden kritikus IKT-beszállítóhoz, a lejárt felülvizsgálatok befejezése 2026. július 31-ig, valamint negyedéves mintavételes ellenőrzések végrehajtása.
A gyökérok-elemzéshez hasznos az „5 miért” technika. Ha egy szerződéskötés előtti értékelés elmaradt, a valódi ok nem feltétlenül egyéni hiba. Lehet, hogy a beszerzési munkafolyamat lehetővé tette az alacsony értékű IKT-szerződések biztonsági felülvizsgálat nélküli megkötését, noha a DORA- és NIS2-elvárások kockázat és függőség alapján alkalmazandók, nem csak a költés alapján.
A 2026-os bizonyítéknaptár
A 2026-os bizonyítéknaptár a belső auditot működési ritmussá alakítja. Elosztja a bizonyítékok előállítását az év során, és elkerüli az év végi kapkodást.
A Clarysec Információbiztonsági szabályzat irányítási felülvizsgálatot vár el az alábbiakról:
Biztonsági kulcsteljesítménymutatók (KPI-k), incidensek, auditmegállapítások és kockázati státusz felülvizsgálata
Az „irányítási követelmények” szakaszból, 5.3.2 szabályzati pont.
A bizonyítékokat nem csak auditorok számára gyűjtik. Döntéseket támogatnak a kockázatról, költségvetésről, erőforrásokról, beszállítókról, eszközökről, képzésről és helyesbítő intézkedésekről.
| Hónap | Audit- és bizonyítékfókusz | Fő bizonyítékkimenetek |
|---|---|---|
| Január | Szabályozási hatály, IBIR alkalmazási terület és 2026-os auditterv megerősítése | Jóváhagyott auditterv, IBIR alkalmazási területének felülvizsgálata, NIS2- és DORA-alkalmazhatósági értékelés, jogi nyilvántartás frissítése |
| Február | Irányítás, kockázatvállalási hajlandóság és vezető testületi képzés | Igazgatósági jegyzőkönyvek, képzési nyilvántartások, kockázati kritériumok, frissített kockázati nyilvántartás |
| Március | Eszköz-, adat- és függőségi nyilvántartás | CMDB-export, adatáramlási térképek, kritikus szolgáltatási lista, IKT-beszállítói összekapcsolási térkép |
| Április | Hozzáférés-szabályozási és MFA-audit | Hozzáférés-felülvizsgálati bejegyzések, emelt jogosultságú hozzáférési minta, MFA-lefedettségi jelentés, kilépői tesztelés |
| Május | Sérülékenységkezelés, javításkezelés és biztonságos változáskezelés | Sérülékenységi mutatók, helyesbítő intézkedési bizonyítékok, változásjegy-minta, kivétel-jóváhagyások |
| Június | Beszállítói és felhőszolgáltatás-irányítás | Beszállítói átvilágítási minta, szerződéses záradékok felülvizsgálata, auditálási jogok, kilépési tervek, koncentrációs kockázati megjegyzések |
| Július | Incidenskezelési és jelentéstételi gyakorlat | Incidensszimuláció, súlyossági besorolás, NIS2 jelentéstételi munkafolyamat tesztje, DORA incidenseszkalációs teszt |
| Augusztus | Naplózás, felügyelet és észlelés | SIEM-használati esetek, riasztáshangolás, monitorozási lefedettség, eszkalációs minta |
| Szeptember | Biztonsági mentés, helyreállítás és üzletmenet-folytonosság | Biztonsági mentési tesztbejegyzések, RTO- és RPO-bizonyítékok, folytonossági gyakorlat, válságkommunikációs teszt |
| Október | Biztonságos fejlesztés és alkalmazásbiztonság | SDLC-bizonyítékok, kód-felülvizsgálati minta, biztonsági teszteredmények, kiszervezett fejlesztési felülvizsgálat |
| November | Teljes belső IBIR-audit és több keretrendszerre kiterjedő megfelelőségi felülvizsgálat | Belső auditjelentés, megállapítási nyilvántartás, NIS2- és DORA-leképezés, GDPR elszámoltathatósági bizonyítékok |
| December | Vezetőségi felülvizsgálat és helyesbítő intézkedések lezárása | Vezetőségi felülvizsgálati jegyzőkönyvek, CAPA-státusz, maradványkockázat elfogadása, 2027-es auditterv inputjai |
Ez a naptár előretekintő bizonyossági tervet ad az auditbizottságnak, a kontrollgazdáknak pedig időt biztosít arra, hogy normál működés során állítsanak elő bizonyítékokat.
Az ISO 27002:2022 gerince: 5.31, 5.35 és 5.36
A Zenith Controls a Clarysec több keretrendszerre kiterjedő megfelelőségi útmutatója. Leképezi az ISO/IEC 27001:2022 és ISO/IEC 27002:2022 kontrollterületeket más szabványokra, jogszabályokra, auditelvárásokra és bizonyítékmintázatokra. Különösen hasznos a belső felülvizsgálat, a jogi kötelezettségek és a szabályzati megfelelés összekapcsolásához.
Három ISO/IEC 27002:2022 kontrollterület alkotja az egységes belső auditprogram gerincét:
| A Zenith Controls által kiemelt ISO 27002:2022 terület | Auditkérdés | NIS2- és DORA-érték |
|---|---|---|
| 5.31 Jogi, törvényi, szabályozási és szerződéses követelmények | Tudjuk-e, mely kötelezettségek alkalmazandók, és leképeztük-e őket kontrollokra és bizonyítékokra? | Támogatja a NIS2 alkalmazhatóságot, a DORA IKT-kötelezettségeket, az ügyfélszerződéseket és a GDPR elszámoltathatóságot |
| 5.35 Az információbiztonság független felülvizsgálata | A felülvizsgálatok objektívek, tervezettek, kompetensen végrehajtottak és intézkedéssel követettek? | Támogatja a kiberbiztonsági intézkedések, az IKT-rezilienciatesztelés és a vezetőségi felügyelet feletti bizonyosságot |
| 5.36 Megfelelés az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak | A belső szabályokat a gyakorlatban követik és folyamatosan felügyelik? | Támogatja a szabályzat betartatását, a kiberhigiéniát, a hozzáférés-szabályozást, az incidenskezelési felkészültséget és a helyesbítő intézkedéseket |
Az 5.35 kontroll a bizonyosság sarokköve, mert ellenőrzi, hogy az IBIR független felülvizsgálata megtörténik-e. Az 5.36 kontroll megerősíti, hogy a szabályzatokat nem csupán jóváhagyták, hanem ténylegesen be is tartják. Az 5.31 kontroll összekapcsolja az IBIR-t a jogi, szabályozási és szerződéses kötelezettségekkel, ideértve a NIS2, DORA, GDPR és ügyfélbiztonsági követelményeket.
Több keretrendszerre kiterjedő megfelelőségi leképezés: egy audit, több bizonyossági nézőpont
Egy érett belső audit munkapapírnak egyértelműen meg kell mutatnia, hogy egy bizonyítékelem hogyan támogat több bizonyossági elvárást.
| Auditbizonyíték | ISO 27001 bizonyosság | NIS2-relevancia | DORA-relevancia | GDPR-, NIST- és COBIT-relevancia |
|---|---|---|---|---|
| Jogi és szabályozási nyilvántartás | Kontextus és megfelelési kötelezettségek | Alkalmazási terület, szervezeti státusz, Article 21 mozgatórugók | Ágazatspecifikus IKT-reziliencia-kötelezettségek | GDPR elszámoltathatóság, NIST CSF GOVERN, COBIT külső megfelelés |
| Kockázati nyilvántartás és kockázatkezelési terv | Kockázatértékelés, kezelés, alkalmazhatósági nyilatkozat | Megfelelő és arányos intézkedések | IKT-kockázatkezelési keretrendszer és tűrés | NIST kockázatkezelés, COBIT kockázatoptimalizálás |
| Incidens asztali gyakorlat jelentése | Incidenskezelési felkészültség és tanulságok | Jelentéstételi munkafolyamat felkészültsége | Besorolás, eszkaláció, jelentéstétel és gyökérok | GDPR adatsértési felkészültség, NIST CSF RESPOND, COBIT menedzselt incidensek |
| Beszállítói átvilágítási fájl | Beszállítói kapcsolat és IKT-ellátási lánc | Beszállítói sérülékenységek és gyakorlatok | Harmadik fél IKT-nyilvántartás, átvilágítás, kilépéstervezés | NIST C-SCRM, COBIT beszállítói irányítás |
| Biztonsági mentésből történő helyreállítási teszt | IKT-felkészültség és folytonosság | Biztonsági mentés, katasztrófa utáni helyreállítás, válságkezelés | Helyreállítási célok, visszaállítás és sértetlenségi ellenőrzések | GDPR rendelkezésre állás, NIST CSF RECOVER, COBIT folytonosság |
| Hozzáférési felülvizsgálat | Hozzáférés-szabályozás és HR-biztonság | Hozzáférés-szabályozási és MFA-elvárások | Legkisebb jogosultság elve és erős hitelesítés | GDPR sértetlenség és bizalmasság, NIST CSF PROTECT |
Ez teszi lehetővé a CISO számára, hogy ezt mondja az igazgatóságnak: „A júliusi incidensauditunk bizonyítékokat állított elő az ISO 27001, a NIS2, a DORA ügyfélbizonyosság, a GDPR adatsértési felkészültség, a NIST CSF reagálási eredményei és a COBIT incidensirányítás számára.”
Vezetőségi felülvizsgálat: ahol az audit elszámoltathatósággá válik
A belső audit kevés értéket képvisel, ha a megállapítások nem jutnak el a vezetőséghez. Az ISO 27001 vezetőségi felülvizsgálat biztosítja a mechanizmust, a NIS2 és a DORA pedig egyértelművé teszi az irányítási elvárást.
Az Audit- és megfelelőségfelügyeleti szabályzat kkv-k számára előírja:
Az auditmegállapításokat és az állapotfrissítéseket be kell építeni az IBIR vezetőségi felülvizsgálati folyamatába.
Az „irányítási követelmények” szakaszból, 5.4.3 szabályzati pont.
Azt is kimondja:
A GM-nek jóvá kell hagynia a helyesbítő intézkedési tervet, és nyomon kell követnie annak végrehajtását.
Az „irányítási követelmények” szakaszból, 5.4.2 szabályzati pont.
A vezetőségi felülvizsgálatnak választ kell adnia az alábbiakra:
- A NIS2, DORA, GDPR és szerződéses kötelezettségek továbbra is helyesen jelennek meg az IBIR alkalmazási területében?
- A magas kockázatú kontrollokat elég gyakran auditálják?
- Mely megállapítások jeleznek rendszerszintű gyengeséget elszigetelt hiba helyett?
- Vannak lejárt határidejű helyesbítő intézkedések?
- A kockázattulajdonosok tudatosan fogadják el a maradványkockázatot?
- A beszállítók, az incidensbejelentés, a folytonosság és a tesztelés megfelelő erőforrásokkal rendelkezik?
- Az audittrendek szabályzat-, eszköz-, költségvetés- vagy képzési változtatást jeleznek?
Ha ezek a válaszok nincsenek dokumentálva, a szervezetnek lehet bizonyítéka a tevékenységről, de nincs bizonyítéka az irányításról.
Gyakori hibák, amelyeket 2026-ban el kell kerülni
A leggyakoribb hiba az, hogy az ISO 27001 belső auditot elkülönítik a szabályozási bizonyosságtól. Ez duplikációt és vakfoltokat hoz létre.
További gyakori hibák:
- Az alkalmazási terület kizárja a kritikus beszállítókat, felhőplatformokat vagy kiszervezett SOC-szolgáltatásokat.
- A NIS2 vagy DORA alkalmazhatóság nincs dokumentálva a jogi nyilvántartásban.
- Az audittervet nem hagyta jóvá a vezetőség.
- A mintavételt elvégzik, de nem dokumentálják.
- A belső auditorok kockázatcsökkentő intézkedés nélkül felülvizsgálják a saját munkájukat.
- A megállapítások tüneteket írnak le, nem gyökérokokat.
- A helyesbítő intézkedések dokumentumokat frissítenek, de nem javítják a folyamatokat.
- A vezetőségi felülvizsgálat megkapja az auditeredményeket, de nem hoz döntéseket.
- Az incidensgyakorlatok a technikai reagálást tesztelik, de a szabályozói értesítést nem.
- A beszállítói auditok kérdőíveket vizsgálnak, de szerződéseket, kilépési terveket vagy koncentrációs kockázatot nem.
- A biztonsági mentési bizonyítékok sikeres feladatokat mutatnak, de a helyreállítás sértetlenségét nem.
- A hozzáférés-felülvizsgálatokat elvégzik, de a kivételeket nem követik a lezárásig.
Minden hiba kisebb vagy jelentős nemmegfelelőséggé válhat a súlyosságtól és a rendszerszintű hatástól függően. Ennél is fontosabb, hogy mindegyik gyengíti a szervezet képességét a reziliencia bizonyítására NIS2-, DORA- és ügyféloldali vizsgálat során.
Alakítsa a 2026-os audittervet bizonyítékelőállító rendszerré
Ha a belső auditprogramja még mindig egyetlen éves esemény, most kell újratervezni.
Kezdje vezetőség által jóváhagyott audittervvel. Határozza meg az IBIR alkalmazási területét valós szolgáltatások, szabályozott kötelezettségek és harmadik féltől való függőségek mentén. Építsen kockázatalapú audituniverzumot. Dokumentálja a mintavételt. Sorolja be következetesen a megállapításokat. Alkalmazzon gyökérok-elemzést. Kövesse nyomon a CAPA-t. Építse be az eredményeket a vezetőségi felülvizsgálatba. Tartson fenn havi bizonyítéknaptárt.
A Clarysec segíthet gyorsabban haladni:
- Zenith Blueprint: An Auditor’s 30-Step Roadmap az audittervezéshez, végrehajtáshoz, megállapításokhoz, vezetőségi felülvizsgálathoz és folyamatos fejlesztéshez.
- Zenith Controls: The Cross-Compliance Guide az ISO 27001 bizonyosság NIS2, DORA, GDPR, NIST CSF és COBIT elvárásokhoz történő leképezéséhez.
- Audit- és megfelelőségfelügyeleti szabályzat és Audit- és megfelelőségfelügyeleti szabályzat kkv-k számára irányításra kész audittervezéshez és megállapításkezeléshez.
- Információbiztonsági szabályzat KPI-k, incidensek, auditmegállapítások és kockázati státusz vezetőségi szintű felülvizsgálatához.
Válasszon egy magas kockázatú területet, például az incidensbejelentést vagy az IKT-beszállítói irányítást, és hajtson végre fókuszált belső auditot a Clarysec alkalmazási területre, mintavételre és megállapításokra vonatkozó struktúrájával. Egy cikluson belül látni fogja, hogy bizonyítékai auditcélra alkalmasak-e, kontrolljai működnek-e, és a vezető testület rendelkezik-e a kiberkockázat irányításához szükséges információval.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
