Szabályzat-életciklus irányítás ISO 27001, NIS2 és DORA környezetben

Az e-mail csendes puffanással érkezett Maria Petrova CISO postaládájába, mégis szirénaként hatott. A külső auditor küldte: előzetes bekérési lista egy összevont ISO/IEC 27001:2022 felügyeleti audit és DORA-felkészültségi értékelés előtt. Az első tétel egyszerűnek tűnt:

„Kérjük, bocsássák rendelkezésre az aktuális Információbiztonsági szabályzatot, annak teljes verziótörténetét, az egyes verziók vezetői jóváhagyásának bizonyítékait, valamint az érintett munkatársak felé történt kommunikáció nyilvántartásait az elmúlt 24 hónapra vonatkozóan.”

Maria vállalatának, egy közepes méretű fintech platformnak, voltak szabályzatai. Nem is kevés. Rendelkeztek információbiztonsági szabályzattal, incidensreagálási tervvel, beszállítói biztonsági kérdőívvel, kockázati nyilvántartással, hozzáférés-szabályozási eljárással, üzletmenet-folytonossági tervvel és auditbizonyítékokkal teli mappákkal. A fájlok azonban SharePoint-webhelyeken, régi Confluence-terekben, e-mail-szálakban, jegymellékletekben és olyan megosztott meghajtókon szóródtak szét, amelyek tulajdonosai már nem dolgoztak a vállalatnál.

A valódi probléma akkor vált egyértelművé, amikor megérkeztek az auditor kiegészítő kérdései.

Ki hagyta jóvá az aktuális incidenskezelési eljárást? Miért szerepel a SharePointban lévő beszállítói biztonsági szabályzatban 2.1-es verzió, miközben a beszerzés 1.8-as verziót használ? Melyik szabályzat van hozzárendelve a NIS2 Article 21 szerinti kockázatkezelési intézkedésekhez? Hol található az a bejegyzés, amely igazolja, hogy a munkatársakat tájékoztatták a legutóbbi szabályzatfrissítésről? Miért engedélyeztek kivételt az emelt jogosultságú hozzáférésre, ki fogadta el a maradványkockázatot, és mikor jár le a kivétel? Kivonták az elavult dokumentumokat az operatív használatból? Meddig őrzik meg az auditjelentéseket? Tudja-e a vállalat bizonyítani, hogy a szabályzattárat felülvizsgálták a legutóbbi jelentős rendszerváltozás után?

Mariának voltak kontrolljai, de nem volt kontrollja a kontrollok felett.

Ez a 2026-os szabályzat-életciklus irányítási probléma lényege. A szervezetek ma már nem csak azért buknak el auditokon, mert hibás egy tűzfalszabály, vagy hiányzik egy biztonsági mentési teszt. Azért buknak el, mert a dokumentált információ töredezett, auditálhatatlan, duplikált, elavult, kontrollálatlan vagy elszakadt a jogi kötelezettségektől. Az ISO/IEC 27001:2022 7.5 pontja szerint a dokumentált információ nem adminisztratív rendrakás. Ez az IBIR működési memóriája. A NIS2 alatt támogatja az irányító testület jóváhagyását és felügyeletét. A DORA alatt az IKT-kockázatkezelési keretrendszer és a rezilienciát igazoló bizonyítéklánc részévé válik. A GDPR alatt az elszámoltathatóságot bizonyítja.

A Clarysec álláspontja egyszerű: a szabályzattár nem dokumentumlerakó. Irányított bizonyítékrendszer.

Miért lett a szabályzat-életciklus irányítása igazgatósági szintű kérdés?

A szabályzat-életciklus irányítása a szabályzatok és kapcsolódó nyilvántartások létrehozásának, jóváhagyásának, közzétételének, kommunikálásának, felülvizsgálatának, módosításának, kivezetésének, megőrzésének és bizonyítékolásának fegyelmezett rendszere. Megválaszolja azokat a kérdéseket, amelyeket az auditorok, szabályozó hatóságok, ügyfelek és igazgatóságok ma már rutinszerűen feltesznek:

1. Ki az egyes szabályzatok gazdája?
2. Ki hagyja jóvá?
3. Mely jogi, szerződéses és kockázati követelményeknek felel meg?
4. Mely kontrollok és eljárások hajtják végre?
5. Melyik verzió az aktuális?
6. Kit tájékoztattak, képeztek vagy köteleztek tudomásulvételre?
7. Mely kivételek kapcsolódnak hozzá?
8. Mely nyilvántartások bizonyítják a működését?
9. Mi történik, amikor elavul?

Az ISO/IEC 27001:2022 ezt a fegyelmet a dokumentált információkról szóló 7.5 ponttal, a vezetésről szóló 5. ponttal, a tervezésről és kockázatkezelésről szóló 6. ponttal, a működés kontrolljáról szóló 8. ponttal, valamint a szabályzatokra, nyilvántartásokra, jogi követelményekre, beszállítókra, incidensekre, folytonosságra, adatvédelemre, naplózásra, monitorozásra és változáskezelésre vonatkozó A melléklet szerinti kontrollokkal támogatja.

A szabályozói nyomás ugyanilyen közvetlen.

A NIS2 Article 20 előírja, hogy az irányító testületek hagyják jóvá a kiberbiztonsági kockázatkezelési intézkedéseket, felügyeljék azok végrehajtását, és megfelelő képzésben részesüljenek. Az Article 21 kockázatalapú technikai, működési és szervezeti intézkedéseket követel meg, ideértve a biztonsági szabályzatokat, az incidenskezelést, az üzletmenet-folytonosságot, az ellátási lánc biztonságát, a biztonságos fejlesztést, az eredményesség értékelését, a kiberhigiéniát, a kriptográfiát, a humánerőforrás-biztonságot, a hozzáférés-szabályozást, az eszközkezelést és a hitelesítést. A tulajdonosi felelősségre, jóváhagyásra és felülvizsgálatra vonatkozó bizonyítékok nélküli szabályzatkorpusz gyengíti a vezetői elszámoltathatóság igazolását.

A DORA 2025. január 17-től alkalmazandó, és egységes EU-keretrendszert hoz létre az IKT-kockázatkezelésre, az incidensjelentésre, a digitális működési reziliencia tesztelésére, az IKT-harmadik felekkel kapcsolatos kockázatokra és a szerződéses követelményekre. Azon pénzügyi szervezetek esetében, amelyek a NIS2 szerint alapvető vagy fontos szervezetek is, a DORA minősül az adott kiberbiztonsági kötelezettségeknek megfelelő ágazatspecifikus uniós jogi aktusnak. Az Article 5 az irányító testület felelősségét írja elő az IKT-kockázatkezelési keretrendszerért, a szabályzatokért, a felelősségi körökért, a folytonossági tervekért, az auditokért, az IKT-harmadik felekre vonatkozó szabályzatokért, a jelentési csatornákért és a képzésért. Az Article 6 jól dokumentált IKT-kockázatkezelési keretrendszert követel meg, amelyet a nem mikrovállalkozásnak minősülő pénzügyi szervezeteknek legalább évente felül kell vizsgálniuk, és a levont tanulságok alapján fejleszteniük kell.

A GDPR ehhez hozzáadja az elszámoltathatósági követelményt. Az Article 5 előírja, hogy a személyes adatokat jogszerűen, tisztességesen, átláthatóan, meghatározott célból, adattakarékosan, pontosan, tárolási korlátozással és biztonságosan kell kezelni. Az Article 5(2) a megfelelés igazolásáért az adatkezelőt teszi felelőssé. Ez az igazolás kontrollált nyilvántartásoktól függ: jogalapra vonatkozó döntésektől, megőrzési ütemtervektől, adott esetben DPIA-któl, adatfeldolgozói átvilágítástól, incidensnyilvántartásoktól, hozzáférés-felülvizsgálatoktól, képzési naplóktól és szabályzat-jóváhagyásoktól.

A közös szál a bizonyíték. Az auditor nem csak azt fogja megkérdezni, hogy létezik-e szabályzat. Kérni fogja annak „születési anyakönyvi kivonatát”, verziótörténetét, jóváhagyási nyomvonalát, kommunikációs bejegyzéseit, kapcsolódó eljárásait és azokat az operatív nyilvántartásokat is, amelyek bizonyítják, hogy működik.

Az ISO/IEC 27001:2022 dokumentált információs gerince

Az igazolható dokumentáció gerince az ISO/IEC 27001:2022 7.5 pontja, a Dokumentált információ. Ez előírja, hogy a szervezetek hozzák létre, frissítsék és kontroll alatt tartsák az IBIR által igényelt és a szabvány által megkövetelt dokumentált információkat.

Gyakorlati megközelítésben a dokumentált információ három rétegre bontható:

A Clarysec Zenith Blueprint: auditori 30 lépéses ütemterv ezt kifejezetten kezeli az IBIR megalapozása és vezetői irányítása szakaszban, a 6. lépésben: Dokumentált információ és az IBIR-könyvtár felépítése. Kifejti, hogy a 7.5 pont általánosságban a dokumentációra, a létrehozásra és frissítésre, valamint a dokumentált információ kontrolljára vonatkozik.

A Zenith Blueprint ezt gyakorlati megvalósítási útmutatóvá alakítja:

„A dokumentumoknak megfelelő azonosítóval kell rendelkezniük (cím, esetleg dokumentumszám vagy egyedi azonosító, szerző), megfelelő formátummal … továbbá használat előtt meg kell történnie a megfelelőség felülvizsgálatának és jóváhagyásának.”

Megadja azt a működési szabályt is, amelyet sok szervezet elmulaszt:

„Biztosítani kell, hogy csak az aktuális verzió legyen könnyen megtalálható (az elavult verziókat archiválni kell, vagy egyértelműen jelezni kell, hogy azokat felváltotta újabb verzió).”

Itt törik meg csendben sok IBIR-bevezetés. Lehet, hogy egy szabályzatot egyszer jóváhagytak, de ha a régi verziók továbbra is elérhetők, a munkatársak elavult eljárásokat használnak, vagy az auditorok nem tudják visszakövetni a változásokat, a dokumentum érdemben már nem kontrollált.

A Zenith Blueprint „IBIR dokumentációs könyvtár” létrehozását javasolja a szabályzatok és eljárások, a kockázatértékelés és SoA, a képzési nyilvántartások, az audit és felülvizsgálat, az incidensnyilvántartások, az eszközök és leltár, valamint az A melléklet szerinti kontrollkönyvtár mappáival. Azt is rögzíti, hogy az adattárnak „hozzáférhetőnek, de biztonságosnak” kell lennie: a szabályzatokat az alkalmazottak olvashatják, míg a bizalmas mappák, például a kockázatértékelések és incidensnyilvántartások, korlátozott hozzáférésűek.

Ez nem pusztán irattárolási modell. Ez irányítási architektúra.

A Clarysec szabályzat-életciklus modellje

A Clarysec az ISO 27001 szerinti szabályzat-életciklus irányítást zárt köré szervezi: követelmény, szabályzatgazda, dokumentum, jóváhagyás, közzététel, kommunikáció, bizonyíték, felülvizsgálat, változtatás, megőrzés és kivezetés. Ez a kör megelőzi azt a klasszikus audithibát, amikor a vállalatnak vannak dokumentumai, de nem tudja bizonyítani a hatáskört, az aktualitást vagy a kontrollt.

Ez az életciklus erősebb az egyszeri jóváhagyásnál, mert a dokumentumokat kontrollokhoz, szabályzatgazdákhoz és bizonyítékokhoz kapcsolja. Támogatja a több keretrendszerre kiterjedő megfelelést is. Egyetlen incidenskezelési szabályzat hozzárendelhető az ISO/IEC 27001:2022 A melléklet szerinti incidenskontrolljaihoz, a NIS2 Article 23 szerinti bejelentési felkészültséghez, a DORA incidensosztályozási és jelentési folyamataihoz, a GDPR szerinti személyesadat-sértés kezeléséhez, a NIST CSF 2.0 Respond eredményeihez és a COBIT 2019 irányítási elvárásaihoz.

Mit követelnek meg a Clarysec szabályzatai felülvizsgálat, verziókezelés és bizonyítékok tekintetében?

A Clarysec szabályzattára úgy készült, hogy a szabályzat-életciklus követelményei ne maradjanak értelmezés kérdései.

KKV-k esetében az Információbiztonsági szabályzat - KKV egyértelmű felülvizsgálati kiváltó feltételt határoz meg:

„Ezt a szabályzatot az ügyvezetőnek (GM) legalább évente felül kell vizsgálnia annak biztosítása érdekében, hogy továbbra is megfeleljen az ISO/IEC 27001 tanúsítási követelményeinek, a szabályozási változásoknak (például GDPR, NIS2 és DORA), valamint a változó üzleti igényeknek.”

Dokumentált változásnyilvántartásokat is megkövetel:

„Minden szabályzat-felülvizsgálatot és változtatást formálisan dokumentálni kell, egyértelműen feltüntetve a dátumot, a módosítások jellegét és a GM jóváhagyását.”

És megőrzi a történeti visszakövethetőséget:

„A szabályzatverziók történeti nyilvántartását biztonságosan fenn kell tartani a szabályzat fejlődésének és az auditok során a megfelelésnek az igazolására.”

Ez a három záradék egy gyakori KKV-problémát old meg. A szervezetnek nem feltétlenül van nagy irányítási irodája, de továbbra is szüksége van a felülvizsgálat, jóváhagyás és verziótörténet bizonyítékaira.

A KKV Irányítási szerepkörök és felelősségek szabályzata - KKV hozzáadja az irányítási döntések visszakövethetőségi követelményét:

„Minden jelentős biztonsági döntést, kivételt és eszkalációt rögzíteni kell, és visszakövethetővé kell tenni.”

Ez a záradék kritikus a szabályzati kivételeknél. Az MFA alóli ideiglenes eltérés, egy halasztott beszállítói felülvizsgálat vagy a naplómegőrzés sürgősségi módosítása nem maradhat kizárólag e-mail-szálakban. Kapcsolódnia kell az érintett szabályzathoz, kontrollhoz, kockázatgazdához, maradványkockázati döntéshez és lejárati dátumhoz.

A bizonyítékok központosítására a KKV Audit- és megfelelésfelügyeleti szabályzat - KKV kimondja:

„Minden bizonyítékot központi auditmappában kell tárolni.”

Vállalati környezetben a Clarysec Információbiztonsági szabályzata előírja, hogy a szabályzatok:

„Verziókezeltek és dokumentáltak legyenek”

valamint:

„Valamennyi érintett féllel hivatalos kommunikációs csatornákon keresztül közlésre kerüljenek”

A vállalati Irányítási szerepkörök és felelősségek szabályzata beépíti a következő fogalmat:

„Szabályzatgazda és jóváhagyó”

A vállalati Audit- és megfelelésfelügyeleti szabályzat megőrzési elvárásokat is meghatároz:

„A jelentéseket legalább hat évig meg kell őrizni (vagy hosszabb ideig, ha jogszabály előírja), biztonságosan kell tárolni, és a Dokumentum- és nyilvántartáskezelési szabályzat (P6) szerinti verziókezelés alá kell vonni.”

Végül a vállalati Jogi és szabályozói megfelelési szabályzat összekapcsolja a jogi kötelezettségeket az IBIR-rel:

„Minden jogi és szabályozási kötelezettséget konkrét szabályzatokhoz, kontrollokhoz és tulajdonosokhoz kell rendelni az információbiztonság-irányítási rendszerben (ISMS).”

Ez a követelmény teremti meg a hidat a szabályzat-életciklus irányítása és a NIS2-, DORA- és GDPR-bizonyítékok között. Kötelezettség-leképezés nélkül a vállalatnak lehetnek dokumentumai, de nem tudja bemutatni, hogy azok konkrét jogi, szerződéses vagy kockázati követelményeket teljesítenek.

A kontrollháromszög: szabályzatok, nyilvántartások és működési eljárások

A Clarysec Zenith Controls: több keretrendszerre kiterjedő megfelelési útmutató ehhez a témához adja meg a keresztmegfelelési iránytűt. Az ISO/IEC 27002:2022 5.1, Információbiztonsági szabályzatok kontroll esetében a Zenith Controls ezt megelőző kontrollként azonosítja, amely támogatja a bizalmasságot, a sértetlenséget és a rendelkezésre állást, összhangban áll az irányítási és kiberbiztonsági azonosítási koncepciókkal, és kapcsolódik az irányítási és szabályzatkezelési működési képességekhez.

Ez azért fontos, mert a szabályzatirányítás nem csupán megfelelési artefaktum. Megelőző jellegű. Egy egyértelműen tulajdonolt és kommunikált hozzáférés-szabályozási szabályzat csökkenti a jogosulatlan hozzáférés kockázatát még az incidensek bekövetkezése előtt. Egy megfelelően jóváhagyott beszállítói szabályzat megelőzi a kontrollálatlan kiszervezési kockázatot. Egy kontrollált incidenseljárás javítja a reagálás következetességét még azelőtt, hogy elindulna az első szabályozói bejelentési határidő.

A Zenith Controls kiemeli az ISO/IEC 27002:2022 5.33, Nyilvántartások védelme kontrollt is, amely megelőző jellegű, és a jogi és megfelelési, eszközkezelési és információvédelmi területekkel áll összhangban. Ez az auditbizonyítékok szempontjából központi jelentőségű. A Zenith Blueprint ugyanezt a koncepciót bontja ki a Kontrollok működésben szakasz 23. lépésében:

„A nyilvántartások nem csupán múltbeli döntések maradványai. Bizonyítékok: a megfelelés, a cselekvés és az elszámoltathatóság bizonyítékai.”

Majd így folytatja:

„A nyilvántartásokat megfelelően védeni kell az elvesztéstől, a jogosulatlan hozzáféréstől, a manipulációtól és az idő előtti megsemmisítéstől.”

Az ISO/IEC 27002:2022 5.37, Dokumentált működési eljárások kontroll szintén releváns. A Zenith Controls megelőző és helyesbítő kontrollként sorolja be, amely a védelmet és a helyreállítást támogatja. A DORA és a NIS2 esetében a dokumentált működési eljárások alakítják a szabályzatot megismételhető cselekvéssé: incidensek elsődleges értékelése, biztonsági mentés helyreállítása, beszállítói beléptetés, sérülékenységkezelés, biztonságos fejlesztés, változáskezelés, bizonyítékgyűjtés és válságkommunikáció.

Az 5.1, 5.33 és 5.37 együtt alkotja a szabályzat-életciklus kontrollháromszögét:

Egy érett IBIR-nek mindháromra szüksége van. Nyilvántartások nélküli szabályzatok puszta nyilatkozatok. Eljárások nélküli nyilvántartások következetlenek. Szabályzati irány nélküli eljárások helyi szokásokká válnak, nem irányított kontrollokká.

Több keretrendszerre kiterjedő megfelelési leképezés ISO 27001, NIS2, DORA, GDPR, NIST és COBIT esetén

Az ISO 27001, NIS2, DORA és GDPR szerinti szabályzatok külön kezelése duplikációt, ellentmondásokat és bizonyítékfáradtságot okoz. Jobb modell egyetlen kontrollált IBIR-könyvtár fenntartása leképezési metaadatokkal. Így egyetlen bizonyítékkorpusz több bizonyossági célközönséget is ki tud szolgálni.

A NIST CSF 2.0 különösen hasznos kommunikációs rétegként. GOVERN funkciója elvárja, hogy a jogi, szabályozási és szerződéses kötelezettségek ismertek legyenek, a kockázatkezelési célok és felelősségek meghatározásra kerüljenek, a szabályzatokat kialakítsák és frissítsék, az eredményeket pedig értékeljék. Organizational Profile módszere gyakorlati folyamatot is ad: a profil alkalmazási területének meghatározása, bemenetek összegyűjtése – például szabályzatok, kockázati prioritások és követelmények –, aktuális és célprofilok létrehozása, hiányosságok elemzése és priorizált intézkedési terv végrehajtása.

Ez szorosan illeszkedik a Clarysec megközelítéséhez: bizonyítékokkal alátámasztott működési modellt kell felépíteni, majd azt kifelé leképezni NIS2, DORA, GDPR, NIST és COBIT követelményekre, nem pedig külön megfelelési silókat fenntartani.

Egyhetes sprint szabályzati bizonyítékcsomag kialakítására

A teljes szabályzatirányítási transzformáció időt igényel, de egy fókuszált egyhetes sprint feltárhatja a hiányosságokat, és igazolható alapot teremthet.

1. nap: Hozza létre a dokumentum-nyilvántartást

Kezdje egy táblázattal, GRC-rendszerrel vagy strukturált SharePoint-listával. A dokumentum-nyilvántartás az az index, amely lehetővé teszi az auditorok számára a bizonyítékkorpusz áttekintését.

Ne bonyolítsa túl. Ha a nyilvántartás megbízhatóan mutatja a tulajdonost, jóváhagyót, verziót, felülvizsgálati dátumot, leképezést és bizonyítékhelyet, már önmagában számos auditbizonyíték-keresési problémát megold.

2. nap: Hozza létre az adattárat

Kövesse a Zenith Blueprint 6. lépésének struktúráját: Policies and Procedures, Risk Assessment and SoA, Training and Awareness Records, Audit and Review, Incident Records, Assets and Inventory, valamint Controls Library.

Alkalmazzon hozzáférési szabályokat. A szabályzatokat minden munkavállaló olvashatja. A kockázatértékelési nyilvántartásokhoz az IBIR-csapatra és a vezetésre kell korlátozni a hozzáférést. Az incidensnyilvántartásokhoz a szükséges ismeret elve szerint kell hozzáférést adni. A beszállítói szerződésekhez a beszerzés, a jogi terület, a pénzügy és a biztonsági terület férhet hozzá. Az elavult dokumentumok nem lehetnek hozzáférhetők napi használatra, de az auditnyom érdekében meg kell őrizni őket.

3. nap: Egységesítse a fejléceket és változásnaplókat

Minden szabályzatnak tartalmaznia kell a dokumentum nevét, tulajdonosát, jóváhagyóját, verzióját, hatálybalépés dátumát, következő felülvizsgálati dátumát, besorolását, kapcsolódó kontrolljait, kapcsolódó jogi kötelezettségeit és változáselőzményeit.

Ez támogatja az ISO/IEC 27001:2022 szerinti dokumentált információ kontrollját, a NIS2 vezetői felügyeletet, a DORA felülvizsgálati elvárásait és a GDPR szerinti elszámoltathatóságot.

4. nap: Kapcsolja a kivételeket a szabályzatokhoz

Hozzon létre kivételnyilvántartást kivételazonosítóval, érintett szabályzattal, érintett kontrollal, üzleti indoklással, kompenzáló kontrollokkal, kockázatgazdával, jóváhagyással, lejárati dátummal és felülvizsgálati státusszal.

Például egy örökölt rendszer 60 napig nem képes támogatni az MFA-t. A kivétel kapcsolódik a Hozzáférés-szabályozási szabályzathoz, az eszköznyilvántartáshoz, a kockázati nyilvántartáshoz és a helyesbítő intézkedési tervhez. A kockázatgazda jóváhagyja a maradványkockázatot, a kivétel pedig automatikusan lejár, hacsak meg nem hosszabbítják. Ez valósítja meg a Clarysec KKV irányítási követelményét, amely szerint a jelentős döntéseknek, kivételeknek és eszkalációknak rögzítettnek és visszakövethetőnek kell lenniük.

5. nap: Építse fel az auditbizonyíték-csomagot

Minden felső szintű szabályzathoz hozzon létre bizonyítékmappát, amely tartalmazza a jóváhagyott aktuális verziót, az előző verziót és a változásnaplót, a jóváhagyási bizonyítékot, a kommunikációs bizonyítékot, a képzési vagy tudomásulvételi bejegyzést, a kapcsolódó eljárást, a kapcsolódó működési nyilvántartást, a kivételeket, az utolsó felülvizsgálati bejegyzést, a következő felülvizsgálati dátumot, valamint a jogi kötelezettségekhez és kontrollokhoz való leképezést.

Incidenskezelés esetén tartalmazza az asztali gyakorlatok nyilvántartásait, az incidensosztályozási szempontokat, a kapcsolattartási listákat, az incidens utáni felülvizsgálati sablonokat és a bejelentési döntések nyilvántartásait. Ez támogatja a NIS2 Article 23 szerinti szakaszos jelentési felkészültséget, a DORA incidensosztályozást és a GDPR szerinti incidens-elszámoltathatóságot.

6. nap: Tesztelje a bizonyítékok visszakeresését

Kérjen meg egy belső auditort vagy megfelelőségi vezetőt, hogy három kérdéshez keressen bizonyítékot:

1. Bizonyítsa, hogy az Információbiztonsági szabályzatot jóváhagyták, kommunikálták és felülvizsgálták.
2. Bizonyítsa, hogy a beszállítói biztonsági kötelezettségek DORA- és NIS2-követelményekhez vannak rendelve.
3. Bizonyítsa, hogy a GDPR szerinti elszámoltathatósági bizonyítékokat megőrzik és védik.

Ha egy kérdésnél a visszakeresés több mint 30 percet vesz igénybe, az adattár fejlesztésre szorul.

7. nap: Mutassa be a vezetésnek

Foglalja össze a szabályzat-életciklus státuszát a vezetőségi felülvizsgálatban:

• Aktuális, lejárt vagy 90 napon belül esedékes szabályzatok
• Nyitott és lejárt kivételek
• Bizonyítékhiányok
• Szabályozási leképezések frissítései
• Auditmegállapítások
• Helyesbítő intézkedések
• Erőforrásigények

Ez zárja a kört az ISO/IEC 27001:2022 vezetési elvárásaival, a NIS2 igazgatósági elszámoltathatóságával és a DORA irányító testületi felügyeletével.

Hogyan vizsgálják az auditorok a szabályzat-életciklust?

A különböző auditorok ugyanazt a bizonyítékot eltérő nézőpontból vizsgálják.

Egy ISO/IEC 27001:2022 auditor a dokumentált információ kontrolljával kezdi. Ellenőrzi, hogy a szükséges dokumentumok léteznek-e, használat előtt jóváhagyták-e őket, a verziók kontrolláltak-e, a dokumentumok ott érhetők-e el, ahol szükség van rájuk, a bizalmas nyilvántartások védettek-e, és megelőzték-e az elavult dokumentumok véletlen használatát. A szabályzat-életciklust összekapcsolja a vezetéssel, kockázatkezeléssel, működési kontrollal, belső audittal és vezetőségi felülvizsgálattal.

Egy DORA-fókuszú felülvizsgáló reziliencia-központú megközelítést alkalmaz. Megvizsgálja, hogy az IKT-kockázatkezelési keretrendszer jól dokumentált-e, a vezetés jóváhagyta-e, adott esetben legalább évente felülvizsgálták-e, rendszeresen auditálták-e, a levont tanulságok alapján fejlesztették-e, és kapcsolódik-e az incidensjelentéshez, teszteléshez, harmadik fél kockázathoz, folytonossághoz és helyreállításhoz.

Egy NIS2 szabályozó hatóság megszakítás nélküli bizonyítékláncot akar látni a kockázatazonosítástól a kiberbiztonsági kockázatkezelési intézkedéseken és az irányító testületi jóváhagyáson át a végrehajtásig és nyomon követésig. A lánc bármely megszakadása a kellő gondosság hiányának tűnhet.

Egy GDPR-auditor vagy adatvédelmi felülvizsgáló azt kérdezi, hogy a személyes adatok irányítási nyilvántartásai igazolják-e az elszámoltathatóságot: az adatkezelési célokat, a jogalapot, a megőrzést, a technikai és szervezeti intézkedéseket, az adatfeldolgozói kontrollokat, az incidensnyilvántartásokat és a szabályzat alkalmazásának bizonyítékait.

Egy COBIT 2019 vagy ISACA-stílusú auditor az irányítási rendszer összetevőire összpontosít: folyamatokra, szervezeti struktúrákra, információáramlásokra, szabályzatokra, szerepkörökre, kultúrára, készségekre és szolgáltatásokra. Megkérdezi, meghatározott-e a tulajdonosi felelősség, a vezetés nyomon követi-e a teljesítményt, a kivételeket eszkalálják-e, és a bizonyítékok alátámasztják-e a kontrollműködést és a vezetői felügyeletet.

Ugyanaz a kontrollált bizonyítéktár mindegyik igényt ki tudja szolgálni, de csak akkor, ha a dokumentumok leképezettek, aktuálisak, védettek és visszakövethetők.

Gyakori szabályzat-életciklus hibák, amelyeket az auditor érkezése előtt ki kell javítani

A legtöbb szabályzat-életciklus hiba alapvető irányítási gyengeség, amely több környezetben ismétlődik:

• Léteznek szabályzatok, de nincs megnevezett gazdájuk.
• A jóváhagyók nem egyértelműek, elavultak vagy túl alacsony szintűek a kockázathoz képest.
• A szabályzatokat jóváhagyták, de nem kommunikálták.
• A felülvizsgálati dátumok eszkaláció nélkül elmaradnak.
• Az elavult verziók továbbra is elérhetők megosztott mappákban.
• Az eljárások ellentmondanak a szabályzatoknak.
• A kivételeket informálisan, e-mailben hagyják jóvá.
• A jogi kötelezettségeket keretrendszerekhez rendelik, de nem tényleges kontrollokhoz vagy tulajdonosokhoz.
• Az auditbizonyítékok személyes meghajtókon, jegykezelő rendszerekben és chatüzenetekben szóródnak szét.
• A megőrzési időszakok nincsenek meghatározva, vagy következetlenül alkalmazzák őket.
• A nyilvántartásokat megőrzik, de nem védik a jogosulatlan módosítástól.
• A beszállítói szabályzatok nem kapcsolódnak szerződésnyilvántartásokhoz, átvilágításhoz vagy kilépési tervekhez.
• Az incidenseljárások nem illeszkednek a NIS2, DORA vagy GDPR szerinti bejelentési döntési pontokhoz.

Ezek a problémák auditfeszültséget okoznak, mert aláássák a bizalmat. Ha az auditor nem bízhat a szabályzatkorpuszban, mélyebbre fog ásni a kontrollműködésben.

Maria helyesbítő intézkedési terve nem egy újabb szabályzat megírása volt. Egyetlen hiteles forrás létrehozása volt. Kijelölt egy hivatalos IBIR dokumentációs könyvtárat, átmigrálta bele az aktuális szabályzatokat, archiválta a kontrollálatlan helyeket, egységesítette a tulajdonos- és jóváhagyómezőket, jóváhagyási munkafolyamatokat épített, a szabályzatokat NIS2- és DORA-kötelezettségekhez rendelte, és az auditoroknak csak olvasási jogosultságú hozzáférést adott a strukturált bizonyítékokhoz. Ami korábban szorongást okozott, a kontroll bemutatásává vált.

A Clarysec útja előre

A szabályzat-életciklus irányítása nem bürokratikus többletteher. Ez az a működési fegyelem, amely igazolhatóvá teszi az ISO 27001 szerinti dokumentált információt, a NIS2 szerinti vezetői elszámoltathatóságot, a DORA szerinti IKT-kockázatirányítást és a GDPR szerinti elszámoltathatóságot.

Használja a Zenith Blueprint: auditori 30 lépéses ütemterv anyagot az IBIR-könyvtár megfelelő szakaszban és sorrendben történő felépítéséhez, különösen a 6. lépést a dokumentált információra és a 22. lépést a szabályzatirányításra. Használja a Clarysec KKV- és vállalati szabályzatait a felülvizsgálati, jóváhagyási, verziókezelési, kommunikációs, visszakövethetőségi, bizonyítékközpontosítási és megőrzési követelmények meghatározásához. Használja a Zenith Controls: több keretrendszerre kiterjedő megfelelési útmutató anyagot az ISO/IEC 27002:2022 olyan kontrolljainak, mint az 5.1, 5.33 és 5.37, több keretrendszerre kiterjedő megfelelési elvárásokhoz, kontrollattribútumokhoz és auditori nézőpontokhoz való leképezésére.

Mielőtt újabb eszközt vásárolna vagy újabb szabályzatot írna, válaszoljon egy kérdésre:

Tudja bizonyítani, hogy minden fontos szabályzatnak van gazdája, jóváhagyása, aktuális verziója, kommunikációja, leképezése, bizonyítéka, felülvizsgálata, védelme és megfelelő kivezetése?

Ha a válasz még nem, a Clarysec segíthet felépíteni azt a bizonyítékkész IBIR-könyvtárat, szabályzat-életciklus munkafolyamatot és több keretrendszerre kiterjedő megfelelési leképezést, amelyet az auditorok, igazgatóságok és ügyfelek 2026-ban elvárnak. Töltse le a Zenith Blueprint anyagot, tekintse meg a Clarysec KKV- és vállalati szabályzatcsomagjait, vagy foglaljon felkészültségi értékelést, hogy szabályzattárát igazolható megfelelési vagyonelemmé alakítsa.