No mākoņvides haosa līdz auditā pierādāmai drošībai: ISO 27001:2022 mākoņdrošības programmas arhitektūra ar Clarysec Zenith Toolkit
Atbilstības plaisa: reāls mākoņvides haoss audita uzmanības centrā
Tā ir bieža krīzes situācija uzņēmumos, kuru darbība balstās mākoņpakalpojumos. Galvenās informācijas drošības vadītājas Marijas iesūtnē nonāk paziņojums: “Pirmsaudita konstatējums: publiski pieejams S3 bucket.” Sākas satraukums. Tikai dažas dienas iepriekš izpilddirektors bija pieprasījis pilnīgus pierādījumus par ISO 27001:2022 atbilstību nozīmīgam klientam. Tvērumā ir katrs aktīvs, piegādātājs un piekļuves ceļš, savukārt NIS2, GDPR, DORA un NIST regulatīvais spiediens situāciju sarežģī vēl vairāk.
Marijas komandai ir spēcīgas tehniskās kompetences. Viņu migrācija uz mākoņvidi bija tehnoloģiski progresīva. Tomēr ar drošības inženieriju vien nepietiek. Izaicinājums ir plaisa starp drošības “ieviešanu” — MFA konfigurācijām, aktīvu marķēšanu, bucket politikām — un drošības pierādīšanu ar kartētām politikām, auditējamiem ierakstiem un saskaņojumu starp ietvariem.
Izkaisīti skripti un izklājlapas audita prasības neizpildīs. Auditoram un nozīmīgam klientam ir svarīga nepārtraukta atbilstība ar pierādījumiem, kas katru kontroles pasākumu sasaista ar attiecīgās nozares standartiem. Tā ir atbilstības plaisa: atšķirība starp mākoņvides operācijām un patiesu, auditam gatavu drošības pārvaldību.
Kā uzņēmumi var pārvarēt šo plaisu un no reaktīvas sakopšanas nonākt līdz vairāku ietvaru atbilstības cietoksnim? Atbilde ir strukturēti ietvari, kartēti standarti un operacionālas rīkkopas, kas apvienotas Clarysec Zenith Blueprint.
Pirmais posms: precīza mākoņvides IDPS tvēruma noteikšana kā pirmā audita aizsardzības līnija
Pirms jebkādu tehnisko kontroles pasākumu ieviešanas informācijas drošības pārvaldības sistēma ir jādefinē ar augstu precizitāti. Tas ir fundamentāls audita jautājums: “Kas ietilpst tvērumā?” Neskaidra atbilde, piemēram, “mūsu AWS vide”, uzreiz rada audita riska signālus.
Marijas komanda sākotnēji paklupa tieši šeit — tvērums bija formulēts vienā teikumā. Taču, izmantojot Clarysec Zenith Blueprint Zenith Blueprint:
- posms: tvēruma un politiku pamata noteikšana. 7. solis: definēt IDPS tvērumu. Mākoņvidēm jādokumentē, kuri pakalpojumi, platformas, datu kopas un biznesa procesi ir iekļauti, līdz pat VPC, reģioniem un galvenajam personālam.
Kā tvēruma skaidrība pārveido atbilstību:
- Tā nosaka precīzas robežas tehniskajiem kontroles pasākumiem un risku pārvaldībai.
- Tā nodrošina, ka katrs mākoņvides aktīvs un datu plūsma atrodas audita perimetrā.
- Tā auditoram skaidri parāda, kas tieši jāpārbauda, un ļauj komandai izsekot katra kontroles pasākuma efektivitātei.
IDPS tvēruma tabulas piemērs
| Elements | Iekļauts tvērumā | Informācija |
|---|---|---|
| AWS reģioni | Jā | eu-west-1, us-east-2 |
| VPC/apakštīkli | Jā | Tikai produkcijas VPC/apakštīkli |
| Lietojumprogrammas | Jā | CRM, klientu PII plūsmas |
| Piegādātāju integrācijas | Jā | SSO nodrošinātājs, norēķinu SaaS |
| Administratoru personāls | Jā | CloudOps, SecOps, galvenais informācijas drošības vadītājs |
Šī skaidrība nostiprina katru nākamo atbilstības soli.
Mākoņvides un piegādātāju pārvaldība: ISO 27001 kontroles pasākums 5.23 un dalītās atbildības modelis
Mākoņpakalpojumu sniedzēji ir jūsu kritiskākie piegādātāji. Tomēr daudzas organizācijas mākoņpakalpojumu līgumus uztver kā IT komunālos pakalpojumus, nepievēršot pietiekamu uzmanību pārvaldībai, riskam un lomu piešķiršanai. ISO/IEC 27001:2022 ISO/IEC 27001:2022 uz to atbild ar kontroles pasākumu 5.23: informācijas drošība mākoņpakalpojumu izmantošanā.
Kā skaidro Zenith Controls Zenith Controls ceļvedis, efektīva pārvaldība nav tikai tehniskie iestatījumi — tā ir vadības apstiprinātas politikas un skaidras juridiskās atbildības robežas.
Jāizveido vadības apstiprināta, konkrētai tēmai veltīta mākoņpakalpojumu izmantošanas politika, kas nosaka pieņemamu lietošanu, datu klasifikāciju un sākotnējo izpēti katram mākoņpakalpojumam. Visās mākoņpakalpojumu vienošanās jānorāda drošības lomas un dalītā atbildība par kontroles pasākumiem.
Clarysec trešo pušu un piegādātāju drošības politika nodrošina autoritatīvas paraugklauzulas:
Visiem piegādātājiem, kas piekļūst mākoņresursiem, jāveic risku izvērtēšana un apstiprināšana, savukārt līguma noteikumos jānosaka atbilstības standarti un sadarbība auditā. Piegādātāju piekļuvei jābūt ierobežotai laikā, un piekļuves izbeigšanai jābūt pamatotai ar dokumentētiem pierādījumiem.
MVU un lielo mākoņpakalpojumu sniedzēju izaicinājums:
Ja noteikumu pārrunas ar AWS vai Azure nav iespējamas, dokumentējiet savu atbildību saskaņā ar pakalpojumu sniedzēja standarta noteikumiem un kartējiet katru kontroles pasākumu dalītās atbildības modelī. Tas kalpo kā būtiski audita pierādījumi.
Kontroles pasākumu savstarpējā kartēšanā jāiekļauj:
- Kontroles pasākums 5.22: piegādātāju pakalpojumu izmaiņu uzraudzība un pārskatīšana.
- Kontroles pasākums 5.30: IKT gatavība darbības nepārtrauktībai, tostarp mākoņpakalpojuma izstāšanās stratēģija.
- Kontroles pasākums 8.32: izmaiņu pārvaldība, kas ir būtiska mākoņpakalpojumiem.
Praktiskā pārvaldības tabula: piegādātāju drošība un mākoņpakalpojumu līgumi
| Piegādātāja nosaukums | Aktīvs, kam piekļūst | Līguma klauzula | Risku izvērtēšana veikta | Izbeigšanas process dokumentēts |
|---|---|---|---|---|
| AWS | S3, EC2 | Piegādātāju politika 3.1 | Jā | Jā |
| Okta | Identitātes pārvaldība | Standarta noteikumi | Jā | Jā |
| Stripe | Norēķinu dati | Standarta noteikumi | Jā | Jā |
Konfigurāciju pārvaldība (kontroles pasākums 8.9): no politikas līdz auditējamai praksei
Daudzu audita neveiksmju pamatā ir konfigurāciju pārvaldības sabrukums. Kļūdaini konfigurēts S3 bucket atklāja Marijas uzņēmumu nevis tāpēc, ka komandām trūktu kompetences, bet tāpēc, ka nebija piemērojamu, dokumentētu pamatkonfigurāciju un izmaiņu pārvaldības.
ISO/IEC 27002:2022 kontroles pasākums 8.9, konfigurāciju pārvaldība, nosaka dokumentētas drošas pamatkonfigurācijas un pārvaldītas izmaiņas visiem IT aktīviem. Clarysec Konfigurāciju pārvaldības politika Konfigurāciju pārvaldības politika to kodificē šādi:
Drošas pamatkonfigurācijas jāizstrādā, jādokumentē un jāuztur visām sistēmām, tīkla ierīcēm un programmatūrai. Jebkura atkāpe no šīm pamatkonfigurācijām formāli jāpārvalda, izmantojot izmaiņu pārvaldības procesu.
Auditā pierādāmas prakses soļi:
- Dokumentējiet pamatkonfigurācijas: definējiet drošu stāvokli katram mākoņpakalpojumam (S3 bucket, EC2 instance, GCP VM).
- Ieviesiet ar infrastruktūru kā kodu: piemērojiet pamatkonfigurācijas, izmantojot Terraform vai citus izvietošanas moduļus.
- Uzraugiet konfigurācijas novirzi: izmantojiet mākoņplatformas vai trešo pušu rīkus (AWS Config, GCP Asset Inventory), lai veiktu atbilstības pārbaudes reāllaikā.
Piemērs: drošas S3 bucket pamatkonfigurācijas tabula
| Iestatījums | Prasītā vērtība | Pamatojums |
|---|---|---|
| block_public_acls | true | Novērš nejaušu publisku ekspozīciju ACL līmenī |
| block_public_policy | true | Novērš publisku ekspozīciju, izmantojot bucket politiku |
| ignore_public_acls | true | Pievieno daudzslāņu aizsardzības slāni |
| restrict_public_buckets | true | Ierobežo publisko piekļuvi konkrētiem subjektiem |
| server_side_encryption | AES256 | Nodrošina datu šifrēšanu glabāšanas laikā |
| versioning | Enabled | Aizsargā pret dzēšanas vai modificēšanas kļūdām |
Ar Clarysec Zenith Blueprint:
- posms, 18. solis: ieviest A pielikuma kontroles pasākumus konfigurāciju pārvaldībai.
- 19.–22. solis: uzraudzīt pamatkonfigurācijas ar konfigurācijas novirzes brīdinājumiem un sasaistīt žurnālus ar izmaiņu pārvaldības ierakstiem.
Visaptveroša aktīvu pārvaldība: ISO, NIST un regulatīvo pierādījumu kartēšana
Atbilstības pamats ir aktīvu uzskaite. ISO/IEC 27001:2022 A.5.9 prasa aktuālu visu mākoņvides un piegādātāju aktīvu uzskaiti. Zenith Controls Zenith Controls audita vadlīnijas nosaka nepārtrauktus atjauninājumus, automatizētu atklāšanu un atbildības kartēšanu.
Aktīvu uzskaites audita tabula
| Aktīva tips | Atrašanās vieta | Īpašnieks | Kritiskums darbībai | Saistīts ar piegādātāju | Pēdējā skenēšana | Konfigurācijas pierādījumi |
|---|---|---|---|---|---|---|
| S3 Bucket X | AWS EU | John Doe | Augsts | Jā | 2025-09-16 | MFA, šifrēšana, publiskās piekļuves bloķēšana |
| GCP VM123 | GCP DE | IT Ops | Vidējs | Nē | 2025-09-15 | Drošināts sistēmas attēls |
| SaaS Connector | Azure FR | Iepirkumi | Kritisks | Jā | 2025-09-18 | Piegādātāja līgums, piekļuves žurnāls |
Kartēšana auditoriem:
- ISO sagaida īpašnieka piešķīrumu, darbības kritiskumu un saites uz pierādījumiem.
- NIST prasa automatizētu atklāšanu un reaģēšanas žurnālus.
- COBIT pieprasa pārvaldības kartēšanu un riska ietekmes vērtējumu.
Clarysec Zenith Blueprint palīdz izveidot šīs pamatkonfigurācijas, pārbaudīt atklāšanas rīkus un sasaistīt katru aktīvu ar tā audita ierakstu.
Piekļuves kontrole: tehniskā piemērošana kopā ar politikas pārvaldību (kontroles pasākumi A.5.15–A.5.17)
Piekļuves pārvaldība ir mākoņvides riska un regulatoru uzmanības centrā. Daudzfaktoru autentifikācija (MFA), minimāli nepieciešamās tiesības un regulāra piekļuves tiesību pārskatīšana ir obligātas vairākos ietvaros.
Zenith Controls (A.5.15, A.5.16, A.5.17) vadlīnijas:
MFA mākoņvidēs jāpierāda ar konfigurācijas pierādījumiem un jāsasaista ar uzņēmuma apstiprinātām politikām. Piekļuves tiesības jāpiesaista biznesa lomām un regulāri jāpārskata, reģistrējot izņēmumus žurnālos.
Clarysec Identitātes un piekļuves pārvaldības politika Identitātes un piekļuves pārvaldības politika nosaka:
Piekļuves tiesības mākoņpakalpojumiem jāpiešķir, jāuzrauga un jāatsauc atbilstoši biznesa prasībām un dokumentētām lomām. Žurnāli regulāri jāpārskata, bet izņēmumi jāpamato.
Clarysec Blueprint soļi:
- Identificēt un kartēt priviliģētos kontus.
- Validēt MFA ar auditam eksportējamiem žurnāliem.
- Veikt regulāru piekļuves tiesību pārskatīšanu un kartēt konstatējumus ar Zenith Controls atribūtiem.
Žurnālēšana, uzraudzība un reaģēšana uz incidentiem: vairāku ietvaru audita apliecinājums
Efektīva žurnālēšana un uzraudzība nav tikai tehnisks jautājums — tai jābūt politiku vadītai un auditētai katrai būtiskai biznesa sistēmai. ISO/IEC 27001:2022 A.8.16 un saistītie kontroles pasākumi prasa centralizētu agregēšanu, anomāliju noteikšanu un ar politiku sasaistītu uzglabāšanu.
Zenith Controls (A.8.16) nosaka:
Mākoņvides žurnāli centralizēti jāagregē, jāiespējo anomāliju noteikšana un jāpiemēro uzglabāšanas politikas. Žurnālēšana ir pierādījumu bāze reaģēšanai uz incidentiem saskaņā ar ISO 27035, GDPR Article 33, NIS2 un NIST SP 800-92.
Marijas komanda, vadoties pēc Clarysec Žurnālēšanas un uzraudzības rokasgrāmatas, padarīja katru SIEM žurnālu izmantojamu un sasaistīja to ar audita kontroles pasākumiem:
Žurnālēšanas pierādījumu tabula
| Sistēma | Žurnālu agregēšana | Uzglabāšanas politika | Anomāliju noteikšana | Pēdējais audits | Incidentu kartēšana |
|---|---|---|---|---|---|
| Azure SIEM | Centralizēta | 1 gads | Iespējota | 2025-09-20 | Iekļauta |
| AWS CloudTrail | Centralizēta | 1 gads | Iespējota | 2025-09-20 | Iekļauta |
Clarysec Blueprint, 4. posms (19.–22. solis):
- Agregēt žurnālus no visiem mākoņpakalpojumu sniedzējiem.
- Kartēt žurnālus ar incidentiem, paziņošanu par pārkāpumu un politikas klauzulām.
- Automatizēt pierādījumu eksporta pakotnes auditam.
Datu aizsardzība un privātums: šifrēšana, tiesības un pārkāpumu pierādījumi
Mākoņdrošība nav nodalāma no privātuma pienākumiem, īpaši regulētās jurisdikcijās (GDPR, NIS2, nozaru regulējumi). ISO/IEC 27001:2022 A.8.24 un uz privātumu vērstie kontroles pasākumi prasa pierādītu, politikās nostiprinātu šifrēšanu, pseidonimizāciju un datu subjektu pieprasījumu žurnālēšanu.
Zenith Controls (A.8.24) kopsavilkums:
Datu aizsardzības kontroles pasākumi jāpiemēro visiem mākoņvidē glabātiem aktīviem, atsaucoties uz ISO/IEC 27701, 27018 un GDPR attiecībā uz paziņošanu par datu aizsardzības pārkāpumu un apstrādātāja izvērtēšanu.
Clarysec Datu aizsardzības un privātuma politika Datu aizsardzības un privātuma politika:
Visi personas dati un sensitīvi dati mākoņvidēs tiek šifrēti, izmantojot apstiprinātus algoritmus. Datu subjektu tiesības tiek ievērotas, un piekļuves žurnāli nodrošina pieprasījumu izsekojamību.
Blueprint soļi:
- Pārskatīt un žurnālos reģistrēt visu šifrēšanas atslēgu pārvaldību.
- Eksportēt piekļuves žurnālus, kas atbalsta GDPR pieprasījumu izsekošanu.
- Simulēt paziņošanas par pārkāpumu darbplūsmas audita pierādījumiem.
Datu aizsardzības savstarpējās kartēšanas tabula
| Kontroles pasākums | Atribūts | ISO/IEC standarti | Regulatīvais pārklājums | Audita pierādījumi |
|---|---|---|---|---|
| A.8.24 | Šifrēšana, privātums | 27018, 27701 | GDPR Art.32, NIS2 | Šifrēšanas konfigurācija, piekļuves ieraksts, pārkāpuma žurnāls |
Savstarpējā atbilstības kartēšana: maksimāla ietvaru efektivitāte
Marijas uzņēmumam bija pārklājoši pienākumi (ISO 27001, DORA, NIS2, NIST CSF, COBIT 2019). Ar Zenith Controls Zenith Controls kontroles pasākumi tiek kartēti izmantošanai vairākos ietvaros.
Ietvaru kartēšanas tabula
| Ietvars | Punkts/pants | Aptvertais ISO 27001 kontroles pasākums | Nodrošinātie audita pierādījumi |
|---|---|---|---|
| DORA | Article 9 (IKT risks) | 5.23 (mākoņpakalpojumu piegādātājs) | Piegādātāju politika, līgumu žurnāli |
| NIS2 | Article 21 (piegādes ķēde) | 5.23 (piegādātāju pārvaldība), 8.9 (konfigurācijas) | Aktīvu un piegādātāju audita pēda |
| NIST CSF | PR.IP-1 (pamatkonfigurācijas) | 8.9 (konfigurāciju pārvaldība) | Droša pamatkonfigurācija, izmaiņu žurnāls |
| COBIT 2019 | BAI10 (konfigurāciju pārvaldība) | 8.9 (konfigurāciju pārvaldība) | CMDB, procesu metrika |
Jebkurš kontroles pasākums, kas ieviests ar auditam gataviem pierādījumiem, kalpo vairākiem ietvariem. Tas palielina atbilstības efektivitāti un nodrošina noturību mainīgā regulatīvajā vidē.
Saruna ar auditoru: iekšējā sagatavošanās dažādām metodoloģijām
Audits nekad nenotiek tikai no viena skatpunkta. Neatkarīgi no tā, vai tas ir ISO 27001, NIST, DORA vai COBIT, katrs auditors pārbaudīs ar savu fokusu. Ar Clarysec rīkkopu jūsu pierādījumi ir kartēti un sagatavoti visām perspektīvām:
Auditoru jautājumu un pierādījumu atbilžu piemēri
| Auditora tips | Fokusa jomas | Pieprasījumu piemēri | Kartētie Clarysec pierādījumi |
|---|---|---|---|
| ISO 27001 | Politika, aktīvs, žurnālos reģistrēts kontroles pasākums | Tvēruma dokumenti, piekļuves žurnāli | Zenith Blueprint, kartētas politikas |
| NIST izvērtētājs | Operācijas, izmaiņu dzīves cikls | Pamatkonfigurāciju atjauninājumi, incidentu žurnāli | Izmaiņu pārvaldības žurnāls, incidentu rokasgrāmata |
| COBIT/ISACA | Pārvaldība, metrika, procesa īpašnieks | CMDB, KPI informācijas panelis | Pārvaldības kartējumi, īpašumtiesību žurnāli |
Paredzot katru skatpunktu, jūsu komanda apliecina ne tikai atbilstību, bet arī operacionālu izcilību.
Kļūdas un aizsardzība: kā Clarysec novērš biežākās audita neveiksmes
Tipiskas kļūdas bez Clarysec:
- Novecojusi aktīvu uzskaite.
- Nesaskaņoti piekļuves kontroles pasākumi.
- Trūkstošas līgumiskās atbilstības klauzulas.
- Kontroles pasākumi nav kartēti ar DORA, NIS2, GDPR.
Ar Clarysec Zenith Blueprint un Toolkit:
- Kartēti kontrolsaraksti, kas saskaņoti ar operacionālajiem soļiem.
- Automatizēta pierādījumu vākšana (MFA, aktīvu atklāšana, piegādātāju pārskatīšana).
- Audita pakotņu piemēri katram būtiskajam ietvaram.
- Katrs “kas” balstīts uz “kāpēc” — ar politiku un standartu savstarpējo kartēšanu.
Clarysec pierādījumu tabula
| Audita solis | Pierādījumu tips | Zenith Controls kartējums | Ietvari | Politikas atsauce |
|---|---|---|---|---|
| Aktīvu uzskaite | CMDB eksports | A.5.9 | ISO, NIS2, COBIT | Aktīvu pārvaldības politika |
| MFA validācija | Žurnālfaili, ekrānuzņēmumi | A.5.15.7 | ISO, NIST, GDPR | Piekļuves pārvaldības politika |
| Piegādātāju pārskatīšana | Līgumu skenējumi, piekļuves žurnāli | A.5.19, A.5.20 | ISO, DORA, GDPR | Piegādātāju drošības politika |
| Žurnālēšanas audits | SIEM izvaddati, uzglabāšanas pierādījumi | A.8.16 | ISO, NIST, GDPR | Uzraudzības politika |
| Datu aizsardzība | Šifrēšanas atslēgas, pārkāpumu ieraksti | A.8.24 | ISO, GDPR, NIS2 | Datu aizsardzības politika |
Pilna audita simulācija: no arhitektūras līdz pierādījumiem
Clarysec rīkkopa palīdz vadīt katru posmu:
- Sākums: eksportēt aktīvu sarakstu, kartēt ar politiku un kontroles pasākumiem.
- Piekļuve: validēt MFA ar pierādījumiem un sasaistīt ar piekļuves pārvaldības procedūrām.
- Piegādātājs: savstarpēji salīdzināt līgumus ar piegādātāju politikas kontrolsarakstu.
- Žurnālēšana: sagatavot žurnālu uzglabāšanas eksportus pārskatīšanai.
- Datu aizsardzība: parādīt šifrētu aktīvu reģistru un reaģēšanas uz pārkāpumu pakotni.
Katrs pierādījumu elements ir izsekojams līdz Zenith Controls atribūtiem, sasaistīts ar politikas klauzulu un atbalsta katru pieprasīto ietvaru.
Rezultāts: audits tiek pabeigts pārliecinoši, apliecinot vairāku ietvaru atbilstības noturību un operacionālo briedumu.
Secinājums un nākamais solis: no haosa uz nepārtrauktu atbilstību
Marijas ceļš, pārvēršot uzņēmumu no reaktīvas ielāpu uzstādīšanas uz proaktīvu pārvaldību, ir ceļakarte ikvienai mākoņpakalpojumos balstītai organizācijai. Konfigurācija, piegādātāju drošība, aktīvu pārvaldība un datu aizsardzība nevar pastāvēt izolēti. Tie jākartē ar stingriem standartiem, jāpiemēro ar dokumentētām politikām un jāpierāda katram audita scenārijam.
Panākumus nodrošina trīs pīlāri:
- Skaidrs tvērums: definējiet skaidras audita robežas, izmantojot Zenith Blueprint.
- Spēcīgas politikas: ieviesiet Clarysec politiku veidnes katram kritiskajam kontroles pasākumam.
- Pārbaudāmi kontroles pasākumi: pārvērtiet tehniskos iestatījumus auditējamos ierakstos, kas kartēti starp standartiem.
Jūsu organizācijai nav jāgaida nākamais audita paziņojums, kas izraisa paniku. Veidojiet noturību jau tagad, izmantojot Clarysec vienotās rīkkopas, Zenith Blueprint un starpregulatīvo kartēšanu auditā pierādāmai, nepārtrauktai atbilstībai.
Vai esat gatavi pārvarēt atbilstības plaisu un vadīt drošas mākoņvides operācijas?
Izpētiet Clarysec Zenith Blueprint un lejupielādējiet mūsu rīkkopas un politiku veidnes, lai izveidotu auditam gatavu mākoņvides programmu. Pieprasiet izvērtējumu vai demonstrāciju un pārejiet no mākoņvides haosa uz ilglaicīgu atbilstības cietoksni.
Atsauces:
- Zenith Blueprint: auditora 30 soļu ceļakarte Zenith Blueprint
- Zenith Controls: savstarpējās atbilstības ceļvedis Zenith Controls
- Konfigurāciju pārvaldības politika Konfigurāciju pārvaldības politika
- Identitātes un piekļuves pārvaldības politika Identitātes un piekļuves pārvaldības politika
- Trešo pušu un piegādātāju drošības politika Trešo pušu un piegādātāju drošības politika
- Datu aizsardzības un privātuma politika Datu aizsardzības un privātuma politika
- ISO/IEC 27001:2022
- ISO/IEC 27002:2022
- ISO/IEC 27036-2:2023
- ISO/IEC 27701:2019
- NIS2, GDPR, DORA, NIST, COBIT 2019
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
