ISO 27001:2022 nesėkmingo audito atkūrimo planas

El. laiškas, kurio niekas nenorėjo gauti

El. laiškas atkeliauja vėlai penktadienį, o jo tema skamba nekaltai: „Perėjimo audito rezultatas.“

Turinys nėra nekaltas. Sertifikavimo įstaiga nustatė reikšmingą neatitiktį. ISO/IEC 27001 sertifikatas sustabdytas arba perėjimo sprendimo negalima užbaigti. Auditoriaus pastaba tiesmuka: Taikomumo pareiškimas nepagrindžia neįtrauktų kontrolės priemonių, rizikos vertinimas neatspindi dabartinio konteksto, o įrodymų, kad buvo įvertintos naujos reguliacinės prievolės, nepakanka.

Per valandą klausimas nebėra vien atitikties problema. Pardavimų komanda klausia, ar viešojo sektoriaus pirkimas dabar neatsidūrė rizikoje. Teisės funkcija peržiūri klientų sutarčių nuostatas. CISO aiškina, kodėl SoA nesuderintas su Rizikos tvarkymo planu. Generalinis direktorius užduoda vienintelį svarbų klausimą: „Kaip greitai galime tai sutvarkyti?“

Daugeliui organizacijų ISO 27001:2022 perėjimo termino praleidimas nesukūrė teorinės spragos. Jis sukūrė realią veiklos tęstinumo problemą. Praleistas arba nesėkmingas ISO 27001:2022 perėjimo auditas gali paveikti tinkamumą dalyvauti pirkimuose, tiekėjų įtraukimo procesą, kibernetinį draudimą, klientų patikinimą, pasirengimą NIS2, DORA lūkesčius, GDPR atskaitomybę ir valdybos pasitikėjimą.

Gera žinia ta, kad padėtį galima atkurti. Bloga žinia ta, kad dokumentų kosmetika neveiks. Atkūrimas turi būti traktuojamas kaip disciplinuota ISVS korekcinių veiksmų programa, o ne kaip skubotas politikų perrašymas.

Clarysec šį atkūrimą organizuoja remdamasi trimis susijusiais ištekliais:

1. Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas, ypač audito, peržiūros ir tobulinimo etapu.
2. Clarysec įmonių ir MVĮ politikų biblioteka, kuri audito išvadas paverčia valdomomis prievolėmis.
3. Zenith Controls: kryžminės atitikties vadovas, padedantis susieti ISO/IEC 27002:2022 kontrolės priemonių lūkesčius su NIS2, DORA, GDPR, NIST tipo patikinimo logika ir COBIT 2019 valdysenos perspektyvomis.

Tai praktinis atkūrimo planas CISO, atitikties vadovams, auditoriams, steigėjams ir verslo savininkams, kurie praleido ISO 27001:2022 perėjimo terminą arba neišlaikė perėjimo audito.

Pirmiausia diagnozuokite nesėkmės pobūdį

Prieš redaguodami bent vieną politiką, suklasifikuokite situaciją. Ne kiekvienas nesėkmingas ar praleistas perėjimas turi tokį patį poveikį verslui ar tokį patį atkūrimo kelią. Pirmosios 24 valandos turėtų būti skirtos audito ataskaitai, sertifikavimo įstaigos sprendimui, neatitikties formuluotei, įrodymų prašymams, terminams ir dabartinei sertifikato būsenai gauti.

Atkūrimo planas priklauso nuo nesėkmės pobūdžio. Užblokuotam sertifikavimo sprendimui reikia tikslingo trūkumų šalinimo. Sustabdytam sertifikatui reikia skubaus valdysenos ir įrodymų sutvarkymo. Panaikintam arba pasibaigusio galiojimo sertifikatui gali reikėti platesnio pakartotinio sertifikavimo kelio.

Kiekvienu atveju susiekite kiekvieną problemą su atitinkamu ISVS skyriumi, A priedo kontrolės priemone, rizikos įrašu, politikos savininku, teisine ar sutartine prievole ir įrodymų šaltiniu.

Čia ISO/IEC 27001:2022 svarbus kaip valdymo sistema, o ne tik kaip kontrolės priemonių katalogas. 4–10 skyriai reikalauja, kad ISVS suprastų kontekstą, suinteresuotąsias šalis, taikymo sritį, lyderystę, rizikos planavimą, palaikymą, veikimą, veiklos rezultatų vertinimą ir nuolatinį tobulinimą. Jei perėjimas nepavyko, viena iš šių valdymo sistemos sąsajų paprastai yra nutrūkusi.

Kodėl ISO 27001:2022 perėjimo auditai būna nesėkmingi

Nesėkmingi perėjimo auditai dažniausiai telkiasi aplink pasikartojančius modelius. Daugelis jų nėra giliai techniniai. Tai valdysenos, atsekamumo, atsakomybių ir įrodymų nesėkmės.

Nesėkmingas auditas yra signalas, kad ISVS nepakankamai greitai prisitaikė prie realios organizacijos veiklos aplinkos.

ISO/IEC 27005:2022 naudingas atkūrimui, nes pabrėžia konteksto nustatymo svarbą remiantis teisiniais, reguliaciniais, sektoriaus, sutartiniais, vidiniais ir esamų kontrolės priemonių reikalavimais. Jis taip pat palaiko rizikos kriterijus, kurie apima teisines pareigas, tiekėjus, privatumą, žmogiškuosius veiksnius, verslo tikslus ir vadovybės patvirtintą rizikos apetitą.

Praktikoje perėjimo atkūrimas prasideda nuo atnaujinto konteksto ir rizikos kriterijų, o ne nuo naujo versijos numerio sename dokumente.

1 žingsnis: įšaldykite audito įrašą ir sukurkite atkūrimo valdymo centrą

Pirmoji operacinė klaida po nesėkmingo audito yra įrodymų chaosas. Komandos pradeda ieškoti el. pašto dėžutėse, bendrinamuose diskuose, užklausų valdymo sistemose, pokalbių pranešimuose, asmeniniuose aplankuose ir senuose audito paketuose. Auditoriai tai vertina kaip ženklą, kad ISVS nekontroliuojama.

Clarysec MVĮ Audito ir atitikties stebėsenos politika - MVĮ aiškiai nustato įrodymų kontrolę:

„Visi įrodymai turi būti saugomi centralizuotame audito aplanke.“

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.2.1.

Tas centralizuotas audito aplankas tampa atkūrimo valdymo centru. Jame turėtų būti:

• Sertifikavimo įstaigos ataskaita ir korespondencija.
• Sertifikato būsenos patvirtinimas.
• Neatitikčių registras.
• CAPA žurnalas.
• Atnaujintas rizikos vertinimas.
• Atnaujintas Rizikos tvarkymo planas.
• Atnaujintas Taikomumo pareiškimas.
• Vidaus audito ataskaita.
• Vadovybės peržiūros protokolas.
• Politikų patvirtinimo įrašai.
• Kiekvienos taikomos A priedo kontrolės priemonės įrodymai.
• Klientų patikinimo paketas, jei paveikti komerciniai įsipareigojimai.

Įmonių aplinkoms Clarysec Audito ir atitikties stebėsenos politika nustato tą patį valdysenos lūkestį:

„Visos išvados turi lemti dokumentuotą CAPA, į kurį įtraukiama:“

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.2.1.

Formuluotė įtvirtina struktūruotą korekcinių veiksmų lūkestį. Esmė paprasta: kiekviena audito išvada turi tapti valdomu CAPA elementu, o ne neformalia užduotimi kieno nors užrašinėje.

MVĮ atveju vadovybės įsitraukimas taip pat svarbus:

„Generalinis vadovas (GM) turi patvirtinti korekcinių veiksmų planą ir stebėti jo įgyvendinimą.“

Iš Audito ir atitikties stebėsenos politikos - MVĮ, skyriaus „Valdysenos reikalavimai“, politikos punktas 5.4.2.

Tai svarbu, nes ISO 27001:2022 lyderystės nelaiko simboline. Aukščiausioji vadovybė turi nustatyti politiką, suderinti tikslus su verslo strategija, suteikti išteklius, komunikuoti informacijos saugumo svarbą, priskirti atsakomybes ir skatinti nuolatinį tobulinimą.

Jei nesėkmingas perėjimas traktuojamas kaip „atitikties specialisto problema“, kitas auditas vėl atskleis silpną vadovybės atskaitomybę.

2 žingsnis: atkurkite kontekstą, prievoles ir riziką

Nesėkmingas perėjimo auditas dažnai reiškia, kad ISVS kontekstas nebeatspindi organizacijos realybės. Verslas galėjo persikelti į debesijos platformas, įtraukti naujų tiekėjų, įeiti į reguliuojamas rinkas, tvarkyti daugiau asmens duomenų arba tapti aktualus klientams pagal NIS2 ar DORA. Jei šių pokyčių ISVS nėra, rizikos vertinimas ir SoA bus neišsamūs.

Clarysec Teisinės ir reguliacinės atitikties politika nustato pagrindą:

„Visos teisinės ir reglamentavimo prievolės turi būti susietos su konkrečiomis politikomis, kontrolės priemonėmis ir savininkais Informacijos saugumo valdymo sistemoje (ISVS).“

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.2.1.

Šis punktas po perėjimo nesėkmės yra kritinis. ISO 27001:2022 4.1–4.3 skyriai reikalauja, kad organizacijos atsižvelgtų į vidinius ir išorinius klausimus, suinteresuotąsias šalis, reikalavimus, sąsajas, priklausomybes ir taikymo sritį. Teisinės, reguliacinės ir sutartinės prievolės nėra šalutinės pastabos. Jos formuoja ISVS.

NIS2 Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, įskaitant rizikos analizę, politikas, incidentų valdymą, atsarginių kopijų kūrimą, atkūrimą po katastrofos, krizių valdymą, tiekimo grandinės saugumą, saugų kūrimą, pažeidžiamumų tvarkymą, veiksmingumo vertinimus, kibernetinę higieną, mokymus, kriptografiją, personalo saugumą, prieigos kontrolę, turto valdymą ir saugią komunikaciją. Article 20 atsakomybę kelia valdymo organo lygmeniui. Article 23 sukuria etapais vykdomą reikšmingų incidentų pranešimą, įskaitant ankstyvąjį įspėjimą, pranešimą apie incidentą, atnaujinimus ir galutinę ataskaitą.

DORA nuo 2025 m. sausio 17 d. tiesiogiai taikomas finansų subjektams ir apima IRT rizikos valdymą, pranešimą apie reikšmingus incidentus, atsparumo testavimą, IRT trečiųjų šalių riziką, sutartinius reikalavimus ir kritinių IRT trečiųjų šalių paslaugų teikėjų priežiūrą. Į taikymo sritį patenkantiems finansų subjektams DORA tampa pagrindiniu IRT valdysenos, tiekėjų kontrolės, testavimo, incidentų klasifikavimo ir vadovybės atskaitomybės veiksniu.

GDPR prideda atskaitomybę už asmens duomenis. Article 5 reikalauja teisėto, sąžiningo, skaidraus, apriboto, tikslaus, saugojimo terminus atitinkančio ir saugaus tvarkymo su įrodomu atitikties pagrindimu. Article 4 apibrėžia asmens duomenų saugumo pažeidimą taip, kad tai tiesiogiai veikia incidentų klasifikavimą. Article 6 reikalauja susieti teisinį pagrindą, o Article 9 nustato sustiprintus reikalavimus specialių kategorijų duomenims.

Tai nereiškia atskirų atitikties visatų kūrimo. Tai reiškia ISO 27001:2022 naudojimą kaip integruotą valdymo sistemą ir prievolių susiejimą į vieną rizikos ir kontrolės architektūrą.

Clarysec Rizikos valdymo politika tiesiogiai susieja rizikos tvarkymą su kontrolės priemonių parinkimu:

„Kontrolės priemonių sprendimai, kylantys iš rizikos tvarkymo proceso, turi būti atspindėti SoA.“

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.5.1.

Nesėkmingas auditas taip pat yra priežastis peržiūrėti patį rizikos valdymo procesą. Clarysec MVĮ Rizikos valdymo politika - MVĮ nurodo šį paleidiklį:

„Reikšmingas incidentas arba audito išvada atskleidžia rizikos valdymo spragas“

Iš skyriaus „Peržiūros ir atnaujinimo reikalavimai“, politikos punktas 9.2.1.1.

Atkūrimo režimu tai reiškia, kad rizikų registras, rizikos kriterijai, tvarkymo planas ir SoA turi būti atkuriami kartu.

3 žingsnis: sutvarkykite SoA kaip atsekamumo ašį

Daugumoje nesėkmingų perėjimų Taikomumo pareiškimas yra pirmasis tikrinamas dokumentas. Tai taip pat vienas pirmųjų dokumentų, kuriuos auditoriai atrenka imčiai. Silpnas SoA auditoriui parodo, kad kontrolės priemonių parinkimas nėra grindžiamas rizika.

Zenith Blueprint pateikia praktinę instrukciją audito, peržiūros ir tobulinimo etapo 24 žingsnyje „Auditas, peržiūra ir tobulinimas“:

„Jūsų SoA turėtų būti suderintas su Rizikų registru ir Rizikos tvarkymo planu. Dar kartą patikrinkite, ar kiekviena kontrolės priemonė, kurią pasirinkote kaip rizikos tvarkymo priemonę, SoA pažymėta kaip „Taikoma“. Priešingai, jei kontrolės priemonė SoA pažymėta kaip „Taikoma“, turite turėti jos pagrindimą – paprastai susietą riziką, teisinį / reglamentavimo reikalavimą arba verslo poreikį.“

Iš Zenith Blueprint: auditoriaus 30 žingsnių veiksmų plano, audito, peržiūros ir tobulinimo etapo, 24 žingsnio.

Tai atkūrimo principas. SoA nėra formalumas. Tai atsekamumo ašis tarp rizikų, prievolių, kontrolės priemonių, įgyvendinimo įrodymų ir audito išvadų.

Praktinis SoA sutvarkymas turėtų vykti tokia seka:

1. Eksportuokite dabartinį SoA.
2. Pridėkite stulpelius: rizikos ID, reguliacinė prievolė, verslo reikalavimas, politikos nuoroda, įrodymų vieta, savininkas, įgyvendinimo būsena ir paskutinio testavimo data.
3. Kiekvienai taikomai kontrolės priemonei susiekite bent vieną pagrįstą argumentą.
4. Kiekvienai neįtrauktai kontrolės priemonei įrašykite konkrečią neįtraukimo priežastį.
5. Suderinkite SoA su Rizikos tvarkymo planu.
6. Suderinkite SoA su vidaus audito rezultatais.
7. Užduokite griežtą klausimą: jei auditorius atrinks šią eilutę, ar galime tai įrodyti per penkias minutes?

Pagrįsta SoA eilutė turėtų atrodyti taip:

Ši eilutė pasakoja atkūrimo istoriją. Ji parodo verslo kontekstą, rizikos logiką, reguliacinį aktualumą, atsakomybes, įgyvendinimą, testavimą ir likusius veiksmus.

Neįtraukimams taikoma tokia pati disciplina. Pavyzdžiui, jei organizacija nevykdo vidinės programinės įrangos kūrimo veiklos, ISO/IEC 27002:2022 kontrolės priemonės 8.25 Secure development life cycle ir kontrolės priemonės 8.28 Secure coding neįtraukimas gali būti pagrįstas, bet tik jei tai tiesa, dokumentuota ir paremta įrodymais, kad programinė įranga yra komercinė standartinė programinė įranga arba visiškai išorėje kuriama programinė įranga su įdiegtomis tiekėjų kontrolės priemonėmis.

4 žingsnis: atlikite pagrindinės priežasties analizę, o ne dokumentų kosmetiką

Nesėkmingas perėjimo auditas retai įvyksta dėl vieno trūkstamo failo. Paprastai jį sukelia neveikiantis procesas.

Zenith Blueprint, audito, peržiūros ir tobulinimo etapo 27 žingsnis „Audito išvados – analizė ir pagrindinė priežastis“, teigia:

„Kiekvienos nustatytos neatitikties (reikšmingos ar mažareikšmės) atveju pagalvokite, kodėl ji įvyko – tai labai svarbu veiksmingam ištaisymui.“

Iš Zenith Blueprint, audito, peržiūros ir tobulinimo etapo, 27 žingsnio.

Jei išvada sako „trūksta SoA pagrindimų“, korekcija gali būti SoA atnaujinimas. Tačiau pagrindinė priežastis gali būti ta, kad turto savininkai nedalyvavo rizikos vertinime, teisinės prievolės nebuvo susietos arba atitikties komanda SoA tvarkė izoliuotai.

Naudinga atkūrimo lentelė atskiria silpnas korekcijas nuo tikrų korekcinių veiksmų:

Čia grįžta patikimumas. Auditoriai nesitiki tobulumo. Jie tikisi kontroliuojamos sistemos, kuri aptinka, taiso, mokosi ir tobulėja.

5 žingsnis: sukurkite CAPA, kuriuo auditorius gali pasitikėti

Koreguojamieji ir prevenciniai veiksmai yra sritis, kurioje daugelis organizacijų atgauna kontrolę. CAPA registras turėtų tapti atkūrimo veiksmų planu ir pagrindiniu įrodymu, kad nesėkmingas auditas buvo tvarkomas sistemingai.

Zenith Blueprint, audito, peržiūros ir tobulinimo etapo 29 žingsnis „Nuolatinis tobulinimas“, paaiškina struktūrą:

„Įsitikinkite, kad kiekvienas korekcinis veiksmas yra konkretus, priskiriamas atsakingam asmeniui ir apibrėžtas laike. Iš esmės kiekvienai problemai kuriate mažą projektą.“

Iš Zenith Blueprint, audito, peržiūros ir tobulinimo etapo, 29 žingsnio.

Jūsų CAPA žurnale turėtų būti:

• Išvados ID.
• Šaltinio auditas.
• Skyriaus arba kontrolės priemonės nuoroda.
• Sunkumas.
• Problemos aprašymas.
• Nedelsiant atliekama korekcija.
• Pagrindinė priežastis.
• Korekcinis veiksmas.
• Prevencinis veiksmas, kai aktualu.
• Savininkas.
• Įvykdymo terminas.
• Reikalingi įrodymai.
• Būsena.
• Veiksmingumo patikra.
• Vadovybės patvirtinimas.

Clarysec Audito ir atitikties stebėsenos politika - MVĮ taip pat nurodo reikšmingą neatitiktį kaip peržiūros paleidiklį:

„Sertifikavimo auditas arba priežiūros auditas lemia reikšmingą neatitiktį“

Iš skyriaus „Peržiūros ir atnaujinimo reikalavimai“, politikos punktas 9.2.2.

Jei perėjimo auditas nustatė reikšmingą neatitiktį, peržiūrėkite patį audito ir atitikties stebėsenos procesą. Kodėl vidaus auditas problemos neaptiko pirmas? Kodėl vadovybės peržiūra jos neeskalavo? Kodėl SoA neatskleidė įrodymų spragos?

Taip nesėkmingas auditas tampa stipresne ISVS.

6 žingsnis: naudokite Zenith Controls ISO įrodymams susieti su kryžmine atitiktimi

Pakartotinis auditas nevyksta izoliuotai. Klientai, reguliuotojai, draudikai ir vidinės valdysenos komandos tuos pačius įrodymus gali vertinti iš skirtingų perspektyvų. Čia Zenith Controls yra vertingas kaip kryžminės atitikties vadovas. Jis padeda komandoms nustoti traktuoti ISO 27001, NIS2, DORA, GDPR, NIST tipo patikinimą ir COBIT 2019 valdyseną kaip atskirus kontrolinius sąrašus.

Trys ISO/IEC 27002:2022 kontrolės priemonės yra ypač aktualios perėjimo atkūrimui.

Zenith Controls ISO/IEC 27002:2022 kontrolės priemonę 5.31 tiesiogiai susieja su privatumu ir PII:

„5.34 apima atitiktį duomenų apsaugos įstatymams (pvz., GDPR), kuri yra viena teisinių reikalavimų kategorija pagal 5.31.“

Iš Zenith Controls, kontrolės priemonė 5.31, sąsajos su kitomis kontrolės priemonėmis.

Atkūrimui tai reiškia, kad teisinių reikalavimų registras negali būti už ISVS ribų. Jis turi lemti SoA, Rizikos tvarkymo planą, politikų rinkinį, kontrolės priemonių savininkystę ir audito įrodymus.

Dėl ISO/IEC 27002:2022 kontrolės priemonės 5.35 Zenith Controls pabrėžia, kad nepriklausoma peržiūra dažnai pasiekia operacinius įrodymus:

„Nepriklausomos peržiūros pagal 5.35 dažnai vertina žurnalavimo ir stebėsenos veiklų pakankamumą.“

Iš Zenith Controls, kontrolės priemonė 5.35, sąsajos su kitomis kontrolės priemonėmis.

Tai praktiška. Auditorius gali pradėti nuo valdysenos, o tada atrinkti žurnalus, įspėjimus, stebėsenos įrašus, prieigos peržiūras, incidentų užklausas, atsarginių kopijų testus, tiekėjų peržiūras ir vadovybės sprendimus.

Dėl ISO/IEC 27002:2022 kontrolės priemonės 5.36 Zenith Controls paaiškina ryšį su vidine politikų valdysena:

„Kontrolės priemonė 5.36 veikia kaip taisyklių, apibrėžtų pagal 5.1, taikymo mechanizmas.“

Iš Zenith Controls, kontrolės priemonė 5.36, sąsajos su kitomis kontrolės priemonėmis.

Čia žlunga daugelis perėjimo programų. Politikos egzistuoja, bet jų laikymasis nestebimas. Procedūros egzistuoja, bet išimtys nefiksuojamos. Kontrolės priemonės deklaruojamos, bet netestuojamos.

7 žingsnis: pasirenkite skirtingoms audito perspektyvoms

Stiprus atkūrimo paketas turėtų atlaikyti daugiau nei vieno auditoriaus perspektyvą. ISO sertifikavimo auditoriai, DORA priežiūros institucijos, NIS2 vertintojai, GDPR suinteresuotosios šalys, klientų patikinimo komandos, NIST orientuoti vertintojai ir COBIT 2019 valdysenos peržiūrų atlikėjai gali užduoti skirtingus klausimus apie tuos pačius įrodymus.

Tikslas nėra dubliuoti įrodymų. Viena SoA eilutė dėl žurnalavimo ir stebėsenos gali palaikyti ISO įrodymus, NIST tipo aptikimo lūkesčius, DORA incidentų valdymą, NIS2 veiksmingumo vertinimą ir GDPR pažeidimų aptikimą. Viena tiekėjų rizikos byla gali palaikyti ISO tiekėjų kontrolės priemones, DORA IRT trečiųjų šalių riziką, NIS2 tiekimo grandinės saugumą ir GDPR tvarkytojo atskaitomybę.

Tai praktinė kryžminės atitikties vertė.

8 žingsnis: atlikite galutinę dokumentacijos peržiūrą ir bandomąjį auditą

Prieš grįždami į sertifikavimo įstaigą, atlikite griežtą vidinį patikrinimą. Zenith Blueprint, audito, peržiūros ir tobulinimo etapo 30 žingsnis „Pasirengimas sertifikavimui – galutinė peržiūra ir bandomasis auditas“, rekomenduoja po vieną patikrinti ISO 27001:2022 4–10 skyrius ir patvirtinti kiekvienos taikomos A priedo kontrolės priemonės įrodymus.

Jame patariama:

„Patikrinkite Annex A kontrolės priemones: įsitikinkite, kad kiekvienai kontrolės priemonei, kurią SoA pažymėjote kaip „Taikoma“, turite ką parodyti.“

Iš Zenith Blueprint, audito, peržiūros ir tobulinimo etapo, 30 žingsnio.

Galutinė peržiūra turi būti tiesioginė:

• Ar galima paaiškinti kiekvieną taikomą kontrolės priemonę?
• Ar galima pagrįsti kiekvieną neįtrauktą kontrolės priemonę?
• Ar galima parodyti liekamosios rizikos priėmimą?
• Ar vadovybė peržiūrėjo perėjimo nesėkmę, išteklius, tikslus, audito rezultatus ir korekcinius veiksmus?
• Ar vidaus auditas testavo atnaujintą SoA ir Rizikos tvarkymo planą?
• Ar pateikti tiekėjų, debesijos, tęstinumo, incidentų, privatumo, prieigos, pažeidžiamumų, žurnalavimo ir stebėsenos kontrolės priemonių įrodymai?
• Ar politikos patvirtintos, aktualios, komunikuotos ir valdomos pagal versijų kontrolę?
• Ar CAPA susieti su pagrindinėmis priežastimis ir veiksmingumo patikromis?
• Ar įrodymus galima greitai rasti centralizuotame audito aplanke?

Clarysec Informacijos saugumo politika pateikia valdysenos pagrindą:

„Organizacija turi įgyvendinti ir palaikyti Informacijos saugumo valdymo sistemą (ISVS) pagal ISO/IEC 27001:2022 4–10 skyrius.“

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.1.1.

MVĮ atveju peržiūra taip pat turi sekti sertifikavimo reikalavimus ir reguliacinius pokyčius. Clarysec Informacijos saugumo politika - MVĮ teigia:

„Šią politiką Generalinis vadovas (GM) turi peržiūrėti bent kartą per metus, kad būtų užtikrinta nuolatinė atitiktis ISO/IEC 27001 sertifikavimo reikalavimams, reglamentavimo pokyčiams (pvz., GDPR, NIS2 ir DORA) ir kintantiems verslo poreikiams.“

Iš skyriaus „Peržiūros ir atnaujinimo reikalavimai“, politikos punktas 9.1.1.

Būtent to daugelis perėjimo programų ir praleido: ISO, reguliavimas ir verslo pokyčiai juda kartu.

Ką sakyti klientams, kol atkuriate padėtį

Jei nesėkmingas arba praleistas perėjimas paveikia klientų sutartis, tylėti pavojinga. Nereikia atskleisti kiekvienos vidaus audito detalės, bet reikia pateikti kontroliuojamą patikinimą.

Klientų komunikacijos pakete turėtų būti:

• Dabartinė sertifikavimo būsena, patvirtinta sertifikavimo įstaigos.
• Perėjimo audito būsena ir aukšto lygio trūkumų šalinimo planas.
• Patvirtinimas, kad CAPA procesas aktyvus ir patvirtintas vadovybės.
• Tikslinės korekcinių veiksmų ir audito uždarymo datos.
• Pareiškimas, kad ISVS išlieka veikianti.
• Saugumo patikinimo kontaktinis asmuo.
• Atnaujintas saugumo politikos pareiškimas, jei tinkama.
• Kompensuojančių kontrolės priemonių įrodymai bet kuriai didelės rizikos sričiai.

Venkite neapibrėžtų teiginių, tokių kaip „esame visiškai atitinkantys reikalavimus“, kol auditas neišspręstas. Sakykite tai, kas tiesa: ISVS veikia, korekciniai veiksmai patvirtinti, įrodymai konsoliduojami, o uždarymo peržiūra arba pakartotinis auditas suplanuotas.

Tai ypač svarbu, jei klientai jumis remiasi kaip tiekėju NIS2 aktualiuose sektoriuose, tokiuose kaip skaitmeninė infrastruktūra, debesija, duomenų centrai, turinio pristatymo tinklai, DNS, patikimumo užtikrinimo paslaugos, viešosios elektroninės komunikacijos, valdomos paslaugos arba valdomos saugumo paslaugos. Jei jūsų audito būsena veikia jų tiekimo grandinės riziką, jiems reikia patikimo patikinimo.

Praktinis 10 dienų atkūrimo sprintas

Terminai skiriasi pagal sertifikavimo įstaigą, sunkumą, taikymo sritį ir įrodymų brandą. Tačiau atkūrimo seka yra patikima.

Neteikite atsakymo, kol jis nepasakoja nuoseklios istorijos. Auditorius turi galėti sekti grandinę nuo išvados iki pagrindinės priežasties, nuo pagrindinės priežasties iki korekcinio veiksmo, nuo korekcinio veiksmo iki įrodymų ir nuo įrodymų iki vadovybės peržiūros.

Clarysec atkūrimo darbo eiga

Kai Clarysec padeda dėl praleisto arba nesėkmingo ISO 27001:2022 perėjimo, darbą organizuojame kaip kryptingą atkūrimo darbo eigą.

Tai nėra dokumentų gamyba. Tai pasitikėjimo atkūrimas, kad ISVS yra valdoma, grindžiama rizika, paremta įrodymais ir tobulėjanti.

Galutinis patarimas: traktuokite nesėkmingą perėjimą kaip testavimą nepalankiomis sąlygomis

Praleistas ISO 27001:2022 perėjimo terminas arba nesėkmingas perėjimo auditas atrodo kaip krizė, bet tai taip pat diagnostinė galimybė. Jis parodo, ar jūsų ISVS gali absorbuoti pokyčius, integruoti teisines prievoles, valdyti tiekėjus, įrodyti kontrolės priemonių veikimą ir mokytis iš nesėkmės.

Organizacijos, kurios atsigauna greičiausiai, gerai atlieka tris dalykus:

1. Centralizuoja įrodymus ir sustabdo chaosą.
2. Atkuria atsekamumą tarp rizikos, SoA, kontrolės priemonių, politikų ir prievolių.
3. Audito išvadas tvarko taikydamos disciplinuotą CAPA ir vadovybės peržiūrą.

Organizacijos, kurioms sunkiai sekasi, bando problemą spręsti redaguodamos dokumentus, bet netaiso savininkystės, stebėsenos, įrodymų ar pagrindinės priežasties.

Jei praleidote terminą arba jūsų perėjimo auditas buvo nesėkmingas, kitas žingsnis nėra panika. Tai struktūruotas atkūrimas.

Clarysec gali padėti atlikti pirminį perėjimo audito įvertinimą, atkurti jūsų SoA, susieti NIS2, DORA, GDPR, NIST tipo ir COBIT 2019 lūkesčius per Zenith Controls, vykdyti korekcinius veiksmus naudojant Zenith Blueprint ir suderinti politikų įrodymus naudojant Informacijos saugumo politiką, Audito ir atitikties stebėsenos politiką, Rizikos valdymo politiką ir Teisinės ir reguliacinės atitikties politiką.

Jūsų sertifikato problemą galima sutvarkyti. Jūsų ISVS gali tapti stipresnė nei buvo prieš auditą. Jei jūsų perėjimo auditas neišspręstas, pradėkite atkūrimo vertinimą dabar, konsoliduokite įrodymus ir parenkite pakartotinio audito paketą, kuris įrodytų, kad jūsų ISVS ne tik dokumentuota, bet ir veikia.