ISO 27001 kā pierādījumu pamats NIS2 un DORA vajadzībām

Pirmdienas rīta atbilstības sadursme

Pirmdien plkst. 08:12 Marija, Eiropas maksājumu apstrādātāja informācijas drošības vadītāja, saņem trīs šķietami nesaistītus ziņojumus.

Iekšējā audita vadītājs pieprasa pierādījumus, ka ISO 27001:2022 Piemērojamības paziņojums ir aktuāls. Juridiskā komanda pārsūta bankas partnera anketu par DORA IKT trešo pušu riska uzraudzību. Operacionālais direktors jautā, vai to pašu incidentu rokasgrāmatu var izmantot NIS2 paziņošanas prasību izpildei jauniegūtai ES uzņēmējdarbības struktūrvienībai.

Līdz plkst. 09:00 Marijas biroja baltā tāfele ir noklāta ar saīsinājumiem: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. Viņas organizācijai ir kontroles pasākumi. Tai ir piekļuves pārvaldība, rezerves kopijas, piegādātāju anketas, šifrēšana, reaģēšana uz incidentiem, politiku apstiprinājumi, vadības pārskati un apmācību ieraksti. Taču tai nav vienota auditam gatava pierādījumu pamata, kas izskaidro, kāpēc šie kontroles pasākumi pastāv, kādus riskus tie apstrādā, kādus regulējumus tie atbalsta, kam tie pieder un kur atrodas pierādījumi.

Šī problēma Eiropā kļūst arvien izplatītāka. NIS2 pastiprina kiberdrošības risku pārvaldību, pārvaldību, incidentu pārvaldību un piegādes ķēdes noturību. DORA finanšu vienībām nosaka detalizētas IKT risku pārvaldības, noturības testēšanas, incidentu ziņošanas un IKT trešo pušu uzraudzības prasības. GDPR turpina prasīt pārskatatbildību, apstrādes drošību, apstrādātāju pārvaldību un personas datu aizsardzības pārkāpumu izvērtēšanu.

Nepareiza reakcija ir veidot trīs paralēlas atbilstības programmas. Tas rada dublētus kontroles pasākumus, nekonsekventus pierādījumus un pārslogotas komandas.

Spēcīgāka pieeja ir izmantot ISO 27001:2022 kā kontroles pasākumu pamatu. Nevis kā sertifikātu pie sienas, bet kā darbības sistēmu riskiem, politikām, piegādātāju pārvaldībai, reaģēšanai uz incidentiem, atbilstības kartēšanai un audita pierādījumiem.

Clarysec praktiskais modelis ir vienkāršs: izmantojiet ISO 27001:2022 ISMS kā organizējošo sistēmu, Piemērojamības paziņojumu kā savienojošo elementu, politikas kā piemērojamus darbības noteikumus un Zenith Controls: savstarpējās atbilstības ceļvedi kā savstarpējās atbilstības kompasu. Izveidojiet vienreiz, kartējiet rūpīgi, pierādiet nepārtraukti.

Kāpēc ISO 27001:2022 darbojas kā atbilstības pamats

NIS2 un DORA ir atšķirīgas darbības jomas, juridiskie mehānismi un uzraudzības modeļi. NIS2 attiecas uz būtiskām un svarīgām vienībām dažādās nozarēs. DORA attiecas uz finanšu vienībām un nosaka detalizētas digitālās operacionālās noturības prasības. GDPR koncentrējas uz personas datu apstrādi un pārskatatbildību.

Tomēr šo ietvaru pamatā esošie darbības jautājumi pārklājas:

• Vai kiberdrošību regulē vadības apstiprinātas politikas?
• Vai informācijas drošības un IKT riski tiek identificēti, izvērtēti un apstrādāti?
• Vai kontroles pasākumi tiek atlasīti, pamatojoties uz risku, uzņēmējdarbības kontekstu un juridiskajiem pienākumiem?
• Vai piegādātāji tiek pārvaldīti, izmantojot sākotnējo izpēti, līgumus, uzraudzību un izbeigšanas kontroles pasākumus?
• Vai personāls spēj laikus atpazīt drošības notikumus un ziņot par tiem?
• Vai incidentus iespējams sākotnēji izvērtēt, eskalēt, izmeklēt un izvērtēt normatīvās paziņošanas vajadzībām?
• Vai organizācija audita, klienta pārbaudes vai uzraudzības iestādes pieprasījuma laikā var ātri izgūt pierādījumus?

ISO 27001:2022 nodrošina vadībai pārvaldības sistēmu, lai uz šiem jautājumiem atbildētu konsekventi. ISO/IEC 27007:2022 Piemērojamības paziņojumu traktē kā auditējamu atlasīto informācijas drošības kontroles pasākumu sarakstu, tostarp kontroles pasākumus no ISO 27001:2022 A pielikuma, citiem standartiem vai organizācijai specifiskiem pasākumiem, ar dokumentētu pamatojumu iekļaušanai vai izslēgšanai. ISO/IEC 27006-1:2024 nostiprina, ka SoA un saistītā ISMS dokumentācija veido galveno pierādījumu bāzi, lai parādītu, kuri kontroles pasākumi ir nepieciešami, kā tiek piešķirta atbildība un kā politikas tiek ieviestas un komunicētas.

Tādējādi SoA kļūst par daudz ko vairāk nekā izklājlapu. Tas kļūst par kontroles pasākumu līgumu starp risku, atbilstību, darbību, Juridisko dienestu, iepirkumu, auditu un valdi.

Clarysec [P01] Informācijas drošības politika nostiprina šo pārvaldības prasību:

Organizācijai jāievieš un jāuztur informācijas drošības pārvaldības sistēma (ISMS) saskaņā ar ISO/IEC 27001:2022 4. līdz 10. punktu.

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.1.1.

Tas ir būtiski, jo NIS2 un DORA pierādījumu pieprasījumi reti tiek formulēti ISO valodā. Regulators, klients vai valdes komiteja var pieprasīt pierādījumus par kiberdrošības risku pārvaldību, IKT pārvaldību, trešo pušu atkarību uzraudzību, incidentu eskalāciju vai operacionālās noturības testēšanu. ISO 27001:2022 ISMS šīm atbildēm piešķir struktūru.

SoA ir savienojošais elements, nevis dokumentu formalitāte

Zenith Blueprint: auditora 30 soļu ceļvedī, risku pārvaldības posmā, 13. solī, Clarysec definē SoA kā galveno izsekojamības mehānismu starp riska apstrādi un ieviestajiem kontroles pasākumiem:

SoA faktiski ir savienojošs dokuments: tas sasaista jūsu riska izvērtēšanu/apstrādi ar faktiskajiem kontroles pasākumiem, kas jums ir ieviesti.

Šis teikums ir savstarpējās atbilstības kodols. Kontroles pasākums bez izsekojamības kļūst par atsevišķu artefaktu. Kontroles pasākums, kas sasaistīts ar risku, juridisku pienākumu, politiku, īpašnieku, pierādījumu ierakstu un testēšanas rezultātu, kļūst gatavs auditam.

13. solī arī ieteikts riska scenārijiem pievienot kontroles pasākumu atsauces, piemēram, klientu datubāzes pārkāpuma scenāriju sasaistot ar piekļuves kontroli, kriptogrāfiju, ievainojamību pārvaldību, reaģēšanu uz incidentiem un piegādātāju kontroles pasākumiem. Tajā arī ieteikts norādīt, kad kontroles pasākumi atbalsta ārējās prasības, piemēram, GDPR, NIS2 vai DORA.

Clarysec [P06] Risku pārvaldības politika šo darbības noteikumu nosaka skaidri:

Kontroles pasākumu lēmumi, kas izriet no riska apstrādes procesa, jāatspoguļo SoA.

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.5.1.

Mazākām organizācijām Risku pārvaldības politika — SME izmanto to pašu loģiku:

Tā nodrošina, ka risku pārvaldība ir aktīva plānošanas, projektu izpildes, piegādātāju atlases un reaģēšanas uz incidentiem sastāvdaļa saskaņā ar ISO 27001, ISO 31000 un piemērojamajām regulatīvajām prasībām.

No sadaļas “Mērķis”, politikas punkts 1.2.

Ja DORA trešo pušu riska apstrāde, NIS2 incidentu pārvaldības pasākums vai GDPR apstrādātāja drošības prasība nav atspoguļota SoA vai saistītajā atbilstības reģistrā, organizācija, iespējams, šo darbu faktiski veic. Taču tai būs grūti šo darbu pierādīt saskaņoti.

Praktiska ISO 27001:2022 atbilstības karte NIS2 un DORA vajadzībām

Tālāk sniegtā atbilstības karte nav juridisks padoms. Tas ir praktisks pierādījumu modelis informācijas drošības vadītājiem, atbilstības vadītājiem, iekšējiem auditoriem un biznesa īpašniekiem, kuriem ISO 27001:2022 pierādījumi jāsaskaņo ar NIS2 un DORA prasībām.

ENISA sadarbībā ar Eiropas Komisiju un NIS Cooperation Group ir sniegusi konsultatīvas savstarpējo atsauču vadlīnijas, kas palīdz saskaņot ES kiberdrošības prasības ar starptautiskajiem un nacionālajiem standartiem, tostarp ISO 27001. Šīs vadlīnijas nav juridiski saistošas un jāpapildina ar nacionālo iestāžu norādījumiem, nozares noteikumiem un juridisku pārbaudi. Tomēr tās atbalsta pamatotu kartēšanas pieeju.

Šī atbilstības karte darbojas, jo tā neveido dublētus kontroles pasākumus katram regulējumam. Tā izmanto ISO 27001:2022 kā kontroles pasākumu pamatu un pievieno regulējuma marķējumus, īpašumtiesības un pierādījumu prasības.

Trīs ISO 27001:2022 kontroles pasākumi, kas atver pamata modeli

NIS2 un DORA vajadzībām nozīmīgi ir vairāki kontroles pasākumi, taču trīs ISO/IEC 27002:2022 kontroles pasākumi bieži kļūst par pierādījumu modeļa mugurkaulu: 5.1, 5.19 un 5.24. Ceturtais kontroles pasākums, 6.8, bieži nosaka, vai incidentu ziņošana praksē darbojas.

Zenith Controls ISO/IEC 27002:2022 kontroles pasākums 5.1, Informācijas drošības politikas, ir raksturots kā preventīvs kontroles pasākums, kas atbalsta konfidencialitāti, integritāti un pieejamību, ar pārvaldību un politiku pārvaldību kā galvenajām darbības spējām. Savstarpējā kartēšana skaidro, ka GDPR Articles 5(2), 24 un 32 prasa pārskatatbildību, atbildību un apstrādes drošību. Tā pašu kontroles pasākumu kartē arī pret NIS2 kiberdrošības risku pārvaldības un pārvaldības prasībām, kā arī pret DORA IKT pārvaldības un risku pārvaldības ietvara prasībām.

Tāpēc informācijas drošības politika nav tikai vēl viena politika. NIS2 izvērtētājs to var lasīt kā pārvaldības pierādījumu. DORA uzraugs to var lasīt kā IKT risku ietvara pierādījumu. GDPR pārskatītājs to var lasīt kā pārskatatbildības pierādījumu. ISO 27001:2022 auditors to var lasīt kā ISMS politiku struktūras daļu.

Kontroles pasākums 5.19, Informācijas drošība attiecībās ar piegādātājiem, ir vieta, kur satiekas iepirkums, Juridiskais dienests, drošība, privātums un noturība. Zenith Controls to kartē pret GDPR apstrādātāju pienākumiem, NIS2 piegādes ķēdes kiberdrošību un DORA IKT trešo pušu riska pārvaldību. DORA kontekstā šie pierādījumi kļūst vēl spēcīgāki, ja tos atbalsta kontroles pasākumi 5.20 Informācijas drošības prasību iekļaušana piegādātāju līgumos, 5.21 Informācijas drošības pārvaldība IKT piegādes ķēdē un 5.23 Informācijas drošība mākoņpakalpojumu izmantošanā.

Kontroles pasākums 5.24, Informācijas drošības incidentu pārvaldības plānošana un sagatavošana, ir incidentu gatavības operacionālais dzinējs. Zenith Controls to kartē pret NIS2 incidentu pārvaldību un paziņošanu, GDPR personas datu aizsardzības pārkāpumu paziņošanu un DORA ar IKT saistītu incidentu pārvaldību un ziņošanu. Tā pierādījumi nav tikai incidentu reaģēšanas politika. Tie ietver ziņošanas kanālus, sākotnējās izvērtēšanas kritērijus, eskalācijas ierakstus, juridiskos paziņošanas izvērtējumus, galda mācības, incidentu pieteikumus un gūtās mācības.

Kontroles pasākums 6.8, Informācijas drošības notikumu ziņošana, aizver plaisu starp rakstīto plānu un cilvēku uzvedību. Ja personāls nezina, kā ziņot par aizdomīgu pikšķerēšanu, datu noplūdi, piegādātāja pakalpojuma nepieejamību vai aizdomīgu sistēmas darbību, organizācija var zaudēt kritiski svarīgu laiku vēl pirms sākas juridiska vai regulatīva ziņošanas pienākumu izvērtēšana.

Viens piegādātāja incidents, viena koordinēta pierādījumu ķēde

Iedomājieties, ka mākoņanalītikas pakalpojumu sniedzējs, ko izmanto Marijas maksājumu apstrādātājs, konstatē nesankcionētu piekļuvi atbalsta portālam. Pakalpojumu sniedzējs mitina pseidonimizētus klientu lietošanas datus un atbalsta darbībai kritisku pārskatu sagatavošanas darbplūsmu. Incidents var ietekmēt personas datus, reglamentētu IKT noturību un pakalpojuma pieejamību.

Fragmentēta atbilstības programma atver trīs atsevišķas darba plūsmas: GDPR pārkāpuma izvērtēšanu, DORA IKT incidenta pārskatīšanu un ISO 27001 piegādātāja pieteikumu. Katra komanda pieprasa līdzīgus pierādījumus citā formātā. Iepirkums meklē līgumu. Juridiskais dienests jautā, vai pakalpojumu sniedzējs ir apstrādātājs. Drošība jautā, vai incidents sasniedz ziņošanas sliekšņus. Atbilstības komanda sāk jaunu izklājlapu.

Nobriedis ISO 27001:2022 pamats atver vienu koordinētu pierādījumu ķēdi.

Pirmkārt, notikums tiek reģistrēts incidentu reaģēšanas procesā. Ziņotājs izmanto noteiktu kanālu, drošības komanda veic notikuma sākotnējo izvērtēšanu, un Juridiskais dienests izvērtē paziņošanas pienākumus. Clarysec [P30] Incidentu reaģēšanas politika prasa, lai reglamentētu datu incidentus izvērtē Juridiskais dienests un DPO:

Ja incidents izraisa apstiprinātu vai iespējamu personas datu vai citu reglamentētu datu ekspozīciju, Juridiskajam dienestam un DPO jāizvērtē piemērojamība:

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.4.1.

Mazākām organizācijām Incidentu reaģēšanas politika — SME nosaka to pašu praktisko lēmuma punktu:

Ja ir iesaistīti klientu dati, ģenerāldirektoram jāizvērtē juridiskie paziņošanas pienākumi, pamatojoties uz GDPR, NIS2 vai DORA piemērojamību.

No sadaļas “Risku apstrāde un izņēmumi”, politikas punkts 7.4.1.

Otrkārt, tiek pārskatītas attiecības ar piegādātāju. Vai pakalpojumu sniedzējs bija klasificēts kā kritisks? Vai līgumā bija iekļauti paziņošanas pienākumi pārkāpuma gadījumā, audita tiesības, datu aizsardzības pienākumi, pakalpojumu nepārtrauktības prasības un izbeigšanas nosacījumi? Clarysec Trešo pušu un piegādātāju drošības politika nosaka šo prasību:

Visos piegādātāju līgumos jāiekļauj standartizētas drošības prasības, tostarp paziņošanas pienākumi pārkāpuma gadījumā, audita tiesības un datu aizsardzības pienākumi.

No sadaļas “Mērķi”, politikas punkts 3.2.

SME gadījumā Trešo pušu un piegādātāju drošības politika — SME savstarpējās atbilstības mērķi nosaka skaidri:

Atbalstīt atbilstību ISO/IEC 27001:2022, GDPR, NIS2 un DORA pienākumiem, kas saistīti ar piegādātāju pārvaldību.

No sadaļas “Mērķi”, politikas punkts 3.6.

Treškārt, riska reģistrs, apstrādes plāns un SoA tiek atjaunināti, ja incidents atklāj trūkumu. Iespējams, piegādātāja līgumā trūkst konkrēta regulatīvās paziņošanas termiņa. Iespējams, piegādātāja uzraudzības biežums ir pārāk zems kritiskam IKT pakalpojumu sniedzējam. Iespējams, incidentu reaģēšanas plāns skaidri nenošķir personas datu aizsardzības pārkāpuma kritērijus no IKT pakalpojuma darbības traucējumu kritērijiem.

Mērķis nav izveidot jaunu atbilstības visumu. Mērķis ir atjaunināt vienu integrētu pierādījumu ķēdi, lai tie paši ieraksti varētu atbildēt uz vairākiem audita jautājumiem.

SoA pārvēršana par NIS2 un DORA pierādījumu karti

Standarta SoA bieži labi atbild uz ISO jautājumiem: kuri kontroles pasākumi ir piemērojami, kāpēc tie ir atlasīti un vai tie ir ieviesti. Lai to padarītu par praktisku NIS2 un DORA pierādījumu karti, papildiniet to ar regulējuma un operacionālo pierādījumu laukiem.

Atveriet SoA_Builder.xlsx no Audit Ready Toolkit, kas minēts Zenith Blueprint audita, pārskatīšanas un uzlabošanas posma 24. solī. 24. solis skaidro, ka auditori bieži atlasīs kontroles pasākumu no SoA izlases veidā un jautās, kāpēc tas tika ieviests. Pamatojuma kolonnai un sasaistītajam riskam vai prasībai jāatbild uz šo jautājumu.

Pievienojiet šīs kolonnas:

Tagad piemērojiet to pamata kontroles pasākumu kopai.

Pēc tam veiciet izlases izsekošanu. Izvēlieties vienu piegādātāja incidentu no pēdējā gada un izsekojiet to no incidenta pieteikuma līdz piegādātāja līgumam, no piegādātāja klasifikācijas līdz riska reģistram, no riska apstrādes līdz SoA un no SoA līdz vadības pārskatīšanai.

Ja ķēde pārtrūkst, tā nav neveiksme. Tā ir precīza korektīvā darbība, kas jāveic pirms auditors, klients, regulators vai valdes komiteja atrod trūkumu.

Centralizēti pierādījumi ir nepietiekami novērtēts paātrinātājs

Daudzām organizācijām ir pietiekami kontroles pasākumi, bet vāja pierādījumu izgūšana. Pierādījumi ir izkaisīti pa e-pastu, pieteikumu sistēmām, SharePoint mapēm, līgumu repozitorijiem, HR platformām, GRC rīkiem un piegādātāju portāliem. Audita sezonā atbilstības komanda pavada nedēļas, dzenoties pēc ekrānuzņēmumiem.

Tā nav gatavība auditam. Tā ir audita glābšana.

Clarysec [P33S] Audita un atbilstības uzraudzības politika — SME nosaka:

Visi pierādījumi jāglabā centralizētā audita mapē.

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.2.1.

Centralizēta audita mape nenozīmē nekontrolētu izgāztuvi. Tā nozīmē strukturētu repozitoriju, kas saskaņots ar ISMS, SoA, riska reģistru, Audita plānu un Atbilstības reģistru.

Clarysec Tiesiskās un regulatīvās atbilstības politika — SME kartēšanas problēmu risina tieši:

Ja regulējums attiecas uz vairākām jomām (piemēram, GDPR attiecas uz glabāšanu, drošību un privātumu), tas skaidri jākartē Atbilstības reģistrā un apmācību materiālos.

No sadaļas “Pārvaldības prasības”, politikas punkts 5.2.2.

Tieši šādi ISO 27001:2022 kļūst par NIS2 un DORA kontroles pasākumu pamatu. Jūs nepaļaujaties uz neformālām zināšanām. Jūs kartējat regulējumus pāri procesiem, politikām, kontroles pasākumiem, pierādījumiem un apmācībām.

Incidentu ziņošana sākas ar cilvēkiem, nevis portāliem

Bieža audita vājā vieta parādās tad, kad incidentu reaģēšanas plāns izskatās spēcīgs, bet darbinieki nezina, kad vai kā ziņot. Tas ir bīstami NIS2, DORA un GDPR vajadzībām, jo regulatīvās izvērtēšanas termiņi ir atkarīgi no atklāšanas, eskalācijas un klasifikācijas.

Zenith Blueprint kontroles pasākumu darbības posma 16. solī Clarysec uzsver personāla virzītu incidentu ziņošanu saskaņā ar ISO/IEC 27002:2022 kontroles pasākumu 6.8. Vadlīnijas nosaka, ka reaģēšana uz incidentiem sākas ar cilvēkiem. Organizācijām jāizveido skaidrs, vienkāršs un pieejams ziņošanas kanāls, piemēram, uzraudzīta e-pasta adrese, iekšējais portāls, palīdzības tālrunis vai pieteikumu kategorija. Tās arī iesaka informētības apmācību, ziņošanas kultūru bez vainošanas, konfidencialitāti, zema sliekšņa ziņošanu un periodiskas simulācijas.

Savstarpējās atbilstības ietekme ir tieša. Zenith Blueprint sasaista šo personāla ziņošanas spēju ar GDPR Article 33, NIS2 Article 23 un DORA Article 17. Ja darbinieki vilcinās ziņot par aizdomīgu darbību, organizācija var zaudēt kritiski svarīgu laiku, pirms juridiskās, drošības vai regulatīvās komandas var izvērtēt paziņošanas pienākumus.

Praktisks kontroles tests ir vienkāršs:

1. Pajautājiet pieciem darbiniekiem, kā ziņot par aizdomīgu pikšķerēšanas e-pastu.
2. Pārbaudiet, vai ziņošanas kanāls tiek uzraudzīts.
3. Apstipriniet, vai pieteikumu sistēmā ir drošības incidentu kategorija.
4. Pārskatiet pēdējo simulāciju vai galda mācības.
5. Pārbaudiet, vai gūtās mācības tika pārskatītas vadības pārskatīšanā.

Ja kāda atbilde nav skaidra, atjauniniet incidentu instrukciju lapu, apmācību materiālu, ziņošanas kanālu un SoA pierādījumu atsauci.

Kā dažādi auditori pārbauda vienu un to pašu pamatu

Savstarpējās atbilstības pierādījumiem jāiztur dažādi audita skatpunkti. Vienu un to pašu kontroles pasākumu var testēt atšķirīgi atkarībā no pārskatītāja pilnvarojuma.

Šeit Zenith Controls sniedz vērtību, kas pārsniedz vienkāršu kartēšanas tabulu. Tas palīdz pārvērst ISO/IEC 27002:2022 kontroles pasākumus auditam nozīmīgos skatpunktos, tostarp kontroles pasākumu atribūtos, regulatīvajās attiecībās un pierādījumu prasībās. Kontroles pasākumam 5.1 atribūti atbalsta pārvaldību, politiku pārvaldību, pārskatatbildību un drošības mērķus. Kontroles pasākumam 5.24 atribūti atbalsta reaģēšanas un atjaunošanas konceptus, incidentu gatavību un korektīvo darbību. Kontroles pasākumam 5.19 piegādātāju attiecību atribūti sasaista pārvaldību, ekosistēmas risku, aizsardzību un trešo pušu uzraudzību.

Kas jāredz valdei

Valdei nav nepieciešama katra SoA rinda. Tai ir vajadzīgs stāsts, ko SoA izstāsta.

Spēcīgā valdes materiālu paketē ISO 27001:2022, NIS2 un DORA saskaņošanai jāiekļauj:

• ISMS darbības joma un ietvertie biznesa pakalpojumi.
• Būtiskākie informācijas drošības un IKT riski.
• Piemērojamo kontroles pasākumu kopsavilkums pa jomām.
• NIS2, DORA un GDPR kartēšanas statuss.
• Kritiskie piegādātāji un koncentrācijas riski.
• Incidentu ziņošanas metrikas un galda mācību rezultāti.
• Atvērtās korektīvās darbības un kavētās riska apstrādes darbības.
• Lēmumi, kas nepieciešami par riska pieņemšanu, budžetu, īpašumtiesībām un resursiem.

Tas pārvērš atbilstību pārvaldības pierādījumos. Tas arī saskan ar kontroles pasākuma 5.1 mērķi Zenith Controls, kur informācijas drošības politikas atbalsta augstākās vadības virzienu, pārskatatbildību un drošības mērķus.

Biežākās kļūdas, no kurām jāizvairās

Pirmā kļūda ir pieņemt, ka ISO 27001:2022 sertifikācija automātiski pierāda atbilstību NIS2 vai DORA. Tā nav. ISO 27001:2022 sniedz spēcīgu pārvaldības sistēmu un kontroles pasākumu pamatu, taču jums joprojām nepieciešama regulējuma darbības jomas noteikšana, juridiskā analīze, nozarei specifiska interpretācija, paziņošanas darbplūsmas un izpratne par nacionālo iestāžu gaidām.

Otrā kļūda ir uzskatīt SoA par statisku. SoA jāattīstās, kad rodas jauni piegādātāji, sistēmas, incidenti, regulējumi, pakalpojumi vai riski. Zenith Blueprint 24. solis iesaka savstarpēji pārbaudīt SoA pret riska reģistru un apstrādes plānu, nodrošinot, ka katram atlasītajam kontroles pasākumam ir pamatojums, kas balstīts uz kartētu risku, juridisku prasību vai biznesa vajadzību.

Trešā kļūda ir kartēt pārāk augstā līmenī. Slaids ar tekstu “ISO 27001 maps to DORA” nav audita pierādījums. Konkrēts SoA ieraksts, kas sasaista piegādātāju attiecību drošību ar kritiska IKT piegādātāja risku, līguma klauzulu, piegādātāja pārskatīšanas ierakstu un DORA trešo pušu uzraudzības prasību, ir daudz spēcīgāks.

Ceturtā kļūda ir pierādījumu necentralizēšana. Ja atbilstības vadītājs pirms katra audita pavada divas nedēļas, vācot ekrānuzņēmumus, organizācijai ir izgūšanas problēma.

Piektā kļūda ir personāla kontroles pasākumu ignorēšana. Incidentu ziņošana, piegādātāju ievadīšana, piekļuves tiesību pārskatīšana, politikas akceptēšana un eskalācija ir atkarīga no cilvēku uzvedības. Slīpēts process, ko neviens neievēro, sabruks audita izlases pārbaudē.

Clarysec darbības modelis savstarpējai atbilstībai

Clarysec metode savieno atbilstības stāstu no stratēģijas līdz pierādījumiem:

• Zenith Blueprint risku pārvaldības posma 13. solī jūs kartējat kontroles pasākumus pret riskiem un veidojat SoA kā savienojošo dokumentu.
• Zenith Blueprint risku pārvaldības posma 14. solī jūs sasaistāt GDPR, NIS2 un DORA prasības ar politikām un kontroles pasākumiem.
• Zenith Blueprint kontroles pasākumu darbības posma 16. solī jūs operacionalizējat personāla virzītu incidentu ziņošanu, lai eskalācija sāktos agrīni.
• Zenith Blueprint audita, pārskatīšanas un uzlabošanas posma 24. solī jūs pabeidzat un testējat SoA, savstarpēji pārbaudāt to pret riska apstrādes plānu un sagatavojat kā vienu no pirmajiem dokumentiem, ko auditors pieprasīs.

Šo metodi atbalsta Clarysec politikas, kas principus pārvērš darbības noteikumos: informācijas drošības pārvaldība, riska apstrāde, piegādātāju drošība, reaģēšana uz incidentiem, tiesiskā un regulatīvā kartēšana un pierādījumu glabāšana.

Rezultāts nav tikai ISO 27001:2022 gatavība. Tā ir atkārtoti izmantojama atbilstības pierādījumu sistēma NIS2, DORA, GDPR, klientu apliecinājuma programmu, iekšējā audita un valdes pārraudzības vajadzībām.

Nākamie soļi: izveidojiet vienreiz, pierādiet daudzkārt

Ja jūsu organizācija saskaras ar NIS2, DORA, GDPR, klientu auditiem vai ISO 27001:2022 sertifikācijas spiedienu, sāciet ar pamatu.

1. Pārskatiet savu SoA un pievienojiet regulatīvā pamata kolonnas NIS2, DORA un GDPR vajadzībām.
2. Savstarpēji pārbaudiet SoA pret savu riska reģistru un riska apstrādes plānu.
3. Kartējiet kritiskos piegādātājus pret piegādātāju drošības kontroles pasākumiem, līguma klauzulām un uzraudzības pierādījumiem.
4. Testējiet savu incidentu ziņošanas darbplūsmu ar galda mācībām.
5. Centralizējiet audita pierādījumus pēc kontroles pasākuma, regulējuma, īpašnieka un testēšanas statusa.
6. Izmantojiet Zenith Controls, lai pārvērstu ISO/IEC 27002:2022 kontroles pasākumus savstarpējās atbilstības pierādījumos.
7. Izmantojiet Zenith Blueprint, lai no riska apstrādes pārietu uz auditam gatavu SoA validāciju.
8. Ieviesiet Clarysec politiku kopu, tostarp Informācijas drošības politiku, Risku pārvaldības politiku, Trešo pušu un piegādātāju drošības politiku un Incidentu reaģēšanas politiku, lai paātrinātu ieviešanu.

Ātrākais ceļš nav vēl vairāk nesaistītu kontrolsarakstu. Tas ir viens integrēts ISMS, viens izsekojams SoA, viens centralizēts pierādījumu modelis un viens savstarpējās atbilstības darbības ritms.

Clarysec var palīdzēt pārvērst ISO 27001:2022 no sertifikācijas projekta par praktisku kontroles pasākumu pamatu NIS2 un DORA vajadzībām. Lejupielādējiet Zenith Blueprint, izpētiet Zenith Controls vai rezervējiet Clarysec izvērtēšanu, lai izveidotu auditam gatavu pierādījumu modeli, pirms nākamais regulators, klients vai valdes komiteja pieprasa pierādījumus.