ISO 27001:2022 rīcības plāns pēc neveiksmīga audita
E-pasts, ko neviens negribēja saņemt
E-pasts pienāk vēlu piektdienā ar šķietami nekaitīgu temata rindu: “Pārejas audita rezultāts.”
Saturs nav nekaitīgs. Sertifikācijas institūcija ir konstatējusi būtisku neatbilstību. ISO/IEC 27001 sertifikāts ir apturēts vai pārejas lēmumu nevar noslēgt. Auditora piezīme ir skarba: Piemērojamības paziņojums nepamato izslēgtos kontroles pasākumus, risku izvērtējums neatspoguļo pašreizējo kontekstu, un nav pietiekamu pierādījumu, ka ir izvērtēti jaunie regulatīvie pienākumi.
Stundas laikā jautājums vairs nav tikai atbilstības problēma. Pārdošanas komanda jautā, vai publiskā sektora iepirkums tagad ir apdraudēts. Juridiskais dienests pārskata klientu līgumu klauzulas. Galvenais informācijas drošības vadītājs skaidro, kāpēc SoA nesaskan ar risku apstrādes plānu. Izpilddirektors uzdod vienīgo būtisko jautājumu: “Cik ātri mēs to varam novērst?”
Daudzām organizācijām ISO 27001:2022 pārejas termiņa iestāšanās neradīja teorētisku plaisu. Tā radīja reālu darbības nepārtrauktības problēmu. Nokavēts vai nesekmīgs ISO 27001:2022 pārejas audits var ietekmēt dalību iepirkumos, piegādātāju kvalificēšanu, kiberdrošības apdrošināšanu, klientu apliecinājumus, gatavību NIS2, DORA gaidas, GDPR pārskatatbildību un valdes uzticēšanos.
Labā ziņa — atjaunošana ir iespējama. Sliktā ziņa — dokumentu kosmētika nebūs pietiekama. Atjaunošana jāuztver kā disciplinēta IDPS korektīvo darbību programma, nevis kā steidzīga politiku pārrakstīšana.
Clarysec šo atjaunošanu organizē ap trim savstarpēji saistītiem aktīviem:
- Zenith Blueprint: auditora 30 soļu ceļvedis, jo īpaši audita, pārskatīšanas un uzlabošanas fāzi.
- Clarysec uzņēmumu un SME politiku bibliotēku, kas audita konstatējumus pārvērš pārvaldītos pienākumos.
- Zenith Controls: daudzietvaru atbilstības ceļvedis, kas palīdz sasaistīt ISO/IEC 27002:2022 kontroles pasākumu gaidas ar NIS2, DORA, GDPR, NIST orientētu apliecinājuma pieeju un COBIT 2019 pārvaldības perspektīvām.
Šis ir praktisks atjaunošanas plāns CISO, atbilstības vadītājiem, auditoriem, dibinātājiem un uzņēmumu īpašniekiem, kuri nokavēja ISO 27001:2022 pārejas termiņu vai nesekmīgi pabeidza pārejas auditu.
Vispirms diagnosticējiet neveiksmes veidu
Pirms rediģēt kaut vienu politiku, klasificējiet situāciju. Ne katrai neveiksmīgai vai nokavētai pārejai ir vienāda ietekme uz organizāciju vai vienāds atjaunošanas ceļš. Pirmajās 24 stundās uzmanība jākoncentrē uz audita pārskata, sertifikācijas institūcijas lēmuma, neatbilstības formulējuma, pierādījumu pieprasījumu, termiņu un pašreizējā sertifikāta statusa iegūšanu.
| Situācija | Ietekme uz organizāciju | Tūlītēja rīcība |
|---|---|---|
| Pārejas audits nesekmīgs ar būtisku neatbilstību | Sertifikācijas lēmums var tikt bloķēts vai sertifikāts var tikt apturēts līdz problēmas novēršanai | Atvērt CAPA, veikt pamatcēloņa analīzi, ar sertifikācijas institūciju apstiprināt pierādījumu gaidas |
| Pārejas audits pabeigts ar maznozīmīgām neatbilstībām | Sertifikācija var turpināties, ja korektīvās darbības tiek pieņemtas | Ātri slēgt maznozīmīgās CAPA un atjaunināt IDPS pierādījumu pakotni |
| Pāreja nav pabeigta pirms termiņa | Sertifikāts var vairs nebūt derīgs vai atzīts | Apstiprināt statusu ar sertifikācijas institūciju un plānot pārejas vai atkārtotas sertifikācijas ceļu |
| Uzraudzības audits atklāja vājus pārejas pierādījumus | Sertifikācija var būt apdraudēta nākamajā lēmuma pieņemšanas punktā | Veikt izmēģinājuma auditu un atjaunināt SoA, risku apstrādi, vadības pārskatīšanu un iekšējā audita ierakstus |
| Klients noraidīja jūsu sertifikātu vai pārejas pierādījumus | Komerciāls risks, iepirkuma risks un ietekme uz uzticēšanos | Sagatavot klientu apliecinājuma pakotni ar audita statusu, CAPA plānu, mērķa datumiem un vadības apstiprinājumu |
Atjaunošanas plāns ir atkarīgs no neveiksmes veida. Bloķēts sertifikācijas lēmums prasa mērķētu trūkumu novēršanu. Apturēts sertifikāts prasa steidzamu pārvaldības un pierādījumu sakārtošanu. Atsaukts vai beidzies sertifikāts var prasīt plašāku atkārtotas sertifikācijas ceļu.
Katrā gadījumā katrs jautājums jākartē uz attiecīgo IDPS punktu, A pielikuma kontroles pasākumu, riska ierakstu, politikas īpašnieku, juridisko vai līgumisko pienākumu un pierādījumu avotu.
Šeit ISO/IEC 27001:2022 ir nozīmīgs kā pārvaldības sistēma, ne tikai kā kontroles katalogs. 4.–10. punkts prasa, lai IDPS izprastu kontekstu, ieinteresētās puses, piemērošanas jomu, līderību, risku plānošanu, atbalstu, darbību, snieguma izvērtēšanu un nepārtrauktu uzlabošanu. Ja pāreja neizdevās, parasti ir pārrauta kāda no šīm pārvaldības sistēmas saitēm.
Kāpēc ISO 27001:2022 pārejas auditi neizdodas
Neveiksmīgi pārejas auditi parasti iekļaujas atkārtotos modeļos. Daudzi nav dziļi tehniski. Tie ir pārvaldības, izsekojamības, atbildības un pierādījumu trūkumi.
| Konstatējumu modelis | Ko redz auditors | Ko tas parasti nozīmē |
|---|---|---|
| Piemērojamības paziņojums nav atjaunināts vai nav pamatots | Kontroles pasākumi ir atzīmēti kā piemērojami bez pamatojuma vai izslēgti bez pierādījumiem | Kontroles pasākumu atlase nav izsekojama līdz riskam, regulējumam vai organizācijas vajadzībai |
| Risku izvērtējums neatspoguļoja pašreizējos pienākumus | Trūkst NIS2, DORA, GDPR, klientu līgumu, mākoņpakalpojumu atkarību vai piegādātāju riska | Konteksts un riska kritēriji netika aktualizēti |
| Vadības pārskatīšana ir virspusēja | Protokoli pastāv, bet tajos netiek apspriesti lēmumi, resursi, mērķi, audita rezultāti vai risku izmaiņas | Vadības pārskatatbildība nedarbojas |
| Iekšējais audits nepārbaudīja pārejas piemērošanas jomu | Audita kontrolsaraksts ir vispārīgs un neaptver atjauninātos kontroles pasākumus, piegādātājus, mākoņpakalpojumus, noturību vai juridiskos pienākumus | Snieguma izvērtēšana nav pietiekama |
| Piegādātāju un mākoņpakalpojumu kontroles pasākumi ir vāji | Nav padziļinātas pārbaudes, līgumu pārskatīšanas, izejas plānošanas vai pastāvīgas uzraudzības | Darbības kontrole pār ārēji sniegtajiem pakalpojumiem ir nepilnīga |
| Reaģēšana uz incidentiem nav saskaņota ar regulatīvo ziņošanu | Nav 24 vai 72 stundu eskalācijas loģikas, nav DORA vai GDPR lēmumu koka, nav mācību pierādījumu | Incidentu pārvaldība nav sasaistīta ar juridisko ziņošanu |
| CAPA process ir vājš | Konstatējumi tiek slēgti tikai ar dokumentu labojumiem | Pamatcēlonis netika novērsts |
Neveiksmīgs audits ir signāls, ka IDPS nav pietiekami ātri pielāgojusies organizācijas faktiskajai darbības videi.
ISO/IEC 27005:2022 ir noderīgs atjaunošanā, jo tas pastiprina konteksta noteikšanas nozīmi, izmantojot juridiskās, regulatīvās, nozares specifiskās, līgumiskās, iekšējās un esošo kontroles pasākumu prasības. Tas arī atbalsta riska kritērijus, kas ņem vērā juridiskos pienākumus, piegādātājus, privātumu, cilvēkfaktorus, organizācijas mērķus un vadības apstiprinātu riska apetīti.
Praksē pārejas atjaunošana sākas ar aktualizētu kontekstu un riska kritērijiem, nevis ar jaunu versijas numuru vecam dokumentam.
1. solis: iesaldējiet audita ierakstu un izveidojiet atjaunošanas vadības centru
Pirmā operatīvā kļūda pēc neveiksmīga audita ir pierādījumu haoss. Komandas sāk meklēt iesūtnēs, koplietojamajos diskos, pieteikumu sistēmās, tērzēšanas ziņās, personīgajās mapēs un vecās audita pakotnēs. Auditori to uztver kā pazīmi, ka IDPS netiek kontrolēta.
Clarysec SME Audita un atbilstības uzraudzības politika - SME skaidri nosaka pierādījumu kontroli:
“Visi pierādījumi jāglabā centralizētā audita mapē.”
No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.2.1.
Šī centralizētā audita mape kļūst par atjaunošanas vadības paneli. Tajā jāiekļauj:
- Sertifikācijas institūcijas pārskats un sarakste.
- Sertifikāta statusa apstiprinājums.
- Neatbilstību reģistrs.
- CAPA žurnāls.
- Aktualizēts risku izvērtējums.
- Aktualizēts risku apstrādes plāns.
- Aktualizēts Piemērojamības paziņojums.
- Iekšējā audita pārskats.
- Vadības pārskatīšanas protokols.
- Politiku apstiprinājumu ieraksti.
- Pierādījumi katram piemērojamajam A pielikuma kontroles pasākumam.
- Klientu apliecinājuma pakotne, ja tiek ietekmētas komerciālās saistības.
Uzņēmumu vidēm Clarysec Audita un atbilstības uzraudzības politika nosaka tādu pašu pārvaldības gaidu:
“Visiem konstatējumiem jārezultējas dokumentētā CAPA, kas ietver:”
No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.2.1.
Šis formulējums ievieš strukturētu korektīvo darbību prasību. Būtība ir vienkārša: katram audita konstatējumam jākļūst par pārvaldītu CAPA ierakstu, nevis par neformālu uzdevumu kāda piezīmju grāmatiņā.
SME vidē tikpat svarīga ir vadības iesaiste:
“GM jāapstiprina korektīvo darbību plāns un jāuzrauga tā ieviešana.”
No Audita un atbilstības uzraudzības politika - SME, sadaļa “Pārvaldības prasības”, politikas punkts 5.4.2.
Tas ir svarīgi, jo ISO 27001:2022 neuztver līderību kā simbolisku. Augstākajai vadībai jānosaka politika, jāsaskaņo mērķi ar organizācijas stratēģiju, jānodrošina resursi, jākomunicē informācijas drošības nozīme, jāpiešķir atbildība un jāveicina nepārtraukta uzlabošana.
Ja neveiksmīgā pāreja tiek uztverta kā “atbilstības cilvēka problēma”, nākamais audits atkal atklās vāju vadības pārskatatbildību.
2. solis: pārbūvējiet kontekstu, pienākumus un riskus
Neveiksmīgs pārejas audits bieži nozīmē, ka IDPS konteksts vairs neatspoguļo organizācijas realitāti. Organizācija var būt pārgājusi uz mākoņplatformām, piesaistījusi jaunus piegādātājus, ienākusi regulētos tirgos, sākusi apstrādāt vairāk personas datu vai kļuvusi būtiska klientiem NIS2 vai DORA kontekstā. Ja šīs izmaiņas IDPS nav iekļautas, risku izvērtējums un SoA būs nepilnīgi.
Clarysec Tiesiskās un regulatīvās atbilstības politika nosaka pamatprasību:
“Visi juridiskie un regulatīvie pienākumi informācijas drošības pārvaldības sistēmā (IDPS) jākartē uz konkrētām politikām, kontroles pasākumiem un īpašniekiem.”
No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.2.1.
Šis punkts pēc pārejas neveiksmes ir kritisks. ISO 27001:2022 4.1.–4.3. punkts prasa organizācijām ņemt vērā iekšējos un ārējos jautājumus, ieinteresētās puses, prasības, saskarnes, atkarības un piemērošanas jomu. Juridiskie, regulatīvie un līgumiskie pienākumi nav blakus piezīmes. Tie veido IDPS.
NIS2 Article 21 prasa atbilstošus un samērīgus tehniskus, operatīvus un organizatoriskus pasākumus, tostarp risku analīzi, politikas, incidentu apstrādi, rezerves kopiju veidošanu, darbības atjaunošanu pēc katastrofas, krīzes pārvaldību, piegādes ķēdes drošību, drošu izstrādi, ievainojamību pārvaldību, efektivitātes izvērtēšanu, kiberdrošības higiēnu, apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un drošu saziņu. Article 20 nosaka atbildību vadības institūcijas līmenī. Article 23 izveido pakāpenisku būtisku incidentu ziņošanu, tostarp agrīno brīdinājumu, incidenta paziņošanu, atjauninājumus un galīgo ziņojumu.
DORA no 2025. gada 17. janvāra tieši piemēro finanšu iestādēm un aptver IKT risku pārvaldību, ziņošanu par būtiskiem incidentiem, noturības testēšanu, IKT trešo pušu risku, līgumiskās prasības un kritisko IKT trešo pušu pakalpojumu sniedzēju pārraudzību. Finanšu iestādēm, uz kurām DORA attiecas, tā kļūst par IKT pārvaldības, piegādātāju kontroles, testēšanas, incidentu klasifikācijas un vadības pārskatatbildības pamatvirzītāju.
GDPR pievieno pārskatatbildību par personas datiem. Article 5 prasa likumīgu, godprātīgu, pārredzamu, ierobežotu, precīzu, glabāšanas termiņu ziņā kontrolētu un drošu apstrādi ar pierādāmu atbilstību. Article 4 definē personas datu aizsardzības pārkāpumu veidā, kas tieši ietekmē incidentu klasifikāciju. Article 6 prasa tiesiskā pamata kartēšanu, bet Article 9 nosaka pastiprinātas prasības īpašu kategoriju datiem.
Tas nenozīmē atsevišķu atbilstības pasauļu veidošanu. Tas nozīmē izmantot ISO 27001:2022 kā integrētu pārvaldības sistēmu un pienākumus kartēt vienotā risku un kontroles pasākumu arhitektūrā.
Clarysec Risku pārvaldības politika tieši sasaista riska apstrādi ar kontroles pasākumu atlasi:
“Kontroles lēmumi, kas izriet no riska apstrādes procesa, jāatspoguļo SoA.”
No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.5.1.
Neveiksmīgs audits ir arī iemesls pārskatīt pašu risku pārvaldības procesu. Clarysec SME Risku pārvaldības politika - SME identificē šo ierosinātāju:
“Būtisks incidents vai audita konstatējums atklāj trūkumus risku pārvaldībā”
No sadaļas “Pārskatīšanas un atjaunināšanas prasības”, politikas punkts 9.2.1.1.
Atjaunošanas režīmā tas nozīmē, ka riska reģistrs, riska kritēriji, apstrādes plāns un SoA jāpārbūvē kopā.
3. solis: sakārtojiet SoA kā izsekojamības mugurkaulu
Lielākajā daļā neveiksmīgu pāreju Piemērojamības paziņojums ir pirmais pārbaudāmais dokuments. Tas ir arī viens no pirmajiem dokumentiem, ko auditori izlasa izlases veidā. Vājš SoA auditoram norāda, ka kontroles pasākumu atlase nav balstīta uz risku.
Zenith Blueprint audita, pārskatīšanas un uzlabošanas fāzes 24. solī sniedz praktisku norādījumu:
“Jūsu SoA jābūt saskaņotam ar riska reģistru un risku apstrādes plānu. Vēlreiz pārbaudiet, ka katrs kontroles pasākums, ko izvēlējāties kā riska apstrādi, SoA ir atzīmēts kā ‘piemērojams’. Savukārt, ja kontroles pasākums SoA ir atzīmēts kā ‘piemērojams’, tam jābūt pamatotam — parasti ar kartētu risku, juridisku/regulatīvu prasību vai organizācijas vajadzību.”
No Zenith Blueprint: auditora 30 soļu ceļvedis, audita, pārskatīšanas un uzlabošanas fāze, 24. solis.
Tas ir atjaunošanas princips. SoA nav formalitāte. Tas ir izsekojamības mugurkauls starp riskiem, pienākumiem, kontroles pasākumiem, ieviešanas pierādījumiem un audita secinājumiem.
Praktiskam SoA sakārtošanas uzdevumam jānotiek šādā secībā:
- Eksportējiet pašreizējo SoA.
- Pievienojiet kolonnas riska ID, regulatīvajam pienākumam, organizācijas prasībai, politikas atsaucei, pierādījumu atrašanās vietai, īpašniekam, ieviešanas statusam un pēdējās testēšanas datumam.
- Katram piemērojamajam kontroles pasākumam kartējiet vismaz vienu pamatotu argumentu.
- Katram izslēgtajam kontroles pasākumam norādiet konkrētu izslēgšanas iemeslu.
- Saskaņojiet SoA ar risku apstrādes plānu.
- Saskaņojiet SoA ar iekšējā audita rezultātiem.
- Uzdodiet grūto jautājumu: ja auditors izvēlas šo rindu, vai mēs to varam pierādīt piecās minūtēs?
Pamatotai SoA rindai jāizskatās šādi:
| SoA lauks | Atjaunošanas ieraksta piemērs |
|---|---|
| Kontroles pasākuma pamatojums | Piemērojams mākoņmitināšanas, maksājumu apstrādātāja, ārpakalpojuma atbalsta un līgumisko klientu drošības saistību dēļ |
| Riska saite | R-014 trešās puses pakalpojuma darbības traucējumi, R-021 piegādātāja datu ekspozīcija, R-027 regulatīvs pārkāpums apstrādātāja kļūmes dēļ |
| Pienākuma saite | NIS2 piegādes ķēdes drošība, DORA IKT trešo pušu risks, ja piemērojams, GDPR apstrādātāja pārskatatbildība |
| Politikas saite | Trešo pušu un piegādātāju drošības politika, līgumu pārskatīšanas procedūra, piegādātāju izvērtēšanas kontrolsaraksts |
| Pierādījumi | Piegādātāju reģistrs, riska vērtējumi, padziļinātās pārbaudes anketa, parakstīts datu apstrādes līgums, SOC pārskata pārskatīšana, izejas plāns, ikgadējās pārskatīšanas ieraksts |
| Īpašnieks | Piegādātāju pārvaldnieks, galvenais informācijas drošības vadītājs, juridiskais dienests |
| Testēšana | Iekšējā audita izlase par pieciem būtiskākajiem kritiskajiem piegādātājiem pabeigta, izņēmumi reģistrēti CAPA |
| Statuss | Ieviests ar divām atvērtām korektīvajām darbībām līgumu atjaunināšanai |
Šī rinda izstāsta atjaunošanas stāstu. Tā parāda organizācijas kontekstu, risku loģiku, regulatīvo nozīmi, atbildību, ieviešanu, testēšanu un atlikušās darbības.
Tāda pati disciplīna attiecas uz izslēgumiem. Piemēram, ja organizācija neveic iekšēju programmatūras izstrādi, izslēgums ISO/IEC 27002:2022 kontroles pasākumam 8.25 Drošas izstrādes dzīves cikls un kontroles pasākumam 8.28 Droša kodēšana var būt pamatots, bet tikai tad, ja tas ir patiess, dokumentēts un balstīts pierādījumos, ka programmatūra ir gatava komerciāla programmatūra vai izstrāde ir pilnībā nodota ārpakalpojumā ar ieviestiem piegādātāju kontroles pasākumiem.
4. solis: veiciet pamatcēloņa analīzi, nevis dokumentu kosmētiku
Neveiksmīgu pārejas auditu reti izraisa viens trūkstošs fails. Parasti to izraisa bojāts process.
Zenith Blueprint audita, pārskatīšanas un uzlabošanas fāzes 27. solī “Audita konstatējumi — analīze un pamatcēlonis” norāda:
“Par katru identificēto neatbilstību (būtisku vai maznozīmīgu) padomājiet, kāpēc tā radās — tas ir kritiski efektīvai korekcijai.”
No Zenith Blueprint, audita, pārskatīšanas un uzlabošanas fāze, 27. solis.
Ja konstatējumā teikts “trūkst SoA pamatojumu”, korekcija var būt SoA atjaunināšana. Taču pamatcēlonis var būt tas, ka aktīvu īpašnieki netika iesaistīti risku izvērtēšanā, juridiskie pienākumi netika kartēti vai atbilstības komanda uzturēja SoA izolēti.
Noderīga atjaunošanas tabula nošķir vājas korekcijas no īstām korektīvajām darbībām:
| Audita konstatējums | Slikta korekcija | Pareizais pamatcēloņa jautājums | Labāka korektīvā darbība |
|---|---|---|---|
| SoA nav saskaņots ar riska apstrādi | Atjaunināt SoA formulējumu | Kāpēc SoA netika salīdzināts ar riska apstrādi? | Ieviest ceturkšņa SoA un risku salīdzināšanu, par ko atbild IDPS vadītājs |
| Nav piegādātāju izvērtējumu | Augšupielādēt vienu anketu | Kāpēc piegādātāji netika pārskatīti? | Piešķirt piegādātāja īpašnieku, definēt riska līmeņošanu, pabeigt pārskatīšanu, uzraudzīt ik gadu |
| Vadības pārskatīšana ir nepilnīga | Pievienot darba kārtības punktu ar atpakaļejošu datumu | Kāpēc vadības pārskatīšana neaptvēra pārejas statusu? | Atjaunināt vadības pārskatīšanas veidni un plānot ceturkšņa pārvaldības pārskatīšanu |
| Incidentu ziņošana nav testēta | Rediģēt incidentu procedūru | Kāpēc ziņošana netika vingrināta? | Veikt galda mācības ar NIS2, DORA un GDPR lēmumu punktiem un saglabāt pierādījumus |
| Iekšējais audits bija pārāk šaurs | Paplašināt kontrolsarakstu | Kāpēc audita plānošana palaida garām pārejas piemērošanas jomu? | Apstiprināt uz risku balstītu audita plānu, kas aptver regulējumu, piegādātājus, mākoņpakalpojumus un noturību |
Šeit atgriežas uzticamība. Auditori negaida pilnību. Viņi sagaida kontrolētu sistēmu, kas atklāj, labo, mācās un uzlabojas.
5. solis: izveidojiet CAPA, kam auditors var uzticēties
Korektīvās un preventīvās darbības ir vieta, kur daudzas organizācijas atgūst kontroli. CAPA reģistram jākļūst par atjaunošanas ceļkarti un galveno pierādījumu, ka neveiksmīgais audits tika apstrādāts sistemātiski.
Zenith Blueprint audita, pārskatīšanas un uzlabošanas fāzes 29. solī “Nepārtraukta uzlabošana” skaidro struktūru:
“Pārliecinieties, ka katra korektīvā darbība ir konkrēta, piešķirama un ierobežota laikā. Būtībā katram jautājumam jūs izveidojat nelielu projektu.”
No Zenith Blueprint, audita, pārskatīšanas un uzlabošanas fāze, 29. solis.
Jūsu CAPA žurnālā jāiekļauj:
- Konstatējuma ID.
- Avota audits.
- Punkta vai kontroles pasākuma atsauce.
- Smaguma pakāpe.
- Problēmas apraksts.
- Tūlītēja korekcija.
- Pamatcēlonis.
- Korektīvā darbība.
- Preventīvā darbība, ja attiecināms.
- Īpašnieks.
- Noteiktais termiņš.
- Nepieciešamie pierādījumi.
- Statuss.
- Efektivitātes pārbaude.
- Vadības apstiprinājums.
Clarysec Audita un atbilstības uzraudzības politika - SME arī identificē būtisku neatbilstību kā pārskatīšanas ierosinātāju:
“Sertifikācijas audits vai uzraudzības audits rezultējas būtiskā neatbilstībā”
No sadaļas “Pārskatīšanas un atjaunināšanas prasības”, politikas punkts 9.2.2.
Ja pārejas audits radīja būtisku neatbilstību, pārskatiet pašu audita un atbilstības uzraudzības procesu. Kāpēc iekšējais audits neatklāja problēmu pirmais? Kāpēc vadības pārskatīšana to neeskalēja? Kāpēc SoA neatklāja pierādījumu trūkumu?
Tādā veidā neveiksmīgs audits kļūst par stiprāku IDPS.
6. solis: izmantojiet Zenith Controls, lai sasaistītu ISO pierādījumus ar daudzietvaru atbilstību
Atkārtots audits nenotiek izolēti. Klienti, regulatori, apdrošinātāji un iekšējās pārvaldības komandas var skatīt tos pašus pierādījumus no dažādiem skatpunktiem. Šeit Zenith Controls ir vērtīgs kā daudzietvaru atbilstības ceļvedis. Tas palīdz komandām pārstāt uztvert ISO 27001, NIS2, DORA, GDPR, NIST orientētu apliecinājumu un COBIT 2019 pārvaldību kā atsevišķus kontrolsarakstus.
Trīs ISO/IEC 27002:2022 kontroles pasākumi ir īpaši nozīmīgi pārejas atjaunošanā.
| ISO/IEC 27002:2022 kontroles pasākums | Nozīme atjaunošanā | Sagatavojamie pierādījumi |
|---|---|---|
| 5.31 Juridiskās, normatīvās, regulatīvās un līgumiskās prasības | Apstiprina, ka pienākumi ir identificēti, dokumentēti un sasaistīti ar IDPS | Juridiskais reģistrs, līgumiskie pienākumi, regulatīvā karte, politiku īpašnieku matrica, SoA pamatojums |
| 5.35 Neatkarīga informācijas drošības pārskatīšana | Apstiprina, ka pārskatīšana ir objektīva, atbilstoši aptverta, kompetenta un rezultējas rīcībā | Iekšējā audita plāns, neatkarīgas pārskatīšanas pārskats, auditora kompetence, CAPA ieraksti, vadības ziņošana |
| 5.36 Atbilstība informācijas drošības politikām, noteikumiem un standartiem | Apstiprina, ka politikas nav tikai publicētas, bet arī uzraudzītas un piemērotas | Politikas apliecinājums, izņēmumu žurnāli, uzraudzības pārskati, disciplinārā darbplūsma, atbilstības testēšana |
Zenith Controls ISO/IEC 27002:2022 kontroles pasākums 5.31 ir tieši sasaistīts ar privātumu un personu identificējošu informāciju (PII):
“5.34 aptver atbilstību datu aizsardzības tiesību aktiem (piem., GDPR), kas ir viena juridisko prasību kategorija 5.31 ietvaros.”
No Zenith Controls, kontroles pasākums 5.31, saites uz citiem kontroles pasākumiem.
Atjaunošanas kontekstā tas nozīmē, ka juridiskais reģistrs nedrīkst atrasties ārpus IDPS. Tam jāvirza SoA, risku apstrādes plāns, politiku kopums, kontroles pasākumu atbildība un audita pierādījumi.
Par ISO/IEC 27002:2022 kontroles pasākumu 5.35 Zenith Controls uzsver, ka neatkarīga pārskatīšana bieži sasniedz operatīvos pierādījumus:
“Neatkarīgas pārskatīšanas saskaņā ar 5.35 bieži izvērtē notikumu žurnalēšanas un uzraudzības darbību pietiekamību.”
No Zenith Controls, kontroles pasākums 5.35, saites uz citiem kontroles pasākumiem.
Tas ir praktiski. Auditors var sākt ar pārvaldību un pēc tam pārbaudīt izlasi no žurnāliem, brīdinājumiem, uzraudzības ierakstiem, piekļuves tiesību pārskatīšanas, incidentu pieteikumiem, rezerves kopiju testiem, piegādātāju pārskatīšanas un vadības lēmumiem.
Par ISO/IEC 27002:2022 kontroles pasākumu 5.36 Zenith Controls skaidro saistību ar iekšējo politiku pārvaldību:
“Kontrole 5.36 kalpo kā 5.1 definēto noteikumu piemērošanas mehānisms.”
No Zenith Controls, kontroles pasākums 5.36, saites uz citiem kontroles pasākumiem.
Tieši šeit daudzas pārejas programmas neizdodas. Politikas pastāv, bet to ievērošana netiek uzraudzīta. Procedūras pastāv, bet izņēmumi netiek fiksēti. Kontroles pasākumi ir deklarēti, bet nav testēti.
7. solis: sagatavojieties dažādiem audita skatpunktiem
Spēcīgai atjaunošanas pakotnei jāiztur vairāk nekā viena auditora skatījums. ISO sertifikācijas auditori, DORA uzraudzības iestādes, NIS2 pārskatītāji, GDPR ieinteresētās puses, klientu apliecinājuma komandas, uz NIST orientēti vērtētāji un COBIT 2019 pārvaldības pārskatītāji par tiem pašiem pierādījumiem var uzdot atšķirīgus jautājumus.
| Auditora skatpunkts | Iespējamais jautājums | Pierādījumi, kas palīdz |
|---|---|---|
| ISO 27001:2022 auditors | Vai IDPS ir efektīva, balstīta uz risku, ar pareizi noteiktu piemērošanas jomu, pārskatīta vadības līmenī un nepārtraukti uzlabota? | Piemērošanas joma, konteksts, ieinteresētās puses, risku izvērtējums, SoA, apstrādes plāns, iekšējais audits, vadības pārskatīšana, CAPA |
| Uz NIST orientēts vērtētājs | Vai pārvaldības, risku identificēšanas, aizsardzības, atklāšanas, reaģēšanas un atjaunošanas darbības darbojas saskaņoti? | Aktīvu uzskaite, riska reģistrs, piekļuves kontroles pasākumi, notikumu žurnalēšana, uzraudzība, incidentu rokasgrāmatas, atjaunošanas testi |
| COBIT 2019 vai ISACA pieejas auditors | Vai pārvaldības mērķi, atbildība, veiktspējas uzraudzība, risku pārvaldība un atbilstības apliecinājums ir iestrādāti? | RACI, apstiprināti mērķi, metrikas, audita plāns, vadības ziņošana, kontroles pasākumu īpašnieki, problēmu izsekošana |
| NIS2 atbilstības pārskatītājs | Vai vadība ir apstiprinājusi un pārraudzījusi samērīgus kiberdrošības riska pasākumus un incidentu ziņošanas darbplūsmas? | Valdes protokoli, riska pasākumi, piegādātāju kontroles pasākumi, incidentu eskalācija, apmācība, nepārtrauktības un krīzes pārvaldības pierādījumi |
| DORA pārskatītājs | Vai IKT risku pārvaldība ir dokumentēta, testēta, ņem vērā piegādātājus un ir integrēta pārvaldībā? | IKT risku ietvars, noturības testi, incidentu klasifikācija, IKT līgumu reģistrs, izejas plāni, audita tiesības |
| GDPR pārskatītājs | Vai organizācija var pierādīt pārskatatbildību par personas datu aizsardzību un reaģēšanu uz pārkāpumiem? | RoPA, tiesiskā pamata kartēšana, DPIA, ja nepieciešams, apstrādātāju līgumi, pārkāpumu žurnāli, tehniskie un organizatoriskie pasākumi |
Mērķis nav dublēt pierādījumus. Viena SoA rinda par notikumu žurnalēšanu un uzraudzību var atbalstīt ISO pierādījumus, NIST orientētas atklāšanas gaidas, DORA incidentu apstrādi, NIS2 efektivitātes izvērtēšanu un GDPR pārkāpumu atklāšanu. Viena piegādātāja riska datne var atbalstīt ISO piegādātāju kontroles pasākumus, DORA IKT trešo pušu risku, NIS2 piegādes ķēdes drošību un GDPR apstrādātāja pārskatatbildību.
Tā ir daudzietvaru atbilstības praktiskā vērtība.
8. solis: veiciet galīgo dokumentācijas pārskatīšanu un izmēģinājuma auditu
Pirms atgriešanās pie sertifikācijas institūcijas veiciet stingru iekšējo pārbaudi. Zenith Blueprint audita, pārskatīšanas un uzlabošanas fāzes 30. solī “Sagatavošanās sertifikācijai — galīgā pārskatīšana un izmēģinājuma audits” iesaka pa vienam pārbaudīt ISO 27001:2022 4.–10. punktu un validēt pierādījumus katram piemērojamajam A pielikuma kontroles pasākumam.
Tajā ieteikts:
“Pārbaudiet A pielikuma kontroles pasākumus: pārliecinieties, ka par katru kontroles pasākumu, ko SoA atzīmējāt kā ‘piemērojamu’, jums ir ko parādīt.”
No Zenith Blueprint, audita, pārskatīšanas un uzlabošanas fāze, 30. solis.
Galīgajai pārskatīšanai jābūt tiešai:
- Vai katru piemērojamo kontroles pasākumu var izskaidrot?
- Vai katru izslēgto kontroles pasākumu var pamatot?
- Vai var parādīt atlikušā riska pieņemšanu?
- Vai vadība pārskatīja pārejas neveiksmi, resursus, mērķus, audita rezultātus un korektīvās darbības?
- Vai iekšējais audits testēja atjaunināto SoA un risku apstrādes plānu?
- Vai piegādātāju, mākoņpakalpojumu, nepārtrauktības, incidentu, privātuma, piekļuves, ievainojamību, notikumu žurnalēšanas un uzraudzības kontroles pasākumiem ir pierādījumi?
- Vai politikas ir apstiprinātas, aktuālas, paziņotas un pārvaldītas ar versiju kontroli?
- Vai CAPA ir sasaistītas ar pamatcēloņiem un efektivitātes pārbaudēm?
- Vai pierādījumus var ātri atrast centralizētajā audita mapē?
Clarysec Informācijas drošības politika sniedz pārvaldības pamatprasību:
“Organizācijai jāievieš un jāuztur informācijas drošības pārvaldības sistēma (IDPS) saskaņā ar ISO/IEC 27001:2022 4.–10. punktu.”
No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.1.1.
SME vidē pārskatīšanai jāseko arī sertifikācijas prasībām un regulatīvajām izmaiņām. Clarysec Informācijas drošības politika - SME nosaka:
“Šī politika vismaz reizi gadā jāpārskata ģenerāldirektoram (GM), lai nodrošinātu pastāvīgu atbilstību ISO/IEC 27001 sertifikācijas prasībām, regulatīvajām izmaiņām (piemēram, GDPR, NIS2 un DORA) un mainīgajām organizācijas vajadzībām.”
No sadaļas “Pārskatīšanas un atjaunināšanas prasības”, politikas punkts 9.1.1.
Tieši to daudzas pārejas programmas palaida garām: ISO, regulējums un organizācijas izmaiņas virzās kopā.
Ko teikt klientiem atjaunošanas laikā
Ja neveiksmīga vai nokavēta pāreja ietekmē klientu līgumus, klusēšana ir bīstama. Nav jāatklāj katra iekšējā audita detaļa, taču jāsniedz kontrolēts apliecinājums.
Klientu komunikācijas pakotnē jāiekļauj:
- Pašreizējais sertifikācijas statuss, ko apstiprinājusi sertifikācijas institūcija.
- Pārejas audita statuss un augsta līmeņa trūkumu novēršanas plāns.
- Apstiprinājums, ka CAPA process ir aktīvs un vadības apstiprināts.
- Korektīvo darbību un audita slēgšanas mērķa datumi.
- Paziņojums, ka IDPS turpina darboties.
- Drošības apliecinājuma kontaktpersona.
- Atjaunināts drošības politikas paziņojums, ja atbilstoši.
- Pierādījumi par kompensējošiem kontroles pasākumiem jebkurai augsta riska jomai.
Izvairieties no neskaidriem apgalvojumiem, piemēram, “mēs pilnībā atbilstam prasībām”, kamēr audits nav atrisināts. Sakiet to, kas ir patiess: IDPS darbojas, korektīvā darbība ir apstiprināta, pierādījumi tiek konsolidēti un ir ieplānota slēgšanas pārskatīšana vai atkārtots audits.
Tas ir īpaši svarīgi, ja klienti paļaujas uz jums kā piegādātāju NIS2 nozīmīgās nozarēs, piemēram, digitālā infrastruktūra, mākoņpakalpojumi, datu centri, satura piegādes tīkli, DNS, uzticamības pakalpojumi, publiskie elektroniskie sakari, pārvaldītie pakalpojumi vai pārvaldītie drošības pakalpojumi. Ja jūsu audita statuss ietekmē viņu piegādes ķēdes risku, viņiem nepieciešams uzticams apliecinājums.
Praktisks 10 dienu atjaunošanas sprints
Termiņi atšķiras atkarībā no sertifikācijas institūcijas, smaguma pakāpes, piemērošanas jomas un pierādījumu brieduma. Taču atjaunošanas secība ir uzticama.
| Diena | Darbība | Rezultāts |
|---|---|---|
| 1 | Savākt audita pārskatu, apstiprināt sertifikāta statusu, atvērt centralizētu audita mapi | Atjaunošanas vadības centrs |
| 2 | Klasificēt konstatējumus, piešķirt īpašniekus, informēt vadību | Apstiprināta atjaunošanas pārvaldība |
| 3 | Aktualizēt kontekstu, pienākumus, ieinteresētās puses un piemērošanas jomas pieņēmumus | Atjaunināts konteksts un atbilstības karte |
| 4 | Saskaņot risku izvērtējumu un risku apstrādes plānu | Atjaunināts riska reģistrs un apstrādes plāns |
| 5 | Sakārtot SoA ar pamatojumu, izslēgumiem, pierādījumiem un īpašniekiem | Auditam gatavs SoA |
| 6 | Veikt pamatcēloņa analīzi visiem konstatējumiem | Pamatcēloņu žurnāls |
| 7 | Izveidot CAPA plānu ar mērķa datumiem un pierādījumu prasībām | CAPA reģistrs |
| 8 | Savākt un testēt prioritāro kontroles pasākumu pierādījumus | Pierādījumu pakotne |
| 9 | Veikt vadības pārskatīšanu un apstiprināt atlikušos riskus | Vadības pārskatīšanas protokols |
| 10 | Veikt izmēģinājuma auditu un sagatavot atbildi sertifikācijas institūcijai | Atkārtota audita gatavības pakotne |
Neiesniedziet atbildi, kamēr tā nestāsta saskaņotu stāstu. Auditoram jāspēj izsekot ķēdei no konstatējuma līdz pamatcēlonim, no pamatcēloņa līdz korektīvajai darbībai, no korektīvās darbības līdz pierādījumiem un no pierādījumiem līdz vadības pārskatīšanai.
Clarysec atjaunošanas darbplūsma
Kad Clarysec atbalsta nokavētu vai neveiksmīgu ISO 27001:2022 pāreju, mēs darbu organizējam fokusētā atjaunošanas darbplūsmā.
| Atjaunošanas fāze | Clarysec aktīvs | Rezultāts |
|---|---|---|
| Audita sākotnējā izvērtēšana | Zenith Blueprint 24., 27., 29., 30. solis | Konstatējumu klasifikācija, pierādījumu karte, audita slēgšanas plāns |
| Pārvaldības atiestatīšana | Informācijas drošības politika, Audita un atbilstības uzraudzības politika | Apstiprināta atbildība, vadības iesaiste, centralizēta pierādījumu mape |
| Risku aktualizēšana | Risku pārvaldības politika, ISO/IEC 27005:2022 metode | Atjaunināts konteksts, kritēriji, riska reģistrs, apstrādes plāns |
| SoA sakārtošana | Zenith Blueprint 24. solis, Risku pārvaldības politika | Izsekojams SoA ar risku, pienākumu, īpašnieku, pierādījumiem un statusu |
| Daudzietvaru atbilstības kartēšana | Zenith Controls | NIS2, DORA, GDPR, NIST orientēta un COBIT 2019 apliecinājuma saskaņošana |
| CAPA izpilde | Zenith Blueprint 29. solis, audita politikas | Pamatcēlonis, korektīvā darbība, īpašnieks, termiņš, efektivitātes pārbaude |
| Izmēģinājuma audits | Zenith Blueprint 30. solis | Atkārtota audita gatavības pakotne un klientu apliecinājuma pakotne |
Runa nav par dokumentu mākslīgu ražošanu. Runa ir par uzticības atjaunošanu tam, ka IDPS ir pārvaldīta, balstīta uz risku, pamatota ar pierādījumiem un tiek uzlabota.
Noslēguma ieteikums: uztveriet neveiksmīgo pāreju kā stresa testu
Nokavēts ISO 27001:2022 pārejas termiņš vai neveiksmīgs pārejas audits šķiet kā krīze, taču tā ir arī diagnostikas iespēja. Tas parāda, vai jūsu IDPS spēj absorbēt izmaiņas, integrēt juridiskos pienākumus, pārvaldīt piegādātājus, pierādīt kontroles pasākumu darbību un mācīties no neveiksmēm.
Organizācijas, kas atjaunojas visātrāk, labi dara trīs lietas:
- Tās centralizē pierādījumus un aptur haosu.
- Tās pārbūvē izsekojamību starp risku, SoA, kontroles pasākumiem, politikām un pienākumiem.
- Tās apstrādā audita konstatējumus ar disciplinētu CAPA un vadības pārskatīšanu.
Organizācijas, kurām klājas grūtāk, mēģina atrisināt problēmu, rediģējot dokumentus, bet nesakārtojot atbildību, uzraudzību, pierādījumus vai pamatcēloni.
Ja nokavējāt termiņu vai nesekmīgi pabeidzāt pārejas auditu, nākamais solis nav panika. Tā ir strukturēta atjaunošana.
Clarysec var palīdzēt jums veikt pārejas audita sākotnējo izvērtēšanu, pārbūvēt SoA, kartēt NIS2, DORA, GDPR, NIST orientētas un COBIT 2019 gaidas, izmantojot Zenith Controls, izpildīt korektīvās darbības ar Zenith Blueprint un saskaņot politiku pierādījumus, izmantojot Informācijas drošības politika, Audita un atbilstības uzraudzības politika, Risku pārvaldības politika un Tiesiskās un regulatīvās atbilstības politika.
Jūsu sertifikāta problēmu var novērst. Jūsu IDPS var kļūt spēcīgāka nekā tā bija pirms audita. Ja jūsu pārejas audits nav atrisināts, sāciet atjaunošanas izvērtēšanu tagad, konsolidējiet pierādījumus un sagatavojiet atkārtota audita pakotni, kas pierāda, ka jūsu IDPS nav tikai dokumentēta, bet darbojas.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
