NIS2 kiberhigiéniai bizonyítékok megfeleltetése ISO 27001 szerint
Hétfő reggel 08:40 van. Sarah, egy gyorsan növekvő B2B SaaS szolgáltató CISO-ja, a nyitott kockázatkezelési intézkedések szokásos felülvizsgálatára számítva csatlakozik a vezetői egyeztetéshez. Ehelyett a jogi vezető egy jóval élesebb kérdéssel kezd:
„Ha a nemzeti illetékes hatóság holnap azt kéri, hogy igazoljuk a NIS2 Article 21 szerinti kiberhigiéniát és kiberbiztonsági képzést, pontosan mit küldünk?”
A HR-igazgató szerint minden munkavállaló teljesítette az éves tudatossági képzést. A SOC vezetője szerint javulnak az adathalászati szimulációk eredményei. Az IT-üzemeltetési vezető szerint a többtényezős hitelesítés kötelező, a biztonsági mentéseket tesztelik, a javítások telepítését pedig nyomon követik. A megfelelési vezető szerint az ISO/IEC 27001:2022 auditdokumentáció tartalmazza a képzési nyilvántartásokat, de a DORA projektcsapatnak saját rezilienciaképzési bizonyítékai vannak, miközben a GDPR mappában külön adatvédelmi tudatossági naplók találhatók.
Mindenki végzett munkát. Senki sem biztos abban, hogy a bizonyítékok egyetlen koherens történetet támasztanak alá.
Ez a NIS2 Article 21 valódi problémája az alapvető és fontos szervezetek számára. A követelmény nem egyszerűen annyi, hogy „képezzük a felhasználókat”. Az Article 21 megfelelő és arányos technikai, működési és szervezeti intézkedéseket ír elő a kiberkockázat kezelésére. A minimális kontrollkészlet része a kiberhigiénia és a kiberbiztonsági képzés, de ugyanígy az incidenskezelés, az üzletmenet-folytonosság, az ellátási lánc biztonsága, a sérülékenységek kezelése, a kriptográfia, a HR-biztonság, a hozzáférés-szabályozás, az eszközkezelés, a többtényezős hitelesítés vagy folyamatos hitelesítés, a biztonságos kommunikáció, valamint az eredményesség értékelésére szolgáló eljárások is.
A kiberhigiénia nem tudatossági kampány. Olyan napi működési fegyelem, amely összekapcsolja az embereket, a kontrollokat, a bizonyítékokat és a vezetői elszámoltathatóságot.
CISO-k, megfelelési vezetők, MSP-k, SaaS szolgáltatók, felhőüzemeltetők és digitális szolgáltatók számára a gyakorlati válasz nem egy külön „NIS2 képzési projekt” létrehozása. Erősebb megközelítés egyetlen auditra kész bizonyítéklánc kialakítása egy ISO/IEC 27001:2022 szerinti információbiztonság-irányítási rendszeren (IBIR) belül, amelyet az ISO/IEC 27002:2022 kontrollgyakorlatai támogatnak, az ISO/IEC 27005:2022 szerint kockázatalapon kezelnek, és NIS2, DORA, GDPR, NIST-jellegű bizonyossági, valamint COBIT 2019 irányítási elvárásokhoz kapcsolódó kereszthivatkozások egészítenek ki.
Miért teszi a NIS2 Article 21 a képzést vezető testületi bizonyítékká
A NIS2 számos olyan közepes és nagy szervezetre vonatkozik az Annex I és Annex II ágazataiban, amelyek szolgáltatásokat nyújtanak vagy tevékenységet végeznek az Unióban. Technológiai vállalatok esetében a hatály szélesebb lehet, mint amire sok vezetői csapat számít. Az Annex I a digitális infrastruktúrát fedi le, ideértve a felhőszolgáltatók, az adatközponti szolgáltatók, a tartalomszolgáltató hálózatok szolgáltatói, a bizalmi szolgáltatók, a DNS-szolgáltatók és a TLD-nyilvántartók körét. Az Annex I lefedi a B2B IKT-szolgáltatásmenedzsmentet is, beleértve a menedzselt szolgáltatókat és a menedzselt biztonsági szolgáltatókat. Az Annex II olyan digitális szolgáltatókat tartalmaz, mint az online piacterek, online keresőmotorok és közösségi hálózati szolgáltatási platformok.
Egyes szervezetek mérettől függetlenül is hatály alá tartozhatnak, ideértve bizonyos DNS-szolgáltatókat és TLD-nyilvántartókat. Nemzeti kritikalitási döntések kisebb szolgáltatókat is hatály alá vonhatnak, ha a kiesés közbiztonságot, rendszerszintű kockázatot vagy alapvető szolgáltatásokat érinthet.
Az Article 21(1) előírja, hogy az alapvető és fontos szervezetek vezessenek be megfelelő és arányos technikai, működési és szervezeti intézkedéseket az üzemeltetéshez vagy szolgáltatásnyújtáshoz használt hálózati és információs rendszereket érintő kockázatok kezelésére, valamint az incidensek hatásának megelőzésére vagy csökkentésére. Az Article 21(2) felsorolja a minimális intézkedéseket, beleértve a kockázatelemzésre és információs rendszerbiztonságra vonatkozó szabályzatokat, az incidenskezelést, az üzletmenet-folytonosságot, az ellátási lánc biztonságát, a biztonságos beszerzést és karbantartást, az eredményesség értékelését, az alapvető kiberhigiéniai gyakorlatokat és kiberbiztonsági képzést, a kriptográfiát, a HR-biztonságot, a hozzáférés-szabályozást, az eszközkezelést, valamint adott esetben a többtényezős hitelesítést vagy folyamatos hitelesítést.
Az Article 20 emeli a tétet. A vezető testületeknek jóvá kell hagyniuk a kiberbiztonsági kockázatkezelési intézkedéseket, felügyelniük kell azok végrehajtását, és jogsértések esetén felelősségre vonhatók. A vezető testületek tagjainak képzésen kell részt venniük, a szervezeteket pedig arra ösztönzik, hogy hasonló rendszeres képzést biztosítsanak a munkavállalók számára is, hogy azonosítani tudják a kockázatokat, és értékelni tudják a kiberbiztonsági kockázatkezelési gyakorlatokat, valamint azok szolgáltatásokra gyakorolt hatását.
Az Article 34 pénzügyi nyomást is teremt. Az Article 21 vagy Article 23 megsértése közigazgatási bírságokat vonhat maga után, amelyek alapvető szervezeteknél legalább 10 000 000 EUR-t vagy a világméretű éves árbevétel 2%-át, fontos szervezeteknél pedig legalább 7 000 000 EUR-t vagy 1,4%-ot érhetnek el, attól függően, hogy melyik a magasabb.
Ezért nem elegendő az, hogy „megtartottuk az éves tudatossági képzést”. Egy szabályozó hatóság, ISO-auditor, ügyféloldali biztonsági értékelő vagy kiberbiztosító olyan bizonyítékokat vár el, amelyek igazolják, hogy a képzés szerepkör-alapú, kockázatalapú, naprakész, mért, incidensekhez kapcsolódik, és azt a vezetés érti.
A Clarysec vállalati Információbiztonsági tudatossági és képzési szabályzata, 5.1.1.3 pontja előírja, hogy a képzésnek:
Le kell fednie olyan témákat, mint az adathalászat, a biztonságos jelszóhasználat, az incidensbejelentés és -kezelés, a fizikai biztonság, valamint az adatvédelem és adattakarékosság
Ugyanezen szabályzat 8.3.1.1 pontja azonosítja azt a bizonyítékkört, amelyet az auditorok általában elsőként kérnek:
A képzés hozzárendelésére, tudomásulvételére és teljesítésére vonatkozó nyilvántartások
KKV-k számára a Clarysec Információbiztonsági tudatossági és képzési szabályzat - KKV, 8.4.1 pontja még közvetlenebbül fogalmaz az ellenőrizhetőségről:
A képzési nyilvántartások belső audit és külső felülvizsgálat tárgyát képezik. A nyilvántartásoknak pontosnak, teljesnek és kérésre igazolhatónak kell lenniük (például ISO-tanúsítás, GDPR-audit vagy biztosítói ellenőrzés céljára).
Ez a mondat ragadja meg a különbséget aközött, amikor a tudatosság HR-tevékenység, és amikor megfelelési kontroll. Ha a nyilvántartások hiányosak, nem ellenőrizhetők, vagy nem kapcsolódnak a szerepköri kockázatokhoz, a kontroll működhet operatív szinten, audit alatt mégis elbukhat.
Az ISO/IEC 27001:2022 használata bizonyítéki gerincként
Az ISO/IEC 27001:2022 természetes gerincet ad a NIS2 Article 21 teljesítéséhez, mert rákényszeríti a szervezetet a hatály, az érdekelt felek, a kockázatok, a kontrollok, a célkitűzések, a bizonyítékok, a belső audit, a vezetőségi felülvizsgálat és a folyamatos fejlesztés meghatározására.
A 4.1–4.4 pontok előírják, hogy a szervezet értse meg a belső és külső tényezőket, határozza meg az érdekelt feleket és követelményeiket, definiálja az IBIR hatályát, vegye figyelembe a más szervezetek által végzett tevékenységekkel fennálló interfészeket és függőségeket, és az IBIR-t egymással kölcsönhatásban álló folyamatok készleteként tartsa fenn. Egy SaaS szolgáltató vagy MSP esetében az IBIR hatályának kifejezetten tartalmaznia kell a NIS2-kötelezettségeket, az ügyfélszerződésekből eredő kötelezettségeket, a felhőszolgáltatóktól való függőségeket, a kiszervezett SOC-lefedettséget, az adatkezelési szerepeket és a szolgáltatás rendelkezésre állására vonatkozó vállalásokat.
Az 5.1–5.3 pontok az irányítási elszámoltathatóságot hozzák be. A felső vezetésnek összhangba kell hoznia az információbiztonsági szabályzatot és célkitűzéseket a stratégiai iránnyal, integrálnia kell az IBIR-követelményeket az üzleti folyamatokba, erőforrásokat kell biztosítania, felelősségeket kell kijelölnie, és biztosítania kell a teljesítményjelentést. Ez közvetlenül illeszkedik a NIS2 Article 20-hoz, ahol a vezető testületek jóváhagyják és felügyelik a kiberbiztonsági kockázatkezelési intézkedéseket.
A 6.1.1–6.1.3 és 6.2 pontok a jogi elvárásokat kockázatkezeléssé alakítják. A szervezetnek meg kell terveznie a kockázatokra és lehetőségekre vonatkozó intézkedéseket, ismételhető információbiztonsági kockázatértékelési folyamatot kell működtetnie, meg kell határoznia a kockázattulajdonosokat, ki kell választania a kezelési opciókat, össze kell vetnie a kontrollokat az A melléklettel, el kell készítenie az alkalmazhatósági nyilatkozatot, meg kell fogalmaznia a kezelési tervet, be kell szereznie a kockázattulajdonosi jóváhagyást, és mérhető biztonsági célkitűzéseket kell kitűznie.
Itt válik kezelhetővé a NIS2 Article 21. Nincs szükség elszigetelt NIS2 tudatossági programra. Megfeleltetett kockázati és kontrollnarratívára van szükség.
| NIS2 követelményterület | ISO/IEC 27001:2022 bizonyítéki mechanizmus | Gyakorlati bizonyíték |
|---|---|---|
| Vezetői jóváhagyás és felügyelet | 5.1, 5.3, 9.3 pontok | Vezető testületi jegyzőkönyvek, vezetőségi felülvizsgálati csomag, szerepkör-hozzárendelések, költségvetési jóváhagyások |
| Kiberhigiénia és képzés | 7.2 pont, 7.3 pont, A melléklet szerinti személyi és technológiai kontrollok | Képzési terv, LMS-exportok, szerepkörmátrix, adathalászati eredmények, szabályzati tudomásulvételek |
| Kockázatelemzés és biztonsági szabályzat | 6.1.2, 6.1.3, 6.2 pontok | Kockázatértékelés, kockázatkezelési terv, alkalmazhatósági nyilatkozat, biztonsági célkitűzések |
| Eredményesség értékelése | 9.1, 9.2, 10.2 pontok | KPI-k, belső audit eredményei, helyesbítő intézkedések, kontrolltesztelési eredmények |
| Incidenskezelés és bejelentési felkészültség | A melléklet szerinti incidenskezelési kontrollok | Incidenskezelési eljárásrendek, eszkalációs naplók, szimulációs gyakorlatok jelentései, bizonyítékmegőrzési nyilvántartások |
| Ellátási lánc és felhőfüggőség | A melléklet szerinti beszállítói és felhőszolgáltatási kontrollok | Beszállítói nyilvántartás, átvilágítási dokumentáció, szerződések, kilépési tervek, szolgáltatás-felülvizsgálatok |
| Hozzáférés, eszközkezelés és többtényezős hitelesítés | A melléklet szerinti hozzáférési, eszköz- és identitáskontrollok | Eszköznyilvántartás, hozzáférés-felülvizsgálatok, többtényezős hitelesítési jelentések, emelt jogosultságú hozzáférési bizonyítékok |
A 8.1–8.3, 9.1–9.3 és 10.1–10.2 pontok zárják a működési ciklust. Előírják a tervezett működési kontrollt, a kockázatok újraértékelését, a kezelési tervek végrehajtását, a megfigyelést és mérést, a belső auditot, a vezetőségi felülvizsgálatot, a folyamatos fejlesztést és a helyesbítő intézkedést. Az ISO/IEC 27001:2022 így a NIS2 Article 21 bizonyíték-előállító motorjává válik, nem pusztán tanúsítási jelvénnyé.
A kiberhigiénia lefordítása ISO kontrollkapcsolódási pontokra
A „kiberhigiénia” szándékosan tág fogalom. Auditorok számára konkrét, tesztelhető kontrollokra kell lefordítani. A Clarysec a NIS2 Article 21 szerinti kiberhigiéniai bizonyítékokat általában három gyakorlati kontrollkapcsolódási ponttal kezdi az ISO/IEC 27002:2022-ből, a Zenith Controls: keresztmegfelelési útmutató értelmezése alapján.
Az első kapcsolódási pont az ISO/IEC 27002:2022 6.3 kontrollja: információbiztonsági tudatosság, oktatás és képzés. A Zenith Controls a 6.3 kontrollt megelőző kontrollként kezeli, amely támogatja a bizalmasságot, a sértetlenséget és a rendelkezésre állást. Működési képessége a humánerőforrás-biztonság, kiberbiztonsági fogalma pedig a védelem. Ez a tudatosságot védelmi kontrollként, nem kommunikációs gyakorlatként keretezi.
A Zenith Controls azt is bemutatja, hogyan függ a 6.3 más kontrolloktól, és hogyan erősíti azokat. Kapcsolódik az 5.2 információbiztonsági szerepkörökhöz és felelősségekhez, mert a képzésnek tükröznie kell a kijelölt felelősségeket. Kapcsolódik a 6.8 információbiztonsági eseménybejelentéshez, mert a munkatársak nem tudnak jelenteni olyasmit, amit nem ismernek fel. Kapcsolódik a 8.16 megfigyelési tevékenységekhez, mert a SOC-elemzőknek és az üzemeltetési munkatársaknak képzésre van szükségük az anomáliák felismeréséhez és a reagálási előírások követéséhez. Kapcsolódik az 5.36 információbiztonsági szabályzatoknak, szabályoknak és szabványoknak való megfeleléshez, mert a szabályzatok csak akkor működnek, ha az emberek értik őket.
Ahogy a Zenith Controls megfogalmazza az ISO/IEC 27002:2022 6.3 kontrollról:
A megfelelés a tudatosságon múlik. A 6.3 biztosítja, hogy a munkavállalók ismerjék a biztonsági szabályzatokat, és értsék személyes felelősségüket azok betartásában. A rendszeres oktatás és képzés csökkenti annak kockázatát, hogy ismerethiány miatt nem szándékos szabályzatsértések történjenek.
A második kapcsolódási pont az ISO/IEC 27002:2022 5.10 kontrollja, az információk és más kapcsolódó vagyonelemek elfogadható használata. A kiberhigiénia azon múlik, hogy az emberek értik-e, mit tehetnek a végpontokkal, felhőmeghajtókkal, SaaS eszközökkel, együttműködési platformokkal, cserélhető adathordozókkal, éles adatokkal, tesztadatokkal és AI-képességekkel rendelkező eszközökkel. A Zenith Controls az 5.10-et megelőző kontrollként felelteti meg az eszközkezelés és információvédelem területén. A gyakorlatban az elfogadható használat bizonyítéka nem csupán egy aláírt szabályzat. Magában foglalja annak igazolását, hogy a szabályzat lefedi a valós eszközkört, a beléptetés tartalmaz tudomásulvételt, a megfigyelés támogatja a betartatást, és a kivételeket kezelik.
A harmadik kapcsolódási pont az ISO/IEC 27002:2022 5.36 kontrollja, az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak való megfelelés. Ez az auditkapcsolat. A Zenith Controls az 5.36-ot megelőző irányítási és bizonyossági kontrollként felelteti meg. Kapcsolódik az 5.1 információbiztonsági szabályzatokhoz, a 6.4 fegyelmi eljáráshoz, az 5.35 független információbiztonsági felülvizsgálathoz, az 5.2 szerepkörökhöz és felelősségekhez, az 5.25 információbiztonsági események értékeléséhez és az azokról való döntéshez, a 8.15 naplózáshoz, a 8.16 megfigyelési tevékenységekhez és az 5.33 nyilvántartások védelméhez.
A NIS2 Article 21 szempontjából ez kulcsfontosságú. A szabályozó hatóságok és auditorok nemcsak azt kérdezik, hogy létezik-e szabályzat. Azt kérdezik, hogy a betartást nyomon követik-e, a szabálysértéseket észlelik-e, a bizonyítékokat védik-e, történik-e helyesbítő intézkedés, és a vezetés látja-e az eredményeket.
NIS2 kiberhigiéniai és képzési bizonyítékcsomag összeállítása
Vegyünk egy közepes méretű SaaS szolgáltatót, amely NIS2-felkészültségre és ISO/IEC 27001:2022 felügyeleti auditra készül. A szervezetnek 310 munkavállalója van, köztük fejlesztők, SRE-k, támogatási munkatársak, értékesítők, vállalkozók és felsővezetők. Felhőalapú munkafolyamat-szolgáltatásokat nyújt EU-ügyfeleknek, és egy hiperskálás felhőszolgáltatóra, két identitásplatformra, egy kiszervezett MDR-szolgáltatóra és több alvállalkozásba adott támogatási eszközre támaszkodik.
A megfelelési vezetőnek vannak képzési exportjai az LMS-ből, de ezek nincsenek megfeleltetve a NIS2 Article 21-hez, ISO-kontrollokhoz, üzleti szerepkörökhöz vagy kockázati forgatókönyvekhez. Egy gyakorlati helyesbítő sprint hat komponensből álló kiberhigiéniai és képzési bizonyítékcsomagot hoz létre.
| Bizonyítékkomponens | Mit igazol | Felelős | Auditteszt |
|---|---|---|---|
| Szerepkör-alapú képzési mátrix | A képzés illeszkedik a felelősségekhez és a kockázati kitettséghez | IBIR-vezető és HR | Szerepkörök mintavétele és annak ellenőrzése, hogy a szükséges modulokat hozzárendelték-e |
| Éves képzési terv | A kompetencia és a tudatosság tervezett, nem eseti | IBIR-vezető | Dátumok, témák, célközönség, jóváhagyás és teljesítési célok ellenőrzése |
| LMS teljesítési export | A munkatársak teljesítették a hozzárendelt képzést | HR vagy HR-műveletek | Munkavállalói lista egyeztetése a teljesítési jelentéssel, belépőkkel és kilépőkkel |
| Adathalászati szimulációs jelentés | A tudatosság eredményességét mérik | Biztonsági üzemeltetés | Kampányeredmények, ismételten kattintó felhasználók és helyreállító képzés felülvizsgálata |
| Szabályzati tudomásulvételi napló | A munkatársak elfogadták a szabályokat és felelősségeket | HR és megfelelés | Biztonsági, elfogadható használati és incidensbejelentési szabályzatok tudomásulvételének megerősítése |
| Vezetőségi felülvizsgálati összefoglaló | A vezetés felügyeli a trendeket és a helyesbítő intézkedéseket | CISO és felsővezetői szponzor | Annak ellenőrzése, hogy a jegyzőkönyv tartalmaz-e mutatókat, kivételeket, kockázatokat és döntéseket |
A kulcs a visszakövethetőség.
Kezdje a NIS2 Article 21(2)(g) ponttal: alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés. Kapcsolja az ISO/IEC 27001:2022 7.2 és 7.3 pontjaihoz a kompetencia és tudatosság tekintetében, a 9.1 és 9.2 pontokhoz a megfigyelés és audit szempontjából, valamint az A melléklet szerinti kontrollokhoz, beleértve a tudatosságot, az elfogadható használatot, a sérülékenységkezelést, a konfigurációkezelést, a biztonsági mentéseket, a naplózást, a megfigyelést, a kriptográfiát, a hozzáférés-szabályozást és az incidenskezelést. Ezután kapcsolja a bizonyítékokat a kockázati nyilvántartáshoz.
| Szerepkörcsoport | NIS2 kiberhigiéniai kockázat | Szükséges képzés | Bizonyíték |
|---|---|---|---|
| Valamennyi munkatárs | Adathalászat, gyenge jelszavak, hiányos incidensbejelentés, adatok nem megfelelő kezelése | Alapszintű biztonságtudatossági képzés, biztonságos jelszóhasználat, többtényezős hitelesítés, adatvédelem, incidensbejelentés | LMS-teljesítés, tudásteszt pontszáma, szabályzati tudomásulvétel |
| Felsővezetők | Kockázatelfogadás, jogi felelősség, válsághelyzeti döntések, jelentéstételi felügyelet | Irányítási kötelezettségek, NIS2 vezetői felelősségek, incidens-eszkaláció, kockázatvállalási hajlandóság | Felsővezetői workshop jelenléti ív, vezető testületi csomag, döntési napló |
| Fejlesztők | Sérülékenységek, nem biztonságos kód, titkos adatok kitettsége, nem biztonságos tesztadat | Biztonságos kódolás, függőségkezelés, sérülékenység-bejelentés, adattakarékosság | Képzési nyilvántartás, biztonságos SDLC ellenőrzőlista, kód-felülvizsgálati minták |
| SRE és IT-üzemeltetés | Hibás konfiguráció, javítási késedelem, biztonsági mentési hiba, naplózási hiányosságok | Javításkezelés, biztonságos konfiguráció, biztonsági mentés helyreállítása, megfigyelés, incidensreagálás | Javítási jelentés, biztonsági mentési teszt, SIEM-riasztási bizonyíték, szimulációs gyakorlat jelentése |
| Ügyféltámogatás | Szociális manipuláció, jogosulatlan közzététel, adatvédelmi incidens | Identitásellenőrzés, adatkezelés, eszkaláció, incidensbejelentés | CRM-hozzáférés-felülvizsgálat, képzési nyilvántartás, támogatási QA-minta |
| Hozzáféréssel rendelkező vállalkozók | Nem egyértelmű kötelezettségek, kezeletlen hozzáférés, adatszivárgás | Rövidített biztonsági beléptetés, elfogadható használat, bejelentési útvonal | Vállalkozói tudomásulvétel, hozzáférés-jóváhagyás, kiléptetési bizonyíték |
A vállalati Információbiztonsági tudatossági és képzési szabályzat támogatja ezt a struktúrát. Az 5.1.2.4 pont kifejezetten tartalmazza a felsővezetői képzési témákat:
Felsővezetők (például irányítás, kockázatelfogadás, jogi kötelezettségek)
Ez a sor fontos a NIS2 Article 20 alapján, mert a vezetői képzés nem opcionális. Ha a vezető testület jóváhagyja a kockázatkezelési intézkedéseket, de nem tudja elmagyarázni a kockázatelfogadást, az incidensküszöböket vagy a felügyeleti rutinokat, a bizonyítéklánc megszakad.
A Clarysec Információbiztonsági szabályzat - KKV, 6.4.1 pontja megmutatja, hogyan válik a kiberhigiénia napi kontrollmagatartássá:
A kötelező biztonsági kontrollokat következetesen kell alkalmazni, beleértve a rendszeres biztonsági mentéseket, a vírusirtó frissítéseket, az erős jelszavakat és az érzékeny dokumentumok biztonságos megsemmisítését.
Ez a gyakorlati kiberhigiénia tömör KKV-megfogalmazása. Az auditor továbbra is bizonyítékot kér, például biztonsági mentési feladatjelentéseket, EDR-lefedettséget, jelszó- vagy többtényezős hitelesítési konfigurációt és biztonságos megsemmisítési naplókat, de a szabályzat rögzíti az elvárt magatartást.
A NIS2 Article 21 megfeleltetése auditbizonyítékoknak
Az auditorok a kontroll működését tesztelik, nem a szlogeneket. Követik az aranyszálat a jogi követelménytől az IBIR hatályán, a kockázatértékelésen, az alkalmazhatósági nyilatkozaton, a szabályzaton, az eljáráson, a bizonyítékon és a vezetőségi felülvizsgálaton át.
| NIS2 Article 21 terület | ISO/IEC 27001:2022 vagy ISO/IEC 27002:2022 megfeleltetés | Clarysec hivatkozás | Elsődleges auditbizonyíték |
|---|---|---|---|
| Kiberbiztonsági képzés | 7.2 pont, 7.3 pont, A.6.3 információbiztonsági tudatosság, oktatás és képzés | Információbiztonsági tudatossági és képzési szabályzat | Képzési szabályzat, éves terv, LMS-nyilvántartások, adathalászati eredmények, beléptetési ellenőrzőlista, vezető testületi képzési jegyzőkönyvek |
| Elfogadható kiberhigiéniai magatartás | A.5.10 információk és más kapcsolódó vagyonelemek elfogadható használata | Információbiztonsági szabályzat - KKV | Elfogadható használat tudomásulvétele, beléptetési nyilvántartások, kivételi nyilvántartások, megfigyelési bizonyítékok |
| Sérülékenységi és javítási higiénia | A.8.8 műszaki sérülékenységek kezelése | Zenith Blueprint 19. lépés | Sérülékenységvizsgálatok, javítási jelentések, helyesbítő jegyek, kockázatelfogadási nyilvántartások |
| Biztonságos konfiguráció | A.8.9 konfigurációkezelés | Zenith Blueprint 19. lépés | Biztonságos alapbeállítások, konfiguráció-felülvizsgálatok, változás-jóváhagyások, konfigurációsodródási jelentések |
| Reziliencia és helyreállítás | A.8.13 információk biztonsági mentése | Információbiztonsági szabályzat - KKV | Biztonsági mentési naplók, helyreállítási tesztek, biztonsági mentési hibák felülvizsgálatai, helyreállítási bizonyítékok |
| Észlelés és reagálás | A.8.15 naplózás, A.8.16 megfigyelési tevékenységek, A.6.8 információbiztonsági eseménybejelentés | Zenith Controls | SIEM-riasztások, megfigyelési eljárások, incidensbejelentési képzés, szimulációs gyakorlatok eredményei |
| Kriptográfiai védelem | A.8.24 kriptográfia használata | ISO/IEC 27001:2022 A melléklet | Titkosítási szabványok, kulcskezelési bizonyítékok, TLS-konfiguráció, tárolási titkosítási jelentések |
| Bizonyítékok sértetlensége | A.5.33 nyilvántartások védelme | Zenith Controls | Szabályozott auditmappák, export-időbélyegek, megőrzési szabályok, hozzáférési naplók |
Egy szabályozó hatóság nem feltétlenül ISO-terminológiát használ, de a bizonyítéki út ugyanaz marad. Mutassa be, hogy a követelményt azonosították, kockázatértékelték, kezelték, végrehajtották, nyomon követték, jelentették a vezetésnek és fejlesztették.
A Zenith Blueprint használata a tervtől a bizonyítékig
A Zenith Blueprint: egy auditor 30 lépéses ütemterve gyakorlati útvonalat ad a csapatoknak a szándéktól a bizonyítékig. Az IBIR megalapozása és vezetése fázis 5. lépésében, a kommunikáció, tudatosság és kompetencia területén a Blueprint arra utasítja a szervezeteket, hogy azonosítsák a szükséges kompetenciákat, értékeljék a jelenlegi kompetenciákat, biztosítsanak képzést a hiányosságok megszüntetésére, tartsák fenn a kompetencianyilvántartásokat, és a kompetenciát folyamatos feladatként kezeljék.
A Blueprint intézkedési pontja szándékosan operatív:
Végezzen gyors képzési igényfelmérést. Sorolja fel a fő IBIR-szerepköröket (a 4. lépés alapján), és mindegyikhez írja le, milyen ismert képzéssel vagy tanúsítással rendelkeznek, illetve milyen további képzés lehet hasznos. Sorolja fel az összes munkavállaló számára szükséges általános biztonságtudatossági témákat is. Ennek alapján készítsen egyszerű képzési tervet a következő évre – például: „Q1: biztonságtudatossági képzés minden munkatárs számára; Q2: haladó incidensreagálási képzés az IT számára; Q3: ISO 27001 belső auditor képzés két csapattag számára; …”.
A kontrollok működésben fázis 15. lépésében, a személyi kontrollok I területén a Zenith Blueprint kötelező éves képzést ajánl minden munkavállaló számára, szerepkör-specifikus modulokat, új belépők biztonsági beléptetését az első héten, szimulált adathalász kampányokat, hírleveleket, csapatmegbeszéléseket, részvételi bizonyítékokat, célzott biztonsági közleményeket kialakulóban lévő fenyegetések után, valamint képzést a hozzáféréssel rendelkező vállalkozók vagy harmadik felek számára.
A 16. lépés, a személyi kontrollok II arra figyelmeztet, hogy az auditorok a végrehajtást tesztelik, nem pusztán a dokumentációt. Távmunka esetén az auditorok kérhetik a Távmunka-szabályzatot, a VPN- vagy végponttitkosítási bizonyítékot, az MDM bevezetését, a BYOD-korlátozásokat és a távmunka-óvintézkedéseket igazoló képzési nyilvántartásokat. Ha a hibrid munkavégzés része a működési modellnek, a NIS2 képzési bizonyítékoknak tartalmazniuk kell a biztonságos Wi‑Fi-használatot, az eszközök zárolását, a jóváhagyott tárolást, a többtényezős hitelesítést és az otthoni környezetből észlelt gyanús tevékenység jelentését.
A 19. lépés, a technológiai kontrollok I a kiberhigiéniát a technikai kontrollréteghez kapcsolja. A Zenith Blueprint javasolja a javítási jelentések, sérülékenységvizsgálatok, biztonságos alapbeállítások, EDR-lefedettség, malware-naplók, DLP-riasztások, biztonsági mentésből történő helyreállítások, redundanciabizonyítékok, naplózási fejlesztések és időszinkronizálás felülvizsgálatát. Az Article 21(2)(g) nem értékelhető elszigetelten. A képzett munkaerőnek továbbra is szüksége van javított végpontokra, felügyelt naplókra, tesztelt biztonsági mentésekre és biztonságos konfigurációkra.
A képzési terv kockázatalapúvá tétele az ISO/IEC 27005:2022 segítségével
Gyakori auditgyengeség az olyan általános képzési terv, amely ugyanúgy néz ki fejlesztők, pénzügyesek, támogatási munkatársak, felsővezetők és vállalkozók esetében. Az ISO/IEC 27005:2022 segít elkerülni ezt a gyengeséget azáltal, hogy a képzést a kockázatkezelés részévé teszi.
A 6.2 pont javasolja a releváns érdekelt felek alapkövetelményeinek és a megfelelési státusznak az azonosítását, beleértve az ISO/IEC 27001:2022 A mellékletét, más IBIR-szabványokat, ágazatspecifikus követelményeket, nemzeti és nemzetközi jogszabályokat, belső biztonsági szabályokat, szerződéses biztonsági kontrollokat és a korábbi kockázatkezelés során már bevezetett kontrollokat. Ez egyetlen követelmény-nyilvántartást támogat külön NIS2, ISO, DORA, GDPR, ügyfél- és biztosítói táblázatok helyett.
A 6.4.1–6.4.3 pontok kifejtik, hogy a kockázatelfogadási és értékelési kritériumoknak figyelembe kell venniük a jogi és szabályozási szempontokat, a működési tevékenységeket, a beszállítói kapcsolatokat, a technológiai és pénzügyi korlátokat, a magánszféra védelmét, a reputációs kárt, a szerződésszegéseket, a szolgáltatási szint megsértését és a harmadik felekre gyakorolt hatásokat. Egy belső hírlevélrendszert érintő adathalász incidens más, mint egy menedzselt biztonsági szolgáltatást, ügyféltámogatási platformot, fizetési integrációt vagy DNS-működést érintő hitelesítőadat-kompromittálódás.
A 7.1–7.2.2 pontok következetes, reprodukálható kockázatértékelést írnak elő, beleértve a bizalmassági, sértetlenségi és rendelkezésre állási kockázatokat, valamint a megnevezett kockázattulajdonosokat. A 8.2–8.6 pontok ezt követően irányítják a kezelési opciók kiválasztását, a kontrollok meghatározását, az A melléklettel való összevetést, az alkalmazhatósági nyilatkozat dokumentálását és a kezelési terv részletezését.
A képzés egy kezelési mód, de nem az egyetlen. Ha az ismételt adathalászati szimulációk azt mutatják, hogy a pénzügyi felhasználók sérülékenyek a számlacsalással szemben, a kezelési terv tartalmazhat ismétlő képzést, erősebb fizetési jóváhagyási munkafolyamatot, feltételes hozzáférést, postafiókszabályok nyomon követését és felsővezetői csalási forgatókönyv-gyakorlatokat.
A 9.1, 9.2, 10.4.2, 10.5.1 és 10.5.2 pontok a tervezett újraértékelést, a dokumentált módszereket, az eredményesség nyomon követését és a frissítéseket hangsúlyozzák, amikor új sérülékenységek, eszközök, technológiahasználat, jogszabályok, incidensek vagy a kockázatvállalási hajlandóság változása jelentkezik. Ez igazolja, hogy a szervezet nem fagyasztja be évente egyszer a képzési tervét.
Ugyanazon bizonyítékok újrahasznosítása NIS2, DORA, GDPR, NIST és COBIT célokra
A legerősebb NIS2 bizonyítékcsomagnak többféle bizonyossági párbeszédet kell támogatnia.
A NIS2 Article 4 elismeri, hogy az ágazatspecifikus uniós jogi aktusok kiválthatják a megfelelő NIS2 kockázatkezelési és jelentéstételi kötelezettségeket, ha hatásukban legalább egyenértékűek. A Recital 28 a DORA-t nevezi meg az érintett pénzügyi szervezetek ágazatspecifikus rendszerének. Az érintett pénzügyi szervezetek esetében a DORA IKT-kockázatkezelési, incidenskezelési, rezilienciatesztelési, információmegosztási és IKT harmadik fél kockázati szabályai alkalmazandók a megfelelő NIS2 rendelkezések helyett. A NIS2 továbbra is kiemelten releváns a DORA hatályán kívüli szervezetek, valamint az IKT harmadik fél szolgáltatók, például felhőszolgáltatók, MSP-k és MSSP-k számára.
A DORA ugyanazt az irányítási rendszerlogikát erősíti. A 4–6. cikkek arányos IKT-kockázatkezelést, vezető testületi felelősséget, egyértelmű IKT-szerepköröket, digitális működési reziliencia stratégiát, IKT auditterveket, költségvetést és tudatossági vagy képzési erőforrásokat írnak elő. A 8–13. cikkek eszköz- és függőségazonosítást, védelmet és megelőzést, hozzáférés-szabályozást, erős hitelesítést, biztonsági mentéseket, folytonosságot, reagálást és helyreállítást, incidens utáni tanulást, felsővezetői IKT-jelentéstételt, valamint kötelező IKT-biztonsági tudatossági és digitális működési reziliencia képzést írnak elő. A 17–23. cikkek strukturált incidenskezelést, besorolást, eszkalációt és ügyfélkommunikációt követelnek meg. A 24–30. cikkek a tesztelést beszállítói irányítással, átvilágítással, szerződésekkel, auditálási jogokkal és kilépési stratégiákkal kapcsolják össze.
A GDPR hozzáadja az adatvédelmi elszámoltathatósági réteget. Az Article 5 megfelelő technikai és szervezeti intézkedésekkel biztosított sértetlenséget és bizalmasságot követel meg, az Article 5(2) pedig előírja, hogy az adatkezelők igazolni tudják a megfelelést. Az Article 6 jogalapot követel meg az adatkezeléshez, míg az Articles 9 és 10 szigorúbb védelmi intézkedéseket ír elő a különleges kategóriájú és bűncselekményekkel kapcsolatos adatokra. Egy SaaS szolgáltató esetében a képzési bizonyítékoknak tartalmazniuk kell a magánszféra védelmét, az adattakarékosságot, a biztonságos közzétételt, az incidens-eszkalációt és az ügyféladatok szerepkör-specifikus kezelését.
A NIST-jellegű és COBIT 2019 auditori nézőpontok gyakran megjelennek ügyfélbizonyossági programokban, belső auditban és vezető testületi jelentésekben. Egy NIST-jellegű értékelő általában azt kérdezi, hogy a tudatosság és képzés kockázatalapú, szerepkör-alapú, mért-e, és kapcsolódik-e az incidensreagáláshoz, az identitáshoz, az eszközkezeléshez és a folyamatos megfigyeléshez. Egy COBIT 2019 vagy ISACA-jellegű auditor az irányításra, az elszámoltathatóságra, a teljesítménymutatókra, a vezetői felügyeletre, a folyamatgazdai felelősségre és a vállalati célokkal való összhangra összpontosít.
| Keretrendszer-nézőpont | Ami az auditort érdekli | Előkészítendő bizonyíték |
|---|---|---|
| NIS2 Article 21 | Arányos kiberkockázati intézkedések, kiberhigiénia, képzés, vezetői felügyelet | Article 21 megfeleltetés, vezető testületi jóváhagyás, képzési terv, kiberhigiéniai KPI-k, incidensfelkészültségi bizonyítékok |
| ISO/IEC 27001:2022 | IBIR-hatály, kockázatkezelés, kompetencia, tudatosság, megfigyelés, belső audit, fejlesztés | Hatály, kockázati nyilvántartás, SoA, kompetenciamátrix, képzési nyilvántartások, auditjelentés, helyesbítő intézkedések |
| DORA | IKT-kockázati életciklus, rezilienciaképzés, tesztelés, incidensbesorolás, harmadik fél IKT-kockázat | IKT-kockázati keretrendszer, rezilienciaképzés, teszteredmények, incidenseljárás, beszállítói nyilvántartás |
| GDPR | Elszámoltathatóság, adatvédelem, adatvédelmi incidenssel kapcsolatos tudatosság, bizalmasság, adattakarékosság | Adatvédelmi képzés, adatkezelési szereptérkép, incidens-eszkalációs bizonyíték, adatkezelési eljárások |
| NIST-jellegű felülvizsgálat | Szerepkör-alapú tudatosság, mérhető kontrollműködés, megfigyelés, reagálás | Szerepkörmátrix, szimulációs mutatók, hozzáférési bizonyítékok, naplózási bizonyítékok, szimulációs gyakorlatok eredményei |
| COBIT 2019 vagy ISACA felülvizsgálat | Irányítás, folyamatgazdai felelősség, teljesítmény, kontrollbizonyosság, vezetői jelentéstétel | RACI, KPI-irányítópult, vezetőségi felülvizsgálati jegyzőkönyvek, belső auditprogram, helyesbítő intézkedések nyomon követése |
A gyakorlati előny egyszerű: egy bizonyítékcsomag, több auditnarratíva.
Hogyan tesztelik az auditorok ugyanazt a kontrollt
Egy ISO/IEC 27001:2022 auditor az IBIR-rel kezdi. Megkérdezi, hogy meghatározták-e a kompetencia- és tudatossági követelményeket, a személyzet érti-e a felelősségeit, a nyilvántartásokat megőrzik-e, a belső auditok tesztelik-e a folyamatot, és a vezetőségi felülvizsgálat figyelembe veszi-e a teljesítményt és a fejlesztést. Mintát vehet munkavállalókból, és megkérdezheti őket, hogyan kell incidenst jelenteni, hogyan használják a többtényezős hitelesítést, mik az elfogadható használat szabályai, vagy mit kell tenniük egy gyanús e-mail kézhezvétele után.
Egy NIS2 felügyeleti felülvizsgálat inkább eredmény- és szolgáltatáskockázat-központú lesz. A felülvizsgáló megkérdezheti, hogyan csökkenti a kiberhigiénia a szolgáltatásnyújtási kockázatot, hogyan hagyta jóvá a vezetés az intézkedéseket, hogyan igazodik a képzés az alapvető szolgáltatásokhoz, hogyan fedik le a harmadik felek személyzetét, hogyan értékelik az eredményességet, és hogyan kommunikálna a szervezet jelentős kiberfenyegetéseket vagy incidenseket az Article 23 alapján. Mivel az Article 23 jelentős incidensek esetén 24 órán belüli korai figyelmeztetést és 72 órán belüli incidensbejelentést tartalmaz, a képzésnek ki kell terjednie a felismerésre és az eszkaláció gyorsaságára.
Egy pénzügyi szervezet DORA-auditora a tudatosságot a digitális működési rezilienciához kapcsolja. Megkérdezheti, hogy az IKT-biztonsági tudatosság és rezilienciaképzés kötelező-e, a felsővezetői IKT-jelentéstétel eljut-e a vezető testülethez, az incidensbesorolási kritériumokat értik-e, a válságkommunikációt gyakorolták-e, és a harmadik fél szolgáltatók részt vesznek-e képzésben, ha ez szerződés szerint releváns.
Egy GDPR-auditor vagy adatvédelmi értékelő arra összpontosít, hogy a munkatársak értik-e a személyes adatokat, az adatkezelési szerepeket, a bizalmasságot, az incidensek azonosítását, az incidens-eszkalációt, az adattakarékosságot és a biztonságos közzétételt. Elvárja, hogy a képzés eltérjen támogatási munkatársak, HR, fejlesztők és rendszergazdák esetében, mert ezek a szerepkörök eltérő adatvédelmi kockázatokat hoznak létre.
Egy COBIT 2019 vagy ISACA belső auditor azt kérdezi meg, ki a folyamatgazda, milyen célkitűzéseket támogat a folyamat, hogyan mérik a teljesítményt, milyen kivételek vannak, követik-e a helyesbítő intézkedéseket, és kap-e a vezetés érdemi jelentést puszta látszatmutatók helyett.
Gyakori NIS2 képzési felkészültségi megállapítások
A leggyakoribb megállapítás a lefedettségi populáció hiányossága. Az LMS-jelentés 94%-os teljesítést mutat, de a hiányzó 6% között emelt jogosultságú rendszergazdák, vállalkozók vagy új belépők vannak. Az auditorok nem fogadnak el százalékos arányt anélkül, hogy értenék, ki hiányzik és miért.
A második megállapítás a szerepköri érzékenység hiánya. Mindenki ugyanazt az éves modult kapja, de a fejlesztők nem kapnak biztonságos kódolási képzést, a támogatási munkatársak nem kapnak identitásellenőrzési képzést, a felsővezetők pedig nem kapnak irányítási kötelezettségekről vagy válsághelyzeti döntésekről szóló képzést. A NIS2 Article 20 és Article 21 alapján ezt nehéz megvédeni.
A harmadik megállapítás a gyenge eredményességi bizonyíték. A teljesítés nem azonos a megértéssel vagy a magatartásváltozással. Az auditorok egyre inkább tudásteszt-pontszámokat, adathalászati trendeket, incidensbejelentési trendeket, szimulációs gyakorlatok tanulságait, az ismételt hibák csökkenését és helyesbítő intézkedéseket várnak el.
A negyedik megállapítás a leválasztott technikai higiénia. A képzés azt mondja, „jelentsd a gyanús tevékenységet”, de nincs tesztelt bejelentési csatorna. A képzés azt mondja, „használj többtényezős hitelesítést”, de a szolgáltatásfiókok megkerülik a többtényezős hitelesítést. A képzés azt mondja, „védd az adatokat”, de éles adatok jelennek meg tesztkörnyezetekben. Az Article 21 kontrollrendszert vár el, nem szlogeneket.
Az ötödik megállapítás a nyilvántartások gyenge sértetlensége. A bizonyítékok szerkeszthető táblázatban vannak, tulajdonos, export-időbélyeg, hozzáférés-szabályozás vagy HR-nyilvántartásokkal való egyeztetés nélkül. A Zenith Controls ISO/IEC 27002:2022 kontrollkapcsolatai okkal mutatnak vissza a nyilvántartások védelméhez. A bizonyítékoknak megbízhatónak kell lenniük.
10 napos helyesbítő sprint auditra kész bizonyítékokhoz
Ha a szervezet nyomás alatt áll, kezdjen fókuszált sprinttel.
| Nap | Intézkedés | Kimenet |
|---|---|---|
| 1. nap | NIS2 alkalmazhatóság és szolgáltatási hatály megerősítése | Alapvető vagy fontos szervezeti döntés, hatály alá tartozó szolgáltatások, támogató funkciók |
| 2. nap | Követelmény-nyilvántartás összeállítása | NIS2 Articles 20, 21, 23, ISO-pontok, A melléklet szerinti kontrollok, GDPR, DORA, szerződések, biztosítási követelmények |
| 3. nap | Szerepkör-alapú képzési mátrix létrehozása | Képzés megfeleltetése munkakörcsaládokhoz, emelt jogosultságú hozzáféréshez, fejlesztőkhöz, támogatáshoz, vállalkozókhoz, felsővezetőkhöz |
| 4. nap | Képzés megfeleltetése kockázati forgatókönyvekhez | Adathalászat, hitelesítő adatok kompromittálódása, adatszivárgás, zsarolóvírus, hibás konfiguráció, beszállítói kompromittálódás, adatvédelmi incidens |
| 5. nap | Bizonyítékok összegyűjtése | LMS-exportok, tudomásulvételek, adathalászati jelentések, beléptetési nyilvántartások, vállalkozói nyilvántartások, felsővezetői részvétel |
| 6. nap | Bizonyítékok egyeztetése | Képzési populáció ellenőrzése HR-nyilvántartások, identitáscsoportok, emelt jogosultságú fiókok, vállalkozói listák alapján |
| 7. nap | Munkavállalói megértés tesztelése | Interjújegyzetek arról, hogy a munkatársak ismerik az incidensbejelentést, a többtényezős hitelesítési elvárásokat, a gyanús e-mailek kezelését és az adatszabályokat |
| 8. nap | Technikai higiéniai kontrollok felülvizsgálata | Többtényezős hitelesítés, biztonsági mentések, EDR, javítások telepítése, sérülékenységvizsgálat, naplózás, megfigyelés, biztonságos konfigurációs bizonyítékok |
| 9. nap | Vezetőségi felülvizsgálati csomag elkészítése | Teljesítés, kivételek, adathalászati trendek, nyitott intézkedések, magas kockázatú szerepkörök, incidensek, költségvetési igények |
| 10. nap | Kockázatkezelési terv és SoA frissítése | Maradványkockázat, felelősök, határidők, eredményességi intézkedések, alkalmazhatósági nyilatkozat frissítései |
Ez a sprint védhető bizonyítéki alapvonalat ad. Nem helyettesíti az IBIR folyamatos működését, de létrehozza azt a struktúrát, amelyet a szabályozó hatóságok és auditorok elvárnak.
Milyen a jó megvalósítás
Egy érett NIS2 Article 21 kiberhigiéniai és képzési program öt jellemzővel rendelkezik.
Először: vezető testületi szinten látható. A vezetés jóváhagyja a megközelítést, érdemi mutatókat lát, érti a maradványkockázatot, és finanszírozza a fejlesztést.
Másodszor: kockázatalapú. A képzés eltér szerepkör, szolgáltatáskritikusság, hozzáférési szint, adatkitettség és incidensfelelősség szerint.
Harmadszor: bizonyítékvezérelt. A teljesítési nyilvántartások, tudomásulvételek, szimulációk, szimulációs gyakorlatok, technikai higiéniai jelentések és helyesbítő intézkedések teljesek, egyeztetettek és védettek.
Negyedszer: több megfelelési keretet is figyelembe vesz. Ugyanaz a bizonyíték támogatja a NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST-jellegű bizonyossági és COBIT 2019 irányítási jelentéstételt.
Ötödször: fejlődik. Az incidensek, auditmegállapítások, jogszabályváltozások, beszállítói változások, új technológiák és kialakulóban lévő fenyegetések frissítik a képzési tervet.
Ez az utolsó pont a különbség a megfelelési látszattevékenység és az operatív reziliencia között.
Következő lépések a Clarysec segítségével
Ha a vezetői csapata azt kérdezi: „Holnap igazolni tudjuk a NIS2 Article 21 szerinti kiberhigiéniát és kiberbiztonsági képzést?”, a Clarysec segíthet a szétszórt bizonyítékokat auditra kész IBIR bizonyítékcsomaggá alakítani.
Kezdje a Zenith Blueprint használatával, hogy strukturálja a kompetenciát, a tudatosságot, a személyi biztonsági intézkedéseket, a távmunka-gyakorlatokat, a sérülékenységkezelést, a biztonsági mentéseket, a naplózást, a megfigyelést és a technikai higiéniai intézkedéseket a 30 lépéses ütemterv mentén.
Használja a Zenith Controls megoldást az ISO/IEC 27002:2022 tudatossági, elfogadható használati, megfelelési, megfigyelési, nyilvántartási és bizonyossági elvárásainak kereszthivatkozására NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST és COBIT 2019 auditpárbeszédekben.
Ezután tegye működésbe a követelményeket a Clarysec Információbiztonsági tudatossági és képzési szabályzata, Információbiztonsági tudatossági és képzési szabályzat - KKV és Információbiztonsági szabályzat - KKV segítségével.
Az azonnali teendő egyszerű: készítsen ezen a héten egyoldalas NIS2 Article 21 képzési bizonyítéktérképet. Sorolja fel a hatály alá tartozó szerepköröket, a hozzárendelt képzést, a teljesítési bizonyítékokat, a szabályzati tudomásulvételeket, az adathalászati mutatókat, a technikai kiberhigiéniai bizonyítékokat, a vezetőségi felülvizsgálat dátumát és a helyesbítő intézkedéseket. Ha bármely cella üres, megtalálta a következő audit-helyesbítési feladatot.
Gyorsabb út érdekében töltse le a Clarysec szabályzatsablonjait, használja a Zenith Blueprint ütemtervet, és ütemezzen NIS2 bizonyítéki felkészültségi értékelést, hogy jelenlegi képzési nyilvántartásait, kiberhigiéniai kontrolljait és ISO/IEC 27001:2022 IBIR-ét egyetlen védhető auditanyaggá alakítsa.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
