ISO 27001 ISVS taikymo sritis NIS2, DORA ir GDPR kontekste
Maria, sparčiai augančios Europos fintech įmonės CISO, manė, kad ISO 27001 priežiūros auditas yra suvaldytas.
Sertifikatas buvo ką tik išduotas. Taikytinumo pareiškimas (SoA) atrodė brandus. Taikymo srities aprašas apėmė „organizacijos informacijos saugumo valdymo sistemą, palaikančią SaaS platformos veiklą“. Produkcinė debesijos aplinka buvo dokumentuota. Reagavimo į incidentus procedūra egzistavo. Rizikų registre buvo nurodyti savininkai, datos ir liekamosios rizikos įverčiai.
Tada auditorius uždavė vieną paprastą klausimą:
„Kurios šios SaaS platformos dalys taip pat patenka į NIS2 registracijos taikymo sritį, kurios išorinės paslaugos palaiko DORA kritines ar svarbias funkcijas jūsų finansų sektoriaus klientams ir kur tiksliai tvarkomi GDPR asmens duomenys?“
Patalpoje stojo tyla.
Teisės komanda atidarė reglamentavimo įsipareigojimų skaičiuoklę. Produkto komanda atidarė architektūros schemą. DAP atidarė tvarkymo veiklos įrašus. Pirkimų komanda atidarė tiekėjų sąrašą. Operacijų komanda atidarė atkūrimo po katastrofos planą. Nė vienas iš jų nesutapo.
ISVS taikymo srityje buvo nurodyta „SaaS platforma“. NIS2 vertinimas identifikavo skaitmeninės infrastruktūros paslaugas keliose valstybėse narėse. Klientų sutartyse platforma buvo apibūdinta kaip palaikanti reglamentuojamas finansines operacijas. GDPR įrašuose buvo tapatybės duomenys, telemetrija, IP adresai, mokėjimų metaduomenys, pagalbos užklausos ir subtiekėjų vykdoma analitika. Atkūrimo po katastrofos planas apėmė produkcinę aplinką, bet ne klientų aptarnavimo platformą, naudojamą komunikacijai apie pažeidimus. Tiekėjų patikrinimas apėmė prieglobos paslaugų teikėją, bet ne valdomo aptikimo paslaugą, prijungtą prie produkcinės aplinkos žurnalų.
Tai yra 2026 m. ISVS taikymo srities nustatymo problema. ISO 27001 sertifikavimas tebėra vertingas, tačiau siaura „minimali gyvybinga taikymo sritis“ gali tapti atsakomybe, kai priežiūros institucijos, klientai ir auditoriai tikisi, kad ta pati valdymo sistema paaiškins NIS2 esmines paslaugas, DORA kritines ar svarbias funkcijas ir GDPR tvarkymo ribas.
ISO/IEC 27001:2022, NIS2, DORA ir GDPR kontekste silpna taikymo sritis nėra administracinis trūkumas. Tai pirmoji domino kaladėlė. Jei taikymo sritis klaidinga, rizikos vertinimas yra neišsamus, SoA klaidina, tiekėjų kontrolės priemonės neapima kritinių teikėjų, pranešimų apie incidentus terminai tampa neapibrėžti, o privatumo atskaitomybė susiskaido tarp komandų.
Kodėl ISO 27001 ISVS taikymo sritis dabar yra reglamentavimo riba
ISO/IEC 27001:2022 4.3 punktas reikalauja, kad organizacija nustatytų ISVS ribas ir taikytinumą, atsižvelgdama į vidinius ir išorinius klausimus, suinteresuotųjų šalių reikalavimus, taip pat sąsajas ir priklausomybes su kitomis organizacijomis ISO/IEC 27001:2022.
2026 m. ši formuluotė svarbesnė nei ankstesniuose sertifikavimo cikluose. NIS2, DORA, GDPR, debesijos paslaugų perdavimas išorės teikėjams, klientų sutartys, grupės technologijų paslaugos ir valdomų paslaugų teikėjai nėra šalutinės pastabos. Tai ISVS ribų nustatymo įvestys.
NIS2 padidina valdysenos reikšmę esminiams ir svarbiems subjektams. Ji reikalauja, kad valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų jų įgyvendinimą ir dalyvautų mokymuose. NIS2 Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, įskaitant rizikos analizę, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų įsigijimą ir kūrimą, veiksmingumo vertinimą, kibernetinę higieną, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą ir, kai tinkama, daugiaveiksnį autentifikavimą.
DORA keičia taikymo srities diskusiją finansų subjektams. Ji taikoma nuo 2025 m. sausio 17 d. ir nustato vienodus reikalavimus IRT rizikos valdymui, su IRT susijusių incidentų pranešimui, skaitmeninio operacinio atsparumo testavimui, dalijimuisi informacija ir trečiųjų šalių IRT rizikos valdymui. DORA Article 6 reikalauja dokumentuotos IRT rizikos valdymo sistemos. DORA Article 8 reikalauja identifikuoti, klasifikuoti ir dokumentuoti IRT palaikomas verslo funkcijas, informacijos išteklius ir IRT turtą, įskaitant priklausomybes. DORA Article 28 reikalauja valdyti trečiųjų šalių IRT riziką.
GDPR prideda asmens duomenų ašį. Jis taikomas automatizuotam arba struktūrizuotam asmens duomenų tvarkymui, įskaitant ES įsisteigusių subjektų vykdomą tvarkymą ir tam tikrus ne ES duomenų valdytojus ar tvarkytojus, siūlančius prekes ar paslaugas Sąjungos asmenims arba stebinčius jų elgesį. GDPR Article 30 reikalauja tvarkymo veiklos įrašų, Article 32 reikalauja tvarkymo saugumo, o Article 33 nustato pranešimo apie pažeidimus lūkesčius.
Todėl pagrįsta ISVS taikymo sritis nerašoma pagal departamentus. Ji apibrėžiama pagal reglamentuojamas paslaugas, kritines ar svarbias funkcijas, asmens duomenų tvarkymą, palaikantį turtą ir trečiųjų šalių priklausomybes.
Klaida: ISO 27001, NIS2, DORA ir GDPR laikyti atskiromis programomis
Daugelyje organizacijų matomas įprastas modelis:
- Saugumo komanda parengia ISO 27001 taikymo sritį.
- Teisės komanda vertina NIS2 taikytinumą.
- Rizikos arba atitikties komanda valdo DORA įsipareigojimus.
- Privatumo komanda prižiūri GDPR tvarkymo veiklos įrašus.
- Pirkimų komanda valdo tiekėjų sąrašą.
- Operacijų komanda valdo veiklos tęstinumą ir atkūrimą po katastrofos.
Kiekviena komanda gali dirbti pagrįstai. Problema ta, kad reglamentuojama realybė kerta visas šias sritis.
Debesijoje veikianti klientų tapatybės paslauga tuo pačiu metu gali palaikyti NIS2 paslaugos teikimą, DORA reglamentuojamas klientų operacijas ir GDPR asmens duomenų tvarkymą. Valdomo aptikimo teikėjas gali būti saugumo tiekėjas, reagavimo į incidentus priklausomybė, žurnalų duomenų tvarkytojas ar subtvarkytojas ir pagrindinis įvesties šaltinis priimant sprendimus dėl pranešimų priežiūros institucijoms. Pagalbos platforma gali būti laikoma „neprodukcine“, nors joje tvarkoma komunikacija apie asmens duomenų saugumo pažeidimus ir klientų prašymai pateikti įrodymus.
ISVS yra tinkamiausia vieta šiems įsipareigojimams integruoti, nes ISO 27001 verčia užduoti vieną disciplinuotą klausimą: kas yra ribos viduje, kas yra už jos ribų ir kodėl?
Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint tai nagrinėja ISVS pagrindų ir lyderystės etape, 2 žingsnyje: suinteresuotųjų šalių poreikiai ir ISVS taikymo sritis:
„Supratus kontekstą ir nustačius suinteresuotųjų šalių reikalavimus, 4.3 punktas prašo nustatyti ISVS ribas ir taikytinumą, kad būtų apibrėžta jos taikymo sritis. ISVS taikymo sritis yra esminė apibrėžtis, nustatanti, kas įtraukiama į jūsų saugumo valdymo programą (ir kas neįtraukiama).“
Zenith Blueprint taip pat pabrėžia aspektą, kurio daugelis taikymo srities aprašų vis dar neįvertina:
„Jei perduodate savo IT infrastruktūrą debesijos paslaugų teikėjui, tai jos nepašalina iš taikymo srities; priešingai, į taikymo sritį įtraukiate šio santykio valdymą ir debesijos turtą.“
Išorinis paslaugų teikimas perkelia vykdymą. Jis nepanaikina atskaitomybės.
Keturių ribų modelis ISO 27001 taikymo sričiai 2026 m.
Organizacijoms, kurias veikia NIS2, DORA ir GDPR, Clarysec rekomenduoja ISO 27001 ISVS taikymo sritį apibrėžti per keturias susijusias ribas.
| Riba | Pagrindinis taikymo srities klausimas | Tipiniai įrodymai | Reglamentavimo reikšmė |
|---|---|---|---|
| Paslaugų riba | Kokios paslaugos teikiamos klientams, piliečiams, pacientams, finansų subjektams ar kitoms reglamentuojamoms suinteresuotosioms šalims? | Paslaugų katalogas, NIS2 taikytinumo vertinimas, klientų sutartys, architektūros schemos | NIS2 esminio ar svarbaus subjekto klasifikavimas ir paslaugos poveikio analizė |
| Funkcijų riba | Kurie verslo procesai arba IRT paslaugos palaiko kritines ar svarbias funkcijas? | BIA, DORA kritinių funkcijų susiejimas, atsparumo strategija, RTO ir RPO įrašai | DORA IRT rizikos valdymas, operacinio atsparumo testavimas ir trečiųjų šalių rizika |
| Tvarkymo riba | Kur asmens duomenys renkami, saugomi, naudojami, perduodami, registruojami, palaikomi arba ištrinami? | RoPA, duomenų srautų žemėlapiai, DPIA, tvarkytojų sąrašas, saugojimo terminų grafikas | GDPR atskaitomybė, tvarkymo saugumas ir reagavimas į pažeidimus |
| Priklausomybių riba | Kurie tiekėjai, debesijos paslaugos, subtiekėjai ir vidinės bendrosios paslaugos palaiko tai, kas išvardyta pirmiau? | Tiekėjų registras, sutartys, debesijos paskyros, pasitraukimo planai, stebėsenos įrašai | NIS2 tiekimo grandinės saugumas, DORA trečiųjų šalių IRT rizika ir ISO 27001 tiekėjų kontrolės priemonės |
Silpnas taikymo srities aprašas sako tik „SaaS platforma“. Stipresnis aprašas nurodo, kurios verslo paslaugos, sistemos, aplinkos, vietos, duomenų tvarkymo veiklos, personalo grupės, tiekėjų santykiai ir valdymo procesai yra įtraukti.
Labiau pagrįsta versija galėtų skambėti taip:
„ISVS apima bendrovės ES SaaS mokėjimų analitikos platformos informacijos saugumo valdyseną, rizikos valdymą, operacijas ir nuolatinį tobulinimą, įskaitant produkcines ir neprodukcines debesijos aplinkas, klientų tapatybės paslaugas, administravimo sąsajas, pagalbos operacijas, žurnalų tvarkymo ir stebėsenos platformas, reagavimą į incidentus, veiklos tęstinumą, tiekėjų valdymą ir visas asmens duomenų tvarkymo veiklas, palaikančias paslaugą. ISVS apima išorinių debesijos prieglobos, valdomo aptikimo ir klientų aptarnavimo įrankių, naudojamų paslaugos teikimui, atsparumui, saugumo stebėsenai arba su GDPR susijusiai komunikacijai, valdymą.“
Ši taikymo sritis nėra tik ilgesnė. Ji geriau parengta auditui, nes susieja paslaugas, turtą, tvarkymą ir priklausomybes.
Kaip Clarysec politikos taikymo sritį paverčia valdysenos kalba
Taikymo sritis neturi gyventi atskirame dokumente. Ji turi derėti su informacijos saugumo politika, teisine ir reglamentavimo atitiktimi, rizikos valdymu, privatumu, tiekėjų valdysena, audito kriterijais ir tęstinumo planavimu.
Enterprise Informacijos saugumo politika Informacijos saugumo politika pašalina neaiškumą dėl išimčių:
„Bet kokios šios taikymo srities išimtys ar apribojimai turi būti dokumentuoti ISVS taikymo srities apraše ir pagrįsti formaliu aukščiausiosios vadovybės patvirtinimu.“
Ši nuostata svarbi, kai verslo padalinys teigia, kad klientų aptarnavimas yra už platformos ribų, nors pagalbos agentai pasiekia klientų identifikatorius ir tvarko komunikaciją apie pažeidimus. Išimtis galima tik tada, kai ji dokumentuota, pagrįsta ir patvirtinta.
Enterprise Teisinės ir reglamentavimo atitikties politika Teisinės ir reglamentavimo atitikties politika teisinį susiejimą paverčia operaciniu:
„Visi teisiniai ir reglamentavimo įsipareigojimai turi būti susieti su konkrečiomis politikomis, kontrolės priemonėmis ir savininkais Informacijos saugumo valdymo sistemoje (ISVS).“
Tai tiltas tarp teisinio taikytinumo ir Taikytinumo pareiškimo. NIS2 Article 21 neturi likti teisės skyriaus pažymoje. DORA trečiųjų šalių IRT įsipareigojimai neturi likti tik pirkimų gairėse. GDPR Article 30 ir Article 32 įsipareigojimai neturi būti tik privatumo registre. Jiems reikia priskirtų savininkų, kontrolės priemonių ir įrodymų.
Enterprise Rizikos valdymo politika Rizikos valdymo politika išplečia taikymo sritį iki trečiųjų šalių:
„Ši politika taikoma visiems organizaciniams vienetams, verslo procesams, sistemoms, personalui ir trečiųjų šalių pasitelkimui, susijusiam su informacijos išteklių tvarkymu, kūrimu, saugojimu ar valdymu.“
Tokia formuluotė dera su NIS2 tiekimo grandinės saugumu, DORA trečiųjų šalių IRT rizika ir GDPR duomenų valdytojo ar tvarkytojo atskaitomybe.
Enterprise Duomenų apsaugos ir privatumo politika Duomenų apsaugos ir privatumo politika privatumo taikymo sritį susieja su tvarkymu:
„Ši politika taikoma visiems organizaciniams vienetams, personalui ir sistemoms, dalyvaujantiems tvarkant asmens informaciją (PII), įskaitant:“
Principas lemiamas. Jei sistema tvarko PII, ji negali būti nematoma ISVS vien todėl, kad yra „tik palaikymo“, „neprodukcinė“ arba „priklauso rinkodarai“.
Enterprise Veiklos tęstinumo ir atkūrimo po katastrofos politika Veiklos tęstinumo ir atkūrimo po katastrofos politika taikymo sritį susieja su BIA rezultatais:
„Ši politika taikoma visiems organizaciniams vienetams, informacinėms sistemoms, verslo procesams, personalui ir trečiųjų šalių paslaugoms, klasifikuotoms kaip kritinės ar esminės pagal verslo poveikio analizės (BIA) rezultatus.“
Ši nuostata natūraliai dera su DORA kritinėmis ar svarbiomis funkcijomis ir NIS2 paslaugų tęstinumu.
Mažesnėms organizacijoms Clarysec SME politikos išlaiko glaustą formuluotę ir tą pačią logiką. SME Audito ir atitikties stebėsenos politika-sme Audito ir atitikties stebėsenos politika-sme - SME audito aprėptį apibrėžia kaip:
„Visos kontrolės priemonės ir sistemos, patenkančios į Informacijos saugumo valdymo sistemos (ISVS) taikymo sritį“
SME Duomenų apsaugos ir privatumo politika-sme Duomenų apsaugos ir privatumo politika-sme - SME privatumo taikymo sritį apibrėžia kaip:
„Bet kuri sistema, taikomoji programa arba vieta, kurioje asmens duomenys saugomi arba perduodami“
SME Rizikos valdymo politika-sme Rizikos valdymo politika-sme - SME užtikrina, kad išorinės paslaugos išliktų matomos:
„Visa informacija, paslaugos ir turtas, valdomi viduje arba per trečiąsias šalis“
Tokios trumpos nuostatos veiksmingos, nes jos neleidžia sertifikavimo ribai pašalinti reglamentuojamų duomenų, debesijos paslaugų ar tiekėjų valdomo turto.
Turto apskaita yra vieta, kur taikymo sritis tampa reali
Taikymo srities aprašas yra patikimas tik tada, kai jį galima atsekti iki turto, savininkų, tiekėjų, duomenų srautų ir įrodymų.
Zenith Blueprint rizikos valdymo etape, 9 žingsnyje „Turto, grėsmių ir pažeidžiamumų identifikavimas“, nurodo organizacijoms išvardyti ISVS taikymo srityje esantį turtą ir fiksuoti savininką, vietą bei klasifikaciją. Pateikiamas praktinis pavyzdys:
„Klientų duomenų bazė – priklauso IT departamentui – talpinama AWS – yra asmens ir finansinių duomenų (didelis jautrumas).“
Tas pats žingsnis prideda taikymo srities priminimą, tiesiogiai susijusį su NIS2 ir GDPR:
„Užtikrinkite, kad asmens duomenų turtas būtų pažymėtas (dėl GDPR aktualumo), o kritinių paslaugų turtas būtų nurodytas (dėl galimo NIS2 taikytinumo, jei veikiate reglamentuojamame sektoriuje).“
Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls ISO/IEC 27002:2022 kontrolės priemonę 5.9 „Informacijos ir kito susijusio turto apskaita“ laiko pamatine kelių atitikties režimų kontrolės priemone. Jos atributai klasifikuoja kontrolės priemonę kaip prevencinę, palaikančią konfidencialumą, vientisumą ir prieinamumą, suderintą su Identify kibernetinio saugumo koncepcija, turto valdymo operacine geba ir valdysenos, ekosistemos bei apsaugos sritimis.
Zenith Controls aiškiai paaiškina GDPR ir NIS2 reikšmę:
„Be tikslios ir aktualios turto apskaitos organizacijos negali įvertinti ar įgyvendinti tinkamų apsaugos priemonių.“
NIS2 kontekste turto apskaita palaiko kritinių sistemų ir komponentų, kuriais grindžiamos esminės ar svarbios paslaugos, identifikavimą. DORA kontekste DORA Article 8 IRT turto ir informacijos išteklių identifikavimą paverčia centriniu operacinio atsparumo elementu. GDPR kontekste turto apskaita palaiko duomenų srautų žemėlapių sudarymą, RoPA kokybę ir reagavimą į pažeidimus.
Pagalbiniai ISO standartai sustiprina tą pačią logiką. ISO/IEC 27005:2024 stiprina turto identifikavimą informacijos saugumo rizikos vertinime. ISO 22301:2019 palaiko veiklos tęstinumui reikalingų išteklių nustatymą. ISO/IEC 19770-1:2017 palaiko IT turto valdymo brandą. ISO/IEC 27017:2015 ir ISO/IEC 27018:2019 palaiko debesijai būdingas kontrolės priemones ir PII apsaugą viešosiose debesijose. ISO/IEC 27701:2019 išplečia privatumo informacijos valdymą. ISO/IEC 29100:2011 prisideda privatumo principais, tokiais kaip skaidrumas, minimizavimas ir saugumo apsaugos priemonės.
Praktinis taikymo srities nustatymo pratimas SaaS ir fintech komandoms
Pradėkite nuo vienos reglamentuojamos paslaugos, o ne nuo visos įmonės. Pavyzdžiui: „ES mokėjimų analitikos SaaS finansų įstaigoms“.
Tada sudarykite paslaugos, turto ir tvarkymo susiejimą.
| Taikymo srities elementas | Pavyzdinis įrašas | Kodėl jis priklauso taikymo sričiai |
|---|---|---|
| Reglamentuojama paslauga | ES mokėjimų analitikos SaaS | Gali palaikyti NIS2 skaitmeninės paslaugos klasifikavimą ir klientų reglamentavimo įsipareigojimus |
| Kritinė ar svarbi funkcija | Operacijų stebėsenos valdymo skydas reglamentuojamiems finansų klientams | Klientai gali laikyti ją palaikančia DORA kritines ar svarbias funkcijas |
| Asmens duomenų tvarkymas | Naudotojo tapatybė, klientų kontaktiniai duomenys, IP adresai, pagalbos užklausos, audito žurnalai | GDPR taikomas automatizuotam arba struktūrizuotam asmens duomenų tvarkymui |
| Pagrindinis turtas | Produkcinės debesijos nuomininkas, duomenų bazių klasteris, API šliuzas, IAM, CI/CD konvejeris, stebėsenos technologijų paketas | Reikalinga ISO 27001 rizikos vertinimui, NIS2 turto valdymui ir DORA IRT matomumui |
| Pagrindiniai tiekėjai | Debesijos paslaugų teikėjas, valdomo aptikimo teikėjas, klientų aptarnavimo SaaS, el. pašto paslauga, atsarginių kopijų teikėjas | Reikalinga NIS2 tiekimo grandinės saugumui ir DORA trečiųjų šalių IRT rizikai |
| Tęstinumo priklausomybės | Atsarginių kopijų saugykla, atkūrimo po katastrofos regionas, pagalbos komunikacija, incidentų tiltas | Reikalinga DORA atsparumui ir NIS2 veiklos tęstinumui |
| Įrodymų savininkai | CISO, DAP, inžinerijos vadovas, pirkimų vadovas, paslaugos savininkas | Reikalinga audito atskaitomybei ir vadovybės peržiūrai |
Išsamesnis turto pavyzdys galėtų atrodyti taip.
| Turto pavadinimas arba aprašymas | Savininkas | Palaikoma verslo paslauga | Reglamentavimo reikšmė | Ar ISVS taikymo srityje? | Pagrindimas |
|---|---|---|---|---|---|
| Klientų autentifikavimo paslauga | Platformos vadovas | Naudotojo prisijungimas ir MFA | DORA, GDPR, NIS2 | Taip | Kritinė platformos prieigai ir tvarko asmens duomenis |
| Parengiamosios aplinkos duomenų bazė | DevOps komanda | Testavimas prieš produkcinę aplinką | GDPR | Taip | Tvarko pseudonimizuotus asmens duomenis ir gali paveikti produkcinės aplinkos saugumą |
| Trečiosios šalies mokėjimų API | Produkto vadovas | Pagrindinis mokėjimų tvarkymas | DORA, GDPR | Taip, tiekėjo valdymas | Palaiko kritinės paslaugos teikimą ir tvarko asmens ar finansinius duomenis |
| Vidinis wiki | IT vadovas | Vidinė dokumentacija | ISO 27001 | Taip | Yra konfigūracijos duomenų, procedūrų ir saugumo dokumentacijos |
| R&D izoliuotas tinklas | R&D vadovas | Būsimi tyrimai | Šiuo metu netaikoma | Ne | Atskirtas oro tarpu, nėra produkcinių duomenų, nėra PII, nėra kritinės funkcijos, išimtis formaliai patvirtinta |
Toliau naudokite Zenith Blueprint 13 žingsnį: rizikos tvarkymo planavimas ir Taikytinumo pareiškimas. Gidas nurodo naudotojams kurti SoA pagal šabloną, kuriame išvardytos visos Annex A kontrolės priemonės, ir nuspręsti dėl taikytinumo remiantis rizikos tvarkymu, teisiniais ar sutartiniais reikalavimais, taikymo srities aktualumu ir organizaciniu kontekstu. Jame nurodoma:
„Kiekvienai kontrolės priemonei (eilutei) SoA lape nuspręskite, ar ji taikytina jūsų ISVS.“
Aukščiau pateiktam pavyzdžiui SoA turėtų apsvarstyti tiekėjų saugumo, debesijos paslaugų, incidentų valdymo, tęstinumo, teisinių ir reglamentavimo reikalavimų, privatumo, pažeidžiamumų valdymo, atsarginių kopijų, žurnalų tvarkymo, stebėsenos, kriptografijos, saugaus kūrimo, saugumo testavimo ir pakeitimų valdymo kontrolės priemones.
Praktinė darbo eiga:
- Sukurkite „ISVS taikymo srities susiejimo“ kortelę rizikų registre ir SoA kūrimo įrankyje.
- Pridėkite po vieną eilutę kiekvienai reglamentuojamai paslaugai ar produktų linijai.
- Susiekite kiekvieną paslaugą su turtu, duomenų tipais, tiekėjais, vietomis ir verslo savininkais.
- Pažymėkite NIS2 aktualumą, DORA aktualumą ir GDPR tvarkymo aktualumą.
- Pridėkite rizikos scenarijus dėl nepasiekiamos paslaugos, asmens duomenų saugumo pažeidimo, tiekėjo nesuveikimo, debesijos konfigūracijos klaidos, kritinio pažeidžiamumo ir pranešimo apie incidentą nesėkmės.
- Pasirinkite SoA kontrolės priemones remdamiesi šiomis rizikomis ir įsipareigojimais.
- Dokumentuokite išimtis, kompensuojančias kontrolės priemones ir rizikos priėmimą.
- Gaukite aukščiausiosios vadovybės patvirtinimą galutinėms riboms ir išimtims.
- Perduokite galutinę ribą vidaus auditui, vadovybės peržiūrai ir tiekėjų stebėsenai.
Rezultatas nėra vien geresnis taikymo srities aprašas. Tai pagrįsta grandinė nuo reglamentuojamos paslaugos iki turto, tiekėjo, duomenų, kontrolės priemonės, savininko ir įrodymų.
Kelių atitikties režimų susiejimas: viena taikymo sritis, daug įsipareigojimų
Tinkamai apibrėžta ISO 27001 ISVS tampa operaciniu sluoksniu, kuriame galima suderinti NIS2, DORA, GDPR, NIST CSF ir COBIT lūkesčius.
| ISO/IEC 27002:2022 kontrolė | Pagrindinė taikymo srities vertė | NIS2 reikšmė | DORA reikšmė | GDPR reikšmė | NIST CSF ir COBIT reikšmė |
|---|---|---|---|---|---|
| 5.9 Informacijos ir kito susijusio turto apskaita | Identifikuoja turtą, savininkus, vietas, klasifikaciją ir paslaugų priklausomybes | Palaiko Article 21 turto valdymą ir paslaugas palaikančių sistemų identifikavimą | Palaiko Article 8 IRT turto, informacijos išteklių ir funkcijų identifikavimą | Palaiko RoPA tikslumą, tvarkymo saugumą ir pažeidimo tyrimą | Susiejama su NIST CSF ID.AM ir COBIT 2019 BAI09 Manage Assets |
| 5.31 Teisiniai, įstatyminiai, reglamentavimo ir sutartiniai reikalavimai | Susieja įsipareigojimus su politikomis, kontrolės priemonėmis, savininkais ir įrodymais | Palaiko NIS2 pareigų valdyseną ir tiekimo grandinės atitiktį | Palaiko IRT rizikos valdymą, pranešimų teikimą ir trečiųjų šalių įsipareigojimus | Palaiko atskaitomybę ir teisinę atitiktį | Susiejama su NIST CSF GOVERN ir COBIT 2019 MEA03 Managed Compliance with External Requirements |
| 5.34 Privatumas ir PII apsauga | Užtikrina, kad asmens duomenų tvarkymas būtų matomas ir apsaugotas | Palaiko paslaugų gavėjų duomenų apsaugą, kai aktualu | Palaiko duomenų vientisumą, saugumą ir konfidencialumą IRT paslaugose | Palaiko GDPR Article 32 ir duomenų apsaugos pagal projektavimą lūkesčius | Palaiko privatumo valdyseną ir operacinį privatumo valdymą |
ISO/IEC 27002:2022 kontrolės priemonės 5.31 „Teisiniai, įstatyminiai, reglamentavimo ir sutartiniai reikalavimai“ kontekste Zenith Controls susieja atitikties įsipareigojimus su privatumu, PII apsauga, įrašų saugojimu, nepriklausoma peržiūra ir vidaus politikų laikymusi. Tai natūraliai susiejama su GDPR atskaitomybe, NIS2 tiekimo grandinės atitiktimi, DORA IRT rizikos valdymu ir atitiktimi, NIST CSF valdysena ir COBIT 2019 išorinės atitikties stebėsena.
ISO/IEC 27002:2022 kontrolės priemonės 5.34 „Privatumas ir PII apsauga“ kontekste Zenith Controls sujungia privatumą su turto apskaita, debesijos paslaugomis, klasifikavimu, informacijos perdavimu, prieigos kontrole, tapatybės valdymu ir projektų pakeitimų peržiūromis. Jos GDPR susiejimas apima tvarkymo saugumą ir duomenų apsaugą pagal projektavimą. Jos DORA susiejimas palaiko duomenų vientisumą, saugumą ir konfidencialumą, įskaitant asmens duomenis, tvarkomus IRT paslaugose.
Principas paprastas: nekurkite keturių nesusijusių atitikties programų. Sukurkite vieną aiškiai apibrėžtos taikymo srities ISVS, kuri gali paaiškinti, kaip įsipareigojimai tenkinami, pagrindžiami įrodymais ir audituojami.
Pranešimų apie incidentus taikymo sritis: kur ribos veikia reglamentavimo terminus
Neteisinga taikymo sritis ypač skaudžiai išryškėja incidentų metu.
NIS2 Article 23 reikalauja etapinio pranešimo apie reikšmingus incidentus, įskaitant ankstyvąjį perspėjimą per 24 valandas, pranešimą apie incidentą per 72 valandas, tarpines ataskaitas, kai jų prašoma, ir galutinę ataskaitą per vieną mėnesį. Taip pat gali būti reikalaujama informuoti paveiktus gavėjus.
DORA reikalauja, kad finansų subjektai aptiktų, valdytų, klasifikuotų ir praneštų apie reikšmingus su IRT susijusius incidentus pagal tokius kriterijus kaip paveikti klientai ar sandorio šalys, trukmė, prastova, geografinis paplitimas, duomenų praradimai, paveiktų paslaugų kritiškumas ir ekonominis poveikis. Klientai turi būti informuojami nepagrįstai nedelsiant, kai reikšmingas IRT incidentas paveikia jų finansinius interesus.
GDPR pranešimas apie asmens duomenų saugumo pažeidimą priklauso nuo to, ar pažeidimas lemia atsitiktinį ar neteisėtą asmens duomenų sunaikinimą, praradimą, pakeitimą, neautorizuotą atskleidimą ar prieigą prie jų.
Jei pagalbos platforma, žurnalų aplinka, tapatybės paslauga, klientų informavimo kanalas ar valdomo aptikimo teikėjas yra už ISVS taikymo srities ribų, incidentų komandos gali nežinoti, ar įvykis suaktyvina NIS2, DORA, GDPR, klientų sutarties pranešimų reikalavimus, ar visus juos. Toks neapibrėžtumas eikvoja pranešimo terminą.
Brandžioje taikymo srityje įtraukiamos su incidentais susijusios priklausomybės: aptikimo priemonės, žurnalų saugyklos, kriminalistinės saugyklos, klientų komunikacijos kanalai, pagalbos įrankiai, atsarginių kopijų aplinkos, incidentų tiltai ir tiekėjai, dalyvaujantys triaže ar atkūrime.
Kaip auditoriai ir priežiūros institucijos testuos jūsų ISVS taikymo sritį
Stipri taikymo sritis atlaiko atrankinį testavimą. Silpna taikymo sritis sugriūva, kai auditoriai palygina dokumentus su realybe.
| Audito perspektyva | Ką auditorius testuos | Tipiniai prašomi įrodymai |
|---|---|---|
| ISO 27001 auditorius | Ar taikymo sritis atsižvelgia į kontekstą, suinteresuotųjų šalių reikalavimus, sąsajas, priklausomybes ir dokumentuotas išimtis | ISVS taikymo srities aprašas, suinteresuotųjų šalių registras, teisinių reikalavimų registras, turto apskaita, SoA, vadovybės patvirtinimas |
| Į NIST orientuotas vertintojas | Ar turtas, tiekėjai, rizikos atsakai, stebėsena ir incidentų kriterijai dera su nurodyta riba | Dabartiniai ir tiksliniai profiliai, turto apskaita, rizikų registras, veiksmų planas, stebėsenos aprėptis, incidentų planai |
| COBIT 2019 auditorius | Ar valdysena apima išorinius įsipareigojimus, kritines paslaugas, atitikties stebėseną ir atskaitomybę | Valdybos ataskaitos, atitikties susiejimai, paslaugų savininkystė, rizikos suvestinės, MEA03 tipo stebėsena |
| ISACA ITAF auditorius | Ar įrodymai yra pakankami, tinkami ir atsekami nuo įsipareigojimų iki kontrolės priemonių ir rezultatų | Atrinktas turtas, tiekėjų sutartys, žurnalai, teisinių reikalavimų registras, audito pėdsakai, pokalbiai su savininkais |
| DORA peržiūros vykdytojas | Ar IRT turtas ir trečiųjų šalių paslaugos, palaikančios kritines ar svarbias funkcijas, yra identifikuoti ir testuoti | IRT registras, kritinių funkcijų susiejimas, sutartys, pasitraukimo planai, testavimo rezultatai, incidentų įrašai |
| Privatumo auditorius | Ar asmens duomenų tvarkymas yra apskaitytas, apsaugotas ir susietas su kontrolės priemonėmis | RoPA, DPIA, duomenų tvarkytojų susitarimai, prieigos žurnalai, saugojimo įrodymai, pažeidimų procedūros |
Zenith Controls pateikia naudingus audito lūkesčius ISO/IEC 27002:2022 kontrolės priemonei 5.9. ISO/IEC 19011 tipo auditoriai inventorių prašo anksti, kad apibrėžtų kitų vertinimų apimtį ir atliktų fizinio, programinės įrangos ir debesijos turto atrankines patikras. ISO/IEC 27007 tipo auditoriai klausia, kaip ir kada inventorius atnaujinamas, ieškodami sąsajų su pirkimais, pakeitimų valdymu ir eksploatacijos nutraukimu. NIST SP 800-53A tipo auditoriai tikrina, ar inventoriaus duomenys apima turto tipą, savininką, vietą, tinklo adresą, kai taikoma, ir būseną, taip pat ar įtrauktas debesijos, virtualusis ir mobilusis turtas.
Kontrolės priemonės 5.31 kontekste Zenith Controls pažymi, kad sertifikavimo auditoriai tikisi atitikties registro arba teisės aktų ir sutarčių sąrašo, nurodyto SoA ir rizikos tvarkymo planuose. COBIT auditoriai ieško atitikties savininkų, vertinimų ir ataskaitų vyresniajai vadovybei. ISACA ITAF auditoriai atrenka įrodymus, kad patvirtintų, jog organizacija ne tik žino savo įsipareigojimus, bet ir aktyviai užtikrina jų vykdymą.
Kontrolės priemonės 5.34 kontekste auditoriai peržiūri privatumo politikas, duomenų apskaitas, DPIA, mokymų žurnalus, šifravimo įrodymus, prieigos kontrolės priemones, DSAR pavyzdžius, privatumo pagal projektavimą įrodymus ir incidentų įrašus, susijusius su PII. Taikymo srities aprašas, kuris pašalina sistemą, tvarkančią asmens duomenis, bus greitai užginčytas.
Valdybos klausimas: ko negalima pašalinti?
Aukščiausioji vadovybė dažnai klausia, ar verslo padalinys, vieta, tiekėjas ar sistema gali likti už ISVS taikymo srities ribų. Kartais atsakymas yra taip. Tačiau ne tada, kai pašalinimas trukdo organizacijai vykdyti teisinius, reglamentavimo, sutartinius ar paslaugų saugumo įsipareigojimus.
Prieš patvirtindami bet kokį ribos apribojimą, naudokite šį išimties testą:
- Ar padalinys, sistema arba tiekėjas palaiko NIS2 reglamentuojamą paslaugą?
- Ar jis palaiko DORA kritinę ar svarbią funkciją organizacijai arba jos reglamentuojamiems klientams?
- Ar jis renka, saugo, perduoda, registruoja, palaiko arba ištrina asmens duomenis?
- Ar jis teikia saugumo stebėseną, tapatybės paslaugas, atsargines kopijas, reagavimą į incidentus arba atkūrimą į taikymo sritį patenkančiai paslaugai?
- Ar jis teikia įrodymus, reikalingus incidento klasifikavimui arba pranešimui priežiūros institucijai?
- Ar kliento sutartis reikalauja, kad jis būtų įtrauktas į ISVS?
- Ar jo kompromitavimas paveiktų konfidencialumą, vientisumą, prieinamumą, teisinę atitiktį arba paslaugos tęstinumą nurodytoje taikymo srityje?
Jei atsakymas yra taip, išimčiai reikia tvirtų įrodymų, kompensuojančios valdysenos, rizikos priėmimo ir formalaus aukščiausiosios vadovybės patvirtinimo. Daugeliu atvejų ji neturėtų būti taikoma.
Šiuolaikinė ISO 27001 ISVS taikymo sritis turėtų apimti:
- Įtrauktas verslo paslaugas ir produktų linijas.
- Įtrauktus juridinius asmenis, organizacinius vienetus ir vietas.
- Klientų segmentus ir jurisdikcijas, lemiančias įsipareigojimus.
- Kritines ar svarbias funkcijas ir BIA pagrįstas esmines paslaugas.
- Informacijos išteklius, IRT turtą ir debesijos aplinkas.
- Asmens duomenų tvarkymo veiklas ir PII saugyklas.
- Kūrimo, testavimo, pagalbos, stebėsenos ir incidentų procesus.
- Tiekėjus ir išorines paslaugas, palaikančias į taikymo sritį patenkančias paslaugas.
- Sąsajas ir priklausomybes su grupės įmonėmis arba išorės paslaugų teikėjais.
- Aiškias išimtis su pagrindimu, rizikos priėmimu ir aukščiausiosios vadovybės patvirtinimu.
Taip ISO 27001 taikymo sritis tampa valdybos lygmens valdysenos pozicija, o ne sertifikavimo trumpiniu.
Parenkite ISVS taikymo sritį auditui, kol jos už jus neapibrėžė auditorius
Blogiausias laikas aptikti taikymo srities problemą yra sertifikavimo, priežiūros institucijos peržiūros, kliento patikrinimo ar realaus incidento metu.
Siauras sertifikatas gali patenkinti pirkimų kontrolinio sąrašo punktą, tačiau jis neatlaikys rimtos patikros, jei pašalins paslaugas, IRT funkcijas, tiekėjus ir asmens duomenų tvarkymą, kurie sukuria reglamentavimo ekspoziciją. 2026 m. organizacijos, kurios auditus praeis užtikrintai, bus tos, kurios gali parodyti vieną nuoseklų žemėlapį nuo reglamentuojamos paslaugos iki turto, tiekėjo, asmens duomenų, kontrolės priemonės, savininko ir įrodymų.
Pradėkite nuo trijų konkrečių veiksmų:
- Naudokite Zenith Blueprint Zenith Blueprint etapą „ISVS pagrindai ir lyderystė“, 2 žingsnį, kad perrašytumėte ISVS taikymo sritį pagal paslaugas, funkcijas, tvarkymą ir priklausomybes.
- Naudokite Zenith Controls Zenith Controls, kad susietumėte turto apskaitą, teisinius įsipareigojimus ir PII apsaugą su ISO 27001, NIS2, DORA, GDPR, NIST ir COBIT 2019 audito lūkesčiais.
- Suderinkite politikų taikymo sritį naudodami Clarysec Informacijos saugumo politiką Informacijos saugumo politika, Teisinės ir reglamentavimo atitikties politiką Teisinės ir reglamentavimo atitikties politika, Rizikos valdymo politiką Rizikos valdymo politika, Duomenų apsaugos ir privatumo politiką Duomenų apsaugos ir privatumo politika ir Veiklos tęstinumo ir atkūrimo po katastrofos politiką Veiklos tęstinumo ir atkūrimo po katastrofos politika.
Jei jūsų dabartinė ISVS taikymo sritis vis dar skamba kaip departamento etiketė, perkurkite ją kaip atitikties ribą. Atsisiųskite Clarysec įrankių rinkinius, susiekite vieną reglamentuojamą paslaugą nuo pradžios iki pabaigos ir paverskite savo ISO 27001 taikymo sritį auditui tinkamais NIS2, DORA ir GDPR įrodymais.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
