ISO 27001 vidaus auditas NIS2 ir DORA kontekste
Tai pirmasis 2026 m. audito komiteto posėdis. Sarah, sparčiai augančios SaaS ir fintech paslaugų teikėjos FinSecure vyriausioji informacijos saugumo vadovė (CISO), darbotvarkėje turi penkiolika minučių. Valdyba turi penkis klausimus.
Ar esame pasirengę ISO/IEC 27001:2022 priežiūros auditui? Ar patenkame į NIS2 taikymo sritį kaip valdomų paslaugų teikėjas? Ar DORA mums aktuali, nes aptarnaujame finansų sektoriaus klientus? Ar galime pagrįsti, kad pranešimas apie incidentus, tiekėjų deramas patikrinimas ir veiklos tęstinumas veikia praktikoje? Ir kodėl praėjusio ketvirčio prieigos peržiūra vis dar aptiko paskyrų, kurios turėjo būti panaikintos?
Sarah turi įrodymų, tačiau jie išskaidyti. Inžinerijos komanda turi pažeidžiamumų skenavimo eksportus. Pirkimų funkcija turi tiekėjų klausimynus. Teisės funkcija turi sutartines nuostatas. Atitikties vadovas turi GDPR stebėsenos suvestinę. SOC turi incidentų užklausas. Nė vienas iš šių elementų nėra akivaizdžiai neteisingas, tačiau nė vienas nesudaro nuoseklios patikinimo istorijos.
Tai momentas, kai ISO 27001 vidaus audito programa arba tampa strateginiu įrodymų varikliu, arba lieka kartą per metus vykstančiu skubotu dokumentų rinkimu.
Organizacijoms, kurioms taikomi NIS2 ir DORA, vidaus auditas nebegali būti formalus kontrolinis sąrašas. Jis turi tapti rizika grindžiama patikinimo sistema, patvirtinančia, ar ISVS taikymo sritis nustatyta tinkamai, ar kontrolės priemonės veikia praktikoje, ar reguliaciniai reikalavimai yra susieti, ar išvados klasifikuojamos nuosekliai ir ar korekciniai veiksmai pasiekia vadovybės peržiūrą. 2026 m. stipriausios programos klaus ne tik: „Ar atlikome auditą?“ Jos klaus: „Ar galime mėnuo po mėnesio pagrįsti, kad kibernetinio saugumo valdysena, IRT atsparumas, tiekėjų saugumas ir pasirengimas incidentams veikia?“
Tokį požiūrį Clarysec įtvirtina Zenith Blueprint: auditoriaus 30 žingsnių veiksmų plane, Zenith Controls: kryžminės atitikties vadove ir Clarysec politikų rinkinyje. Tikslas nėra kurti atskirus ISO, NIS2 ir DORA projektus. Tikslas – praturtinti ISVS taip, kad viena audito programa generuotų pakartotinai naudojamus įrodymus keliems patikinimo poreikiams.
Kodėl 2026 m. vidaus audito programos turi keistis
NIS2 ir DORA audito diskusiją perkėlė nuo dokumentacijos prie valdomo atsparumo.
NIS2 taikoma daugeliui vidutinių ir didelių organizacijų esminiuose ir svarbiuose sektoriuose, įskaitant skaitmeninę infrastruktūrą, debesijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, valdomų paslaugų teikėjus, valdomų saugumo paslaugų teikėjus, internetines prekyvietes, interneto paieškos sistemas ir socialinių tinklų platformas. Valstybės narės nacionalines priemones pradėjo taikyti nuo 2024 m. spalio, o 2026 m. daug organizacijų jau veikia pirmaisiais pilnais brandžių NIS2 lūkesčių metais.
DORA nuo 2025 m. sausio 17 d. taikoma plačiam finansų subjektų ratui, įskaitant kredito įstaigas, mokėjimo įstaigas, elektroninių pinigų įstaigas, investicines įmones, kriptoturto paslaugų teikėjus, draudimo ir perdraudimo įmones, sutelktinio finansavimo paslaugų teikėjus ir atitinkamus IRT trečiųjų šalių paslaugų teikėjus. DORA yra sektoriaus skaitmeninės veiklos atsparumo režimas taikomiems finansų subjektams. IRT paslaugų teikėjai, aptarnaujantys finansų subjektus, taip pat gali patirti DORA poveikį per sutartis, teisės atlikti auditą nuostatas, dalyvavimą testavime, pagalbą incidentų metu, subtiekimo kontrolės priemones ir pasitraukimo reikalavimus.
Abu reglamentai sustiprina atskaitomybę. NIS2 Article 20 reikalauja, kad valdymo organai patvirtintų ir prižiūrėtų kibernetinio saugumo rizikos valdymo priemones ir dalyvautų kibernetinio saugumo mokymuose. DORA Article 5 nustato, kad valdymo organas yra galutinai atsakingas už IRT riziką, įskaitant skaitmeninės veiklos atsparumo strategijos, IRT politikų, tęstinumo priemonių ir trečiųjų šalių rizikos patvirtinimą bei priežiūrą.
ISO 27001 šiai aplinkai tinka, nes tai yra valdymo sistema. Ji reikalauja, kad organizacija suprastų savo kontekstą, apibrėžtų suinteresuotąsias šalis ir reikalavimus, nustatytų ISVS taikymo sritį, vertintų ir tvarkytų rizikas, stebėtų veiksmingumą, vykdytų vidaus auditus ir skatintų nuolatinį gerinimą. Esmė nėra įsprausti NIS2 ir DORA į ISO formą. Esmė – naudoti ISO 27001 kaip pakartojamą patikinimo operacinę sistemą.
Pradėkite nuo taikymo srities: audituokite sistemą, kuria remiasi valdyba
Silpna vidaus audito programa prasideda miglota taikymo sritimi, pavyzdžiui, „informacijos saugumas“. Stipri programa prasideda nuo verslo ir reguliacinių ribų.
ISO 27001 reikalauja, kad ISVS taikymo sritis atsižvelgtų į vidaus ir išorės klausimus, suinteresuotųjų šalių reikalavimus ir sąsajas ar priklausomybes nuo kitų organizacijų. Tai svarbu, nes NIS2 ir DORA įpareigojimai dažnai yra organizacijos paribiuose: debesijos platformose, išoriniuose SOC teikėjuose, valdomo aptikimo ir reagavimo paslaugose, mokėjimo sistemose, fintech taikomųjų programų sąsajose, klientų duomenų tvarkyme, atsarginių kopijų paslaugose ir incidentų eskalavimo partneriuose.
Clarysec Audito ir atitikties stebėsenos politika MVĮ nustato valdysenos pagrindą:
Generalinis direktorius turi patvirtinti metinį audito planą.
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.1.1.
Didesnėms aplinkoms Clarysec Audito ir atitikties stebėsenos politika kelia aukštesnį lūkestį:
Rizika grindžiamas audito planas turi būti rengiamas ir tvirtinamas kasmet, atsižvelgiant į:
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.2.
Todėl taikymo sritis nėra vien auditoriaus pasirinkimas. Tai vadovybės patvirtintas patikinimo įsipareigojimas.
2026 m. ISO 27001 vidaus audito programa, palaikanti NIS2 ir DORA, turėtų apimti:
- ISVS punktus ir procesus, įskaitant kontekstą, lyderystę, rizikos valdymą, tikslus, palaikymą, operacijas, veiksmingumo vertinimą ir gerinimą.
- Atitinkamas ISO/IEC 27001:2022 A priedo kontrolės sritis, įskaitant santykius su tiekėjais, incidentų valdymą, veiklos tęstinumą, teisines prievoles, privatumą, žurnalų tvarkymą, stebėseną, pažeidžiamumų valdymą, prieigos kontrolę, kriptografiją, saugų kūrimą, pakeitimų valdymą ir debesijos valdyseną.
- Reguliacinius sluoksnius, įskaitant NIS2 Articles 20, 21 and 23, DORA Articles 5, 6, 8 to 14, 17 to 19, 24 to 27 and 28 to 30, taip pat GDPR saugumo ir atskaitomybės reikalavimus.
- Pagrindines paslaugas ir verslo procesus, ypač kritines ar svarbias funkcijas, esmines paslaugas, klientams skirtas platformas ir sistemas, palaikančias reguliuojamus klientus.
- Priklausomybes nuo trečiųjų šalių, įskaitant IRT tiekėjus, debesijos paslaugų teikėjus, išorinį kūrimą, SOC, MSSP, duomenų tvarkytojus ir kritinius subtiekėjus.
- Įrodymus generuojančius procesus, įskaitant rizikos vertinimus, prieigos peržiūras, pažeidžiamumų šalinimą, incidentų pratybas, atsarginių kopijų atkūrimo testus, tiekėjų peržiūras, tęstinumo testus ir vadovybės peržiūras.
Zenith Blueprint tai sustiprina audito, peržiūros ir gerinimo etape, 25 žingsnyje „Vidaus audito programa“:
Nuspręskite dėl savo vidaus audito programos taikymo srities. Galiausiai per metus turite apimti visus aktualius ISVS procesus ir kontrolės priemones.
Iš audito, peržiūros ir gerinimo etapo, 25 žingsnis: Vidaus audito programa.
Nereikia visko audituoti kiekvieną mėnesį. Tačiau per metinį ciklą turėtumėte apimti visus aktualius ISVS procesus ir kontrolės priemones, o didelės rizikos ir reguliuojamose srityse dirbti dažniau.
Audito visumą kurkite pagal NIS2 ir DORA kontrolės temas
NIS2 Article 21 reikalauja tinkamų ir proporcingų techninių, veiklos ir organizacinių priemonių. Jų bazinis rinkinys apima rizikos analizę, saugumo politikas, incidentų valdymą, veiklos tęstinumą, atsarginių kopijų valdymą, atkūrimą po katastrofos, krizių valdymą, tiekimo grandinės saugumą, saugų įsigijimą ir kūrimą, pažeidžiamumų tvarkymą, veiksmingumo vertinimą, kibernetinę higieną, mokymus, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą, MFA arba tęstinį autentifikavimą, kai tai tinkama, ir saugią komunikaciją.
DORA turi panašų veiklos gyvavimo ciklą. Ji reikalauja, kad finansų subjektai identifikuotų ir klasifikuotų IRT palaikomas verslo funkcijas, informacijos išteklius, IRT turtą, priklausomybes ir trečiųjų šalių tarpusavio jungtis. Ji taip pat reikalauja apsaugos, aptikimo, incidentų klasifikavimo, reagavimo, atkūrimo, atsarginių kopijų, atstatymo, testavimo, mokymosi po incidento, komunikacijos ir IRT trečiųjų šalių rizikos valdymo.
Vieninga audito visuma padeda išvengti dažnos klaidos, kai ISO 27001 audituojamas atskirai nuo NIS2 ir DORA.
| Audito sritis | ISO 27001 audito atrama | NIS2 ir DORA aktualumas | Tipiniai įrodymai |
|---|---|---|---|
| Valdysena ir teisinės prievolės | Kontekstas, lyderystė, rizikos tvarkymas, teisiniai ir sutartiniai reikalavimai | NIS2 valdybos priežiūra, DORA valdymo organo atsakomybė, GDPR atskaitomybė | Teisinių reikalavimų registras, suinteresuotųjų šalių registras, ISVS taikymo sritis, rizikos apetitas, valdybos protokolai, vadovybės peržiūra |
| Rizikos vertinimas ir tvarkymas | Rizikos vertinimas, Taikomumo pareiškimas, tvarkymo planas | NIS2 tinkamos ir proporcingos priemonės, DORA IRT rizikos valdymo sistema | Rizikų registras, rizikos kriterijai, tvarkymo patvirtinimai, liekamosios rizikos priėmimas |
| Turto ir priklausomybių apskaita | Turto valdymas, debesijos paslaugų valdysena, tiekėjų paslaugos | DORA IRT turtas ir tarpusavio jungtys, NIS2 paslaugų teikimo sistemos | CMDB, duomenų srautų žemėlapiai, tiekėjų registras, debesijos apskaita, kritiškumo klasifikacija |
| Prieigos kontrolė ir tapatybė | Žmogiškųjų išteklių saugumas, prieigos valdymas, MFA, privilegijuotoji prieiga | NIS2 prieigos kontrolė ir MFA, DORA mažiausių privilegijų principas ir stiprus autentifikavimas | Priėmimo, perkėlimo ir išėjimo užklausos, prieigos peržiūros, MFA ataskaitos, privilegijuotųjų paskyrų žurnalai |
| Žurnalų tvarkymas, stebėsena ir aptikimas | Žurnalų tvarkymas, stebėsena, įvykių vertinimas | DORA anomalijų aptikimas ir incidentų klasifikavimas, NIS2 pasirengimas incidentams | SIEM įspėjimai, aptikimo taisyklės, pirminio incidentų įvertinimo įrašai, stebėsenos valdymo skydai |
| Incidentų valdymas | Incidentų planavimas, reagavimas, įrodymų rinkimas, įgytos pamokos | NIS2 pranešimo darbo eiga, DORA IRT incidentų gyvavimo ciklas | Incidentų žurnalas, sunkumo matrica, pranešimų šablonai, pagrindinės priežasties ataskaitos, pratybų įrašai |
| Veiklos tęstinumas ir atkūrimas | IRT pasirengimas, atsarginės kopijos, saugumas sutrikimų metu | NIS2 atsarginės kopijos ir krizių valdymas, DORA tęstinumas ir atkūrimas | BIA, tęstinumo planai, atsarginių kopijų testai, RTO ir RPO įrašai, krizės komunikacijos testas |
| Tiekėjų ir IRT trečiųjų šalių rizika | Tiekėjų susitarimai, IRT tiekimo grandinė, debesijos įsigijimas ir pasitraukimas | NIS2 tiekimo grandinės saugumas, DORA IRT trečiųjų šalių registras ir sutartinės nuostatos | Tiekėjų deramas patikrinimas, sutartys, teisės atlikti auditą, pasitraukimo planai, koncentracijos rizikos analizė |
| Saugus kūrimas ir pažeidžiamumai | Saugus įsigijimas, kūrimas, pakeitimai, pažeidžiamumų valdymas | NIS2 pažeidžiamumų tvarkymas, DORA pataisų diegimas ir testavimas | Pažeidžiamumų skenavimas, šalinimo SLA, pakeitimų užklausos, kodo peržiūra, įsiskverbimo testavimo ataskaitos |
| Atitikties stebėsena ir korekciniai veiksmai | Stebėsena, vidaus auditas, neatitiktis ir korekciniai veiksmai | NIS2 korekcinės priemonės, DORA audito ir taisomųjų veiksmų tolesnė priežiūra | Audito ataskaitos, CAPA sekiklis, KPI valdymo skydas, vadovybės peržiūros veiksmai |
Ši struktūra kiekvieną audito sritį paverčia bendru patikinimo objektu. Vidaus auditorius testuoja ISO 27001 reikalavimą, tada fiksuoja, ar tie patys įrodymai taip pat palaiko NIS2, DORA, GDPR, NIST CSF ir COBIT 2019 lūkesčius.
Metus planuokite pagal riziką, o ne pagal dokumentus
Zenith Blueprint komandoms pateikia praktinę seką, kaip auditą paversti gerinimu:
- 25 žingsnis, Vidaus audito programa: suplanuokite taikymo sritį, dažnumą, nepriklausomumą ir rizika grindžiamus prioritetus.
- 26 žingsnis, Audito vykdymas: rinkite objektyvius įrodymus per interviu, dokumentų peržiūrą, stebėjimą ir atranką.
- 27 žingsnis, Audito išvados, analizė ir pagrindinė priežastis: klasifikuokite išvadas ir nustatykite pagrindinę priežastį.
- 28 žingsnis, Vadovybės peržiūra: audito rezultatus, incidentus, neatitiktis, tikslus, rizikas ir išteklių poreikius perduokite vadovybės peržiūrai.
- 29 žingsnis, Nuolatinis gerinimas: kurkite korekcinius veiksmus, kurie pašalina priežastis, o ne vien simptomus.
Zenith Blueprint aiškiai nurodo nepriklausomumo principą:
Idealiu atveju vidaus auditorius neturėtų audituoti savo paties darbo.
Iš audito, peržiūros ir gerinimo etapo, 25 žingsnis: Vidaus audito programa.
Mažesnei SaaS ar fintech įmonei tai gali reikšti, kad saugumo procesus audituoja kitos funkcijos vadovas, rotuojami kontrolės priemonių savininkai arba pasitelkiamas išorės konsultantas. Svarbiausia dokumentuoti kompetenciją ir nepriklausomumą, ypač kai NIS2 ir DORA įrodymai vėliau gali būti peržiūrimi klientų, reguliuotojų, priežiūros institucijų ar išorės auditorių.
Audito ir atitikties stebėsenos politika MVĮ taip pat apibrėžia minimalią audito struktūrą:
Kiekvienas auditas turi turėti apibrėžtą taikymo sritį, tikslus, atsakingus asmenis ir reikiamus įrodymus.
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.2.3.
Praktiška ketvirtinė struktūra sparčiai augančiam SaaS ar IRT paslaugų teikėjui galėtų būti tokia:
| Ketvirtis | Pagrindinis audito dėmesys | Reguliacinis akcentas | Pagrindiniai rezultatai |
|---|---|---|---|
| Q1 | Incidentų valdymas ir pranešimas | NIS2 Article 23, DORA Articles 17 to 19 | Incidentų audito ataskaita, pranešimo darbo eigos testas, sunkumo matricos peržiūra |
| Q2 | IRT trečiųjų šalių rizikos valdymas | NIS2 Article 21, DORA Articles 28 to 30 | Tiekėjų imtis, sutarčių peržiūra, deramo patikrinimo įrodymai, pasitraukimo planavimo peržiūra |
| Q3 | Veiklos tęstinumo ir atsparumo testavimas | NIS2 Article 21, DORA Articles 11, 12, 24 to 27 | Atsarginių kopijų atkūrimo įrodymai, tęstinumo pratybos, atsparumo testų taisomieji veiksmai |
| Q4 | Valdysena, rizika ir atitiktis | NIS2 Article 20, DORA Articles 5 and 6, ISO 27001 Clauses 5, 9 and 10 | Vadovybės peržiūros paketas, CAPA būsena, liekamosios rizikos sprendimai, kitų metų audito planas |
Tai nepakeičia mėnesinio įrodymų rinkimo. Tai suteikia metams aiškų patikinimo ritmą.
Atranka: kiek įrodymų pakanka?
Atranka yra vieta, kur daug vidaus auditų tampa arba pernelyg paviršutiniški, arba per brangūs. Reguliuojamose IRT aplinkose atranka turi būti grindžiama rizika, paaiškinama ir dokumentuota.
Zenith Blueprint, 26 žingsnis, pateikia praktinį principą:
Imkite imtis ir atlikite atsitiktinius patikrinimus: negalite patikrinti visko, todėl taikykite atranką.
Iš audito, peržiūros ir gerinimo etapo, 26 žingsnis: Audito vykdymas.
Clarysec įmonės politika paverčia tai audituojamu reikalavimu:
Atrankos strategijos, audito taikymo srities ir apribojimų dokumentavimas
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.5.3.
NIS2 ir DORA kontekste atranka turėtų atsižvelgti į kritiškumą, riziką, tiekėjo svarbą, laikotarpį, incidentų istoriją, geografiją ir tai, ar atrinktas procesas palaiko kritines ar svarbias funkcijas.
| Kontrolės sritis | Populiacija | Siūloma imtis | Rizika grindžiamas koregavimas |
|---|---|---|---|
| Prieigos suteikimas | Visos naujos naudotojų paskyros per ketvirtį | 10 paskyrų arba 10 procentų, priklausomai nuo to, kas daugiau | Įtraukti visas privilegijuotąsias paskyras ir kritinių taikomųjų programų administratorius |
| Išeinančių darbuotojų prieigos panaikinimas | Visi per ketvirtį darbo santykius nutraukę naudotojai | 100 procentų privilegijuotųjų naudotojų, 10 standartinių naudotojų | Padidinti imtį, jei pasikeitė HR arba IAM integracija |
| Tiekėjų deramas patikrinimas | Aktyvūs IRT tiekėjai | Visi kritiniai tiekėjai, 5 vidutinės rizikos tiekėjai, 3 mažos rizikos tiekėjai | Įtraukti tiekėjus, palaikančius finansų klientus arba esmines paslaugas |
| Pažeidžiamumų šalinimas | Per ketvirtį uždarytos kritinės ir didelės rizikos išvados | 15 užklausų skirtingose sistemose | Įtraukti internetu pasiekiamas sistemas ir pasikartojančias išimtis |
| Incidentų valdymas | Visi saugumo incidentai per ketvirtį | Visi reikšmingi incidentai, 5 mažareikšmiai incidentai, 3 klaidingai teigiamo pirminio vertinimo pavyzdžiai | Įtraukti incidentus su asmens duomenimis, poveikiu klientams arba tarpvalstybiniu aktualumu |
| Atsarginių kopijų atkūrimas | Per ketvirtį atlikti atsarginių kopijų testai | Visi kritinių sistemų testai, 3 nekritinės sistemos | Įtraukti sistemas, palaikančias kritines ar svarbias funkcijas |
| Pakeitimų valdymas | Produkcinės aplinkos pakeitimai per ketvirtį | 15 pakeitimų, įskaitant neatidėliotinus pakeitimus | Įtraukti pakeitimus, veikiančius autentifikavimą, žurnalų tvarkymą, šifravimą arba klientų duomenis |
| Saugumo mokymai | Laikotarpiu aktyvūs darbuotojai ir rangovai | 20 naudotojų iš skirtingų padalinių | Įtraukti valdymo organo narius ir privilegijuotuosius techninius vaidmenis |
DORA paveiktose aplinkose testavimo įrodymai nusipelno ypatingo dėmesio. DORA reikalauja finansų subjektų skaitmeninės veiklos atsparumo testavimo, o atrinktiems subjektams – pažangesnio testavimo, pavyzdžiui, grėsmėmis grindžiamo įsiskverbimo testavimo bent kas trejus metus. Audito imtis turėtų apimti ne tik testų ataskaitas, bet ir įrodymus, kad išvados buvo prioritetizuotos, pašalintos ir pakartotinai patikrintos.
Praktinis audito pavyzdys: IRT trečiųjų šalių rizika
Tiekėjų saugumas dažnai yra greičiausias būdas atskleisti spragas tarp dokumentacijos ir veiklos realybės. DORA Articles 28 to 30 reikalauja IRT trečiųjų šalių rizikos valdymo, sutartinio turinio ir informacijos registrų. NIS2 Article 21 reikalauja tiekimo grandinės saugumo, atsižvelgiant į tiesioginių tiekėjų pažeidžiamumus ir praktikas.
Q2 auditui Sarah atrenka penkis kritinius tiekėjus, tris naujus tiekėjus, įtrauktus per paskutinius šešis mėnesius, ir du tiekėjus, kurių sutartys neseniai atnaujintos. Auditorius apklausia pirkimų, teisės funkcijos, paslaugų savininkus ir saugumo kontrolės priemonių savininkus.
| DORA arba NIS2 reikalavimas | ISO 27001:2022 kontrolės atrama | Audito klausimas | Rinktini įrodymai |
|---|---|---|---|
| DORA Article 28, IRT trečiųjų šalių registras | A.5.19 Informacijos saugumas santykiuose su tiekėjais | Ar yra išsamus ir aktualus IRT trečiųjų šalių paslaugų teikėjų susitarimų registras? | Aktualus tiekėjų registras ir atrinktų kritinių tiekėjų įrašai |
| DORA Article 28, ikisutartinis rizikos vertinimas | A.5.19 Informacijos saugumas santykiuose su tiekėjais | Ar prieš pasirašant arba atnaujinant tiekėjų sutartis atliktas deramas patikrinimas? | Deramo patikrinimo ataskaitos, rizikos vertinimai ir patvirtinimų įrašai |
| DORA Article 30, sutartinis turinys | A.5.20 Informacijos saugumo aptarimas tiekėjų susitarimuose | Ar sutartyse, kai reikalaujama, numatytos saugumo priemonės, teisės atlikti auditą, pagalba incidentų metu ir pagalba nutraukiant sutartį? | Sutartys, priedai, saugumo priedai ir teisės funkcijos peržiūros pastabos |
| NIS2 Article 21, tiekimo grandinės saugumas | A.5.21 Informacijos saugumo valdymas IRT tiekimo grandinėje | Ar suprantamos tiekėjų saugumo praktikos, subtiekimas ir paslaugų priklausomybės? | Tiekėjų klausimynai, subtiekėjų atskleidimai ir priklausomybių žemėlapiai |
| Nuolatinė tiekėjų stebėsena | A.5.22 Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas | Ar tiekėjo veikla ir saugumas laikui bėgant peržiūrimi? | QBR protokolai, SLA ataskaitos, audito ataskaitos ir metinės peržiūros įrašai |
Ši lentelė ne tik padeda rinkti įrodymus. Ji pagrindžia, kad organizacija reguliacinį tekstą pavertė su ISO suderintais audito kriterijais ir konkrečiais įrodymais.
Išvados: rašykite taip, kad vadovybė galėtų veikti
Audito išvada neturėtų skambėti kaip neapibrėžtas nusiskundimas. Ji turi būti pakankamai struktūruota, kad vadovybė suprastų riziką, priskirtų atsakomybę ir patvirtintų korekcinį veiksmą.
Audito ir atitikties stebėsenos politika MVĮ nustato:
Visos audito išvados turi būti dokumentuojamos nurodant rizikos lygius ir siūlomus veiksmus.
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.4.1.
Įmonės Audito ir atitikties stebėsenos politika papildomai nustato korekcinių veiksmų discipliną:
Visos išvados turi lemti dokumentuotą CAPA, kuri apima:
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.2.1.
Zenith Blueprint 27 žingsnyje rekomenduoja išvadas klasifikuoti kaip reikšmingas neatitiktis, mažareikšmes neatitiktis arba pastabas, o tada atlikti pagrindinės priežasties analizę. Reikšminga neatitiktis rodo rimtą spragą arba sisteminį nesuveikimą. Mažareikšmė neatitiktis yra izoliuotas nuokrypis kitu atveju reikalavimus atitinkančiame procese. Pastaba yra tobulinimo galimybė.
Stipri išvada apima:
- Reikalavimą arba kontrolės lūkestį.
- Pastebėtą faktinę būklę.
- Atrinktus įrodymus.
- Riziką ir poveikį verslui.
- Reguliacinį aktualumą.
- Klasifikaciją ir rizikos lygį.
- Pagrindinę priežastį.
- Korekcinio veiksmo savininką ir įvykdymo terminą.
Išvados pavyzdys:
Išvada NC-2026-07, mažareikšmė neatitiktis, tiekėjų saugumo peržiūros vėlavimas
Reikalavimas: kritinių IRT teikėjų tiekėjų saugumo peržiūros turi būti atliekamos bent kartą per metus, palaikant ISO 27001 tiekėjų kontrolės priemones, NIS2 tiekimo grandinės lūkesčius ir DORA IRT trečiųjų šalių rizikos įpareigojimus.
Faktinė būklė: du iš dvylikos kritinių IRT tiekėjų iki nustatytos datos neturėjo užbaigtų 2026 m. saugumo peržiūrų.
Įrodymai: 2026 m. birželio 15 d. tiekėjų registro eksportas, tiekėjų peržiūrų sekiklis, interviu su pirkimų vadovu ir du trūkstami peržiūros įrašai.
Rizika: pavėluota tiekėjo peržiūra gali sutrukdyti laiku identifikuoti pažeidžiamumus, subtiekimo pokyčius, pagalbos incidentų metu spragas arba sutartinę neatitiktį, veikiančią kritines paslaugas.
Pagrindinė priežastis: pirkimų funkcija nebuvo automatiškai informuojama artėjant tiekėjų peržiūros datoms, o atsakomybė už su DORA susijusius tiekėjų įrodymus nebuvo priskirta.
Korekcinis veiksmas: sukonfigūruoti automatinius peržiūros priminimus, visiems kritiniams IRT tiekėjams priskirti vardinius kontrolės priemonių savininkus, iki 2026 m. liepos 31 d. užbaigti vėluojančias peržiūras ir atlikti ketvirtines imties patikras.
Pagrindinės priežasties analizei naudinga „5 kodėl“ technika. Jei buvo praleistas ikisutartinis vertinimas, tikroji priežastis gali būti ne asmens klaida. Gali būti, kad pirkimų darbo eiga leido mažos vertės IRT sutartims apeiti saugumo peržiūrą, nors DORA ir NIS2 lūkesčiai taikomi pagal riziką ir priklausomybę, o ne vien pagal išlaidas.
2026 m. įrodymų kalendorius
2026 m. įrodymų kalendorius vidaus auditą paverčia veiklos ritmu. Jis paskirsto įrodymų generavimą per metus ir padeda išvengti metų pabaigos skubos.
Clarysec Informacijos saugumo politika numato valdysenos peržiūrą:
Saugumo pagrindinių veiklos rodiklių (KPI), incidentų, audito išvadų ir rizikos būsenos peržiūra
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.3.2.
Įrodymai renkami ne vien auditoriams. Jie palaiko sprendimus dėl rizikos, biudžeto, išteklių, tiekėjų, įrankių, mokymų ir korekcinių veiksmų.
| Mėnuo | Audito ir įrodymų dėmesys | Pagrindiniai įrodymų rezultatai |
|---|---|---|
| Sausis | Patvirtinti reguliacinę taikymo sritį, ISVS taikymo sritį ir 2026 m. audito planą | Patvirtintas audito planas, ISVS taikymo srities peržiūra, NIS2 ir DORA taikytinumo vertinimas, teisinių reikalavimų registro atnaujinimas |
| Vasaris | Valdysena, rizikos apetitas ir valdymo organo mokymai | Valdybos protokolai, mokymų įrašai, rizikos kriterijai, atnaujintas rizikų registras |
| Kovas | Turto, duomenų ir priklausomybių apskaita | CMDB eksportas, duomenų srautų žemėlapiai, kritinių paslaugų sąrašas, IRT tiekėjų tarpusavio jungčių žemėlapis |
| Balandis | Prieigos kontrolės ir MFA auditas | Prieigos peržiūrų įrašai, privilegijuotosios prieigos imtis, MFA aprėpties ataskaita, išeinančių darbuotojų testavimas |
| Gegužė | Pažeidžiamumai, pataisų diegimas ir saugus pakeitimų valdymas | Pažeidžiamumų rodikliai, šalinimo įrodymai, pakeitimų užklausų imtis, išimčių patvirtinimai |
| Birželis | Tiekėjų ir debesijos paslaugų valdysena | Tiekėjų deramo patikrinimo imtis, sutartinių nuostatų peržiūra, teisės atlikti auditą, pasitraukimo planai, koncentracijos rizikos pastabos |
| Liepa | Incidentų valdymo ir pranešimo pratybos | Incidento simuliacija, sunkumo klasifikacija, NIS2 pranešimo darbo eigos testas, DORA incidento eskalavimo testas |
| Rugpjūtis | Žurnalų tvarkymas, stebėsena ir aptikimas | SIEM naudojimo atvejai, įspėjimų derinimas, stebėsenos aprėptis, eskalavimo imtis |
| Rugsėjis | Atsarginės kopijos, atkūrimas ir veiklos tęstinumas | Atsarginių kopijų testų įrašai, RTO ir RPO įrodymai, tęstinumo pratybos, krizės komunikacijos testas |
| Spalis | Saugus kūrimas ir taikomųjų programų saugumas | SDLC įrodymai, kodo peržiūros imtis, saugumo testavimo rezultatai, išorinio kūrimo peržiūra |
| Lapkritis | Pilnas vidinis ISVS auditas ir kryžminės atitikties peržiūra | Vidaus audito ataskaita, išvadų registras, NIS2 ir DORA susiejimas, GDPR atskaitomybės įrodymai |
| Gruodis | Vadovybės peržiūra ir korekcinių veiksmų uždarymas | Vadovybės peržiūros protokolai, CAPA būsena, liekamosios rizikos priėmimas, 2027 m. audito plano įvestys |
Šis kalendorius audito komitetui suteikia į ateitį orientuotą patikinimo planą, o kontrolės priemonių savininkams – laiko kurti įrodymus įprastų operacijų metu.
ISO 27002:2022 stuburas: 5.31, 5.35 ir 5.36
Zenith Controls yra Clarysec kryžminės atitikties vadovas. Jis susieja ISO/IEC 27001:2022 ir ISO/IEC 27002:2022 kontrolės sritis su kitais standartais, reglamentais, audito lūkesčiais ir įrodymų modeliais. Jis ypač naudingas jungiant vidaus peržiūrą, teisines prievoles ir politikų laikymąsi.
Trys ISO/IEC 27002:2022 kontrolės sritys sudaro vieningos vidaus audito programos stuburą:
| ISO 27002:2022 sritis, išskirta Zenith Controls | Audito klausimas | NIS2 ir DORA vertė |
|---|---|---|
| 5.31 Teisiniai, įstatyminiai, reguliaciniai ir sutartiniai reikalavimai | Ar žinome, kurie įpareigojimai taikomi, ir ar susiejome juos su kontrolės priemonėmis bei įrodymais? | Palaiko NIS2 taikytinumą, DORA IRT įpareigojimus, klientų sutartis ir GDPR atskaitomybę |
| 5.35 Nepriklausoma informacijos saugumo peržiūra | Ar peržiūros yra objektyvios, suplanuotos, kompetentingos ir ar pagal jas imamasi veiksmų? | Palaiko patikinimą dėl kibernetinio saugumo priemonių, IRT atsparumo testavimo ir vadovybės priežiūros |
| 5.36 Informacijos saugumo politikų, taisyklių ir standartų laikymasis | Ar vidaus taisyklių laikomasi praktikoje ir ar tai nuolat stebima? | Palaiko politikos taikymą, kibernetinę higieną, prieigos kontrolę, pasirengimą incidentams ir korekcinius veiksmus |
Kontrolės priemonė 5.35 yra patikinimo kertinis akmuo, nes ji patvirtina, ar ISVS nepriklausomai peržiūrima. Kontrolės priemonė 5.36 patvirtina, kad politikos ne tik patvirtintos, bet ir faktiškai taikomos. Kontrolės priemonė 5.31 susieja ISVS su teisiniais, reguliaciniais ir sutartiniais įpareigojimais, įskaitant NIS2, DORA, GDPR ir klientų saugumo reikalavimus.
Kryžminės atitikties susiejimas: vienas auditas, keli patikinimo požiūriai
Brandus vidaus audito darbo dokumentas turėtų aiškiai parodyti, kaip vienas įrodymo elementas palaiko kelis patikinimo lūkesčius.
| Audito įrodymai | ISO 27001 patikinimas | NIS2 aktualumas | DORA aktualumas | GDPR, NIST ir COBIT aktualumas |
|---|---|---|---|---|
| Teisinių ir reguliacinių reikalavimų registras | Kontekstas ir atitikties įpareigojimai | Taikymo sritis, subjekto statusas, Article 21 veiksniai | Sektoriui būdingi IRT atsparumo įpareigojimai | GDPR atskaitomybė, NIST CSF GOVERN, COBIT išorinė atitiktis |
| Rizikų registras ir tvarkymo planas | Rizikos vertinimas, tvarkymas, Taikomumo pareiškimas | Tinkamos ir proporcingos priemonės | IRT rizikos valdymo sistema ir tolerancija | NIST rizikos valdymas, COBIT rizikos optimizavimas |
| Incidento stalo pratybų ataskaita | Pasirengimas incidentams ir įgytos pamokos | Pranešimo darbo eigos pasirengimas | Klasifikavimas, eskalavimas, pranešimas ir pagrindinė priežastis | GDPR pasirengimas pažeidimams, NIST CSF RESPOND, COBIT valdomi incidentai |
| Tiekėjo deramo patikrinimo byla | Santykiai su tiekėjais ir IRT tiekimo grandinė | Tiekėjų pažeidžiamumai ir praktikos | IRT trečiųjų šalių registras, deramas patikrinimas, pasitraukimo planavimas | NIST C-SCRM, COBIT tiekėjų valdysena |
| Atsarginės kopijos atkūrimo testas | IRT pasirengimas ir tęstinumas | Atsarginės kopijos, atkūrimas po katastrofos, krizių valdymas | Atkūrimo tikslai, atkūrimas ir vientisumo patikros | GDPR prieinamumas, NIST CSF RECOVER, COBIT tęstinumas |
| Prieigos peržiūra | Prieigos kontrolė ir žmogiškųjų išteklių saugumas | Prieigos kontrolės ir MFA lūkesčiai | Mažiausių privilegijų principas ir stiprus autentifikavimas | GDPR vientisumas ir konfidencialumas, NIST CSF PROTECT |
Būtent tai leidžia CISO valdybai pasakyti: „Mūsų liepos incidentų auditas parengė įrodymus ISO 27001, NIS2, DORA klientų patikinimui, GDPR pasirengimui pažeidimams, NIST CSF reagavimo rezultatams ir COBIT incidentų valdysenai.“
Vadovybės peržiūra: kur auditas tampa atskaitomybe
Vidaus auditas turi mažai vertės, jei išvados nepasiekia vadovybės. ISO 27001 vadovybės peržiūra suteikia mechanizmą, o NIS2 ir DORA aiškiai įtvirtina valdysenos lūkestį.
Audito ir atitikties stebėsenos politika MVĮ reikalauja:
Audito išvados ir būsenos atnaujinimai turi būti įtraukti į ISVS vadovybės peržiūros procesą.
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.4.3.
Joje taip pat nurodyta:
Generalinis direktorius turi patvirtinti korekcinių veiksmų planą ir stebėti jo įgyvendinimą.
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.4.2.
Vadovybės peržiūra turėtų atsakyti į šiuos klausimus:
- Ar NIS2, DORA, GDPR ir sutartiniai įpareigojimai vis dar teisingai atspindėti ISVS taikymo srityje?
- Ar didelės rizikos kontrolės priemonės audituojamos pakankamai dažnai?
- Kurios išvados rodo sisteminį trūkumą, o ne izoliuotą klaidą?
- Ar korekciniai veiksmai vėluoja?
- Ar rizikos savininkai sąmoningai priima liekamąją riziką?
- Ar tiekėjams, pranešimui apie incidentus, tęstinumui ir testavimui skiriama pakankamai išteklių?
- Ar audito tendencijos rodo, kad reikia keisti politiką, įrankius, biudžetą ar mokymus?
Jei šie atsakymai nedokumentuojami, organizacija gali turėti veiklos įrodymų, bet neturėti valdysenos įrodymų.
Dažnos klaidos, kurių reikia vengti 2026 m.
Dažniausia nesėkmė – ISO 27001 vidaus auditą traktuoti atskirai nuo reguliacinio patikinimo. Tai sukuria dubliavimą ir akląsias zonas.
Kitos klaidos:
- Taikymo sritis neapima kritinių tiekėjų, debesijos platformų ar išorinių SOC paslaugų.
- NIS2 arba DORA taikytinumas nėra dokumentuotas teisinių reikalavimų registre.
- Audito planas nėra patvirtintas vadovybės.
- Atranka atliekama, bet nedokumentuojama.
- Vidaus auditoriai peržiūri savo darbą be riziką mažinančių priemonių.
- Išvados aprašo simptomus, bet ne pagrindines priežastis.
- Korekciniai veiksmai atnaujina dokumentus, bet nepataiso procesų.
- Vadovybės peržiūra gauna audito rezultatus, bet nepriima sprendimų.
- Incidentų pratybos testuoja techninį reagavimą, bet ne reguliacinį pranešimą.
- Tiekėjų auditai peržiūri klausimynus, bet ne sutartis, pasitraukimo planus ar koncentracijos riziką.
- Atsarginių kopijų įrodymai rodo sėkmingas užduotis, bet ne atkūrimo vientisumą.
- Prieigos peržiūros atliekamos, tačiau išimtys nestebimos iki uždarymo.
Kiekviena klaida gali tapti mažareikšme arba reikšminga neatitiktimi, priklausomai nuo sunkumo ir sisteminio poveikio. Dar svarbiau – kiekviena silpnina organizacijos gebėjimą pagrįsti atsparumą pagal NIS2, DORA ir klientų patikrą.
Paverskite 2026 m. audito planą įrodymų varikliu
Jei jūsų vidaus audito programa vis dar yra vienkartinis metinis įvykis, dabar laikas ją perprojektuoti.
Pradėkite nuo vadovybės patvirtinto audito plano. Apibrėžkite ISVS taikymo sritį pagal realias paslaugas, reguliacinius įpareigojimus ir priklausomybes nuo trečiųjų šalių. Sukurkite rizika grindžiamą audito visumą. Dokumentuokite atranką. Nuosekliai klasifikuokite išvadas. Taikykite pagrindinės priežasties analizę. Stebėkite CAPA. Rezultatus įtraukite į vadovybės peržiūrą. Palaikykite mėnesinį įrodymų kalendorių.
Clarysec gali padėti judėti greičiau su:
- Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planu, skirtu audito planavimui, vykdymui, išvadoms, vadovybės peržiūrai ir nuolatiniam gerinimui.
- Zenith Controls: kryžminės atitikties vadovu, skirtu ISO 27001 patikinimo susiejimui su NIS2, DORA, GDPR, NIST CSF ir COBIT lūkesčiais.
- Audito ir atitikties stebėsenos politika ir Audito ir atitikties stebėsenos politika MVĮ, skirtomis valdysenai parengtam audito planavimui ir išvadų valdymui.
- Informacijos saugumo politika, skirta KPI, incidentų, audito išvadų ir rizikos būsenos peržiūrai vadovybės lygmeniu.
Pasirinkite vieną didelės rizikos sritį, pavyzdžiui, pranešimą apie incidentus arba IRT tiekėjų valdyseną, ir atlikite tikslinį vidaus auditą naudodami Clarysec taikymo srities, atrankos ir išvadų struktūrą. Per vieną ciklą žinosite, ar jūsų įrodymai tinkami auditui, ar kontrolės priemonės veikia ir ar jūsų valdymo organas turi informaciją, kurios reikia kibernetinei rizikai valdyti.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
