ISO 27001:2022 képzési bizonyítékok NIS2- és DORA-megfeleléshez
2026 februárjában, egy keddi reggelen 09:12-kor egy gyorsan növekvő FinTech pénzügyi elemzője e-mailt kap, amely látszólag a CFO-tól érkezett, és egy beszállítói kifizetési fájl sürgős felülvizsgálatát kéri. A csatolmány egy meggyőző Microsoft bejelentkezési oldalt nyit meg. Az elemző megáll, eszébe jut az előző havi adathalász szimuláció és a fizetési csalásokról szóló modul, majd hitelesítő adatok megadása helyett a biztonsági portálon keresztül bejelenti az e-mailt.
A CISO számára ez az egyetlen döntés a valós működésben érvényesülő kontroll.
Az auditor számára azonban a történet önmagában nem elég.
Egy héttel később megérkezik a bizonyítékkérés: „Kérjük, mutasson be bizonyítékot egy átfogó, szerepköralapú információbiztonsági tudatossági és képzési programról, beleértve az eredményességi mutatókat és azokat a nyilvántartásokat, amelyek igazolják valamennyi munkatárs, köztük a vezetés lefedettségét.”
Ez a mondat megváltoztatja a beszélgetést. Már nem elegendő egy táblázat, amelyben a munkavállalók 97 százaléka mellett a „Teljesítve” szerepel. Az auditor meg fogja kérdezni, ki képezte az elemzőt, mikor rendelték hozzá a képzést, kötelező volt-e, szerepköralapú volt-e, kapott-e a pénzügy további, fizetési csalásokra vonatkozó tudatossági képzést, bekerültek-e az új belépők és a vállalkozók, jóváhagyta-e a vezetés a programot, változott-e a képzés az utolsó adathalász kampány után, és megőrizték-e a teljesítési nyilvántartásokat.
2026-ban a biztonságtudatossági képzési bizonyítékok az ISO/IEC 27001:2022, a NIS2, a DORA, a GDPR és a NIST CSF 2.0 metszéspontjában állnak. Ez már nem éves HR-gyakorlat. Ez igazgatósági irányítás, kockázatkezelés, incidenskezelési felkészültség, jogi elszámoltathatóság és auditbizonyíték.
A Clarysec a biztonságtudatosságot működési bizonyítékrendszerként kezeli, nem diasorként. A Zenith Blueprint: 30 lépéses auditütemterv Zenith Blueprint, a Zenith Controls: keresztmegfelelési útmutató Zenith Controls, az Információbiztonsági tudatossági és képzési szabályzat - KKV Információbiztonsági tudatossági és képzési szabályzat - KKV, valamint az Információbiztonsági tudatossági és képzési szabályzat Információbiztonsági tudatossági és képzési szabályzat összekapcsolja a szerepköralapú képzést az IBIR-rel, a szabályozási kötelezettségekkel, az incidenskezeléssel, a beszállítói hozzáféréssel és a vezetőségi átvizsgálással.
Miért bukik el az általános biztonságtudatossági képzés 2026-ban
A szabályozási elmozdulás egyértelmű. A NIS2 a kiberbiztonságot vezetői felelősséggé teszi az alapvető és fontos szervezetek számára. Article 20 előírja, hogy a vezető testületek hagyják jóvá a kiberbiztonsági kockázatkezelési intézkedéseket, felügyeljék a végrehajtást, és képzésben részesüljenek. Article 21 az alapvető kiberhigiéniát és a kiberbiztonsági képzést az előírt kockázatkezelési alapvonal részévé teszi. A felhőszolgáltatók, adatközpont-szolgáltatók, menedzselt szolgáltatók, menedzselt biztonsági szolgáltatók, DNS-szolgáltatók, TLD-nyilvántartások, online piacterek és keresőmotorok esetében a képzés igazgatósági szintű kérdéssé vált.
A DORA magasabb elvárásokat támaszt a pénzügyi szervezetekkel és a pénzügyi szektort kiszolgáló IKT-szolgáltatókkal szemben. 2025. január 17-től alkalmazandó, és előírja a pénzügyi szervezetek számára, hogy belső irányítási és kontrollkeretrendszert tartsanak fenn az IKT-kockázatkezeléshez. A vezető testületeknek felügyelniük kell az IKT-kockázatokat, költségvetéseket, auditokat, harmadik felekkel kötött megállapodásokat, az üzletmenet-folytonosságot, a reagálási és helyreállítási terveket, valamint a digitális működési rezilienciát. A DORA Articles 17 to 19 azt is előírja, hogy az IKT-val kapcsolatos incidenseket észlelni, osztályozni, eszkalálni, kommunikálni és jelenteni kell. A képzés teszi ezeket az eljárásokat nyomás alatt is végrehajthatóvá.
Az ISO/IEC 27001:2022 adja a szervezetek számára az irányítási rendszer gerincét. A 4–10. szakaszok a kontextust, az érdekelt feleket, a vezetői szerepvállalást, a kockázatértékelést, a kockázatkezelést, a kompetenciát, a tudatosságot, a dokumentált információkat, a teljesítményértékelést és a fejlesztést fedik le. A szabvány ágazatokon és szervezeti méreteken át skálázható, ezért használja a Clarysec működési modellként az integrált ISO, NIS2, DORA, GDPR és NIST összhanghoz ISO/IEC 27001:2022.
A GDPR hozzáadja az elszámoltathatósági réteget. A szervezeteknek igazolniuk kell, hogy a személyes adatok kezelése jogszerűen, tisztességesen, biztonságosan, valamint megfelelő technikai és szervezési intézkedésekkel történik. Azoknak a munkavállalóknak, akik személyes adatokat kezelnek, rendszereket adminisztrálnak, szoftvert fejlesztenek, ügyfeleket támogatnak vagy incidenseket vizsgálnak, adatvédelmi és incidenseszkalációs képzésre van szükségük.
A NIST CSF 2.0 ugyanezt az irányt erősíti. GOVERN funkciója összekapcsolja a jogi, szabályozási, szerződéses, adatvédelmi és érdekelt felekhez kapcsolódó követelményeket a szerepkörökkel, felelősségekkel, szabályzatokkal, erőforrásokkal, felügyelettel és vállalati kockázatkezeléssel. A NIST CSF profilok abban is segítenek, hogy a képzési kötelezettségek jelenlegi állapotra és célállapotra vonatkozó fejlesztési tervekké váljanak.
Az eredmény egyszerű: az auditra kész biztonságtudatossági képzésnek bizonyítania kell, hogy az emberek ismerik a felelősségeiket, a képzés szerepkörhöz és kockázathoz igazodik, és a bizonyítékok elég teljesek az auditorok, szabályozó hatóságok, ügyfelek és a vezetés számára.
Az auditprobléma: az „mindenkit képeztünk” nem bizonyíték
Sok szervezet nem azért bukik el az auditon, mert nem tartott képzést, hanem mert nem tudja igazolni, hogy a képzést megtervezték, hozzárendelték, teljesítették, felülvizsgálták és fejlesztették.
Egy gyenge bizonyítékcsomag jellemzően egy éves PDF-et, dátum nélküli teljesítési táblázatot, beléptetési bizonyíték hiányát, vállalkozói lefedettség hiányát, kiemelt jogosultságú felhasználói képzés hiányát, vezetői képzés hiányát, fejlesztőkre vagy pénzügyre vonatkozó szerepköralapú modulok hiányát, a kockázatértékeléshez való kapcsolódás hiányát, valamint annak bizonyítékhiányát tartalmazza, hogy a képzést incidensek vagy szabályozási változás után frissítették.
Az auditorok nem motivációs plakátot keresnek. Bizonyítékláncot várnak.
A Clarysec KKV-szabályzata ezt az elvárást egyértelművé teszi. Az Információbiztonsági tudatossági és képzési szabályzat - KKV, Célkitűzések, 3.3 pontja előírja a szervezetek számára, hogy:
„Hozzanak létre dokumentált teljesítési nyilvántartásokat a jogszabályi, szerződéses és auditkövetelményeknek való megfelelés igazolására.”
Ugyanez a KKV-szabályzat a képzést megőrzött dokumentált információvá alakítja. A szabályzat végrehajtásának követelményei, 6.3.2 pontja kimondja:
„Ezeket a nyilvántartásokat központi táblázatban vagy humánerőforrás-információs rendszerben legalább három évig fenn kell tartani.”
Vállalati környezetek esetében az Információbiztonsági tudatossági és képzési szabályzat, Cél, 1.2 pontja strukturáltabb elvárást határoz meg:
„Ez a szabályzat az ISO/IEC 27001 7.3. szakaszát és az A melléklet 6.3 kontrollját támogatja azáltal, hogy strukturált, kockázatalapú tudatossági és képzési keretrendszert ír elő, amely a szervezeti szerepkörökhöz és a változó fenyegetésekhez igazodik.”
Ez a megfogalmazás lényeges: strukturált, kockázatalapú, szerepkörhöz igazított és fenyegetéstudatos. Ez a különbség a tudatossági látszatintézkedés és az igazolható kompetencia között.
Szerepkörökkel kezdjen, ne tananyagokkal
A leggyakoribb hiba a tartalom megvásárlása a felelősségek meghatározása előtt. Egy integrált megfelelési programban az első helyes kérdés nem az, hogy „Melyik képzési platformot használjuk?”. A helyes kérdés az, hogy „Mely szerepkörök hoznak létre, kezelnek, hagynak jóvá, dolgoznak fel, védenek vagy állítanak helyre információvagyont?”
Az ISO/IEC 27001:2022 5.3. szakasza előírja az információbiztonsági szerepkörökhöz kapcsolódó felelősségek és hatáskörök kijelölését és kommunikálását. A 7.2. szakasz kompetenciát ír elő a szervezet kontrollja alatt munkát végző személyek számára, oktatás, képzés vagy tapasztalat alapján. A 7.3. szakasz előírja az információbiztonsági szabályzat, az IBIR eredményességéhez való hozzájárulás és a meg nem felelés következményeinek ismeretét.
A Zenith Blueprint „IBIR-alapok és vezetői szerepvállalás” fejezetének „5. lépés: Kommunikáció, tudatosság és kompetencia” részében a Clarysec ezt végrehajtási nyelvre fordítja:
„Azonosítsa a szükséges kompetenciákat: Határozza meg, milyen tudásra és készségekre van szükség az IBIR különböző szerepköreiben.”
A Blueprint gyakorlati példákat ad: az IT-munkatársaknak biztonságos szerverkonfigurációra, a fejlesztőknek biztonságos kódolásra, a HR-nek a személyes adatok biztonságos kezelésére, az általános munkatársaknak pedig adathalászati tudatosságra lehet szükségük. A nyilvántartásokat is hangsúlyozza:
„Tartsa fenn a kompetencia nyilvántartásait: a 7.2. szakasz elvárja, hogy a kompetencia bizonyítékaként dokumentált információt őrizzen meg.”
Ez azt jelenti, hogy a képzési programnak szerepkör–kockázat mátrixszal kell indulnia.
| Szerepkörcsoport | Képzési fókusz | Megőrzendő bizonyíték | Megfelelési érték |
|---|---|---|---|
| Valamennyi munkavállaló | Adathalászat, biztonságos jelszóhasználat, többtényezős hitelesítés, elfogadható használat, eszközbiztonság, incidensbejelentés | Teljesítési jelentés, tudásteszt-pontszám, szabályzati tudomásulvétel, tartalomverzió | ISO/IEC 27001:2022 7.3. szakasz, ISO/IEC 27002:2022 6.3 kontroll, NIS2 Article 21 |
| Felsővezetők és igazgatóság | Kiberkockázati irányítás, NIS2 Article 20 szerinti kötelezettségek, DORA-felügyelet, kockázatvállalási hajlandóság, válsághelyzeti döntések | Részvételi nyilvántartás, igazgatósági anyag, jegyzőkönyvek, programjóváhagyás | NIS2 Article 20, DORA Article 5, ISO/IEC 27001:2022 vezetői bizonyíték |
| Fejlesztők | Biztonságos kódolás, OWASP Top 10, biztonságos SDLC, API-biztonság, sérülékenységkezelés, titokkezelő eszközök | Modul teljesítése, laborgyakorlat-eredmények, biztonságos kódolási ellenőrzőlista, helyesbítő intézkedés bizonyítéka | ISO/IEC 27002:2022 8.25 és 8.28 kontroll, DORA IKT-kockázati elvárások |
| IT- és rendszergazdák | Emelt jogosultságú hozzáférés, naplózás, sérülékenységkezelés, biztonsági mentés helyreállítása, változáskezelés, rendszermegerősítés | Teljesítési nyilvántartás, hozzáférési felülvizsgálathoz való kapcsolódás, asztali gyakorlaton való részvétel | ISO/IEC 27002:2022 8.8 és 8.13 kontroll, DORA rezilienciára való felkészültség |
| HR | Bizalmasság, beléptetés és kiléptetés, fegyelmi eljárás, különleges kategóriájú adatok kezelése | HR képzési nyilvántartás, beléptetési ellenőrzőlista, szabályzati tudomásulvétel | GDPR elszámoltathatóság, ISO/IEC 27002:2022 személyi biztonsági intézkedések |
| Pénzügy | Fizetési csalás, beszállítói megszemélyesítés, feladatkörök szétválasztása, gyanús kérések eszkalációja | Célzott modul teljesítése, adathalász szimulációk eredményei | Csaláskockázat csökkentése, NIS2 és DORA incidenskezelési felkészültség |
| Ügyféltámogatás | Identitás ellenőrzése, jegyek biztonságos kezelése, személyes adatok védelme, eszkalációs útvonalak | Szerepkör-specifikus modul teljesítése, jegy-felülvizsgálati minta, adatvédelmi tudomásulvétel | GDPR adatfeldolgozói elszámoltathatóság, ügyfélbizonyosság |
| Incidenskezelők | Osztályozás, eszkaláció, bizonyítékmegőrzés, szabályozói bejelentési határidők, tanulságok | Gyakorlati nyilvántartás, forgatókönyv-jelentés, szerepkör-hozzárendelés, intézkedéskövető | NIS2 Article 23, DORA Articles 17 to 19, ISO/IEC 27002:2022 incidenskezelési kontrollok |
| Rendszerhozzáféréssel rendelkező vállalkozók | Elfogadható használat, bejelentési csatorna, adatkezelés, hozzáférési feltételek | Vállalkozói tudomásulvétel, beléptetési nyilvántartás, hozzáférés-jóváhagyási kapcsolódás | Beszállítói bizonyosság, hozzáférés-kezelés, szerződéses megfelelés |
Ez a mátrix nem pusztán képzési ütemterv. Megfelelési térkép, amely megmutatja, miért kapnak különböző csoportok eltérő képzést.
Kapcsolja a képzést a kontroll-lánchoz
A Zenith Controls az ISO/IEC 27002:2022 6.3 kontrollt, az információbiztonsági tudatosságot, oktatást és képzést olyan megelőző kontrollként kategorizálja, amely a bizalmasságot, a sértetlenséget és a rendelkezésre állást támogatja. Kiberbiztonsági koncepciója a Protect, működési képessége a Human Resource Security, biztonsági területei pedig a Governance és az Ecosystem.
A Zenith Controls keresztmegfelelési értelmezése közvetlen:
„A 6.3 kontroll a NIS2 biztonsági képzésre és tudatosságra vonatkozó kötelezettségét kezeli egy strukturált tudatossági program bevezetésével, amely lefedi a kiberhigiéniát, a kialakulóban lévő fenyegetéseket és a munkatársak felelősségeit.”
Ugyanez a megfeleltetés összekapcsolja az ISO/IEC 27002:2022 6.3 kontrollt a személyes adatokat kezelő munkavállalókra vonatkozó GDPR-elvárásokkal, a szerepkörökhöz igazított DORA IKT-biztonsági képzéssel, valamint a NIST SP 800-53 Rev.5 AT-2, AT-3 és AT-4 kontrollokkal, amelyek a biztonsági ismeretekre és tudatosságra, a szerepköralapú képzésre és a képzési nyilvántartásokra vonatkoznak.
A lényeg az, hogy a 6.3 kontroll nem önmagában áll. A Zenith Controls összekapcsolja az ISO/IEC 27002:2022 5.2 kontrollal, az információbiztonsági szerepkörökkel és felelősségekkel, mert a szerepkörök határozzák meg, kinek milyen képzésre van szüksége. Összekapcsolja a 6.8 kontrollal, az információbiztonsági események bejelentésével is, mert a munkavállalók nem tudják bejelenteni azt, amit nem ismernek fel. Emellett összekapcsolja az 5.36 kontrollal, az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak való megfeleléssel, mert a megfelelés attól függ, hogy az emberek ismerik-e a szabályokat.
Ez gyakorlati kontroll-láncot hoz létre:
- Felelősségek meghatározása.
- Alapszintű és szerepköralapú képzés hozzárendelése.
- Teljesítés igazolása.
- Megértés ellenőrzése.
- Megfelelés nyomon követése.
- Hiányosságok helyesbítése.
- Tanulságok beépítése a kockázatkezelésbe és a vezetőségi átvizsgálásba.
Ez a NIS2 szempontjából azért fontos, mert Article 21 kockázatelemzést, szabályzatokat, incidenskezelést, üzletmenet-folytonosságot, ellátásilánc-biztonságot, biztonságos beszerzést és karbantartást, kontrollhatékonyság-értékelést, kiberhigiéniát és képzést, kriptográfiát, HR-biztonságot, hozzáférés-szabályozást, eszközkezelést, valamint adott esetben többtényezős hitelesítést vagy biztonságos hitelesítést ír elő.
A DORA szempontjából azért fontos, mert az irányítás, az incidenskezelés, a reagálás és helyreállítás, a harmadik fél kockázat és a rezilienciatesztelés csak akkor működik, ha az emberek már az incidens bekövetkezése előtt tudják, mit kell tenniük.
Építse fel az auditra kész bizonyítékcsomagot
Egy érett bizonyítékcsomag több, mint részvételi naplók gyűjteménye. Bemutatja az irányítást, a tervezést, a lebonyolítást, a teljesítést, az eredményességet és a fejlesztést. A Clarysec hatmappás struktúrát javasol.
| Bizonyítékmappa | Mit tartalmaz | Miért fontos |
|---|---|---|
| 01 Irányítás | Jóváhagyott szabályzat, képzési célok, vezetői jóváhagyás, költségvetés, éves terv | Bemutatja a vezetői elkötelezettséget és felügyeletet |
| 02 Szerepkör-megfeleltetés | Szerepkör-nyilvántartás, kompetenciamátrix, képzéshozzárendelési szabályok, vállalkozói hatály | Igazolja a kockázatalapú és szerepköralapú kialakítást |
| 03 Képzési tartalom | Tananyagok, LMS-modulok, adathalász sablonok, biztonsági közlemények, verzióelőzmények | Megmutatja, mit tanítottak ténylegesen |
| 04 Teljesítési nyilvántartások | LMS-exportok, HRIS-nyilvántartások, részvételi naplók, tudásteszt-eredmények, tudomásulvételek | Igazolja a részvételt és a megőrzött dokumentált információkat |
| 05 Eredményességi bizonyítékok | Adathalász szimulációs mutatók, interjúeredmények, incidensbejelentési trendek, asztali gyakorlatok eredményei | Megmutatja, változtatott-e a képzés a viselkedésen |
| 06 Fejlesztés | Helyesbítő intézkedések, frissített modulok, tanulságok, vezetőségi átvizsgálási bemenetek | Bemutatja a folyamatos fejlesztést |
A vállalati Clarysec-szabályzat beléptetési képzést, éves ismétlő biztonságtudatossági képzést és szerepköralapú modulokat ír elő. Az Információbiztonsági tudatossági és képzési szabályzat, Irányítási követelmények, 5.1.1.2 pontja kimondja:
„Tartalmazzon beléptetést, éves ismétlő képzést és szerepköralapú képzési modulokat”
Ugyanez a szabályzat hozzárendeli a bizonyítékok felelősségét. Az Irányítási követelmények, 5.3.1 és 5.3.1.1 pontjai kimondják:
„A CISO vagy megbízottja köteles fenntartani:”
„Minden felhasználóra vonatkozó teljesítési nyilvántartásokat”
KKV-k esetében a KKV-szabályzat gyakorlati ütemezést ad. Az Információbiztonsági tudatossági és képzési szabályzat - KKV, a szabályzat végrehajtásának követelményei, 6.1.1 pontja kimondja:
„Az anyagoknak gyakorlatiasnak, szerepkörnek megfelelőnek és évente frissítettnek kell lenniük.”
A változás által kiváltott képzést is lefedi. A 6.5.1 pont kimondja:
„Amikor a munkaköri szerepkörök változnak vagy új rendszerek kerülnek bevezetésre, célzott tudatossági képzésre lehet szükség (például biztonságos fájlmegosztás, új adatvédelmi és adattakarékossági követelmények).”
Ez a pont 2026-ban különösen fontos, mert a felhőmigráció, az AI-eszközök, az új fizetési integrációk, az új adatfeldolgozók és a szabályozott jelentéstétel változásai gyorsabban módosíthatják a kockázatot, mint egy éves ciklus.
Egyhetes mentési terv az audit előtt
Vegyünk egy 180 fős SaaS- vagy FinTech-szolgáltatót, amely ISO/IEC 27001:2022 felügyeleti auditra, DORA ügyféloldali kellő gondossági vizsgálatra, GDPR elszámoltathatósági felülvizsgálatra és NIS2 által vezérelt ügyfélkérdésekre készül. A CISO-nak egy hete van arra, hogy az általános teljesítési nyilvántartásokat igazolható bizonyítékcsomaggá alakítsa.
1. nap: Hatály és kötelezettségek megerősítése
Használja az ISO/IEC 27001:2022 4.1–4.4. szakaszait a kontextus, az érdekelt felek és az IBIR alkalmazási területének megerősítésére. Rögzítse az ügyfélszerződéses kötelezettségvállalásokat, a GDPR adatkezelői vagy adatfeldolgozói kötelezettségeket, a kritikus ügyfelektől érkező NIS2-elvárásokat és a DORA-val kapcsolatos IKT-beszállítói átvilágítási kéréseket.
Ezután fordítsa ezeket a kötelezettségeket képzési igényekké. A GDPR megköveteli, hogy a személyes adatokat kezelő munkatársak értsék a bizalmasságot, az adattakarékosságot, a megőrzést és az incidenseszkalációt. A NIS2 kiberhigiéniát, munkavállalói képzést és vezetői felügyeletet követel meg. A DORA által vezérelt ügyfelek bizonyítékot várnak arra, hogy a kritikus szolgáltatásokat támogató csapatok értik az incidenseszkalációt, a rezilienciát, a hozzáférés-szabályozást, a biztonsági mentést és helyreállítást, valamint a harmadik féllel való koordinációt.
2. nap: Szerepköralapú mátrix felépítése
Használja a Zenith Blueprint iránymutatását és a Zenith Controls megfeleltetéseit az ISO/IEC 27002:2022 5.2 és 6.3 kontrollokhoz. Vonja be a munkavállalókat, vállalkozókat, kiemelt jogosultságú felhasználókat, fejlesztőket, támogatási csapatokat, HR-t, pénzügyet, felsővezetőket és incidenskezelőket.
Kapcsoljon minden szerepkört rendszerekhez és kockázatokhoz. A fejlesztők biztonságos kódolást és sérülékenységkezelést kapnak. A támogatási csapatok identitásellenőrzést és biztonságos jegykezelést kapnak. A pénzügy fizetési csalásra és beszállítói változások ellenőrzésére kap képzést. A felsővezetők irányítást, jogi elszámoltathatóságot, kockázatvállalási hajlandóságot és válsághelyzeti döntéshozatalt kapnak.
3. nap: Szabályzat és hozzárendelések összehangolása
Vezesse be vagy frissítse a megfelelő Clarysec-szabályzatot. Könnyű működési modellhez használja a KKV-szabályzatot, erősebb irányítási és bizonyítékfelelősségi modellhez pedig a vállalati szabályzatot. Ellenőrizze, hogy a szabályzat tartalmazza a beléptetést, az éves ismétlő képzéseket, a szerepköralapú modulokat, a bizonyítékok megőrzését, a vállalkozók lefedettségét és a változás által kiváltott képzést.
Tegye közzé a szabályzatot, gyűjtse be a tudomásulvételeket, és kapcsolja a képzési modulokat a munkaköri családokhoz a HRIS-ben vagy az LMS-ben.
4. nap: Célzott képzés lebonyolítása
Ne képezzen mindenkit mindenre. Mindenkit képezzen az alapkontrollokra, majd rendeljen hozzá szerepkör-specifikus modulokat.
Az alapmodulnak le kell fednie az adathalászatot és a szociális manipulációt, a biztonságos jelszóhasználatot és a többtényezős hitelesítést, az elfogadható használatot, az információk biztonságos kezelését, az incidensbejelentési csatornákat, az elveszett eszközök bejelentését és az adatvédelmi alapokat.
A szerepkör-specifikus moduloknak le kell fedniük a biztonságos SDLC-t a fejlesztők számára, az emelt jogosultságú hozzáférést és a biztonsági mentések helyreállítását az IT számára, a munkavállalói adatokat a HR számára, a fizetési csalásokat a pénzügy számára, az incidensosztályozást az incidenskezelők számára, valamint a NIS2 és DORA irányítást a felsővezetők számára.
5. nap: Bizonyíték exportálása és ellenőrzése
Hozza létre a hatmappás bizonyítékcsomagot. Exportálja a teljesítési jelentéseket, a tudásteszt-pontszámokat, a kurzusverzió-számokat, a szabályzati tudomásulvételeket és a képzési ütemezéseket. Azonosítsa a nem teljesítéseket, és nyisson helyesbítő intézkedéseket.
Ezután interjúkkal ellenőrizze a megértést. Tegyen fel kérdéseket különböző szervezeti egységek munkavállalóinak:
- Milyen biztonsági képzést teljesített?
- Hogyan jelent be egy gyanús e-mailt?
- Mit tenne, ha elveszítene egy laptopot?
- Hol találja az információbiztonsági szabályzatot?
- Milyen személyes adatokat kezel a szerepkörében?
Rögzítse az eredményeket belső auditori mintaként. Az auditorok gyakran interjúkkal ellenőrzik, hogy a tudatosság valóban beépült-e, nem csupán megtörtént-e a képzés.
6. nap: Képzés összekapcsolása az incidenskezeléssel
Használja az incidensbejelentési képzést hídként az ISO/IEC 27002:2022 6.8 kontroll, a NIS2 Article 23 és a DORA Articles 17 to 19 felé.
A NIS2 Article 23 szakaszos jelentést ír elő a jelentős incidensekre, beleértve az észleléstől számított 24 órán belüli korai figyelmeztetést, a 72 órán belüli értesítést és az egy hónapon belüli végső jelentést. A DORA előírja, hogy a jelentős IKT-val kapcsolatos incidenseket a kötelező jelentési életciklus szerint osztályozni, eszkalálni, kommunikálni és jelenteni kell.
A munkavállalóknak nem kell kívülről tudniuk a jogi határidőket, de a feltételezett incidenseket elég gyorsan kell jelenteniük ahhoz, hogy a szervezet teljesíteni tudja azokat.
A Zenith Blueprint „Kontrollok működés közben” fejezetének „16. lépés: Személyi kontrollok II” részében a Clarysec kimondja:
„A hatékony incidenskezelési rendszer nem eszközökkel, hanem emberekkel kezdődik.”
Ez nem puha ajánlás. Ez működési reziliencia.
7. nap: Auditnarratíva előkészítése
A végső auditnarratíva legyen rövid és bizonyítékokkal alátámasztott:
„A képzési igényeket az IBIR-szerepkörök, a jogszabályi és szerződéses kötelezettségek, a kockázatértékelési eredmények és a rendszerhozzáférések alapján azonosítottuk. Az alapszintű és szerepköralapú modulokat az LMS-en keresztül rendeltük hozzá. Megőriztük a teljesítési nyilvántartásokat, tudásteszt-pontszámokat, tartalomverziókat és tudomásulvételeket. Az eredményességet adathalász szimulációkkal, interjúkkal és incidensbejelentési mutatókkal teszteltük. A nem teljesítést helyesbítő intézkedésként követjük nyomon. A vezetés évente és jelentős változások után felülvizsgálja a programot.”
Bizonyítékokkal alátámasztva ez a narratíva megállja a helyét az ISO/IEC 27001:2022 auditkérdések, a NIS2 irányítási vizsgálatok, a DORA ügyféloldali átvilágítás, a GDPR elszámoltathatósági felülvizsgálat és a NIST-jellegű kontrollértékelés során.
Keresztmegfelelési megfeleltetés a biztonságtudatossági képzéshez
A biztonságtudatosságot gyakran tévesen HR-feladatként sorolják be. A gyakorlatban keresztmegfelelési kontroll, amely érinti az irányítást, a kockázatkezelést, az adatvédelmet, az incidenskezelést, a beszállítói bizonyosságot és a rezilienciát.
| Keretrendszer vagy jogszabály | Képzési relevancia | Clarysec megvalósítási pont |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetencia, tudatosság, vezetői szerepvállalás, szerepkör-hozzárendelés, dokumentált információ, nyomon követés, belső audit és fejlesztés | Zenith Blueprint 5. lépés és 15. lépés, szabályzati pontok a beléptetésről, éves ismétlő képzésekről, szerepköralapú képzésről és bizonyítékokról |
| ISO/IEC 27002:2022 | 6.3 kontroll: tudatosság, oktatás és képzés, kapcsolódva az 5.2 szerepkörökhöz, a 6.8 eseménybejelentéshez és az 5.36 megfelelés nyomon követéséhez | Zenith Controls megfelelteti az attribútumokat, kapcsolódó kontrollokat, auditelvárásokat és keretrendszerek közötti összhangot |
| NIS2 | Vezetői képzés, munkavállalói kiberbiztonsági képzés, kiberhigiénia, incidenskezelési felkészültség és irányítási elszámoltathatóság | Igazgatósági modul, munkavállalói alapmodul, incidensbejelentési modul, vezetői jóváhagyási bizonyíték |
| DORA | IKT-irányítás, vezetői felügyelet, tanulás és fejlesztés, incidenseszkaláció, rezilienciatesztelés és harmadik féllel kapcsolatos elvárások | Felsővezetői képzés, IKT szerepkörmodulok, incidenskezelői képzés, beszállítói oldalra szánt bizonyítékcsomag |
| GDPR | Elszámoltathatóság, biztonságos adatkezelés, adatvédelmi szerepkörtudatosság, adatsértés-felismerés és személyes adatok kezelése | Adatvédelmi képzés HR, támogatási, értékesítési, mérnöki és incidenskezelő csapatok számára |
| NIST CSF 2.0 | GOVERN funkció, szerepkörök, szabályzatok, jogi kötelezettségek, felügyelet, profilok és fejlesztési tervezés | Jelenlegi és cél képzési profil, hiányosságnyilvántartás és priorizált intézkedési terv |
| NIST SP 800-53 Rev.5 | Tudatossági képzés, szerepköralapú képzés és képzési nyilvántartások | Megfeleltetés AT-2, AT-3 és AT-4 kontrollokhoz a Zenith Controls segítségével |
| COBIT 2019-alapú bizonyosság | Irányítási célkitűzések, elszámoltathatóság, képesség, teljesítménymutatók és vezetői jelentéstétel | Képzési KPI-k, szerepkör-felelősség, vezetőségi átvizsgálás és helyesbítő intézkedések lezárása |
A NIST CSF 2.0 különösen hasznos azoknak a szervezeteknek, amelyeknek nem ISO-s érdekelt felek felé kell érettséget magyarázniuk. Szervezeti profil módszere támogatja a jelenlegi állapot és a célállapot tervezését. Például egy jelenlegi profil kimondhatja, hogy az alapszintű tudatosság megvan, de a fejlesztői biztonságos kódolási képzés hiányos. Egy célprofil előírhatja, hogy valamennyi fejlesztő Q3-ig teljesítse a biztonságos kódolási, sérülékenység-feltárási és titokkezelési képzést.
Hogyan tesztelik az auditorok és szabályozó hatóságok a képzési bizonyítékokat
A különböző felülvizsgálók különböző kérdéseket tesznek fel, de ugyanazt az alapvető állítást vizsgálják: tudja-e a szervezet, mit kell tenniük az embereknek, és tudja-e bizonyítani, hogy felkészültek rá?
Egy ISO/IEC 27001:2022 auditor a képzési bizonyítékokat az 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 és 10.2 szakaszokhoz, valamint az A melléklet kontrolljaihoz fogja kapcsolni. Számítson kérdésekre arról, hogyan határozták meg a kompetenciakövetelményeket, hogyan ismerik meg a munkavállalók az információbiztonsági szabályzatot, hogyan képzik az új belépőket és vállalkozókat, hogyan kezelik a nem teljesítést, hogyan kapcsolódik a szerepköralapú képzés a kockázatértékeléshez és az alkalmazhatósági nyilatkozathoz, valamint hogyan értékelik az eredményességet.
A Zenith Controls rögzíti, hogy az ISO/IEC 19011:2018 szerint eljáró auditorok áttekintik a tantervet, ütemezéseket, anyagokat, részvételi nyilvántartásokat, teljesítési tanúsítványokat és az oktatói kompetenciát. Azt is rögzíti, hogy az ISO/IEC 27007:2020 szerinti auditorok interjúkat használhatnak annak megállapítására, hogy a munkavállalók tudják-e, hogyan kell incidenseket bejelenteni, és fel tudják-e idézni a képzés fő üzeneteit.
Egy NIS2-fókuszú felülvizsgálat túlmutat a teljesítési arányokon. Meg fogja kérdezni, hogy a vezető testület jóváhagyta-e és felügyelte-e a kiberbiztonsági kockázatkezelési intézkedéseket, kapott-e a vezetés képzést, rendszeres-e a munkatársak kiberhigiéniai képzése, és értik-e az incidensbejelentést. Article 21 eljárásokat is előír a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére, ezért az adathalászati mutatók, az incidensbejelentési trendek és az auditmegállapítások kontrollhatékonysági bizonyítékká válnak.
Egy DORA-felülvizsgálat, különösen ha pénzügyi ügyfél értékel egy IKT-szolgáltatót, a működési rezilienciára fog összpontosítani. Számítson kérdésekre a kritikus pénzügyi szolgáltatásokat támogató személyzetről, a fizetési rendszereket kezelő csapatok képzési nyilvántartásairól, az IKT-harmadikfél-kockázattal kapcsolatos vezetői képzésről, a DORA Article 18 szerinti incidensosztályozásról és az ügyfélkörnyezethez hozzáférő vállalkozók képzéséről.
Egy GDPR-felülvizsgálat az elszámoltathatóságra összpontosít. A szervezetnek be kell mutatnia, hogy a személyes adatokat kezelő munkatársak értik a jogszerű adatkezelést, a bizalmasságot, az adattakarékosságot, a megőrzést, a biztonságos kezelést és az adatsértés eszkalációját. SaaS-, FinTech- és menedzselt szolgáltatók esetében a képzési bizonyíték része annak igazolásának, hogy az adatvédelmi követelmények beépültek a működési magatartásba.
A kontrollhatékonyságot bizonyító mutatók
A teljesítés szükséges, de nem elég. Egy erősebb 2026-os irányítópult azt mutatja meg, javította-e a képzés a viselkedést.
| Mutató | Mit mutat | Auditértelmezés |
|---|---|---|
| Teljesítés szerepkör szerint | Teljesítették-e a hozzárendelt csoportok az előírt modulokat | Alapvető megfelelés és lefedettség |
| Új belépő teljesítése célidőn belül | Működnek-e a beléptetési kontrollok | HR- és hozzáférés-kezelési érettség |
| Kiemelt jogosultságú felhasználói képzés teljesítése | Felkészültek-e a magas kockázatú felhasználók | Kockázatalapú priorizálás |
| Adathalász szimuláció kattintási és bejelentési aránya | Javul-e a viselkedés | Tudatosság eredményessége |
| Munkavállalói incidensbejelentések | Felismerik-e és bejelentik-e az emberek az eseményeket | Kapcsolódás az incidenskezelési felkészültséghez |
| Gyanús e-mailtől a bejelentésig eltelt idő | Támogatja-e a jelentéstétel a szabályozói határidőket | NIS2 és DORA felkészültség |
| Ismétlődő nem teljesítés | Működik-e a betartatás és az eszkaláció | A megfelelés nyomon követése |
| Képzési frissítések incidensek vagy változások után | A tanulságok fejlesztést eredményeznek-e | Folyamatos fejlesztés |
Ezek a mutatók támogatják az ISO/IEC 27001:2022 9.1. szakaszának nyomon követési és mérési követelményeit, a 9.2. szakasz belső auditra vonatkozó követelményeit, a 10.1. szakasz folyamatos fejlesztési követelményeit és a 10.2. szakasz meg nem felelésre és helyesbítő intézkedésre vonatkozó követelményeit. Az ISO/IEC 27002:2022 5.36 kontroll megerősíti, hogy az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak való megfelelést nyomon kell követni, értékelni kell és helyesbíteni kell.
Gyakori megállapítások, amelyeket a Clarysec auditokban lát
Ugyanazok a gyengeségek ismétlődnek.
A szervezetek képezik a munkavállalókat, de megfeledkeznek a felsővezetőkről. A NIS2 és a DORA alatt a vezetői képzés az irányítás része, nem érettségi bónusz.
A szervezetek megtartják az éves képzést, de figyelmen kívül hagyják a szerepkör-változásokat. Egy DevOps szerepkörbe átlépő támogatási mérnöknek emelt jogosultságú hozzáférésre, naplózásra, biztonsági mentésre és incidenseszkalációs képzésre van szüksége.
A szervezetek bevonják a munkavállalókat, de megfeledkeznek a vállalkozókról. A Zenith Blueprint 15. lépése azt javasolja, hogy a képzést terjesszék ki azokra a vállalkozókra vagy harmadik felekre is, akik rendszerekhez vagy adatokhoz férnek hozzá.
A szervezetek tanítják az incidensbejelentést, de félelmet keltenek. Ha a munkatársak azt hiszik, büntetést kapnak egy adathalász linkre kattintásért, hallgathatnak. A Zenith Blueprint 16. lépése az egyszerű bejelentési csatornákat, a tudatossággal támogatott bejelentést és a hibáztatásmentes kultúrát hangsúlyozza.
A szervezetek nem tudják igazolni a tartalom verziókezelését. Ha az auditor azt kérdezi, mit teljesítettek a munkavállalók márciusban, a SharePointon lévő aktuális diasor nem elegendő. Őrizze meg a ténylegesen átadott verziót.
A szervezetek elmulasztják a képzést a kockázatkezeléshez kapcsolni. Ha a zsarolóvírus, a fizetési csalás, a felhő hibás konfigurációja vagy az adatszivárgás kiemelt kockázat, a képzési tervnek célzott kezelést kell mutatnia az érintett szerepkörök számára.
Hol illeszkedik a Clarysec
A Clarysec segít a szervezeteknek egyetlen igazolható programot felépíteni öt különálló megfelelési pálya helyett.
Az Információbiztonsági tudatossági és képzési szabályzat - KKV gyakorlati alapvonalat ad a kisebb szervezeteknek: szerepköralapú elvárások, dokumentált nyilvántartások, éves frissítések, változás által kiváltott képzés és legalább hároméves megőrzés.
A vállalati Információbiztonsági tudatossági és képzési szabályzat erősebb irányítást ad a nagyobb szervezeteknek: strukturált, kockázatalapú tudatosság, beléptetés, éves ismétlő képzés, szerepköralapú modulok, CISO-felelősség a nyilvántartásokért, valamint felkészültség a GDPR, DORA és NIS2 szerinti szabályozói vizsgálatokra.
A Zenith Blueprint lépésről lépésre megmutatja a megvalósító csapatoknak, mit kell tenniük. Az 5. lépés a kompetenciát és a tudatosságot beépíti az IBIR alapjaiba. A 15. lépés működésbe állítja az ISO/IEC 27002:2022 6.3 kontrollt éves képzéssel, szerepkör-specifikus modulokkal, beléptetéssel, adathalász szimulációkkal, részvételi bizonyítékokkal, célzott közleményekkel, vállalkozói képzéssel és viselkedési megerősítéssel. A 16. lépés a tudatosságot összekapcsolja az emberek által vezérelt incidensbejelentéssel.
A Zenith Controls adja a megfelelési csapatoknak a keresztmegfeleltetést. Összekapcsolja az ISO/IEC 27002:2022 6.3 kontrollt a szerepkörökkel, az eseménybejelentéssel, a megfelelés nyomon követésével, az ISO/IEC 27005:2024 emberi tényezőből eredő kockázataival, a GDPR képzési elvárásaival, a NIS2 Article 21 követelményeivel, a DORA IKT-képzéssel, a NIST tudatossági kontrolljaival és az auditmódszertanokkal. Emellett összekapcsolja az 5.2 kontrollt az irányítási felelősségekkel, valamint az 5.36 kontrollt a megfelelés nyomon követésével és a helyesbítő intézkedésekkel.
Ezek az erőforrások együtt lehetővé teszik a CISO számára, hogy ne csak azt magyarázza el, milyen képzés történt, hanem azt is, miért történt, ki írta elő, milyen kockázatot kezelt, hogyan bizonyították, és hogyan javul.
Tegye most auditra késszé a biztonsági képzési bizonyítékokat
Ha a jelenlegi bizonyítéka egy táblázat, egy diasor és a remény, hogy a munkavállalók emlékeznek a bejelentési e-mail-címre, itt az idő az érettség növelésére.
Kezdje négy lépéssel ezen a héten:
- Hozzon létre szerepköralapú képzési mátrixot, amely kapcsolódik az IBIR-felelősségekhez, a rendszerhozzáférésekhez és a szabályozási kötelezettségekhez.
- Vezesse be vagy frissítse Clarysec tudatossági szabályzatát az Információbiztonsági tudatossági és képzési szabályzat - KKV vagy az Információbiztonsági tudatossági és képzési szabályzat használatával.
- Építse fel a hatmappás bizonyítékcsomagot az irányításhoz, szerepkör-megfeleltetéshez, tartalomhoz, teljesítéshez, eredményességhez és fejlesztéshez.
- Használja a Zenith Blueprint és a Zenith Controls erőforrásokat a képzési bizonyítékok ISO/IEC 27001:2022, NIS2, DORA, GDPR és NIST auditelvárásokhoz történő megfeleltetésére.
A biztonságtudatosság akkor értékes, ha megváltoztatja a viselkedést. A megfelelési bizonyíték akkor értékes, ha ezt a viselkedést következetesen igazolja.
A Clarysec segít mindkettő felépítésében.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
