ISO 27001:2022 mokymų įrodymai NIS2 ir DORA kontekste
2026 m. vasario antradienio rytas, 09:12. Sparčiai augančios FinTech įmonės finansų analitikas gauna el. laišką, kuris atrodo išsiųstas finansų direktoriaus vardu ir kuriame prašoma skubiai peržiūrėti tiekėjo mokėjimo failą. Priedas atidaro įtikinamą Microsoft prisijungimo puslapį. Analitikas sustoja, prisimena praėjusio mėnesio fišingo simuliaciją ir mokėjimų sukčiavimo modulį ir, užuot įvedęs prisijungimo duomenis, apie laišką praneša per saugumo portalą.
CISO požiūriu, tas vienas sprendimas yra realiai veikianti kontrolės priemonė.
Auditoriui vien istorijos nepakanka.
Po savaitės gaunama įrodymų užklausa: „Pateikite išsamios, vaidmenimis pagrįstos informacijos saugumo informuotumo ir mokymų programos įrodymus, įskaitant veiksmingumo rodiklius ir įrašus, patvirtinančius viso personalo, įskaitant vadovybę, aprėptį.“
Šis sakinys pakeičia diskusijos esmę. Skaičiuoklės, kurioje šalia 97 procentų darbuotojų nurodyta „Baigta“, nebepakanka. Auditorius klaus, kas mokė analitiką, kada mokymai buvo priskirti, ar jie buvo privalomi, ar jie buvo pagrįsti vaidmenimis, ar finansų funkcija gavo papildomą mokymą apie mokėjimų sukčiavimą, ar buvo įtraukti nauji darbuotojai ir rangovai, ar vadovybė patvirtino programą, ar mokymai buvo pakeisti po paskutinės fišingo kampanijos ir ar buvo saugomi mokymų baigimo įrašai.
2026 m. informacijos saugumo mokymų įrodymai yra ISO/IEC 27001:2022, NIS2, DORA, GDPR ir NIST CSF 2.0 sankirtoje. Tai nebėra kasmetinė HR užduotis. Tai valdybos lygmens valdysena, rizikos valdymas, pasirengimas incidentams, teisinė atskaitomybė ir audito įrodymai.
Clarysec saugumo informuotumą traktuoja kaip operacinę įrodymų sistemą, o ne kaip skaidrių rinkinį. Zenith Blueprint: 30 žingsnių auditoriaus veiksmų planas Zenith Blueprint, Zenith Controls: kelių atitikties sistemų vadovas Zenith Controls, Informacijos saugumo informuotumo ir mokymų politika – MVĮ Informacijos saugumo informuotumo ir mokymų politika – MVĮ ir Informacijos saugumo informuotumo ir mokymų politika Informacijos saugumo informuotumo ir mokymų politika susieja vaidmenimis pagrįstus mokymus su ISVS, reglamentavimo įpareigojimais, reagavimu į incidentus, tiekėjų prieiga ir vadovybės peržiūra.
Kodėl bendrieji informacijos saugumo mokymai 2026 m. nebeveikia
Reglamentavimo pokytis akivaizdus. NIS2 kibernetinį saugumą priskiria esminių ir svarbių subjektų vadovybės atsakomybei. Article 20 reikalauja, kad valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų jų įgyvendinimą ir dalyvautų mokymuose. Article 21 įtraukia bazinę kibernetinę higieną ir kibernetinio saugumo mokymus į privalomą rizikos valdymo bazinį rinkinį. Debesijos paslaugų teikėjams, duomenų centrų paslaugų teikėjams, valdomų paslaugų teikėjams (MSP), valdomo saugumo paslaugų teikėjams, DNS teikėjams, aukščiausio lygio domenų registrams, internetinėms prekyvietėms ir paieškos sistemoms mokymai tapo valdybos lygmens klausimu.
DORA kelia aukštesnę kartelę finansų subjektams ir finansų sektorių aptarnaujantiems IRT teikėjams. Ji taikoma nuo 2025 m. sausio 17 d. ir reikalauja, kad finansų subjektai palaikytų vidaus valdysenos ir kontrolės sistemą IRT rizikai valdyti. Valdymo organai turi prižiūrėti IRT riziką, biudžetus, auditus, trečiųjų šalių susitarimus, veiklos tęstinumą, reagavimo ir atkūrimo planus bei skaitmeninį veiklos atsparumą. DORA Articles 17 to 19 taip pat reikalauja, kad su IRT susiję incidentai būtų aptinkami, klasifikuojami, eskaluojami, komunikuojami ir apie juos būtų pranešama. Mokymai leidžia šias procedūras vykdyti esant spaudimui.
ISO/IEC 27001:2022 organizacijoms suteikia valdymo sistemos pagrindą. Clauses 4 to 10 apima kontekstą, suinteresuotąsias šalis, lyderystę, rizikos vertinimą, rizikos valdymą, kompetenciją, informuotumą, dokumentuotą informaciją, veiklos vertinimą ir tobulinimą. Standartas pritaikomas skirtingiems sektoriams ir organizacijų dydžiams, todėl Clarysec jį naudoja kaip veiklos modelį integruotam ISO, NIS2, DORA, GDPR ir NIST suderinimui ISO/IEC 27001:2022.
GDPR prideda atskaitomybės sluoksnį. Organizacijos turi įrodyti, kad asmens duomenys tvarkomi teisėtai, sąžiningai, saugiai ir taikant tinkamas technines bei organizacines priemones. Darbuotojams, kurie tvarko asmens duomenis, administruoja sistemas, kuria programinę įrangą, aptarnauja klientus arba tiria incidentus, reikia privatumo ir pažeidimų eskalavimo mokymų.
NIST CSF 2.0 sustiprina tą pačią kryptį. Jo GOVERN funkcija sujungia teisinius, reglamentavimo, sutartinius, privatumo ir suinteresuotųjų šalių reikalavimus su vaidmenimis, atsakomybėmis, politikomis, ištekliais, priežiūra ir įmonės rizikos valdymu. NIST CSF profiliai taip pat padeda mokymų įpareigojimus paversti esamos ir siektinos būsenos tobulinimo planais.
Rezultatas paprastas: auditui tinkami informacijos saugumo mokymai turi įrodyti, kad žmonės žino savo atsakomybes, kad mokymai pritaikyti vaidmeniui ir rizikai, o įrodymai yra pakankamai išsamūs auditoriams, reguliuotojams, klientams ir vadovybei.
Audito problema: „apmokėme visus“ nėra įrodymas
Daugelis organizacijų audituose patiria nesėkmę ne todėl, kad nevykdė mokymų, o todėl, kad negali įrodyti, jog mokymai buvo suprojektuoti, priskirti, baigti, peržiūrėti ir patobulinti.
Silpnas įrodymų paketas paprastai apima vieną metinį PDF, mokymų baigimo skaičiuoklę be datų, be įvedimo į darbą įrodymų, be rangovų aprėpties, be privilegijuotų naudotojų mokymų, be vadovybės mokymų, be vaidmenimis pagrįstų modulių kūrėjams ar finansų funkcijai, be sąsajos su rizikos vertinimu ir be įrodymo, kad mokymai buvo atnaujinti po incidentų ar reglamentavimo pokyčių.
Auditoriai nenori motyvacinio plakato. Jie nori įrodymų grandinės.
Clarysec MVĮ politika šį lūkestį įvardija tiesiogiai. Informacijos saugumo informuotumo ir mokymų politika – MVĮ, Tikslai, clause 3.3, reikalauja, kad organizacijos:
„Nustatytų dokumentuotus mokymų baigimo įrašus, kad būtų galima įrodyti atitiktį teisiniams, sutartiniams ir audito reikalavimams.“
Ta pati MVĮ politika mokymus paverčia saugoma dokumentuota informacija. Politikos įgyvendinimo reikalavimai, clause 6.3.2, nurodo:
„Centrinė skaičiuoklė arba žmogiškųjų išteklių informacinė sistema turi saugoti šiuos įrašus ne trumpiau kaip trejus metus.“
Įmonės aplinkoms Informacijos saugumo informuotumo ir mokymų politika, Tikslas, clause 1.2, nustato labiau struktūruotą lūkestį:
„Ši politika palaiko ISO/IEC 27001 Clause 7.3 ir Annex A Control 6.3, reikalaudama struktūruotos, rizika grindžiamos informuotumo didinimo ir mokymo sistemos, pritaikytos organizacijos vaidmenims ir kintančioms grėsmėms.“
Ši formuluotė svarbi: struktūruota, rizika grindžiama, pritaikyta vaidmenims ir orientuota į grėsmes. Tai skirtumas tarp informuotumo imitacijos ir pagrįstos kompetencijos.
Pradėkite nuo vaidmenų, o ne nuo kursų
Dažniausia klaida – pirkti turinį prieš apibrėžiant atsakomybes. Integruotoje atitikties programoje pirmasis teisingas klausimas nėra „Kurią mokymų platformą turėtume naudoti?“ Teisingas klausimas yra „Kurie vaidmenys kuria, valdo, tvirtina, tvarko, saugo ar atkuria informacijos išteklius?“
ISO/IEC 27001:2022 Clause 5.3 reikalauja paskirti ir komunikuoti atsakomybes bei įgaliojimus informacijos saugumo vaidmenims. Clause 7.2 reikalauja kompetencijos asmenims, atliekantiems darbą organizacijos kontroliuojamoje aplinkoje, remiantis išsilavinimu, mokymais ar patirtimi. Clause 7.3 reikalauja informacijos saugumo politikos suvokimo, indėlio į ISVS veiksmingumą ir neatitikties pasekmių supratimo.
Zenith Blueprint dalyje ISVS pagrindas ir lyderystė, Step 5: Komunikacija, informuotumas ir kompetencija, Clarysec tai paverčia įgyvendinimo kalba:
„Nustatykite reikalingas kompetencijas: apibrėžkite, kokių žinių ir įgūdžių reikia skirtingiems vaidmenims jūsų ISVS.“
Blueprint pateikia praktinių pavyzdžių: IT personalui gali reikėti saugaus serverių konfigūravimo, kūrėjams – saugaus programavimo, HR – saugaus asmens duomenų tvarkymo, o visam personalui – fišingo atpažinimo. Taip pat pabrėžiami įrašai:
„Saugokite kompetencijos įrašus: Clause 7.2 tikisi, kad saugosite dokumentuotą informaciją kaip kompetencijos įrodymą.“
Tai reiškia, kad mokymų programa turi prasidėti nuo vaidmenų ir rizikos matricos.
| Vaidmenų grupė | Mokymų dėmesys | Saugotini įrodymai | Atitikties vertė |
|---|---|---|---|
| Visi darbuotojai | Fišingas, slaptažodžių higiena, MFA, priimtinas naudojimas, įrenginių saugumas, pranešimas apie incidentus | Mokymų baigimo ataskaita, testo balas, politikos patvirtinimas, turinio versija | ISO/IEC 27001:2022 Clause 7.3, ISO/IEC 27002:2022 kontrolės priemonė 6.3, NIS2 Article 21 |
| Vykdomieji vadovai ir valdyba | Kibernetinės rizikos valdysena, NIS2 Article 20 pareigos, DORA priežiūra, rizikos apetitas, sprendimai krizės metu | Dalyvavimo įrašas, valdybos medžiaga, protokolai, programos patvirtinimas | NIS2 Article 20, DORA Article 5, ISO/IEC 27001:2022 lyderystės įrodymai |
| Kūrėjai | Saugus programavimas, OWASP Top 10, saugus SDLC, API saugumas, pažeidžiamumų valdymas ir atskleidimas, paslapčių valdymas | Modulio baigimas, laboratorinių užduočių rezultatai, saugaus programavimo kontrolinis sąrašas, taisomieji veiksmai | ISO/IEC 27002:2022 kontrolės priemonės 8.25 ir 8.28, DORA IRT rizikos lūkesčiai |
| IT ir sistemų administratoriai | Privilegijuotos prieigos valdymas, protokolavimas, pažeidžiamumų valdymas, atsarginių kopijų atkūrimas, pakeitimų kontrolė, įrenginių grūdinimas | Mokymų baigimo įrašas, sąsaja su prieigos peržiūra, dalyvavimas stalo pratybose | ISO/IEC 27002:2022 kontrolės priemonės 8.8 ir 8.13, DORA atsparumo pasirengimas |
| HR | Konfidencialumas, įdarbinimo pradžia ir darbo santykių nutraukimo procesas, drausminės procedūros, specialių kategorijų duomenų tvarkymas | HR mokymų įrašas, įvedimo į darbą kontrolinis sąrašas, politikos patvirtinimas | GDPR atskaitomybė, ISO/IEC 27002:2022 personalo kontrolės priemonės |
| Finansai | Mokėjimų sukčiavimas, tiekėjų apsimetimas, pareigų atskyrimas, įtartinų užklausų eskalavimas | Tikslinio modulio baigimas, fišingo simuliacijos rezultatai | Sukčiavimo rizikos mažinimas, NIS2 ir DORA pasirengimas incidentams |
| Klientų aptarnavimas | Tapatybės patikrinimas, saugus užklausų tvarkymas, asmens duomenų apsauga, eskalavimo keliai | Vaidmens modulio baigimas, užklausų peržiūros pavyzdys, privatumo patvirtinimas | GDPR tvarkytojo atskaitomybė, klientų patikinimas |
| Reagavimo į incidentus specialistai | Klasifikavimas, eskalavimas, įrodymų išsaugojimas, reglamentavimo pranešimų terminai, įgyta patirtis | Pratybų įrašas, scenarijaus ataskaita, vaidmens priskyrimas, veiksmų sekimo žurnalas | NIS2 Article 23, DORA Articles 17 to 19, ISO/IEC 27002:2022 incidentų kontrolės priemonės |
| Rangovai, turintys sisteminę prieigą | Priimtinas naudojimas, pranešimo kanalas, duomenų tvarkymas, prieigos sąlygos | Rangovo patvirtinimas, įvedimo į darbą įrašas, sąsaja su prieigos patvirtinimu | Tiekėjų patikinimas, prieigos valdysena, sutartinė atitiktis |
Ši matrica nėra vien mokymų grafikas. Tai atitikties žemėlapis, rodantis, kodėl skirtingos grupės gauna skirtingus mokymus.
Susiekite mokymus su kontrolės priemonių grandine
Zenith Controls ISO/IEC 27002:2022 kontrolės priemonę 6.3, informacijos saugumo informuotumą, švietimą ir mokymą, priskiria prevencinei kontrolės priemonei, palaikančiai konfidencialumą, vientisumą ir prieinamumą. Jos kibernetinio saugumo koncepcija yra Protect, operacinis pajėgumas – žmogiškųjų išteklių saugumas, o saugumo sritys – valdysena ir ekosistema.
Zenith Controls kelių atitikties sistemų interpretacija yra tiesioginė:
„Kontrolės priemonė 6.3 įgyvendina NIS2 reikalavimą dėl saugumo mokymų ir informuotumo, taikant struktūruotą informuotumo programą, apimančią kibernetinę higieną, kylančias grėsmes ir darbuotojų atsakomybes.“
Tas pats susiejimas jungia ISO/IEC 27002:2022 kontrolės priemonę 6.3 su GDPR lūkesčiais dėl darbuotojų, tvarkančių asmens duomenis, DORA IRT saugumo mokymų, pritaikytų vaidmenims, ir NIST SP 800-53 Rev.5 AT-2, AT-3 ir AT-4 dėl raštingumo mokymų ir informuotumo, vaidmenimis pagrįstų mokymų ir mokymų įrašų.
Esminė mintis: kontrolės priemonė 6.3 neveikia atskirai. Zenith Controls susieja ją su ISO/IEC 27002:2022 kontrolės priemone 5.2, Informacijos saugumo vaidmenys ir atsakomybės, nes vaidmenys apibrėžia, kam reikia kokių mokymų. Ji susiejama su kontrolės priemone 6.8, Informacijos saugumo įvykių pranešimas, nes darbuotojai negali pranešti apie tai, ko neatpažįsta. Ji taip pat susiejama su kontrolės priemone 5.36, Atitiktis informacijos saugumo politikoms, taisyklėms ir standartams, nes atitiktis priklauso nuo to, ar žmonės žino taisykles.
Tai sukuria praktinę kontrolės priemonių grandinę:
- Apibrėžti atsakomybes.
- Priskirti bazinius ir vaidmenimis pagrįstus mokymus.
- Įrodyti mokymų baigimą.
- Patikrinti supratimą.
- Vykdyti atitikties stebėseną.
- Šalinti spragas.
- Įtraukti įgytą patirtį į rizikos valdymą ir vadovybės peržiūrą.
Tai svarbu NIS2, nes Article 21 reikalauja rizikos analizės, politikų, incidentų tvarkymo procedūrų, veiklos tęstinumo, tiekimo grandinės saugumo, saugaus įsigijimo ir priežiūros, kontrolės veiksmingumo vertinimo, kibernetinės higienos ir mokymų, kriptografijos, HR saugumo, prieigos kontrolės, turto valdymo ir MFA arba saugaus autentifikavimo, kai tinkama.
Tai svarbu DORA, nes valdysena, incidentų valdymas, reagavimas ir atkūrimas, trečiųjų šalių rizika ir atsparumo testavimas veikia tik tada, kai žmonės žino, ką daryti prieš įvykstant incidentui.
Sukurkite auditui tinkamą įrodymų paketą
Brandus įrodymų paketas apima daugiau nei dalyvavimo žurnalus. Jis parodo valdyseną, projektavimą, teikimą, užbaigimą, veiksmingumą ir tobulinimą. Clarysec rekomenduoja šešių aplankų struktūrą.
| Įrodymų aplankas | Kas jame saugoma | Kodėl tai svarbu |
|---|---|---|
| 01 Valdysena | Patvirtinta politika, mokymų tikslai, vadovybės patvirtinimas, biudžetas, metinis planas | Parodo vadovybės įsipareigojimą ir priežiūrą |
| 02 Vaidmenų susiejimas | Vaidmenų inventorius, kompetencijų matrica, mokymų priskyrimo taisyklės, rangovų taikymo sritis | Įrodo rizika ir vaidmenimis pagrįstą projektavimą |
| 03 Mokymų turinys | Kursų skaidrės, LMS moduliai, fišingo šablonai, saugumo biuleteniai, versijų istorija | Parodo, ko žmonės iš tikrųjų buvo mokomi |
| 04 Mokymų baigimo įrašai | LMS eksportai, HRIS įrašai, dalyvavimo žurnalai, testų rezultatai, patvirtinimai | Parodo dalyvavimą ir saugomą dokumentuotą informaciją |
| 05 Veiksmingumo įrodymai | Fišingo simuliacijų rodikliai, interviu rezultatai, pranešimų apie incidentus tendencijos, stalo pratybų rezultatai | Parodo, ar mokymai pakeitė elgesį |
| 06 Tobulinimas | Korekciniai veiksmai, atnaujinti moduliai, įgyta patirtis, vadovybės peržiūros įvestys | Parodo nuolatinį tobulinimą |
Clarysec įmonės politika reikalauja įvedimo į darbą, metinių pakartotinių mokymų ir vaidmenimis pagrįstų modulių. Informacijos saugumo informuotumo ir mokymų politika, Valdysenos reikalavimai, clause 5.1.1.2, nurodo:
„Įtraukti įvedimą į darbą, metinius pakartotinius mokymus ir vaidmenimis pagrįstus mokymo modulius“
Ta pati politika priskiria įrodymų savininkystę. Valdysenos reikalavimai, clauses 5.3.1 ir 5.3.1.1, nurodo:
„CISO arba jo įgaliotas asmuo turi saugoti:“
„Kiekvieno naudotojo mokymų baigimo įrašus“
MVĮ atveju MVĮ politika prideda pragmatišką periodiškumą. Informacijos saugumo informuotumo ir mokymų politika – MVĮ, Politikos įgyvendinimo reikalavimai, clause 6.1.1, nurodo:
„Medžiaga turi būti praktiška, tinkama vaidmeniui ir atnaujinama kasmet.“
Ji taip pat apima mokymus, inicijuojamus pakeitimų. Clause 6.5.1 nurodo:
„Pasikeitus darbo vaidmenims arba įdiegus sistemas, gali būti reikalingi tiksliniai informuotumo mokymai (pvz., saugus failų bendrinimas, nauji duomenų apsaugos ir duomenų minimizavimo reikalavimai).“
Ši sąlyga 2026 m. ypač svarbi, nes migracija į debesiją, AI priemonės, naujos mokėjimų integracijos, nauji duomenų tvarkytojai ir reglamentavimo ataskaitų teikimo pokyčiai gali pakeisti riziką greičiau nei metinis ciklas.
Vienos savaitės gelbėjimo planas prieš auditą
Įsivaizduokite 180 darbuotojų SaaS arba FinTech paslaugų teikėją, besirengiantį ISO/IEC 27001:2022 priežiūros auditui, DORA klientų deramam patikrinimui, GDPR atskaitomybės peržiūrai ir NIS2 nulemtoms klientų užklausoms. CISO turi vieną savaitę, kad bendruosius mokymų baigimo įrašus paverstų pagrįstu įrodymų paketu.
1 diena: patvirtinkite taikymo sritį ir įpareigojimus
Naudokite ISO/IEC 27001:2022 Clauses 4.1 to 4.4 kontekstui, suinteresuotosioms šalims ir ISVS taikymo sričiai patvirtinti. Užfiksuokite klientų sutartinius įsipareigojimus, GDPR valdytojo ar tvarkytojo įpareigojimus, NIS2 lūkesčius iš kritinių klientų ir su DORA susijusius IRT tiekėjų deramo patikrinimo prašymus.
Tada šiuos įpareigojimus paverskite mokymų poreikiais. GDPR reikalauja, kad personalas, tvarkantis asmens duomenis, suprastų konfidencialumą, minimizavimą, saugojimo terminus ir pažeidimų eskalavimą. NIS2 reikalauja kibernetinės higienos, darbuotojų mokymų ir vadovybės priežiūros. DORA veikiami klientai tikėsis įrodymų, kad kritines paslaugas palaikančios komandos supranta incidentų eskalavimą, atsparumą, prieigos kontrolę, atsarginių kopijų kūrimą ir atkūrimą bei trečiųjų šalių koordinavimą.
2 diena: sukurkite vaidmenimis pagrįstą matricą
Naudokite Zenith Blueprint gaires ir Zenith Controls susiejimus ISO/IEC 27002:2022 kontrolės priemonėms 5.2 ir 6.3. Įtraukite darbuotojus, rangovus, privilegijuotus naudotojus, kūrėjus, pagalbos komandas, HR, finansus, vykdomuosius vadovus ir reagavimo į incidentus specialistus.
Kiekvieną vaidmenį susiekite su sistemomis ir rizikomis. Kūrėjai gauna saugaus programavimo ir pažeidžiamumų valdymo mokymus. Pagalbos komandos gauna tapatybės patikrinimo ir saugaus užklausų tvarkymo mokymus. Finansai gauna mokėjimų sukčiavimo ir tiekėjų pakeitimų tikrinimo mokymus. Vykdomieji vadovai gauna valdysenos, teisinės atskaitomybės, rizikos apetito ir sprendimų priėmimo krizės metu mokymus.
3 diena: suderinkite politiką ir priskyrimus
Priimkite arba atnaujinkite tinkamą Clarysec politiką. Naudokite MVĮ politiką lengvesniam veiklos modeliui arba įmonės politiką stipresnei valdysenai ir įrodymų savininkystei. Patvirtinkite, kad politika apima įvedimą į darbą, metinius pakartotinius mokymus, vaidmenimis pagrįstus modulius, įrodymų saugojimą, rangovų aprėptį ir pakeitimų inicijuojamus mokymus.
Paskelbkite politiką, surinkite patvirtinimus ir susiekite mokymo modulius su pareigybių šeimomis HRIS arba LMS.
4 diena: pateikite tikslinius mokymus
Nemokykite visų apie viską. Visiems pateikite bazinių kontrolės priemonių mokymus, tada priskirkite konkretiems vaidmenims skirtus modulius.
Bazinis modulis turi apimti fišingą ir socialinę inžineriją, slaptažodžių higieną ir MFA, priimtiną naudojimą, saugų informacijos tvarkymą, incidentų pranešimo kanalus, pranešimą apie prarastą įrenginį ir duomenų apsaugos pagrindus.
Konkretiems vaidmenims skirti moduliai turi apimti saugų SDLC kūrėjams, privilegijuotą prieigą ir atsarginių kopijų atkūrimą IT personalui, darbuotojų duomenis HR funkcijai, mokėjimų sukčiavimą finansams, incidentų klasifikavimą reagavimo specialistams ir NIS2 bei DORA valdyseną vykdomiesiems vadovams.
5 diena: eksportuokite ir patikrinkite įrodymus
Sukurkite šešių aplankų įrodymų paketą. Eksportuokite mokymų baigimo ataskaitas, testų balus, kursų versijų numerius, politikos patvirtinimus ir mokymų grafikus. Nustatykite nebaigtus mokymus ir pradėkite korekcinius veiksmus.
Tada per interviu patikrinkite supratimą. Paklauskite skirtingų departamentų darbuotojų:
- Kokius saugumo mokymus baigėte?
- Kaip pranešate apie įtartiną el. laišką?
- Ką darytumėte praradę nešiojamąjį kompiuterį?
- Kur galite rasti informacijos saugumo politiką?
- Kokius asmens duomenis tvarkote savo vaidmenyje?
Rezultatus užfiksuokite kaip vidaus audito imtį. Auditoriai dažnai naudoja interviu, kad patikrintų, ar informuotumas buvo įsisavintas, o ne tik pateiktas.
6 diena: susiekite mokymus su reagavimu į incidentus
Naudokite pranešimo apie incidentus mokymus kaip jungtį su ISO/IEC 27002:2022 kontrolės priemone 6.8, NIS2 Article 23 ir DORA Articles 17 to 19.
NIS2 Article 23 reikalauja etapinio pranešimo apie reikšmingus incidentus, įskaitant ankstyvą perspėjimą per 24 valandas nuo sužinojimo, pranešimą per 72 valandas ir galutinę ataskaitą per vieną mėnesį. DORA reikalauja, kad reikšmingi su IRT susiję incidentai būtų klasifikuojami, eskaluojami, komunikuojami ir apie juos būtų pranešama pagal privalomą pranešimų gyvavimo ciklą.
Darbuotojams nereikia mintinai žinoti teisinių terminų, tačiau jie turi pakankamai greitai pranešti apie įtariamus incidentus, kad organizacija galėtų jų laikytis.
Zenith Blueprint dalyje Controls in Action, Step 16: People Controls II, Clarysec nurodo:
„Veiksminga reagavimo į incidentus sistema prasideda ne nuo priemonių, o nuo žmonių.“
Tai nėra švelni rekomendacija. Tai operacinis atsparumas.
7 diena: parenkite audito naratyvą
Galutinis audito naratyvas turi būti trumpas ir pagrįstas įrodymais:
„Mokymų poreikius nustatėme remdamiesi ISVS vaidmenimis, teisiniais ir sutartiniais įpareigojimais, rizikos vertinimo rezultatais ir sistemų prieiga. Per LMS priskyrėme bazinius ir vaidmenimis pagrįstus modulius. Išsaugojome mokymų baigimo įrašus, testų balus, turinio versijas ir patvirtinimus. Veiksmingumą tikrinome fišingo simuliacijomis, interviu ir pranešimų apie incidentus rodikliais. Nebaigti mokymai sekami kaip korekciniai veiksmai. Vadovybė programą peržiūri kasmet ir po reikšmingų pokyčių.“
Pagrįstas įrodymais, toks naratyvas gali atlaikyti ISO/IEC 27001:2022 audito klausimus, NIS2 valdysenos patikrą, DORA klientų deramą patikrinimą, GDPR atskaitomybės peržiūrą ir NIST tipo kontrolės priemonių vertinimą.
Informacijos saugumo mokymų kelių atitikties sistemų susiejimas
Saugumo informuotumas dažnai klaidingai priskiriamas HR užduotims. Praktikoje tai yra kelių atitikties sistemų kontrolės priemonė, apimanti valdyseną, rizikos valdymą, privatumą, reagavimą į incidentus, tiekėjų patikinimą ir atsparumą.
| Sistema arba reglamentas | Mokymų aktualumas | Clarysec įgyvendinimo taškas |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetencija, informuotumas, lyderystė, vaidmenų priskyrimas, dokumentuota informacija, stebėsena, vidaus auditas ir tobulinimas | Zenith Blueprint Step 5 ir Step 15, politikos sąlygos dėl įvedimo į darbą, metinių pakartotinių mokymų, vaidmenimis pagrįstų mokymų ir įrodymų |
| ISO/IEC 27002:2022 | Kontrolės priemonė 6.3 – informuotumas, švietimas ir mokymas, susieta su 5.2 vaidmenimis, 6.8 įvykių pranešimu ir 5.36 atitikties stebėsena | Zenith Controls susieja atributus, susijusias kontrolės priemones, audito lūkesčius ir suderinimą tarp sistemų |
| NIS2 | Vadovybės mokymai, darbuotojų kibernetinio saugumo mokymai, kibernetinė higiena, pasirengimas incidentams ir valdysenos atskaitomybė | Valdybos modulis, darbuotojų bazinis mokymas, pranešimo apie incidentus modulis, vadovybės patvirtinimo įrodymai |
| DORA | IRT valdysena, vadovybės priežiūra, mokymasis ir tobulėjimas, incidentų eskalavimas, atsparumo testavimas ir trečiųjų šalių lūkesčiai | Vykdomųjų vadovų mokymai, IRT vaidmenų moduliai, reagavimo į incidentus specialistų mokymai, tiekėjams skirtas įrodymų paketas |
| GDPR | Atskaitomybė, saugus tvarkymas, privatumo vaidmenų suvokimas, pažeidimų atpažinimas ir asmens duomenų tvarkymas | Privatumo mokymai HR, pagalbos, pardavimų, inžinerijos ir incidentų komandoms |
| NIST CSF 2.0 | GOVERN funkcija, vaidmenys, politikos, teisiniai įpareigojimai, priežiūra, profiliai ir tobulinimo planavimas | Esamos ir siektinos mokymų būsenos profilis, spragų registras ir prioritetizuotas veiksmų planas |
| NIST SP 800-53 Rev.5 | Informuotumo mokymai, vaidmenimis pagrįsti mokymai ir mokymų įrašai | Susiejimas su AT-2, AT-3 ir AT-4 per Zenith Controls |
| COBIT 2019 pagrįstas patikinimas | Valdysenos tikslai, atskaitomybė, pajėgumas, veiklos rodikliai ir vadovybės ataskaitų teikimas | Mokymų KPI, vaidmenų savininkystė, vadovybės peržiūra ir korekcinių veiksmų uždarymas |
NIST CSF 2.0 ypač naudingas organizacijoms, kurioms reikia brandą paaiškinti ne ISO suinteresuotosioms šalims. Jo organizacinių profilių metodas palaiko esamos ir siektinos būsenos planavimą. Pavyzdžiui, esamos būsenos profilis gali nurodyti, kad bazinis informuotumas egzistuoja, tačiau kūrėjų saugaus programavimo mokymai nėra baigti. Siektinos būsenos profilis gali reikalauti, kad visi kūrėjai iki Q3 baigtų saugaus programavimo, pažeidžiamumų atskleidimo ir paslapčių valdymo mokymus.
Kaip auditoriai ir reguliuotojai tikrina mokymų įrodymus
Skirtingi vertintojai užduoda skirtingus klausimus, tačiau visi tikrina tą pačią esmę: ar organizacija žino, ką žmonės turi daryti, ir ar gali įrodyti, kad žmonės yra pasirengę tai daryti?
ISO/IEC 27001:2022 auditorius susies mokymų įrodymus su Clauses 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 ir 10.2 bei Annex A kontrolės priemonėmis. Tikėkitės klausimų apie tai, kaip buvo nustatyti kompetencijos reikalavimai, kaip darbuotojai žino informacijos saugumo politiką, kaip mokomi nauji darbuotojai ir rangovai, kaip tvarkomi nebaigti mokymai, kaip vaidmenimis pagrįsti mokymai susieti su rizikos vertinimu ir Taikomumo pareiškimu, ir kaip vertinamas veiksmingumas.
Zenith Controls pažymi, kad auditoriai, naudojantys ISO/IEC 19011:2018, peržiūrės mokymo programą, grafikus, medžiagą, dalyvavimo įrašus, mokymų baigimo sertifikatus ir instruktorių kompetenciją. Taip pat pažymima, kad ISO/IEC 27007:2020 auditoriai gali naudoti interviu, kad nustatytų, ar darbuotojai žino, kaip pranešti apie incidentus, ir prisimena pagrindines mokymų žinutes.
Į NIS2 orientuota peržiūra žiūrės plačiau nei į mokymų baigimo rodiklius. Ji klaus, ar valdymo organas patvirtino ir prižiūrėjo kibernetinio saugumo rizikos valdymo priemones, ar vadovybė dalyvavo mokymuose, ar darbuotojų kibernetinės higienos mokymai vykdomi reguliariai ir ar suprantamas pranešimas apie incidentus. Article 21 taip pat reikalauja procedūrų kibernetinio saugumo rizikos valdymo priemonių veiksmingumui vertinti, todėl fišingo rodikliai, pranešimų apie incidentus tendencijos ir audito išvados tampa kontrolės veiksmingumo įrodymais.
DORA peržiūra, ypač kai finansų klientas vertina IRT teikėją, daugiausia dėmesio skirs operaciniam atsparumui. Tikėkitės klausimų apie kritines finansines paslaugas palaikantį personalą, mokymų įrašus komandoms, valdančioms mokėjimų sistemas, vadovybės mokymus apie IRT trečiųjų šalių riziką, incidentų klasifikavimą pagal DORA Article 18 ir rangovų mokymus dėl prieigos prie kliento aplinkos.
GDPR peržiūra daugiausia dėmesio skirs atskaitomybei. Organizacija turi parodyti, kad asmens duomenis tvarkantis personalas supranta teisėtą tvarkymą, konfidencialumą, minimizavimą, saugojimo terminus, saugų tvarkymą ir pažeidimų eskalavimą. SaaS, FinTech ir valdomų paslaugų teikėjams mokymų įrodymai yra dalis įrodymo, kad privatumo reikalavimai įtraukti į operacinę elgseną.
Rodikliai, įrodantys kontrolės veiksmingumą
Mokymų baigimas būtinas, bet jo nepakanka. Stipresnė 2026 m. suvestinė rodo, ar mokymai pagerino elgesį.
| Rodiklis | Ką jis parodo | Audito interpretacija |
|---|---|---|
| Baigimas pagal vaidmenį | Ar priskirtos grupės baigė privalomus modulius | Bazinė atitiktis ir aprėptis |
| Naujo darbuotojo baigimas per nustatytą terminą | Ar veikia įvedimo į darbą kontrolės priemonės | HR ir prieigos valdysenos branda |
| Privilegijuotų naudotojų mokymų baigimas | Ar didelės rizikos naudotojai yra pasirengę | Rizika grindžiamas prioritetizavimas |
| Fišingo simuliacijos paspaudimų ir pranešimų rodiklis | Ar elgesys gerėja | Informuotumo veiksmingumas |
| Darbuotojų pranešimai apie incidentus | Ar žmonės atpažįsta įvykius ir apie juos praneša | Sąsaja su pasirengimu incidentams |
| Laikas nuo įtartino el. laiško iki pranešimo | Ar pranešimas palaiko reglamentavimo terminus | NIS2 ir DORA pasirengimas |
| Pakartotinis mokymų nebaigimas | Ar veikia politikos įgyvendinimas ir eskalavimas | Atitikties stebėsena |
| Mokymų atnaujinimai po incidentų ar pokyčių | Ar įgyta patirtis skatina tobulinimą | Nuolatinis tobulinimas |
Šie rodikliai palaiko ISO/IEC 27001:2022 Clause 9.1 dėl stebėsenos ir matavimo, Clause 9.2 dėl vidaus audito, Clause 10.1 dėl nuolatinio tobulinimo ir Clause 10.2 dėl neatitikties ir korekcinio veiksmo. ISO/IEC 27002:2022 kontrolės priemonė 5.36 sustiprina, kad atitiktis politikoms, taisyklėms ir standartams turi būti stebima, vertinama, o spragos šalinamos.
Dažnos Clarysec audituose matomos išvados
Tos pačios silpnosios vietos kartojasi nuolat.
Organizacijos moko darbuotojus, bet pamiršta vykdomuosius vadovus. Pagal NIS2 ir DORA vadovybės mokymai yra valdysenos dalis, o ne brandos priedas.
Organizacijos vykdo metinius mokymus, bet ignoruoja vaidmenų pasikeitimus. Pagalbos inžinieriui, pereinančiam į DevOps, reikia privilegijuotos prieigos, žurnalų vedimo, atsarginių kopijų ir incidentų eskalavimo mokymų.
Organizacijos įtraukia darbuotojus, bet pamiršta rangovus. Zenith Blueprint Step 15 pataria mokymus išplėsti rangovams arba trečiosioms šalims, turinčioms prieigą prie sistemų ar duomenų.
Organizacijos moko pranešti apie incidentus, bet sukuria baimę. Jei darbuotojai mano, kad bus nubausti už fišingo nuorodos paspaudimą, jie gali nutylėti. Zenith Blueprint Step 16 pabrėžia paprastus pranešimo kanalus, informuotumu paremtą pranešimą ir nekaltinimo kultūrą.
Organizacijos negali įrodyti turinio versijavimo. Jei auditorius klausia, ką darbuotojai baigė kovo mėnesį, dabartinio skaidrių rinkinio SharePoint nepakanka. Saugokite pateiktą versiją.
Organizacijos nesusieja mokymų su rizikos valdymu. Jei išpirkos reikalaujanti programinė įranga, mokėjimų sukčiavimas, debesijos neteisingas konfigūravimas ar duomenų nutekėjimas yra svarbiausios rizikos, mokymų plane turi būti matomas tikslinis atitinkamų vaidmenų rizikos mažinimas.
Kur tinka Clarysec
Clarysec padeda organizacijoms kurti vieną pagrįstą programą vietoj penkių atsietų atitikties krypčių.
Informacijos saugumo informuotumo ir mokymų politika – MVĮ mažesnėms organizacijoms suteikia praktinį bazinį rinkinį: vaidmenimis pagrįstus lūkesčius, dokumentuotus įrašus, kasmetinius atnaujinimus, pakeitimų inicijuojamus mokymus ir saugojimą bent trejus metus.
Įmonės Informacijos saugumo informuotumo ir mokymų politika didesnėms organizacijoms suteikia stipresnę valdyseną: struktūruotą, rizika grindžiamą informuotumą, įvedimą į darbą, metinius pakartotinius mokymus, vaidmenimis pagrįstus modulius, CISO atsakomybę už įrašus ir pasirengimą reglamentavimo institucijų patikrinimams pagal GDPR, DORA ir NIS2.
Zenith Blueprint įgyvendinimo komandoms nurodo, ką daryti nuosekliai. Step 5 įtraukia kompetenciją ir informuotumą į ISVS pagrindą. Step 15 įgyvendina ISO/IEC 27002:2022 kontrolės priemonę 6.3 metiniais mokymais, konkretiems vaidmenims skirtais moduliais, įvedimu į darbą, fišingo simuliacijomis, dalyvavimo įrodymais, tiksliniais biuleteniais, rangovų mokymais ir elgesio stiprinimu. Step 16 susieja informuotumą su darbuotojų inicijuojamu pranešimu apie incidentus.
Zenith Controls atitikties komandoms suteikia susiejimo lentelę. Ji susieja ISO/IEC 27002:2022 kontrolės priemonę 6.3 su vaidmenimis, įvykių pranešimu, atitikties stebėsena, ISO/IEC 27005:2024 žmogiškųjų veiksnių rizikomis, GDPR mokymų lūkesčiais, NIS2 Article 21, DORA IRT mokymais, NIST informuotumo kontrolės priemonėmis ir audito metodikomis. Ji taip pat susieja kontrolės priemonę 5.2 su valdysenos atsakomybėmis ir kontrolės priemonę 5.36 su atitikties stebėsena ir korekciniu veiksmu.
Kartu šie ištekliai leidžia CISO paaiškinti ne tik kokie mokymai įvyko, bet ir kodėl jie įvyko, kas jų reikalavo, kokią riziką jie valdė, kaip jie buvo pagrįsti įrodymais ir kaip jie gerėja.
Parenkite saugumo mokymų įrodymus auditui jau dabar
Jei jūsų dabartiniai įrodymai yra skaičiuoklė, skaidrių rinkinys ir viltis, kad darbuotojai prisimins pranešimų el. pašto adresą, dabar laikas juos subrandinti.
Šią savaitę pradėkite nuo keturių veiksmų:
- Sukurkite vaidmenimis pagrįstą mokymų matricą, susietą su ISVS atsakomybėmis, sistemų prieiga ir reglamentavimo įpareigojimais.
- Priimkite arba atnaujinkite Clarysec informuotumo politiką, naudodami Informacijos saugumo informuotumo ir mokymų politika – MVĮ arba Informacijos saugumo informuotumo ir mokymų politika.
- Sukurkite šešių aplankų įrodymų paketą valdysenai, vaidmenų susiejimui, turiniui, mokymų baigimui, veiksmingumui ir tobulinimui.
- Naudokite Zenith Blueprint ir Zenith Controls, kad susietumėte mokymų įrodymus su ISO/IEC 27001:2022, NIS2, DORA, GDPR ir NIST audito lūkesčiais.
Saugumo informuotumas vertingas tada, kai keičia elgesį. Atitikties įrodymai vertingi tada, kai įrodo, kad toks elgesys yra nuoseklus.
Clarysec padeda sukurti abu.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
