ISO 27001 audita pierādījumi NIS2 un DORA prasībām

Ir otrdienas 08:17, un strauji augoša fintech SaaS uzņēmuma informācijas drošības vadītājs (CISO) gaida trīs ziņojumus.

Pirmais ir no nozīmīga banku klienta: “Lūdzu, atsūtiet jaunāko iekšējā audita ziņojumu, vadības pārskatīšanas protokolu, korektīvo darbību statusu, incidentu ziņošanas procedūru, piegādātāju reģistru un pierādījumus par valdes pārraudzību.”

Otrais ir no finanšu direktora (CFO): “Vai uz mums attiecas NIS2 vai DORA, un kādi pierādījumi mums jau ir?”

Trešais ir no izpilddirektora (CEO): “Vai varam teikt, ka esam gatavi auditam?”

Daudzās organizācijās neērtais secinājums nav tāds, ka nekas nenotiek. Tas ir sliktāk. Drošības darbs notiek visur, bet pierādījumi nav pārvaldīti nevienā vietā. Kontroles pasākumi pastāv, bet nav audita izsekojamības. Ir pieteikumi, bet nav skaidras sasaistes ar riskiem. Vadībai tiek sniegti statusa ziņojumi, bet nav formālu vadības pārskatīšanas rezultātu. Ir sarunas ar piegādātājiem, bet nav pamatota piegādātāju reģistra, līgumu pārskatīšanas vai izstāšanās stratēģijas.

Tieši šajā plaisā ISO/IEC 27001:2022 iekšējais audits un vadības pārskatīšana kļūst par kaut ko vairāk nekā sertifikācijas darbībām. Tie kļūst par darbības ritmu NIS2, DORA, GDPR, klientu apliecinājumiem, kiberdrošības apdrošināšanai un valdes pārskatatbildībai.

SaaS, mākoņpakalpojumu, MSP, MSSP un fintech komandas reti cieš neveiksmi tāpēc, ka tām trūkst drošības aktivitāšu. Tās cieš neveiksmi tāpēc, ka aktivitātes ir izkaisītas Slack, Jira, izklājlapās, piegādātāju portālos, SOC pieteikumos, iepirkuma dokumentos un valdes prezentācijās. Regulatoram, ārējam auditoram vai uzņēmuma klientam nav vajadzīgs varonīgs skaidrojums. Viņiem ir vajadzīgi objektīvi pierādījumi.

Praktiskais risinājums nav veidot atsevišķas audita programmas katram ietvaram. Risinājums ir izmantot ISO 27001 ISMS kā centrālo pierādījumu avotu un pēc tam marķēt šos pierādījumus atbilstoši NIS2, DORA, GDPR un līgumiskajām prasībām. Pareizi īstenots viens iekšējā audita cikls un viens vadības pārskatīšanas cikls var atbildēt uz daudziem atbilstības jautājumiem.

No ietvaru noguruma līdz vienotam ISMS pierādījumu modelim

Daudzi CISO saskaras ar Marijas problēmas versiju. Marija vada drošību B2B SaaS uzņēmumā ar finanšu sektora klientiem. Viņas komanda pirms sešiem mēnešiem izturēja ISO/IEC 27001:2022 sertifikācijas auditu. ISMS nobriest, politikas tiek ievērotas, un kontroles pasākumu īpašnieki saprot savus pienākumus. Tad CEO pārsūta divus rakstus — vienu par NIS2 Direktīvu un vienu par DORA — ar īsu jautājumu: “Vai mēs esam nosegti?”

Atbilde ir atkarīga no darbības jomas, pakalpojumiem, klientiem un juridiskajām personām. Taču praktiskā atbilde ir skaidra: ja Marija pret NIS2 un DORA izturēsies kā pret atsevišķiem atbilstības projektiem, viņa radīs darba dublēšanos, nekonsekventus pierādījumus un pieaugošu audita nogurumu. Ja viņa tos skatīs kā ieinteresēto pušu prasības ISMS ietvaros, viņa var izmantot ISO 27001, lai šīs prasības iekļautu, testētu un pierādītu gatavību.

ISO/IEC 27001:2022 ir paredzēts tieši šim nolūkam. 4. punkts prasa organizācijai izprast savu kontekstu un ieinteresēto pušu prasības, tostarp juridiskos, regulatīvos, līgumiskos un atkarību noteiktos pienākumus. 5. punkts prasa vadību un integrāciju uzņēmuma procesos. 6. punkts prasa risku izvērtēšanu un risku apstrādi. 9. punkts prasa veiktspējas izvērtēšanu, izmantojot uzraudzību, iekšējo auditu un vadības pārskatīšanu. 10. punkts prasa uzlabošanu un korektīvās darbības.

NIS2 un DORA dabiski iekļaujas šajā struktūrā.

NIS2 prasa būtiskajām un svarīgajām vienībām ieviest atbilstošus un samērīgus tehniskos, darbības un organizatoriskos kiberdrošības risku pārvaldības pasākumus. Tā arī uzliek vadības struktūrām pienākumu apstiprināt šos pasākumus, pārraudzīt to ieviešanu un būt saucamām pie atbildības par pārkāpumiem. Minimālie pasākumi aptver risku analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu izstrādi, ievainojamību pārvaldību, efektivitātes izvērtēšanu, apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un, kur piemērojams, daudzfaktoru autentifikāciju vai nepārtrauktu autentifikāciju.

DORA ir piemērojama no 2025. gada 17. janvāra un izveido finanšu vienībām specifisku digitālās darbības noturības režīmu. Tā prasa vadības struktūras atbildību par IKT risku pārvaldību, dokumentētu IKT risku pārvaldības ietvaru, digitālās noturības stratēģiju, IKT darbības nepārtrauktības un atjaunošanas plānus, noturības testēšanu, IKT incidentu pārvaldību un IKT trešo pušu risku pārvaldību. SaaS un mākoņpakalpojumu sniedzējiem, kas apkalpo finanšu vienības, DORA var parādīties līgumiskajos pienākumos, klientu auditos un IKT trešo pušu risku pārvaldības gaidās pat tad, ja pats pakalpojumu sniedzējs nav finanšu vienība.

GDPR pievieno pārskatatbildības slāni. Ja personas dati tiek apstrādāti GDPR darbības jomā, organizācijām jāspēj pierādīt atbilstība datu aizsardzības principiem un atbilstošu tehnisko un organizatorisko pasākumu ieviešanu.

ISO 27001 nav universāls atbilstības sertifikāts šiem pienākumiem. Tā ir pārvaldības sistēma, kas spēj tos organizēt, pierādīt un uzlabot.

Darbības jomas jautājums: ko jūs pierādāt un kam?

Pirms veidot auditam gatavu pierādījumu paketi, vadībai jāatbild uz pamata jautājumu: kuri pienākumi ietilpst darbības jomā?

SaaS un mākoņpakalpojumu uzņēmumiem NIS2 darbības joma var būt plašāka, nekā sākotnēji šķiet. NIS2 attiecas uz publiskām vai privātām vienībām uzskaitītajās nozarēs, kas sasniedz lieluma sliekšņus, kā arī uz noteiktām augstas ietekmes vienībām neatkarīgi no lieluma. Attiecīgās nozares var ietvert digitālo infrastruktūru, mākoņdatošanas pakalpojumu sniedzējus, datu centru pakalpojumu sniedzējus, satura piegādes tīklus, uzticamības pakalpojumu sniedzējus, publisko elektronisko sakaru pakalpojumu sniedzējus un IKT pakalpojumu pārvaldības B2B sniedzējus, piemēram, pārvaldīto pakalpojumu sniedzējus un pārvaldīto drošības pakalpojumu sniedzējus. SaaS pakalpojumu sniedzējiem īpaši jāvērtē, kā pakalpojumi tiek sniegti, kuras nozares tie atbalsta un vai tie nodrošina administrēšanu pēc pieprasījuma un plašu attālinātu piekļuvi mērogojamiem koplietotiem skaitļošanas resursiem.

Fintech un finanšu sektora pakalpojumu sniedzējiem DORA jāanalizē atsevišķi. DORA tieši aptver plašu finanšu vienību loku, tostarp kredītiestādes, maksājumu iestādes, konta informācijas pakalpojumu sniedzējus, elektroniskās naudas iestādes, ieguldījumu sabiedrības, kriptoaktīvu pakalpojumu sniedzējus, tirdzniecības vietas, fondu pārvaldniekus, apdrošināšanas un pārapdrošināšanas uzņēmumus un kolektīvās finansēšanas pakalpojumu sniedzējus. IKT trešo pušu pakalpojumu sniedzēji arī ir DORA ekosistēmas daļa, jo finanšu vienībām jāpārvalda savas IKT atkarības, jāuztur līgumisko vienošanos reģistri un jāiekļauj īpašas līgumiskās prasības IKT pakalpojumiem, kas atbalsta kritiskas vai svarīgas funkcijas.

NIS2 un DORA arī mijiedarbojas. Ja nozarspecifisks ES tiesību akts nosaka līdzvērtīgas kiberdrošības risku pārvaldības vai incidentu paziņošanas prasības, attiecīgās NIS2 normas šīm vienībām attiecīgajās jomās var nebūt piemērojamas. DORA ir finanšu vienībām paredzētais nozarspecifiskais darbības noturības režīms. Tas nepadara NIS2 nebūtisku visiem saistītajiem pakalpojumu sniedzējiem. Tas nozīmē, ka pierādījumu modelim jānošķir, vai organizācija ir finanšu vienība, uz kuru tieši attiecas DORA, IKT trešo pušu pakalpojumu sniedzējs, kas atbalsta finanšu vienības, SaaS pakalpojumu sniedzējs NIS2 darbības jomā vai grupa ar vairākām juridiskām personām un pakalpojumu līnijām.

Šī darbības jomas analīze jāiekļauj ISMS kontekstā un ieinteresēto pušu reģistrā. Bez tās audita plāns testēs nepareizās lietas.

Viena audita izsekojamība, daudzi atbilstības jautājumi

Bieža kļūda ir veidot atsevišķas pierādījumu paketes ISO 27001, NIS2, DORA, GDPR, kiberdrošības apdrošināšanai un klientu auditiem. Šāda pieeja rada dublēšanos un pretrunīgas atbildes. Labāka pieeja ir viens pierādījumu modelis ar vairākām perspektīvām.

Centrā ir ISMS. Ap to atrodas piecas pierādījumu grupas.

Šī struktūra ir saskaņota ar Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint. Audita, pārskatīšanas un uzlabošanas posmā 25. solis koncentrējas uz iekšējā audita programmu, 26. solis — uz audita izpildi, 28. solis — uz vadības pārskatīšanu un 29. solis — uz nepārtrauktu uzlabošanu.

Blueprint 25. soļa norādes ir apzināti praktiskas:

“Izstrādājiet grafiku, kas nosaka, kad auditi notiks un ko tie aptvers.”

“Izmantojiet iekšējā audita plāna veidni, ja tā ir pieejama; tas var būt vienkāršs dokuments vai izklājlapa, kurā norādīti audita datumi, darbības joma un norīkotie auditori.”

No Zenith Blueprint, audita, pārskatīšanas un uzlabošanas posma, 25. solis: iekšējā audita programma Zenith Blueprint

Šāds vienkāršs audita plāns kļūst iedarbīgs, ja tas ir balstīts uz risku un marķēts atbilstoši NIS2, DORA un GDPR pienākumiem.

ISO 27001 kontroles pasākumi, kas nostiprina gatavību auditam

Gatavībai auditam īpaši svarīgi ir trīs ISO/IEC 27002:2022 kontroles pasākumi, interpretējot tos ar Zenith Controls: The Cross-Compliance Guide Zenith Controls:

• 5.4 Vadības pienākumi
• 5.35 Neatkarīga informācijas drošības pārskatīšana
• 5.36 Atbilstība informācijas drošības politikām, noteikumiem un standartiem

Tie nav atsevišķi “Zenith kontroles pasākumi”. Tie ir ISO/IEC 27002:2022 kontroles pasākumi, kurus Zenith Controls palīdz kartēt, auditēt un interpretēt dažādos ietvaros.

Kontroles pasākums 5.4 jautā, vai informācijas drošības pienākumi ir piešķirti un saprasti. Kontroles pasākums 5.35 jautā, vai informācijas drošība tiek neatkarīgi pārskatīta. Kontroles pasākums 5.36 jautā, vai organizācija ievēro savas politikas, noteikumus un standartus.

Zenith Controls klasificē kontroles pasākumu 5.35 apliecinājuma skatījumā:

ISO/IEC 27002:2022 kontroles pasākums 5.35 “Independent Review of Information Security” Zenith Controls ietvarā tiek traktēts kā “Preventive, Corrective”, atbalstot konfidencialitāti, integritāti un pieejamību ar kiberdrošības jēdzieniem “Identify” un “Protect” un darbības spēju “Information Security Assurance.” Zenith Controls

Tas ir būtiski, jo iekšējais audits ir gan preventīvs, gan koriģējošs. Tas novērš aklās zonas, testējot ISMS pirms ārējas pārbaudes, un novērš vājās vietas ar dokumentētām darbībām.

Plašāka atbilstības matrica sākas ar NIS2 un DORA prasībām un pēc tam identificē ISO 27001 pierādījumus, kas tās var pamatot.

Kontroles pasākumu kartēšana ir noderīga tikai tad, ja pierādījumi ir spēcīgi. Ja ieraksts ir vājš, neviena atbilstības matrica to neizglābs. Ja ieraksts ir pilnīgs, tie paši pierādījumi var atbildēt uz ISO, NIS2, DORA, GDPR, NIST Cybersecurity Framework 2.0 un COBIT 2019 tipa jautājumiem.

Politiku pierādījumi, kuru uzturēšanu Clarysec sagaida no organizācijām

Clarysec politikas pārvērš ISMS teoriju pierādījumu prasībās.

MVU gadījumā Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme prasa vadības apstiprinājumu un audita disciplīnu:

“Ģenerāldirektoram (GM) jāapstiprina ikgadējais audita plāns.”

No Audit and Compliance Monitoring Policy-sme, Pārvaldības prasības, 5.1.1. punkts Audit and Compliance Monitoring Policy-sme

Tā nosaka arī minimālo regularitāti:

“Iekšējie auditi vai atbilstības pārskatīšanas jāveic vismaz reizi gadā.”

No Audit and Compliance Monitoring Policy-sme, Pārvaldības prasības, 5.2.1. punkts

Un tā sasaista konstatējumus ar korekcijām un vadības pārskatīšanu:

“GM jāapstiprina korektīvo darbību plāns un jāuzrauga tā ieviešana.”

No Audit and Compliance Monitoring Policy-sme, Pārvaldības prasības, 5.4.2. punkts

“Audita konstatējumi un statusa atjauninājumi jāiekļauj ISMS vadības pārskatīšanas procesā.”

No Audit and Compliance Monitoring Policy-sme, Pārvaldības prasības, 5.4.3. punkts

Pierādījumu glabāšana arī ir noteikta skaidri:

“Pierādījumi jāglabā vismaz divus gadus vai ilgāk, ja to prasa sertifikācija vai klientu vienošanās.”

No Audit and Compliance Monitoring Policy-sme, Politikas ieviešanas prasības, 6.2.4. punkts

Lielākām organizācijām Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy, kas dažos Clarysec materiālos minēta arī kā P33 Audit and Compliance Monitoring Policy, paplašina struktūru:

“Riskos balstīts Audita plāns jāizstrādā un jāapstiprina katru gadu, ņemot vērā:”

No Audit and Compliance Monitoring Policy, Pārvaldības prasības, 5.2. punkts Audit and Compliance Monitoring Policy

“Organizācijai jāuztur Audita reģistrs, kas ietver:”

No Audit and Compliance Monitoring Policy, Pārvaldības prasības, 5.4. punkts

“Iekšējie auditi jāveic saskaņā ar dokumentētu procedūru, tostarp:”

No Audit and Compliance Monitoring Policy, Politikas ieviešanas prasības, 6.1.1. punkts

“Visiem konstatējumiem jārezultējas dokumentētā CAPA, kas ietver:”

No Audit and Compliance Monitoring Policy, Politikas ieviešanas prasības, 6.2.1. punkts

Vadības pārskatīšana ir nostiprināta Information Security Policy Information Security Policy, kas dažos Clarysec materiālos minēta arī kā P01 Information Security Policy:

“Vadības pārskatīšanas darbības (atbilstoši ISO/IEC 27001 9.3. punktam) jāveic vismaz reizi gadā, un tajās jāiekļauj:”

No Information Security Policy, Pārvaldības prasības, 5.3. punkts Information Security Policy

Šīs prasības izveido pierādījumu ķēdi, ko sagaida auditori: apstiprināts plāns, definēta procedūra, Audita reģistrs, konstatējumi, CAPA, glabāšana un vadības pārskatīšana.

Auditam gatavas pierādījumu paketes izveide

Auditam gatava pierādījumu pakete nav milzīga mape, kas izveidota divas dienas pirms audita. Tā ir dzīva struktūra, kas tiek uzturēta visa gada garumā.

Pierādījumu pakete jākartē pret ISO/IEC 27001:2022 punktiem un A pielikuma kontroles pasākumiem, bet jāmarķē pēc regulatīvās nozīmes. Piegādātāja audita ieraksts, piemēram, var atbalstīt A pielikuma piegādātāju kontroles pasākumus, NIS2 piegādes ķēdes drošību un DORA IKT trešo pušu risku pārvaldību. Incidenta galda mācību ieraksts var atbalstīt ISO 27001 incidentu pārvaldību, NIS2 pakāpeniskās paziņošanas gatavību un DORA būtisku ar IKT saistītu incidentu pārvaldību.

Kā veikt integrētu iekšējo auditu

Zenith Blueprint 26. solis uzsver objektīvus pierādījumus:

“Veiciet auditu, vācot objektīvus pierādījumus par katru punktu jūsu kontrolsarakstā.”

“Intervējiet attiecīgo personālu.”

“Pārskatiet dokumentāciju.”

“Novērojiet praksi.”

“Veiciet izlasi un izlases pārbaudes.”

No Zenith Blueprint, audita, pārskatīšanas un uzlabošanas posma, 26. solis: audita izpilde Zenith Blueprint

Tieši to prasa NIS2 un DORA gatavība. Regulatori un klienti nepieņems “mēs uzskatām, ka tas darbojas”. Viņi jautās, kā jūs to zināt.

Labi vadīts audits testē četras pierādījumu dimensijas.

Apsveriet simulētu izspiedējprogrammatūras notikumu sagatavošanas serverī. Auditors testē, vai incidentu reaģēšanas process spēj izpildīt ISO 27001 prasības, NIS2 pakāpeniskās ziņošanas gaidas un DORA klientu pienākumus.

NIS2 būtiskiem incidentiem paredz pakāpenisku ziņošanas struktūru, tostarp agrīnu brīdinājumu 24 stundu laikā pēc apzināšanās, incidenta paziņojumu 72 stundu laikā un galīgo ziņojumu viena mēneša laikā pēc incidenta paziņojuma. DORA ir savs ar IKT saistītu incidentu klasifikācijas un ziņošanas ietvars finanšu vienībām. Iekšējam auditam jāpārbauda, vai rokasgrāmatas fiksē apzināšanās laiku, smaguma kritērijus, ietekmētos pakalpojumus, kompromitācijas indikatorus, mazināšanas darbības, pamatcēloni, klientu informēšanas pienākumus un galīgā ziņojuma datus.

Viena audita konstatējuma pārvēršana NIS2 un DORA pierādījumos

Reālistisks piegādātāja konstatējums parāda, kā pierādījumiem jāplūst.

Iekšējā audita laikā auditors izlases veidā pārbauda piecus kritiskus piegādātājus. Viens mākoņvidē izvietots žurnālu reģistrēšanas pakalpojumu sniedzējs atbalsta krāpšanas uzraudzību un drošības brīdināšanu fintech platformai. Piegādātājs ir iekļauts uzskaitē, taču nav dokumentēta izstāšanās plāna, nav pierādījumu par ikgadēju drošības pārskatīšanu un nav apstiprinājuma, ka līgumā ir iekļauts atbalsts incidentu gadījumā vai audita tiesības.

Auditors reģistrē neatbilstību attiecībā uz piegādātāju drošību un mākoņpakalpojumu izstāšanās prasībām. Vāja atbilde būtu “trūkst piegādātāja pārskatīšanas”. Spēcīga atbilde izveido savstarpējās atbilstības pierādījumu ķēdi:

1. Reģistrēt konstatējumu audita ziņojumā, tostarp izlases apmēru, piegādātāja nosaukumu, līguma atsauci un trūkstošos pierādījumus.
2. Pievienot CAPA ierakstu ar pamatcēloni, piemēram, “piegādātāju uzņemšanas kontrolsarakstā nebija iekļauta kritiskuma klasifikācija vai izstāšanās plāna trigeris”.
3. Piešķirt piegādātāja īpašnieku un riska īpašnieku.
4. Atjaunināt piegādātāju reģistru, atzīmējot, ka pakalpojums atbalsta kritisku vai svarīgu funkciju.
5. Veikt risku izvērtēšanu, aptverot pakalpojuma pārtraukumu, piekļuvi datiem, koncentrācijas risku, atkarību no incidentu ziņošanas un līgumiskos trūkumus.
6. Atjaunināt risku apstrādes plānu un Piemērojamības paziņojumu, kur tas ir attiecināms.
7. Iegūt atjauninātu līguma pielikumu vai dokumentētu riska pieņemšanu.
8. Izveidot vai testēt izstāšanās plānu.
9. Pēc trūkumu novēršanas atkārtoti auditēt piegādātāja pierādījumus.
10. Ziņot par konstatējumu, risku un resursu vajadzībām vadības pārskatīšanā.

Šī viena ķēde atbalsta vairākus pienākumus. NIS2 sagaida piegādes ķēdes drošību un piegādātāju ievainojamību, kiberdrošības prakses un drošas izstrādes procedūru izvērtēšanu. DORA prasa finanšu vienībām pārvaldīt IKT trešo pušu risku, uzturēt līgumisko vienošanos reģistrus, izvērtēt pakalpojumu sniedzējus pirms līguma slēgšanas, attiecīgajos gadījumos iekļaut audita un pārbaudes tiesības, uzturēt izbeigšanas tiesības un dokumentēt izstāšanās stratēģijas IKT pakalpojumiem, kas atbalsta kritiskas vai svarīgas funkcijas. GDPR var būt būtisks arī tad, ja piegādātājs apstrādā personas datus.

Audita ieraksts vairs nav tikai atbilstības pierādījums. Tas ir noturības pierādījums.

Vadības pārskatīšana: kur pierādījumi kļūst par pārskatatbildību

Iekšējais audits atklāj patieso situāciju. Vadības pārskatīšana nosaka, ko ar to darīt.

Zenith Blueprint 28. solis apraksta vadības pārskatīšanas ievades paketi:

“ISO 27001 nosaka vairākas obligātās ievades vadības pārskatīšanai. Sagatavojiet īsu ziņojumu vai prezentāciju, kas aptver šos punktus.”

Blueprint uzskaita iepriekšējo darbību statusu, ārējo un iekšējo jautājumu izmaiņas, ISMS veiktspēju un efektivitāti, incidentus vai neatbilstības, uzlabošanas iespējas un resursu vajadzības.

No Zenith Blueprint, audita, pārskatīšanas un uzlabošanas posma, 28. solis: vadības pārskatīšana Zenith Blueprint

NIS2 un DORA kontekstā vadības pārskatīšana ir vieta, kur kļūst redzama valdes līmeņa pārskatatbildība. Pārskatīšanā nedrīkst aprobežoties ar frāzi “drošība tika apspriesta”. Tai jāparāda, ka vadība ir pārskatījusi:

• Izmaiņas NIS2, DORA, GDPR, klientu un līgumiskajās prasībās.
• Darbības jomas izmaiņas, tostarp jaunas valstis, produktus, regulētus klientus vai IKT atkarības.
• Iekšējā audita rezultātus, tostarp būtiskas un nebūtiskas neatbilstības.
• CAPA statusu un kavētās darbības.
• Drošības mērķus un metriku.
• Incidentu tendences, gandrīz notikušus incidentus un gūtās mācības.
• Piegādātāju un mākoņpakalpojumu koncentrācijas riskus.
• Darbības nepārtrauktības un rezerves kopiju testu rezultātus.
• Ievainojamību un ielāpu uzstādīšanas veiktspēju.
• Resursu vajadzības, tostarp cilvēkus, rīkus, apmācību un budžetu.
• Atlikušos riskus, kam nepieciešama formāla pieņemšana.
• Uzlabošanas lēmumus un atbildīgos īpašniekus.

Šeit Marija var tehnisku ziņojumu pārvērst stratēģiskā apliecinājumā. Tā vietā, lai teiktu “mēs atradām vienu incidentu procesa trūkumu”, viņa var teikt: “Audits identificēja vienu nebūtisku neatbilstību mūsu NIS2 incidentu ziņošanas lēmumu kritērijos. CAPA atjaunina procedūru, pievieno lēmumu matricu un prasa galda mācības 30 dienu laikā. Mums nepieciešams vadības apstiprinājums juridiskajai pārbaudei un apmācību laikam.”

Tieši šāds ieraksts atbalsta pārvaldību, pārraudzību un pamatotu lēmumu pieņemšanu.

Korektīvā darbība: atšķirība starp konstatējumu un briedumu

Iekšējais audits bez korektīvās darbības ir tikai diagnoze.

Zenith Blueprint 29. solis iesaka organizācijām izmantot CAPA žurnālu:

“Aizpildiet to ar katru problēmu: problēmas apraksts, pamatcēlonis, korektīvā darbība, atbildīgais īpašnieks, mērķa pabeigšanas datums, statuss.”

No Zenith Blueprint, audita, pārskatīšanas un uzlabošanas posma, 29. solis: nepārtraukta uzlabošana Zenith Blueprint

Tas arī skaidri nošķir svarīgu atšķirību:

“Audita terminoloģijā: korekcija novērš simptomu, korektīvā darbība novērš cēloni. Abas ir svarīgas.”

No Zenith Blueprint, audita, pārskatīšanas un uzlabošanas posma, 29. solis: nepārtraukta uzlabošana

Ja trūkst rezerves kopijas atjaunošanas pierādījumu, korekcija var būt atjaunošanas testa veikšana un dokumentēšana šonedēļ. Korektīvā darbība ir mainīt rezerves kopiju procedūru tā, lai atjaunošanas testi tiktu plānoti reizi ceturksnī, automātiski reģistrēti pieteikumos, pārskatīti pakalpojuma īpašnieka līmenī un iekļauti vadības pārskatīšanas rādītājos.

Auditori meklē tieši šādu briedumu. ISO 27001 auditors testē atbilstību ISMS un izvēlētajiem kontroles pasākumiem. NIS2 pārskatītājs jautā, vai risku pārvaldības pasākumi ir efektīvi un pārraudzīti. DORA pārskatītājs meklē IKT risku ietvara integrāciju, noturības testēšanu, trešo pušu atkarību pārvaldību un trūkumu novēršanu. NIST Cybersecurity Framework 2.0 vērtētājs var jautāt, vai pārvaldības, identificēšanas, aizsardzības, atklāšanas, reaģēšanas un atjaunošanas rezultāti darbojas. COBIT 2019 auditors var koncentrēties uz pārvaldības mērķiem, īpašumtiesībām, veiktspējas rādītājiem un apliecinājumu.

Tas pats CAPA ieraksts var apmierināt šīs perspektīvas, ja tas ietver pamatcēloni, īpašnieku, riska ietekmi, korektīvo darbību, termiņu, ieviešanas pierādījumus, efektivitātes pārskatīšanu un vadības redzamību.

Auditors un vairākas perspektīvas

Dažādi auditori tos pašus pierādījumus lasa atšķirīgi. Zenith Controls palīdz paredzēt šos jautājumus, kalpojot kā savstarpējās atbilstības ceļvedis ISO/IEC 27002:2022 kontroles pasākumiem un saistītajiem ietvariem.

Kontroles pasākums 5.36 ir labs piemērs. ISO 27001 auditors var koncentrēties uz to, vai atbilstības pārskatīšana notiek un tiek iekļauta korektīvajās darbībās. NIS2 pārskatītājs var jautāt, vai šajās pārskatīšanās tiek testēti juridiskie kiberdrošības pasākumi, ne tikai iekšējie noteikumi. DORA pārskatītājs var koncentrēties uz to, vai atbilstības pārskatīšanā ir iekļauti kritiskie IKT pakalpojumu sniedzēji un līgumisko prasību piemērošana.

Tāpēc pierādījumi jau no sākuma jāveido vairākiem lasītājiem.

Praktisks 30 dienu gatavības auditam sprints

Ja CEO jautā, vai organizācija var būt gatava auditam 30 dienu laikā, godīgā atbilde ir: jūs varat izveidot ticamu pierādījumu pamatlīniju, ja vadība atbalsta sprintu un darbības joma ir reālistiska.

Šis sprints neaizstāj ilgtermiņa briedumu. Tas izveido pamatotu darbības pamatlīniju. Patiesā vērtība rodas tad, kad organizācija atkārto ciklu reizi ceturksnī vai pusgadā, nevis tikai reizi gadā.

Biežākās pierādījumu nepilnības, ko konstatē Clarysec

SaaS, mākoņpakalpojumu un fintech auditos atkārtojas tās pašas vājās vietas:

• Audita plāns pastāv, bet tas nav balstīts uz risku.
• Audita kontrolsaraksts testē ISO punktus, bet ignorē NIS2, DORA, GDPR un klientu pienākumus.
• Vadības pārskatīšanas protokoli pastāv, bet tie neparāda lēmumus, resursu piešķiršanu vai riska pieņemšanu.
• CAPA ieraksti uzskaita darbības, bet ne pamatcēloni.
• Konstatējumi tiek slēgti bez efektivitātes verifikācijas.
• Piegādātāju pārskatīšana tiek veikta, bet kritiskie piegādātāji netiek nošķirti no zema riska piegādātājiem.
• Incidentu rokasgrāmatas pastāv, bet neviens nevar pierādīt, ka 24 vai 72 stundu ziņošanas darbplūsma darbotos.
• Rezerves kopiju uzdevumi ir zaļi, bet atjaunošanas testi nav pierādīti.
• Piekļuves tiesību pārskatīšana ir eksportēta, bet izņēmumi netiek izsekoti līdz slēgšanai.
• Žurnāli tiek vākti, bet neviens nevar parādīt uzraudzību, eskalāciju vai reaģēšanu.
• Pierādījumi tiek glabāti personīgajās mapēs, nevis kontrolētā repozitorijā.
• Glabāšanas prasības ir neskaidras vai neatbilst klientu līgumiem.

Šīs nepilnības ir novēršamas. Tām nepieciešama strukturēta ISMS pierādījumu arhitektūra, nevis dokumentu meklēšana pēdējā brīdī.

Kā tas izskatās labi valdes skatījumā

Kad CISO atgriežas pie CEO un CFO, spēcīgākā atbilde nav “mēs izpildījām audita kontrolsarakstu”. Tā ir:

“Mums ir apstiprināts audita plāns. Mēs veicām riskos balstītu iekšējo auditu. Mēs identificējām konstatējumus ar objektīviem pierādījumiem. Mēs apstiprinājām CAPA ar īpašniekiem un termiņiem. Mēs eskalējām būtiskus riskus, incidentus, piegādātāju atkarības un resursu vajadzības vadības pārskatīšanā. Mēs kartējām pierādījumus pret ISO/IEC 27001:2022, NIS2, DORA un GDPR. Mēs varam parādīt audita izsekojamību.”

Šāda atbilde maina sarunu. Tā dod CEO pārliecību sarunās ar klientiem. Tā dod CFO skaidrību par regulatīvo ietekmi. Tā dod valdei pamatotu pārraudzības ierakstu. Tā dod CISO prioritizētu ceļkarti, nevis atvienotu pieprasījumu kaudzi.

Vissvarīgākais — tā pārvieto organizāciju no atbilstības teātra uz darbības noturību.

Nākamie soļi ar Clarysec

Jūsu nākamajam auditam nevajadzētu būt haotiskai gatavošanās kampaņai. Tam jābūt redzamam pierādījumam, ka jūsu ISMS darbojas, vadība ir iesaistīta un organizācija ir gatava ISO 27001, NIS2, DORA, GDPR un klientu apliecinājumiem.

Clarysec var jums palīdzēt:

• Izveidot riskos balstītu iekšējā audita plānu, izmantojot Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint.
• Kartēt audita pierādījumus ar Zenith Controls: The Cross-Compliance Guide Zenith Controls.
• Ieviest MVU vai uzņēmuma līmeņa audita pārvaldību, izmantojot Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme vai Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy.
• Sagatavot vadības pārskatīšanas paketes, kas saskaņotas ar Information Security Policy Information Security Policy un ISO/IEC 27001:2022 9.3. punkta prasībām.
• Pārvērst konstatējumus CAPA ierakstos, vadības lēmumos un izmērāmos uzlabojumos.

Lejupielādējiet Clarysec rīkkopas, rezervējiet gatavības izvērtēšanu vai pieprasiet demonstrāciju, lai pārvērstu nākamo iekšējo auditu valdei gatavos pierādījumos ISO 27001, NIS2, DORA un citām prasībām.