ISO 27001, NIS2 ir DORA politikų gyvavimo ciklo valdysena
El. laiškas tyliai atsidūrė informacijos saugumo vadovės (CISO) Marijos Petrovos pašto dėžutėje, tačiau tas tylus pranešimas nuskambėjo kaip sirena. Jį atsiuntė išorės auditorius: preliminarus užklausų sąrašas bendram ISO/IEC 27001:2022 priežiūros auditui ir DORA pasirengimo vertinimui. Pirmasis punktas atrodė paprastas:
„Prašome pateikti galiojančią Informacijos saugumo politiką, visą jos versijų istoriją, kiekvienos versijos vadovybės patvirtinimo įrodymus ir įrašus, patvirtinančius, kad per pastaruosius 24 mėnesius su ja buvo supažindinti atitinkami darbuotojai.“
Marijos įmonė, vidutinio dydžio finansinių technologijų platforma, politikų turėjo. Dešimtis. Ji turėjo informacijos saugumo politiką, reagavimo į incidentus planą, tiekėjų saugumo klausimyną, rizikų registrą, prieigos kontrolės procedūrą, veiklos tęstinumo planą ir aplanką, pilną audito įrodymų. Tačiau failai buvo išmėtyti po SharePoint svetaines, senas Confluence erdves, el. pašto gijas, užklausų priedus ir bendrinamus diskus, kurių savininkai jau buvo išėję iš įmonės.
Tikroji problema išryškėjo tada, kai auditorius pateikė papildomus klausimus.
Kas patvirtino galiojančią incidentų procedūrą? Kodėl SharePoint esanti tiekėjų saugumo politika nurodo 2.1 versiją, o pirkimų komanda naudoja 1.8 versiją? Kuri politika susieta su NIS2 Article 21 rizikos valdymo priemonėmis? Kur yra įrašas, rodantis, kad darbuotojai buvo informuoti apie paskutinį politikos atnaujinimą? Kodėl buvo suteikta privilegijuotos prieigos išimtis, kas priėmė liekamąją riziką ir kada išimtis nustoja galioti? Ar pasenę dokumentai pašalinti iš kasdienio naudojimo? Kiek laiko saugomos audito ataskaitos? Ar įmonė gali įrodyti, kad politikų biblioteka buvo peržiūrėta po paskutinio reikšmingo sistemos pakeitimo?
Marija turėjo kontrolės priemones, bet nekontroliavo pačių kontrolės priemonių.
Tai ir yra 2026 m. politikų gyvavimo ciklo valdysenos problema. Organizacijos auditų nebepatiria vien todėl, kad neteisinga ugniasienės taisyklė ar trūksta atsarginių kopijų testo. Jos patiria nesėkmę, nes dokumentuota informacija yra fragmentuota, netinkama auditui, dubliuojama, pasenusi, nekontroliuojama arba atsieta nuo teisinių įpareigojimų. Pagal ISO/IEC 27001:2022 7.5 punktą dokumentuota informacija nėra administracinis formalumas. Tai ISVS veiklos atmintis. Pagal NIS2 ji palaiko valdymo organo patvirtinimą ir priežiūrą. Pagal DORA ji tampa IRT rizikos valdymo sistemos ir atsparumo įrodymų pėdsako dalimi. Pagal GDPR ji įrodo atskaitomybę.
Clarysec požiūris paprastas: politikų biblioteka nėra dokumentų sąvartynas. Tai valdoma įrodymų sistema.
Kodėl politikų gyvavimo ciklo valdysena tapo valdybos lygmens klausimu
Politikų gyvavimo ciklo valdysena yra disciplina, apimanti politikų ir susijusių įrašų rengimą, tvirtinimą, paskelbimą, komunikavimą, peržiūrą, keitimą, išėmimą iš naudojimo, saugojimą ir įrodymų valdymą. Ji atsako į klausimus, kuriuos auditoriai, reguliuotojai, klientai ir valdybos dabar užduoda įprasta tvarka:
- Kas yra kiekvienos politikos savininkas?
- Kas ją tvirtina?
- Kokius teisinius, sutartinius ir rizikos reikalavimus ji tenkina?
- Kokios kontrolės priemonės ir procedūros ją įgyvendina?
- Kuri versija yra aktuali?
- Kas buvo informuotas, apmokytas arba turėjo patvirtinti susipažinimą?
- Kokios išimtys su ja susietos?
- Kokie įrašai įrodo, kad ji veikia?
- Kas nutinka, kai ji tampa pasenusi?
ISO/IEC 27001:2022 palaiko šią discipliną per 7.5 punktą dėl dokumentuotos informacijos, 5 punktą dėl lyderystės, 6 punktą dėl planavimo ir rizikos valdymo, 8 punktą dėl veiklos kontrolės ir A priedo kontrolės priemones, apimančias politikas, įrašus, teisinius reikalavimus, tiekėjus, incidentus, tęstinumą, privatumą, žurnalavimą, stebėseną ir pakeitimų valdymą.
Reglamentavimo spaudimas yra toks pat tiesioginis.
NIS2 Article 20 reikalauja, kad valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų jų įgyvendinimą ir gautų tinkamus mokymus. Article 21 reikalauja rizika grindžiamų techninių, veiklos ir organizacinių priemonių, įskaitant saugumo politikas, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų kūrimą, veiksmingumo vertinimą, kibernetinę higieną, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą ir autentifikavimą. Politikų visuma be savininkystės, patvirtinimo ir peržiūros įrodymų silpnina vadovybės atskaitomybės pagrindimą.
DORA taikomas nuo 2025 m. sausio 17 d. ir nustato vieningą ES sistemą IRT rizikos valdymui, pranešimui apie incidentus, skaitmeninio operacinio atsparumo testavimui, IRT trečiųjų šalių rizikai ir sutartiniams reikalavimams. Finansų subjektams, kurie pagal NIS2 taip pat yra esminiai arba svarbūs subjektai, DORA laikomas sektoriui būdingu Sąjungos teisės aktu atitinkamiems kibernetinio saugumo įpareigojimams. Article 5 reikalauja valdymo organo atsakomybės už IRT rizikos valdymo sistemą, politikas, atsakomybes, tęstinumo planus, auditus, IRT trečiųjų šalių politikas, pranešimų kanalus ir mokymus. Article 6 reikalauja gerai dokumentuotos IRT rizikos valdymo sistemos, kuri ne labai mažiems finansų subjektams būtų peržiūrima bent kartą per metus ir tobulinama remiantis įgyta patirtimi.
GDPR prideda atskaitomybės reikalavimą. Article 5 reikalauja, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai, skaidriai, nustatytais tikslais, taikant duomenų kiekio mažinimą, tikslumą, saugojimo trukmės ribojimą ir saugumą. Article 5(2) nustato, kad duomenų valdytojas atsako už atitikties įrodymą. Šis įrodymas priklauso nuo kontroliuojamų įrašų: sprendimų dėl teisinio pagrindo, saugojimo terminų, DPIA, kai taikoma, tvarkytojų deramo patikrinimo, pažeidimų įrašų, prieigos peržiūrų, mokymų žurnalų ir politikų patvirtinimų.
Bendra gija yra įrodymai. Auditorius neklaus tik, ar politika egzistuoja. Jis prašys jos „gimimo liudijimo“, versijų istorijos, patvirtinimo pėdsako, komunikacijos įrašo, susijusių procedūrų ir veiklos įrašų, įrodančių, kad ji veikia.
ISO/IEC 27001:2022 dokumentuotos informacijos pagrindas
Pagrindas dokumentacijai, kurią galima pagrįsti įrodymais, yra ISO/IEC 27001:2022 7.5 punktas „Dokumentuota informacija“. Jis reikalauja, kad organizacijos rengtų, atnaujintų ir valdytų dokumentuotą informaciją, reikalingą ISVS ir reikalaujamą standarto.
Praktiškai dokumentuotą informaciją patogu suprasti suskirstant ją į tris sluoksnius:
| Sluoksnis | Pavyzdžiai | Valdysenos paskirtis |
|---|---|---|
| Valdymo dokumentai | ISVS taikymo sritis, informacijos saugumo politika, rizikos metodika, Taikomumo pareiškimas, rizikos valdymo planas, tikslai | Nustato kryptį, įgaliojimus, reikalavimus ir atskaitomybę |
| Veiklos dokumentai | Procedūros, standartai, reagavimo veiksmų planai, atkūrimo instrukcijos, kontroliniai sąrašai, šablonai | Paverčia politiką pakartojamais veiksmais |
| Įrašai | Rizikos vertinimai, mokymų žurnalai, incidentų ataskaitos, audito ataskaitos, patvirtinimai, vadovybės peržiūros protokolai, prieigos peržiūros, tiekėjų įrašai, sprendimai dėl išimčių | Įrodo, kad sprendimai buvo priimti ir kontrolės priemonės veikė |
Clarysec Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas tai aiškiai nagrinėja ISVS pagrindų ir lyderystės etape, 6 žingsnyje: dokumentuota informacija ir ISVS bibliotekos kūrimas. Jame paaiškinama, kad 7.5 punktas apima dokumentaciją apskritai, jos rengimą ir atnaujinimą bei dokumentuotos informacijos kontrolę.
Zenith Blueprint tai paverčia praktinėmis įgyvendinimo gairėmis:
„Dokumentai turėtų būti tinkamai identifikuoti (pavadinimas, galbūt dokumento numeris arba unikalus identifikatorius, autorius), turėti tinkamą formatą … ir prieš naudojimą būti peržiūrėti bei patvirtinti dėl tinkamumo.“
Jame taip pat pateikiama veiklos taisyklė, kurios daugelis organizacijų nepastebi:
„Užtikrinkite, kad lengvai būtų randama tik aktuali versija (pasenusias versijas archyvuokite arba aiškiai pažymėkite kaip pakeistas).“
Būtent čia daugelis ISVS įgyvendinimų tyliai sugenda. Politika galėjo būti kartą patvirtinta, tačiau jei senos versijos lieka prieinamos, darbuotojai naudoja pasenusias procedūras arba auditoriai negali atsekti pakeitimų, dokumentas iš esmės nebėra kontroliuojamas.
Zenith Blueprint rekomenduoja sukurti „ISVS dokumentacijos biblioteką“ su politikų ir procedūrų, rizikos vertinimo ir SoA, mokymų įrašų, audito ir peržiūros, incidentų įrašų, turto ir apskaitos bei A priedo kontrolės priemonių bibliotekos aplankais. Jame taip pat nurodoma, kad saugykla turi būti „prieinama, bet saugi“: politikos turi būti skaitomos darbuotojams, o konfidencialūs aplankai, tokie kaip rizikos vertinimas ir incidentų įrašai, turi būti ribojami.
Tai nėra vien failų tvarkymo modelis. Tai valdysenos architektūra.
Clarysec politikų gyvavimo ciklo modelis
Clarysec ISO 27001 politikų gyvavimo ciklo valdyseną struktūruoja kaip uždarą ciklą: reikalavimas, savininkas, dokumentas, patvirtinimas, paskelbimas, komunikavimas, įrodymai, peržiūra, pakeitimas, saugojimas ir išėmimas iš naudojimo. Šis ciklas apsaugo nuo klasikinės audito nesėkmės, kai įmonė turi dokumentus, bet negali įrodyti įgaliojimų, aktualumo ar kontrolės.
| Gyvavimo ciklo etapas | Valdysenos klausimas | Auditorių tikėtini įrodymai | Clarysec įgyvendinimo atrama |
|---|---|---|---|
| Reikalavimų priėmimas | Koks įpareigojimas ar rizika reikalauja šios politikos? | Teisinių reikalavimų registras, kliento reikalavimas, rizikų registro įrašas, kontrolės priemonių susiejimas | Teisinis ir reglamentavimo susiejimas bei ISVS taikymo sritis |
| Savininkystė | Kas prižiūri politiką? | Politikos savininko laukas, RACI, vaidmens priskyrimas | Valdysenos vaidmenų ir atsakomybių politika |
| Patvirtinimas | Kas ją patvirtino prieš naudojimą? | Patvirtinimo įrašas, posėdžio protokolas, elektroninis patvirtinimas | Vadovybės peržiūra arba deleguoti įgaliojimai |
| Versijų kontrolė | Kuri versija yra aktuali? | Versijų istorija, pakeitimų žurnalas, dokumento metaduomenys | Kontroliuojama ISVS saugykla |
| Komunikacija | Kas buvo informuotas? | Pranešimas, susipažinimo patvirtinimas, mokymų žurnalas | Informuotumo ir komunikacijos įrašai |
| Veikimas | Kokios procedūros ją įgyvendina? | SOP, kontroliniai sąrašai, užklausos, kontrolės įrašai | Dokumentuotos veiklos procedūros |
| Išimtys | Kokie nukrypimai leidžiami? | Išimčių registras, rizikos priėmimas, galiojimo pabaigos data | Rizikos valdymas ir valdysenos eskalavimas |
| Peržiūra | Kada ir kodėl ji buvo peržiūrėta? | Kasmetinės peržiūros įrašas, įvykio inicijuota peržiūra | Peržiūrų kalendorius ir politikos savininko patvirtinimas |
| Saugojimas | Kiek laiko saugomi įrašai? | Saugojimo terminų grafikas, archyvo įrašai | Audito ir atitikties stebėsena |
| Išėmimas iš naudojimo | Kaip kontroliuojami pasenę dokumentai? | Pakeistų dokumentų archyvas, pašalinimas iš aktyvios bibliotekos | Dokumentų kontrolės darbo eiga |
Šis gyvavimo ciklas stipresnis nei vienkartinis patvirtinimas, nes jis susieja dokumentus su kontrolės priemonėmis, savininkais ir įrodymais. Jis taip pat palaiko kryžminę atitiktį. Viena reagavimo į incidentus politika gali būti susieta su ISO/IEC 27001:2022 A priedo incidentų kontrolės priemonėmis, NIS2 Article 23 pranešimo pasirengimu, DORA incidentų klasifikavimo ir pranešimo procesais, GDPR asmens duomenų saugumo pažeidimų valdymu, NIST CSF 2.0 Respond rezultatais ir COBIT 2019 valdysenos lūkesčiais.
Ko Clarysec politikos reikalauja peržiūrai, versijų kontrolei ir įrodymams
Clarysec politikų biblioteka sukurta taip, kad politikų gyvavimo ciklo reikalavimai nebūtų palikti interpretacijai.
MVĮ skirta Informacijos saugumo politika – SME nustato aiškią peržiūros paskatą:
„Šią politiką generalinis vadovas (GM) turi peržiūrėti bent kartą per metus, kad būtų užtikrinta nuolatinė atitiktis ISO/IEC 27001 sertifikavimo reikalavimams, reglamentavimo pokyčiams (pvz., GDPR, NIS2 ir DORA) ir kintantiems veiklos poreikiams.“
Ji taip pat reikalauja dokumentuotų pakeitimų įrašų:
„Visos politikos peržiūros ir pakeitimai turi būti oficialiai dokumentuojami, aiškiai nurodant datą, pakeitimų pobūdį ir GM patvirtinimą.“
Ir išsaugo istorinį atsekamumą:
„Politikos versijų istorinis įrašas turi būti saugiai saugomas, kad auditų metu būtų galima parodyti politikos raidą ir atitiktį.“
Šios trys nuostatos sprendžia dažną MVĮ problemą. Organizacija gali neturėti didelio valdysenos padalinio, bet jai vis tiek reikia peržiūros, patvirtinimo ir versijų istorijos įrodymų.
MVĮ skirta Valdysenos vaidmenų ir atsakomybių politika – SME prideda valdysenos sprendimų atsekamumo reikalavimą:
„Visi reikšmingi saugumo sprendimai, išimtys ir eskalavimai turi būti įrašyti ir atsekami.“
Ši nuostata itin svarbi politikų išimtims. Laikinas nukrypimas nuo MFA, atidėta tiekėjo peržiūra arba neatidėliotinas žurnalų saugojimo pakeitimas neturi likti tik el. pašto gijose. Jis turi būti susietas su atitinkama politika, kontrolės priemone, rizikos savininku, liekamosios rizikos sprendimu ir galiojimo pabaigos data.
Įrodymų centralizavimui MVĮ skirta Audito ir atitikties stebėsenos politika – SME nustato:
„Visi įrodymai turi būti saugomi centralizuotame audito aplanke.“
Įmonių aplinkose Clarysec Informacijos saugumo politika reikalauja, kad politikos būtų:
„Valdomos pagal versijų kontrolę ir dokumentuojamos“
ir:
„Komunikuojamos visoms paveiktoms šalims oficialiais komunikacijos kanalais“
Įmonių Valdysenos vaidmenų ir atsakomybių politika įtvirtina sąvoką:
„Politikos savininkas ir tvirtintojas“
Įmonių Audito ir atitikties stebėsenos politika prideda saugojimo lūkesčius:
„Ataskaitos turi būti saugomos ne trumpiau kaip šešerius metus (arba ilgiau, kai to reikalauja teisės aktai), saugiai laikomos ir joms turi būti taikoma versijų kontrolė pagal Dokumentų ir įrašų valdymo politiką (P6).“
Galiausiai įmonių Teisinės ir reglamentavimo atitikties politika susieja teisinius įpareigojimus su ISVS:
„Visi teisiniai ir reglamentavimo įpareigojimai turi būti susieti su konkrečiomis politikomis, kontrolės priemonėmis ir savininkais Informacijos saugumo valdymo sistemoje (ISVS).“
Šis reikalavimas yra tiltas tarp politikų gyvavimo ciklo valdysenos ir NIS2, DORA bei GDPR įrodymų. Be įpareigojimų susiejimo įmonė gali turėti dokumentų, tačiau negalės parodyti, kad tie dokumentai tenkina konkrečius teisinius, sutartinius ar rizikos reikalavimus.
Kontrolės trikampis: politikos, įrašai ir veiklos procedūros
Clarysec Zenith Controls: kryžminės atitikties vadovas pateikia šios temos kryžminės atitikties kompasą. ISO/IEC 27002:2022 kontrolės priemonę 5.1 „Informacijos saugumo politikos“ Zenith Controls apibrėžia kaip prevencinę kontrolės priemonę, palaikančią konfidencialumą, vientisumą ir prieinamumą, suderintą su valdysenos ir kibernetinio saugumo identifikavimo koncepcijomis bei susietą su valdysenos ir politikų valdymo veiklos pajėgumais.
Tai svarbu, nes politikų valdysena nėra vien atitikties artefaktas. Ji yra prevencinė. Aiškiai priskirta ir komunikuota prieigos kontrolės politika mažina neteisėtos prieigos riziką dar prieš įvykstant incidentams. Tinkamai patvirtinta tiekėjų politika užkerta kelią nevaldomai išorės paslaugų rizikai. Kontroliuojama incidentų procedūra pagerina reagavimo nuoseklumą dar prieš prasidedant pirmajam reglamentavimo pranešimo terminui.
Zenith Controls taip pat pabrėžia ISO/IEC 27002:2022 kontrolės priemonę 5.33 „Įrašų apsauga“ kaip prevencinę ir suderintą su teise ir atitiktimi, turto valdymu ir informacijos apsauga. Tai esminė audito įrodymams. Zenith Blueprint tą pačią sąvoką išplečia „Kontrolės praktikoje“ etape, 23 žingsnyje:
„Įrašai nėra vien ankstesnių sprendimų reliktai. Jie yra atitikties, veiksmų ir atskaitomybės įrodymai.“
Toliau nurodoma:
„Įrašai tinkamai apsaugomi nuo praradimo, neteisėtos prieigos, klastojimo ir priešlaikinio sunaikinimo“
ISO/IEC 27002:2022 kontrolės priemonė 5.37 „Dokumentuotos veiklos procedūros“ taip pat aktuali. Zenith Controls ją klasifikuoja kaip prevencinę ir korekcinę, palaikančią apsaugą ir atkūrimą. DORA ir NIS2 kontekste dokumentuotos veiklos procedūros yra būdas, kuriuo politika tampa pakartojamu veiksmu: incidentų pirminis vertinimas, atsarginių kopijų atkūrimas, tiekėjų įtraukimas, pažeidžiamumų valdymas, saugus kūrimas, pakeitimų valdymas, įrodymų rinkimas ir krizių komunikacija.
Kartu 5.1, 5.33 ir 5.37 sudaro politikų gyvavimo ciklo kontrolės trikampį:
| ISO/IEC 27002:2022 kontrolės priemonė | Gyvavimo ciklo vaidmuo | Ką ji įrodo |
|---|---|---|
| 5.1 Informacijos saugumo politikos | Kryptis, patvirtinimas, savininkystė ir komunikacija | Vadovybė nustatė lūkesčius ir priskyrė atskaitomybę |
| 5.33 Įrašų apsauga | Įrodymų vientisumas, saugojimas ir saugi prieiga | Atitikties įrašais galima pasitikėti |
| 5.37 Dokumentuotos veiklos procedūros | Pakartojamas politikos reikalavimų vykdymas | Darbuotojai žino, kaip atlikti kontroliuojamas veiklas |
Brandžiai ISVS reikia visų trijų elementų. Politikos be įrašų yra deklaracijos. Įrašai be procedūrų yra nenuoseklūs. Procedūros be politikos krypties tampa vietiniais įpročiais, o ne valdomomis kontrolės priemonėmis.
Kryžminis ISO 27001, NIS2, DORA, GDPR, NIST ir COBIT susiejimas
Atskiras politikų valdymas ISO 27001, NIS2, DORA ir GDPR reikmėms sukuria dubliavimą, prieštaravimus ir įrodymų nuovargį. Geresnis modelis – viena kontroliuojama ISVS biblioteka su susiejimo metaduomenimis. Tai leidžia vienam įrodymų korpusui tenkinti kelių užtikrinimo šalių poreikius.
| Reikalavimų šeima | Ko tikisi reguliuotojai arba auditoriai | Politikų gyvavimo ciklo įrodymai |
|---|---|---|
| ISO/IEC 27001:2022 7.5 punktas | Dokumentai identifikuoti, peržiūrėti, patvirtinti, prieinami, apsaugoti ir kontroliuojami | Dokumentų registras, patvirtinimų įrašai, versijų istorija, prieigos leidimai, pasenusių dokumentų archyvas |
| ISO/IEC 27002:2022 5.1 | Informacijos saugumo politikos apibrėžtos, patvirtintos, paskelbtos, komunikuotos ir peržiūrimos | Politikų rinkinys, tvirtinimo darbo eiga, komunikacijos įrašai, peržiūrų žurnalas |
| ISO/IEC 27002:2022 5.33 | Įrašai apsaugoti nuo praradimo, sunaikinimo, falsifikavimo, neteisėtos prieigos ir atskleidimo | Saugojimo terminų grafikas, saugi saugykla, prieigos kontrolės priemonės, vientisumo įrodymai |
| ISO/IEC 27002:2022 5.37 | Veiklos procedūros dokumentuotos ir prieinamos darbuotojams, kuriems jų reikia | SOP, atkūrimo instrukcijos, reagavimo veiksmų planai, procedūrų peržiūros įrodymai |
| NIS2 Articles 20 and 21 | Vadovybės patvirtinimas ir kibernetinio saugumo rizikos valdymo priemonių priežiūra | Valdybos patvirtinimai, politikų susiejimai, mokymų įrašai, peržiūros protokolai, kontrolės veiksmingumo įrodymai |
| NIS2 Article 23 | Reikšmingo incidento pranešimo pasirengimas ir pranešimo įrodymai | Incidentų politika, klasifikavimo procedūra, eskalavimo žurnalas, 24 ir 72 valandų darbo eigos įrodymai, galutinės ataskaitos šablonas |
| DORA Articles 5 and 6 | Gerai dokumentuota IRT rizikos sistema, patvirtinta ir prižiūrima vadovybės | IRT politikų rinkinys, strategija, rizikos sistema, kasmetinės peržiūros įrodymai, audito rezultatai, įgyta patirtis |
| DORA Articles 17 to 19 | Incidentų procesas aptikimui, klasifikavimui, eskalavimui, komunikavimui ir pranešimui | Incidentų registras, sunkumo kriterijai, eskalavimo įrašai, klientų informavimo šablonai, pagrindinės priežasties analizės įrašai |
| DORA Articles 28 to 30 | IRT trečiųjų šalių rizikos politika, registras, sutartys, deramas patikrinimas ir pasitraukimo planavimas | Tiekėjų politika, sutarčių registras, rizikos vertinimai, teisė atlikti auditą, pasitraukimo strategijos įrodymai |
| GDPR Article 5(2) | Gebėjimas įrodyti atitiktį privatumo principams | Duomenų apsaugos politika, tvarkymo įrašai, saugojimo terminų grafikas, pažeidimų įrašai, prieigos žurnalai, DPIA įrašai, kai taikoma |
| GDPR Article 32 | Tinkamos techninės ir organizacinės saugumo priemonės | Saugumo politikos, prieigos kontrolės procedūros, šifravimo standartai, atsarginių kopijų įrašai, testavimo įrodymai |
| NIST CSF 2.0 GOVERN | Politika, vaidmenys, rizikos apetitas, teisiniai įpareigojimai ir priežiūra nustatyti ir atnaujinami | Valdysenos profilis, politikų peržiūros įrašai, rizikų registras, vaidmenys ir atsakomybės |
| COBIT 2019 užtikrinimo perspektyva | Valdysenos tikslai, savininkystė, veiklos stebėsena ir kontrolės įrodymai | RACI, vadovybės patvirtinimai, kontrolės veikimo įrodymai, problemų taisymo stebėjimas |
NIST CSF 2.0 ypač naudingas kaip komunikacijos sluoksnis. Jo GOVERN funkcija tikisi, kad teisiniai, reglamentavimo ir sutartiniai įpareigojimai bus suprasti, rizikos valdymo tikslai ir atsakomybės apibrėžti, politikos nustatytos ir atnaujinamos, o rezultatai vertinami. Jo organizacijos profilio metodas taip pat pateikia praktinį procesą: apibrėžti profilio taikymo sritį, surinkti įvestis, tokias kaip politikos, rizikos prioritetai ir reikalavimai, sukurti esamą ir tikslinį profilius, išanalizuoti spragas ir įgyvendinti prioritetizuotą veiksmų planą.
Tai glaudžiai atitinka Clarysec požiūrį: sukurti vieną įrodymais grindžiamą veiklos modelį, o tada susieti jį su NIS2, DORA, GDPR, NIST ir COBIT, užuot palaikius atskirus atitikties silosus.
Vienos savaitės sprintas politikos įrodymų kontrolės paketui sukurti
Visapusiška politikų valdysenos transformacija užtrunka, tačiau sutelktas vienos savaitės sprintas gali atskleisti spragas ir sukurti pagrindą, kurį galima pagrįsti įrodymais.
1 diena: sukurkite dokumentų registrą
Pradėkite nuo skaičiuoklės, GRC sistemos arba struktūruoto SharePoint sąrašo. Dokumentų registras yra indeksas, leidžiantis auditoriams naršyti įrodymų korpuse.
| Laukas | Pavyzdys |
|---|---|
| Dokumento ID | P01 |
| Dokumento pavadinimas | Informacijos saugumo politika |
| Tipas | Politika |
| Savininkas | CISO |
| Tvirtintojas | CEO |
| Aktualioji versija | 3.0 |
| Įsigaliojimo data | 2026-02-01 |
| Kita peržiūros data | 2027-02-01 |
| Įvykio inicijuota peržiūra | Reikšmingas incidentas, reglamentavimo pokytis, susijungimas, naujas kritinis tiekėjas |
| Konfidencialumo klasifikacija | Vidaus |
| Pagrindinės kontrolės priemonės | ISO/IEC 27002:2022 5.1, 5.33, 5.37 |
| Teisinis susiejimas | NIS2 Article 21, DORA Article 6, GDPR Article 5 |
| Įrodymų vieta | ISMS Documentation/Policies/P01 |
| Pasenusių dokumentų vieta | ISMS Documentation/Archive/P01 |
| Susietos išimtys | EX-2026-004 |
| Komunikacijos įrašas | Awareness campaign AC-2026-02 |
Neperkomplikuokite. Jei registras patikimai rodo savininką, tvirtintoją, versiją, peržiūros datą, susiejimą ir įrodymų vietą, jis jau išsprendžia daug audito paieškos problemų.
2 diena: įsteikite saugyklą
Vadovaukitės Zenith Blueprint 6 žingsnio struktūra: politikos ir procedūros, rizikos vertinimas ir SoA, mokymų ir informuotumo įrašai, auditas ir peržiūra, incidentų įrašai, turtas ir apskaita, kontrolės priemonių biblioteka.
Taikykite prieigos taisykles. Politikas gali skaityti visi darbuotojai. Rizikos vertinimo įrašai turi būti ribojami ISVS komandai ir vadovybei. Incidentų įrašams turi būti taikomas būtinybės žinoti principas. Tiekėjų sutartys turi būti prieinamos tik pirkimų, teisės, finansų ir saugumo funkcijoms. Pasenę dokumentai turi būti neprieinami kasdieniam naudojimui, bet išlaikomi audito atsekamumui.
3 diena: standartizuokite antraštes ir pakeitimų žurnalus
Kiekvienoje politikoje turi būti dokumento pavadinimas, savininkas, tvirtintojas, versija, įsigaliojimo data, kita peržiūros data, klasifikacija, susijusios kontrolės priemonės, susiję teisiniai įpareigojimai ir pakeitimų istorija.
| Versija | Data | Pakeitimo santrauka | Peržiūrėtojas | Tvirtintojas |
|---|---|---|---|---|
| 2.0 | 2025-09-15 | Pridėtos DORA trečiųjų šalių rizikos nuorodos | Saugumo vadovas | COO |
| 2.1 | 2025-11-20 | Atnaujinti incidentų eskalavimo vaidmenys | CISO | CEO |
| 3.0 | 2026-02-01 | Kasmetinė peržiūra ir NIS2 susiejimo atnaujinimas | CISO | CEO |
Tai palaiko ISO/IEC 27001:2022 dokumentuotos informacijos kontrolę, NIS2 vadovybės priežiūrą, DORA peržiūros lūkesčius ir GDPR atskaitomybę.
4 diena: susiekite išimtis su politikomis
Sukurkite išimčių registrą, kuriame būtų išimties ID, paveikta politika, paveikta kontrolės priemonė, veiklos pagrindimas, kompensuojančios kontrolės priemonės, rizikos savininkas, patvirtinimas, galiojimo pabaigos data ir peržiūros būsena.
Pavyzdžiui, senoji sistema 60 dienų negali palaikyti MFA. Išimtis susiejama su Prieigos kontrolės politika, turto apskaita, rizikų registru ir taisomųjų veiksmų planu. Rizikos savininkas patvirtina liekamąją riziką, o išimtis automatiškai nustoja galioti, nebent būtų pratęsta. Tai įgyvendina Clarysec MVĮ valdysenos reikalavimą, kad reikšmingi sprendimai, išimtys ir eskalavimai būtų įrašomi ir atsekami.
5 diena: sukurkite audito įrodymų paketą
Kiekvienai aukščiausio lygmens politikai sukurkite įrodymų poaplankį, kuriame būtų patvirtinta aktualioji versija, ankstesnė versija ir pakeitimų žurnalas, patvirtinimo įrodymai, komunikacijos įrodymai, mokymų arba susipažinimo patvirtinimo įrašas, susijusi procedūra, susijęs veiklos įrašas, išimtys, paskutinės peržiūros įrašas, kita peržiūros data ir susiejimas su teisiniais įpareigojimais bei kontrolės priemonėmis.
Reagavimui į incidentus įtraukite scenarijinių pratybų įrašus, incidentų klasifikavimo kriterijus, kontaktų sąrašus, peržiūros po incidento šablonus ir pranešimo sprendimų įrašus. Tai palaiko NIS2 Article 23 etapinio pranešimo pasirengimą, DORA incidentų klasifikavimą ir GDPR pažeidimų atskaitomybę.
6 diena: patikrinkite paiešką
Paprašykite vidaus auditoriaus arba atitikties vadovo surasti įrodymus trims klausimams:
- Įrodykite, kad Informacijos saugumo politika buvo patvirtinta, komunikuota ir peržiūrėta.
- Įrodykite, kad tiekėjų saugumo įpareigojimai susieti su DORA ir NIS2 reikalavimais.
- Įrodykite, kad GDPR atskaitomybės įrodymai saugomi ir apsaugoti.
Jei vienam klausimui įrodymų paieška trunka ilgiau nei 30 minučių, saugyklą reikia tobulinti.
7 diena: pristatykite vadovybei
Vadovybės peržiūroje apibendrinkite politikų gyvavimo ciklo būseną:
- Aktualios, vėluojančios arba per 90 dienų peržiūrėtinos politikos
- Atviros ir pasibaigusios išimtys
- Įrodymų spragos
- Reglamentavimo susiejimo atnaujinimai
- Audito išvados
- Korekciniai veiksmai
- Išteklių poreikiai
Tai uždaro ciklą su ISO/IEC 27001:2022 lyderystės lūkesčiais, NIS2 valdybos atskaitomybe ir DORA valdymo organo priežiūra.
Kaip auditoriai vertins jūsų politikų gyvavimo ciklą
Skirtingi auditoriai tuos pačius įrodymus vertina per skirtingas perspektyvas.
ISO/IEC 27001:2022 auditorius pradės nuo dokumentuotos informacijos kontrolės. Jis tikrins, ar privalomi dokumentai egzistuoja, ar jie patvirtinti prieš naudojimą, ar versijos kontroliuojamos, ar dokumentai prieinami ten, kur reikia, ar konfidencialūs įrašai apsaugoti ir ar pasenę dokumentai apsaugoti nuo nenumatyto naudojimo. Jis susies politikų gyvavimo ciklą su lyderyste, rizikos valdymu, veiklos kontrole, vidaus auditu ir vadovybės peržiūra.
DORA orientuotas vertintojas žiūrės per atsparumo prizmę. Jis nagrinės, ar IRT rizikos valdymo sistema gerai dokumentuota, patvirtinta vadovybės, peržiūrima bent kartą per metus, kai taikoma, reguliariai audituojama, tobulinama remiantis įgyta patirtimi ir susieta su incidentų pranešimu, testavimu, trečiųjų šalių rizika, tęstinumu ir atkūrimu.
NIS2 reguliuotojas norės matyti nenutrūkstamą įrodymų grandinę nuo rizikų identifikavimo iki kibernetinio saugumo rizikos valdymo priemonių, valdymo organo patvirtinimo, įgyvendinimo ir stebėsenos. Bet koks šios grandinės nutrūkimas gali atrodyti kaip deramo rūpestingumo trūkumas.
GDPR auditorius arba privatumo vertintojas klaus, ar asmens duomenų valdysenos įrašai įrodo atskaitomybę: tvarkymo tikslus, teisinį pagrindą, saugojimą, technines ir organizacines priemones, tvarkytojų kontrolę, pažeidimų įrašus ir politikos laikymosi įrodymus.
COBIT 2019 arba ISACA tipo auditorius sutelks dėmesį į valdysenos sistemos komponentus: procesus, organizacines struktūras, informacijos srautus, politikas, vaidmenis, kultūrą, įgūdžius ir paslaugas. Jis klaus, ar savininkystė apibrėžta, ar vadovybė stebi veiklą, ar išimtys eskaluojamos ir ar įrodymai pagrindžia kontrolės veikimą bei vadovybės priežiūrą.
Ta pati kontroliuojama įrodymų saugykla gali tenkinti visų jų poreikius, tačiau tik tada, jei dokumentai susieti, aktualūs, apsaugoti ir atsekami.
Dažnos politikų gyvavimo ciklo klaidos, kurias reikia ištaisyti prieš atvykstant auditoriui
Dauguma politikų gyvavimo ciklo klaidų yra pagrindiniai valdysenos trūkumai, pasikartojantys skirtingose aplinkose:
- Politikos egzistuoja, bet neturi įvardyto savininko.
- Tvirtintojai neaiškūs, pasenę arba per žemo lygmens pagal riziką.
- Politikos patvirtintos, bet nekomunikuotos.
- Peržiūros datos praleidžiamos be eskalavimo.
- Pasenusios versijos lieka prieinamos bendrinamuose aplankuose.
- Procedūros prieštarauja politikoms.
- Išimtys neformaliai patvirtinamos el. paštu.
- Teisiniai įpareigojimai susieti su sistemomis, bet ne su faktinėmis kontrolės priemonėmis ar savininkais.
- Audito įrodymai išmėtyti po asmeninius diskus, užklausų valdymo priemones ir pokalbių žinutes.
- Saugojimo terminai neapibrėžti arba taikomi nenuosekliai.
- Įrašai saugomi, bet neapsaugoti nuo neteisėto pakeitimo.
- Tiekėjų politikos nesusietos su sutarčių registrais, deramu patikrinimu ar pasitraukimo planais.
- Incidentų procedūros nesuderintos su NIS2, DORA arba GDPR pranešimo sprendimų taškais.
Šios problemos sukuria audito trintį, nes mažina pasitikėjimą. Jei auditorius negali pasitikėti politikų korpusu, jis giliau tikrins kontrolės veikimą.
Marijos taisomųjų veiksmų planas nebuvo parašyti dar vieną politiką. Jis buvo sukurti vieną patikimą informacijos šaltinį. Ji paskyrė vieną oficialią ISVS dokumentacijos biblioteką, perkėlė į ją aktualias politikas, archyvavo nekontroliuojamas vietas, standartizavo savininko ir tvirtintojo laukus, sukūrė tvirtinimo darbo eigas, susiejo politikas su NIS2 ir DORA įpareigojimais ir suteikė auditoriams tik skaitymo prieigą prie struktūrizuotų įrodymų. Tai, kas kėlė nerimą, tapo kontrolės demonstravimu.
Clarysec kelias į priekį
Politikų gyvavimo ciklo valdysena nėra biurokratinė našta. Tai veiklos disciplina, kuri leidžia pagrįsti ISO 27001 dokumentuotą informaciją, NIS2 vadovybės atskaitomybę, DORA IRT rizikos valdyseną ir GDPR atskaitomybę.
Naudokite Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą, kad sukurtumėte ISVS biblioteką tinkamame etape ir sekoje, ypač 6 žingsnį dokumentuotai informacijai ir 22 žingsnį politikų valdysenai. Naudokite Clarysec MVĮ ir įmonių politikas, kad apibrėžtumėte peržiūros, patvirtinimo, versijų kontrolės, komunikacijos, atsekamumo, įrodymų centralizavimo ir saugojimo reikalavimus. Naudokite Zenith Controls: kryžminės atitikties vadovą, kad susietumėte ISO/IEC 27002:2022 kontrolės priemones, tokias kaip 5.1, 5.33 ir 5.37, su kryžminės atitikties lūkesčiais, kontrolės atributais ir audito perspektyvomis.
Prieš pirkdami dar vieną įrankį ar rašydami dar vieną politiką, atsakykite į vieną klausimą:
Ar galite įrodyti, kad kiekviena svarbi politika turi savininką, yra patvirtinta, aktuali, komunikuota, susieta, pagrįsta įrodymais, peržiūrėta, apsaugota ir tinkamai išimta iš naudojimo?
Jei atsakymas dar nėra teigiamas, Clarysec gali padėti jums sukurti įrodymams parengtą ISVS biblioteką, politikų gyvavimo ciklo darbo eigą ir kryžminės atitikties susiejimą, kurių 2026 m. tikisi auditoriai, valdybos ir klientai. Atsisiųskite Zenith Blueprint, susipažinkite su Clarysec MVĮ ir įmonių politikų paketais arba užsisakykite pasirengimo vertinimą, kad politikų biblioteką paverstumėte pagrindžiama atitikties įrodymų baze.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
