ISO 27001 iekšējais audits NIS2 un DORA vajadzībām
Ir pirmā 2026. gada audita komitejas sanāksme. Sarah, strauji augoša SaaS un finanšu tehnoloģiju pakalpojumu sniedzēja FinSecure CISO, darba kārtībā ir atvēlētas piecpadsmit minūtes. Valdei ir pieci jautājumi.
Vai esam gatavi ISO/IEC 27001:2022 uzraudzības auditam? Vai mēs kā pārvaldīto pakalpojumu sniedzējs ietilpstam NIS2 darbības jomā? Vai DORA mūs skar tāpēc, ka atbalstām finanšu sektora klientus? Vai varam pierādīt, ka ziņošana par incidentiem, piegādātāju padziļinātā izpēte un darbības nepārtrauktība darbojas praksē? Un kāpēc iepriekšējā ceturkšņa piekļuves tiesību pārskatīšanā joprojām tika atrasti konti, kuriem jau bija jābūt deaktivizētiem?
Sarah rīcībā ir pierādījumi, taču tie ir izkaisīti. Inženierijas komandai ir ievainojamību skenēšanas eksporta faili. Iepirkumam ir piegādātāju anketas. Juridiskajai funkcijai ir līgumu klauzulas. Atbilstības vadītājam ir GDPR izsekošanas reģistrs. SOC ir incidentu pieteikumi. Nekas no tā acīmredzami nav nepareizs, taču nekas neveido vienotu apliecināšanas stāstu.
Šis ir brīdis, kad ISO 27001 iekšējā audita programma vai nu kļūst par stratēģisku pierādījumu dzinēju, vai paliek reizi gadā veikta steidzama sagatavošanās.
Organizācijām, uz kurām attiecas NIS2 un DORA, iekšējais audits vairs nevar būt formāls kontrolsaraksts. Tam jākļūst par uz risku balstītu apliecināšanas sistēmu, kas apstiprina, vai ISMS darbības joma ir pareiza, vai kontroles pasākumi darbojas praksē, vai regulatīvās prasības ir kartētas, vai konstatējumi tiek klasificēti konsekventi un vai korektīvās darbības nonāk vadības pārskatīšanā. 2026. gadā spēcīgākās programmas nejautās tikai: “Vai mēs veicām auditu?” Tās jautās: “Vai mēs varam mēnesi pēc mēneša pierādīt, ka kiberdrošības pārvaldība, IKT noturība, piegādātāju drošība un gatavība incidentiem darbojas?”
Tieši šādu pieeju Clarysec iestrādā Zenith Blueprint: auditora 30 soļu ceļvedī, Zenith Controls: savstarpējās atbilstības ceļvedī un Clarysec politiku komplektā. Mērķis nav veidot atsevišķus ISO, NIS2 un DORA projektus. Mērķis ir pilnveidot ISMS tā, lai viena audita programma radītu atkārtoti izmantojamus pierādījumus vairākām apliecināšanas vajadzībām.
Kāpēc 2026. gada iekšējā audita programmām jāmainās
NIS2 un DORA audita sarunu ir pārcēlušas no dokumentācijas uz pārvaldītu noturību.
NIS2 attiecas uz daudzām vidējām un lielām organizācijām kritiski svarīgās un svarīgās nozarēs, tostarp digitālo infrastruktūru, mākoņpakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, pārvaldīto pakalpojumu sniedzējiem, pārvaldīto drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības platformām, tiešsaistes meklētājprogrammām un sociālo tīklu platformām. Dalībvalstis nacionālos pasākumus sāka piemērot no 2024. gada oktobra, un 2026. gadā daudzas organizācijas darbojas pirmajā pilnajā gadā ar nobriedušām NIS2 prasībām.
DORA no 2025. gada 17. janvāra attiecas uz plašu finanšu vienību loku, tostarp kredītiestādēm, maksājumu iestādēm, elektroniskās naudas iestādēm, ieguldījumu brokeru sabiedrībām, kriptoaktīvu pakalpojumu sniedzējiem, apdrošināšanas un pārapdrošināšanas uzņēmumiem, kolektīvās finansēšanas pakalpojumu sniedzējiem un attiecīgajiem IKT trešo personu pakalpojumu sniedzējiem. DORA ir nozarei specifisks digitālās darbības noturības režīms finanšu vienībām, uz kurām tas attiecas. IKT pakalpojumu sniedzēji, kas apkalpo finanšu vienības, DORA ietekmi var izjust arī caur līgumiem, audita tiesībām, dalību testēšanā, incidentu atbalstu, apakšuzņēmēju kontroles pasākumiem un izbeigšanas vai izstāšanās prasībām.
Abi regulējumi paaugstina pārskatatbildību. NIS2 Article 20 prasa vadības struktūrām apstiprināt un pārraudzīt kiberdrošības riska pārvaldības pasākumus un saņemt kiberdrošības apmācību. DORA Article 5 nosaka, ka vadības struktūra ir galīgi atbildīga par IKT risku, tostarp par digitālās darbības noturības stratēģijas, IKT politiku, nepārtrauktības pasākumu un trešo personu riska apstiprināšanu un pārraudzību.
ISO 27001 šādai videi ir piemērots, jo tas ir pārvaldības sistēmas standarts. Tas prasa organizācijai izprast savu kontekstu, noteikt ieinteresētās puses un prasības, definēt ISMS darbības jomu, izvērtēt un apstrādāt riskus, uzraudzīt sniegumu, veikt iekšējos auditus un nodrošināt nepārtrauktu uzlabošanu. Mērķis nav ievietot NIS2 un DORA ISO veidlapās. Mērķis ir izmantot ISO 27001 kā darbības sistēmu atkārtojamai apliecināšanai.
Sāciet ar darbības jomu: auditējiet sistēmu, uz kuru paļaujas valde
Vāja iekšējā audita programma sākas ar neskaidru darbības jomu, piemēram, “informācijas drošība”. Spēcīga programma sākas ar uzņēmējdarbības un regulatīvajām robežām.
ISO 27001 prasa, lai ISMS darbības jomā tiktu ņemti vērā iekšējie un ārējie jautājumi, ieinteresēto pušu prasības un saskarnes vai atkarības no citām organizācijām. Tas ir būtiski, jo NIS2 un DORA pienākumi bieži atrodas uz organizācijas robežām: mākoņplatformas, ārpakalpojuma SOC sniedzēji, pārvaldītās atklāšanas un reaģēšanas pakalpojumi, maksājumu sistēmas, finanšu tehnoloģiju lietojumprogrammu saskarnes, klientu datu apstrāde, rezerves kopiju pakalpojumi un incidentu eskalācijas partneri.
Clarysec Audita un atbilstības uzraudzības politika MVU nosaka pārvaldības pamatprasību:
Ģenerāldirektoram (GM) jāapstiprina gada audita plāns.
No sadaļas “Pārvaldības prasības”, politikas punkts 5.1.1.
Lielākām vidēm Clarysec Audita un atbilstības uzraudzības politika paaugstina prasību:
Uz risku balstīts audita plāns jāizstrādā un jāapstiprina katru gadu, ņemot vērā:
No sadaļas “Pārvaldības prasības”, politikas punkts 5.2.
Tāpēc darbības joma nav tikai auditora izvēle. Tā ir vadības apstiprināta apliecināšanas apņemšanās.
- gada ISO 27001 iekšējā audita programmai, kas atbalsta NIS2 un DORA, jāietver:
- ISMS klauzulas un procesi, tostarp konteksts, līderība, risku pārvaldība, mērķi, atbalsts, operācijas, snieguma novērtēšana un uzlabošana.
- Attiecīgās ISO/IEC 27001:2022 A pielikuma kontroles jomas, tostarp attiecības ar piegādātājiem, incidentu pārvaldība, darbības nepārtrauktība, juridiskie pienākumi, privātums, žurnalēšana, uzraudzība, ievainojamību pārvaldība, piekļuves kontrole, kriptogrāfija, droša izstrāde, izmaiņu pārvaldība un mākoņpakalpojumu pārvaldība.
- Regulatīvie slāņi, tostarp NIS2 Article 20, Article 21 un Article 23, DORA Article 5, Article 6, Article 8 līdz Article 14, Article 17 līdz Article 19, Article 24 līdz Article 27 un Article 28 līdz Article 30, kā arī GDPR drošības un pārskatatbildības prasības.
- Galvenie pakalpojumi un biznesa procesi, īpaši kritiskas vai svarīgas funkcijas, būtiski pakalpojumi, klientiem pieejamas platformas un sistēmas, kas atbalsta regulētus klientus.
- Trešo personu atkarības, tostarp IKT piegādātāji, mākoņpakalpojumu sniedzēji, ārpakalpojuma izstrāde, SOC, MSSP, datu apstrādātāji un kritiski apakšuzņēmēji.
- Procesi, kas rada pierādījumus, tostarp risku izvērtēšana, piekļuves tiesību pārskatīšana, ievainojamību novēršana, incidentu mācības, rezerves kopiju atjaunošanas testi, piegādātāju pārskatīšana, nepārtrauktības testi un vadības pārskatīšana.
Zenith Blueprint to pastiprina audita, pārskatīšanas un uzlabošanas posmā, 25. solī “Iekšējā audita programma”:
Nosakiet savas iekšējā audita programmas darbības jomu. Gada laikā jums galu galā jāaptver visi attiecīgie ISMS procesi un kontroles pasākumi.
No audita, pārskatīšanas un uzlabošanas posma, 25. solis: Iekšējā audita programma.
Nav nepieciešams auditēt visu katru mēnesi. Taču gada ciklā jāaptver visi attiecīgie ISMS procesi un kontroles pasākumi, biežāk pārbaudot augsta riska un regulētās jomas.
Veidojiet audita kopumu ap NIS2 un DORA kontroles tēmām
NIS2 Article 21 prasa atbilstošus un samērīgus tehniskos, darbības un organizatoriskos pasākumus. Tā pamatprasībās ietilpst risku analīze, drošības politikas, incidentu apstrāde, darbības nepārtrauktība, rezerves kopiju pārvaldība, darbības atjaunošana pēc katastrofas, krīzes pārvaldība, piegādes ķēdes drošība, droša iegāde un izstrāde, ievainojamību apstrāde, efektivitātes izvērtēšana, kiberdrošības higiēna, apmācība, kriptogrāfija, personāla drošība, piekļuves kontrole, aktīvu pārvaldība, MFA vai nepārtraukta autentifikācija, ja piemērojams, un droša saziņa.
DORA ir līdzīgs darbības dzīves cikls. Tas prasa finanšu vienībām identificēt un klasificēt ar IKT atbalstītās biznesa funkcijas, informācijas aktīvus, IKT aktīvus, atkarības un trešo personu savienojumus. Tas prasa arī aizsardzību, atklāšanu, incidentu klasifikāciju, reaģēšanu, atjaunošanu, rezerves kopijas, atjaunošanas pārbaudes, testēšanu, mācīšanos pēc incidentiem, komunikāciju un IKT trešo personu riska pārvaldību.
Vienots audita kopums novērš biežu kļūdu — ISO 27001 auditēšanu atsevišķi no NIS2 un DORA.
| Audita joma | ISO 27001 audita enkurs | NIS2 un DORA nozīme | Tipiski pierādījumi |
|---|---|---|---|
| Pārvaldība un juridiskie pienākumi | Konteksts, līderība, riska apstrāde, tiesiskās un līgumiskās prasības | NIS2 valdes pārraudzība, DORA vadības struktūras atbildība, GDPR pārskatatbildība | Juridiskais reģistrs, ieinteresēto pušu reģistrs, ISMS darbības joma, riska apetīte, valdes protokoli, vadības pārskatīšana |
| Risku izvērtēšana un apstrāde | Risku izvērtēšana, piemērojamības deklarācija (SoA), riska apstrādes plāns | NIS2 atbilstoši un samērīgi pasākumi, DORA IKT risku pārvaldības ietvars | Riska reģistrs, riska kritēriji, apstrādes apstiprinājumi, atlikušā riska pieņemšana |
| Aktīvu un atkarību uzskaite | Aktīvu pārvaldība, mākoņpakalpojumu pārvaldība, piegādātāju pakalpojumi | DORA IKT aktīvi un savienojumi, NIS2 pakalpojumu sniegšanas sistēmas | CMDB, datu plūsmas kartes, piegādātāju reģistrs, mākoņpakalpojumu uzskaite, kritiskuma klasifikācija |
| Piekļuves kontrole un identitāte | Personāla drošība, piekļuves pārvaldība, MFA, priviliģētā piekļuve | NIS2 piekļuves kontrole un MFA, DORA minimāli nepieciešamās tiesības un spēcīga autentifikācija | Darbinieku pieņemšanas, pārcelšanas un darba attiecību izbeigšanas pieteikumi, piekļuves tiesību pārskatīšana, MFA pārskati, priviliģēto kontu žurnāli |
| Žurnalēšana, uzraudzība un atklāšana | Žurnalēšana, uzraudzība, notikumu izvērtēšana | DORA anomāliju noteikšana un incidentu klasifikācija, NIS2 gatavība incidentiem | SIEM brīdinājumi, detekcijas noteikumi, incidentu triāžas ieraksti, uzraudzības paneļi |
| Incidentu pārvaldība | Incidentu plānošana, reaģēšana, pierādījumu vākšana, gūtās mācības | NIS2 ziņošanas darbplūsma, DORA IKT incidentu dzīves cikls | Incidentu žurnāls, smaguma pakāpes matrica, paziņošanas veidnes, pamatcēloņa pārskati, mācību ieraksti |
| Darbības nepārtrauktība un atjaunošana | IKT gatavība, rezerves kopijas, drošība traucējumu laikā | NIS2 rezerves kopijas un krīzes pārvaldība, DORA nepārtrauktība un atjaunošana | BIA, nepārtrauktības plāni, rezerves kopiju testi, RTO un RPO ieraksti, krīzes komunikācijas tests |
| Piegādātāju un IKT trešo personu risks | Piegādātāju līgumi, IKT piegādes ķēde, mākoņpakalpojumu iegāde un izstāšanās | NIS2 piegādes ķēdes drošība, DORA IKT trešo personu reģistrs un līgumu klauzulas | Piegādātāju padziļinātā izpēte, līgumi, audita tiesības, izstāšanās plāni, koncentrācijas riska analīze |
| Droša izstrāde un ievainojamības | Droša iegāde, izstrāde, izmaiņas, ievainojamību pārvaldība | NIS2 ievainojamību apstrāde, DORA ielāpu pārvaldība un testēšana | Ievainojamību skenēšana, novēršanas SLA, izmaiņu pieteikumi, koda pārskatīšana, ielaušanās testu pārskati |
| Atbilstības uzraudzība un korektīvā darbība | Uzraudzība, iekšējais audits, neatbilstība un korektīvā darbība | NIS2 korektīvie pasākumi, DORA audits un novēršanas pasākumu izsekošana | Audita pārskati, CAPA izsekotājs, KPI informācijas panelis, vadības pārskatīšanas darbības |
Šī struktūra katru audita jomu pārvērš par kopīgu apliecināšanas objektu. Iekšējais auditors pārbauda ISO 27001 prasību un pēc tam reģistrē, vai tie paši pierādījumi atbalsta arī NIS2, DORA, GDPR, NIST CSF un COBIT 2019 prasības.
Plānojiet gadu ap risku, nevis dokumentiem
Zenith Blueprint komandām sniedz praktisku secību, kā auditu pārvērst uzlabojumos:
- solis, Iekšējā audita programma: plānojiet darbības jomu, biežumu, neatkarību un uz risku balstītas prioritātes.
- solis, Audita izpilde: iegūstiet objektīvus pierādījumus ar intervijām, dokumentu pārskatīšanu, novērošanu un izlasi.
- solis, Audita konstatējumi, analīze un pamatcēlonis: klasificējiet konstatējumus un identificējiet pamatcēloni.
- solis, Vadības pārskatīšana: iekļaujiet audita rezultātus, incidentus, neatbilstības, mērķus, riskus un resursu vajadzības vadības pārskatīšanā.
- solis, Nepārtraukta uzlabošana: izveidojiet korektīvās darbības, kas novērš cēloņus, nevis tikai simptomus.
Zenith Blueprint skaidri nosaka neatkarību:
Ideālā gadījumā iekšējam auditoram nevajadzētu auditēt savu darbu.
No audita, pārskatīšanas un uzlabošanas posma, 25. solis: Iekšējā audita programma.
Mazākam SaaS vai finanšu tehnoloģiju uzņēmumam tas var nozīmēt, ka drošības procesus auditē citas funkcijas vadītājs, tiek rotēti kontroles pasākumu īpašnieki vai piesaistīts ārējs konsultants. Būtiski ir dokumentēt kompetenci un neatkarību, īpaši tad, ja NIS2 un DORA pierādījumus vēlāk var pārskatīt klienti, regulatori, uzraudzības iestādes vai ārējie auditori.
Audita un atbilstības uzraudzības politika MVU arī nosaka minimālo audita struktūru:
Katram auditam jāietver noteikta darbības joma, mērķi, atbildīgais personāls un nepieciešamie pierādījumi.
No sadaļas “Pārvaldības prasības”, politikas punkts 5.2.3.
Praktiska ceturkšņa struktūra strauji augošam SaaS vai IKT pakalpojumu sniedzējam varētu būt šāda:
| Ceturksnis | Galvenais audita fokuss | Regulatīvais uzsvars | Galvenie rezultāti |
|---|---|---|---|
| Q1 | Incidentu pārvaldība un ziņošana | NIS2 Article 23, DORA Article 17 līdz Article 19 | Incidentu audita pārskats, paziņošanas darbplūsmas tests, smaguma pakāpes matricas pārskatīšana |
| Q2 | IKT trešo personu riska pārvaldība | NIS2 Article 21, DORA Article 28 līdz Article 30 | Piegādātāju izlase, līgumu pārbaude, padziļinātās izpētes pierādījumi, izstāšanās plānošanas pārskatīšana |
| Q3 | Darbības nepārtrauktība un noturības testēšana | NIS2 Article 21, DORA Article 11, Article 12, Article 24 līdz Article 27 | Rezerves kopijas atjaunošanas pierādījumi, nepārtrauktības mācības, noturības testa nepilnību novēršana |
| Q4 | Pārvaldība, risks un atbilstība | NIS2 Article 20, DORA Article 5 un Article 6, ISO 27001 Clause 5, Clause 9 un Clause 10 | Vadības pārskatīšanas pakotne, CAPA statuss, atlikušā riska lēmumi, nākamā gada audita plāna ievaddati |
Tas neaizstāj ikmēneša pierādījumu vākšanu. Tas gadam piešķir skaidru apliecināšanas ritmu.
Izlase: cik pierādījumu ir pietiekami?
Izlase ir vieta, kur daudzi iekšējie auditi kļūst vai nu pārāk virspusēji, vai pārāk dārgi. Regulētās IKT vidēs izlases pieejai jābūt uz risku balstītai, izskaidrojamai un dokumentētai.
Zenith Blueprint, 26. solis, sniedz praktisko principu:
Izvēlieties izlasi un veiciet izlases pārbaudes: visu pārbaudīt nevar, tāpēc izmantojiet izlasi.
No audita, pārskatīšanas un uzlabošanas posma, 26. solis: Audita izpilde.
Clarysec uzņēmuma politika padara to auditējamu:
Izlases stratēģijas, audita darbības jomas un ierobežojumu dokumentēšana
No sadaļas “Pārvaldības prasības”, politikas punkts 5.5.3.
NIS2 un DORA vajadzībām izlases pieejā jāņem vērā kritiskums, risks, piegādātāja nozīmīgums, laika periods, incidentu vēsture, ģeogrāfija un tas, vai atlasītais process atbalsta kritiskas vai svarīgas funkcijas.
| Kontroles joma | Kopa | Ieteicamā izlase | Uz risku balstīta korekcija |
|---|---|---|---|
| Piekļuves piešķiršana | Visi jaunie lietotāju konti ceturksnī | 10 konti vai 10 procenti atkarībā no tā, kas ir lielāks | Iekļaut visus priviliģētos kontus un kritisko lietotņu administratorus |
| Aizgājušo darbinieku piekļuves noņemšana | Visi ceturksnī izbeigtie lietotāji | 100 procenti priviliģētajiem lietotājiem, 10 standarta lietotāji | Palielināt izlasi, ja mainījusies HR vai IAM integrācija |
| Piegādātāju padziļinātā izpēte | Aktīvie IKT piegādātāji | Visi kritiskie piegādātāji, 5 vidēja riska piegādātāji, 3 zema riska piegādātāji | Iekļaut piegādātājus, kas atbalsta finanšu klientus vai būtiskus pakalpojumus |
| Ievainojamību novēršana | Ceturksnī slēgtie kritiskie un augstie konstatējumi | 15 pieteikumi dažādās sistēmās | Iekļaut internetā pieejamas sistēmas un atkārtotus izņēmumus |
| Incidentu pārvaldība | Visi drošības incidenti ceturksnī | Visi būtiskie incidenti, 5 maznozīmīgi incidenti, 3 kļūdaini pozitīvi triāžas piemēri | Iekļaut incidentus ar personas datiem, klientu ietekmi vai pārrobežu nozīmi |
| Rezerves kopijas atjaunošana | Ceturksnī veiktie rezerves kopiju testi | Visi kritisko sistēmu testi, 3 nekritiskas sistēmas | Iekļaut sistēmas, kas atbalsta kritiskas vai svarīgas funkcijas |
| Izmaiņu pārvaldība | Ražošanas vides izmaiņas ceturksnī | 15 izmaiņas, tostarp ārkārtas izmaiņas | Iekļaut izmaiņas, kas ietekmē autentifikāciju, žurnalēšanu, šifrēšanu vai klientu datus |
| Drošības apmācība | Periodā aktīvie darbinieki un līgumdarbinieki | 20 lietotāji no dažādām struktūrvienībām | Iekļaut vadības struktūras locekļus un priviliģētas tehniskās lomas |
DORA skartās vidēs īpaša uzmanība jāpievērš testēšanas pierādījumiem. DORA prasa finanšu vienībām veikt digitālās darbības noturības testēšanu, tostarp izraudzītām vienībām vismaz reizi trijos gados — progresīvāku testēšanu, piemēram, uz draudiem balstītu ielaušanās testēšanu. Audita izlasē jāiekļauj ne tikai testu pārskati, bet arī pierādījumi, ka konstatējumi ir prioritizēti, novērsti un atkārtoti testēti.
Praktisks audita piemērs: IKT trešo personu risks
Piegādātāju drošība bieži ir ātrākais veids, kā atklāt plaisas starp dokumentāciju un darbības realitāti. DORA Article 28 līdz Article 30 prasa IKT trešo personu riska pārvaldību, līgumisko saturu un informācijas reģistrus. NIS2 Article 21 prasa piegādes ķēdes drošību, ņemot vērā tiešo piegādātāju ievainojamības un prakses.
Q2 auditā Sarah atlasa piecus kritiskos piegādātājus, trīs jaunus piegādātājus, kas piesaistīti pēdējo sešu mēnešu laikā, un divus piegādātājus ar nesen atjaunotiem līgumiem. Auditors intervē iepirkumu, juridisko funkciju, pakalpojumu īpašniekus un drošības kontroles pasākumu īpašniekus.
| DORA vai NIS2 prasība | ISO 27001:2022 kontroles enkurs | Audita jautājums | Vācamie pierādījumi |
|---|---|---|---|
| DORA Article 28, IKT trešo personu reģistrs | A.5.19 Informācijas drošība attiecībās ar piegādātājiem | Vai pastāv pilnīgs un aktuāls IKT trešo personu pakalpojumu sniedzēju vienošanos reģistrs? | Aktīvs piegādātāju reģistrs un atlasīti kritisko piegādātāju ieraksti |
| DORA Article 28, pirmslīguma riska izvērtēšana | A.5.19 Informācijas drošība attiecībās ar piegādātājiem | Vai pirms piegādātāju līgumu parakstīšanas vai atjaunošanas tika veikta padziļinātā izpēte? | Padziļinātās izpētes pārskati, risku izvērtēšana un apstiprinājumu ieraksti |
| DORA Article 30, līgumiskais saturs | A.5.20 Informācijas drošības iekļaušana piegādātāju līgumos | Vai līgumos ir iekļauti drošības pasākumi, audita tiesības, palīdzība incidentu gadījumos un izbeigšanas atbalsts, ja tas nepieciešams? | Līgumi, pielikumi, drošības grafiki un juridiskās pārbaudes piezīmes |
| NIS2 Article 21, piegādes ķēdes drošība | A.5.21 Informācijas drošības pārvaldība IKT piegādes ķēdē | Vai ir izprastas piegādātāju drošības prakses, apakšuzņēmēju piesaiste un pakalpojumu atkarības? | Piegādātāju anketas, apakšuzņēmēju atklātā informācija un atkarību kartes |
| Nepārtraukta piegādātāju uzraudzība | A.5.22 Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība | Vai piegādātāju sniegums un drošība laika gaitā tiek pārskatīti? | QBR protokoli, SLA pārskati, audita pārskati un ikgadējās pārskatīšanas ieraksti |
Šī tabula ne tikai vada pierādījumu vākšanu. Tā pierāda, ka organizācija regulatīvo tekstu ir pārvērtusi ar ISO saskaņotos audita kritērijos un konkrētos pierādījumos.
Konstatējumi: rakstiet tos tā, lai vadība varētu rīkoties
Audita konstatējums nedrīkst izklausīties pēc neskaidras sūdzības. Tam jābūt pietiekami strukturētam, lai vadība saprastu risku, piešķirtu īpašnieku un apstiprinātu korektīvo darbību.
Audita un atbilstības uzraudzības politika MVU nosaka:
Visi audita konstatējumi jādokumentē ar riska vērtējumiem un ierosinātajām darbībām.
No sadaļas “Pārvaldības prasības”, politikas punkts 5.4.1.
Uzņēmuma Audita un atbilstības uzraudzības politika papildina korektīvo darbību disciplīnu:
Visiem konstatējumiem jārezultējas dokumentētā CAPA, kurā ietverts:
No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.2.1.
Zenith Blueprint 27. solis iesaka konstatējumus klasificēt kā būtiskas neatbilstības, maznozīmīgas neatbilstības vai novērojumus un pēc tam veikt pamatcēloņa analīzi. Būtiska neatbilstība norāda uz nopietnu trūkumu vai sistēmisku kļūmi. Maznozīmīga neatbilstība ir atsevišķs pārkāpums citādi atbilstošā procesā. Novērojums ir uzlabošanas iespēja.
Spēcīgs konstatējums ietver:
- Prasību vai kontroles sagaidāmo rezultātu.
- Novēroto stāvokli.
- Atlasītos pierādījumus.
- Risku un ietekmi uz darbību.
- Regulatīvo nozīmi.
- Klasifikāciju un riska vērtējumu.
- Pamatcēloni.
- Korektīvās darbības īpašnieku un noteikto termiņu.
Konstatējuma piemērs:
Konstatējums NC-2026-07, maznozīmīga neatbilstība, piegādātāju drošības pārskatīšanas kavējums
Prasība: kritisko IKT pakalpojumu sniedzēju piegādātāju drošības pārskatīšana jāveic vismaz reizi gadā, atbalstot ISO 27001 piegādātāju kontroles pasākumus, NIS2 piegādes ķēdes prasības un DORA IKT trešo personu riska pienākumus.
Stāvoklis: diviem no divpadsmit kritiskajiem IKT piegādātājiem līdz noteiktajam termiņam nebija pabeigta 2026. gada drošības pārskatīšana.
Pierādījumi: piegādātāju reģistra eksports ar datumu 2026. gada 15. jūnijs, piegādātāju pārskatīšanas izsekotājs, intervija ar iepirkuma vadītāju un divi trūkstoši pārskatīšanas ieraksti.
Risks: aizkavēta piegādātāju pārskatīšana var kavēt savlaicīgu ievainojamību, apakšuzņēmēju izmaiņu, incidentu atbalsta trūkumu vai līgumiskās neatbilstības identificēšanu, kas ietekmē kritiskos pakalpojumus.
Pamatcēlonis: iepirkums netika automātiski informēts, tuvojoties piegādātāju pārskatīšanas datumiem, un īpašumtiesības uz ar DORA saistītajiem piegādātāju pierādījumiem nebija piešķirtas.
Korektīvā darbība: konfigurēt automatizētus pārskatīšanas atgādinājumus, piešķirt vārdiskus kontroles pasākumu īpašniekus visiem kritiskajiem IKT piegādātājiem, pabeigt kavētās pārskatīšanas līdz 2026. gada 31. jūlijam un veikt ceturkšņa izlases pārbaudes.
Pamatcēloņa analīzei noderīga ir “5 kāpēc” metode. Ja pirmslīguma izvērtēšana tika izlaista, patiesais cēlonis var nebūt individuāla kļūda. Iespējams, iepirkuma darbplūsma ļāva zemas vērtības IKT līgumiem apiet drošības pārbaudi, lai gan DORA un NIS2 prasības piemērojamas pēc riska un atkarības, nevis tikai pēc izmaksām.
2026. gada pierādījumu kalendārs
- gada pierādījumu kalendārs pārvērš iekšējo auditu par darbības ritmu. Tas sadala pierādījumu radīšanu visa gada garumā un novērš gada beigu steigu.
Clarysec Informācijas drošības politika paredz pārvaldības līmeņa pārskatīšanu par:
Drošības galveno snieguma rādītāju (KPI), incidentu, audita konstatējumu un riska statusa pārskatīšana
No sadaļas “Pārvaldības prasības”, politikas punkts 5.3.2.
Pierādījumi netiek vākti tikai auditoriem. Tie palīdz pieņemt lēmumus par risku, budžetu, resursiem, piegādātājiem, rīkiem, apmācību un korektīvajām darbībām.
| Mēnesis | Audita un pierādījumu fokuss | Galvenie pierādījumu rezultāti |
|---|---|---|
| Janvāris | Apstiprināt regulatīvo darbības jomu, ISMS darbības jomu un 2026. gada audita plānu | Apstiprināts audita plāns, ISMS darbības jomas pārskatīšana, NIS2 un DORA piemērojamības izvērtēšana, juridiskā reģistra atjauninājums |
| Februāris | Pārvaldība, riska apetīte un vadības struktūras apmācība | Valdes protokoli, apmācību ieraksti, riska kritēriji, atjaunināts riska reģistrs |
| Marts | Aktīvu, datu un atkarību uzskaite | CMDB eksports, datu plūsmas kartes, kritisko pakalpojumu saraksts, IKT piegādātāju savienojumu karte |
| Aprīlis | Piekļuves kontrole un MFA audits | Piekļuves tiesību pārskatīšanas ieraksti, priviliģētās piekļuves izlase, MFA pārklājuma pārskats, aizgājušo darbinieku testēšana |
| Maijs | Ievainojamības, ielāpu pārvaldība un droša izmaiņu pārvaldība | Ievainojamību metrika, novēršanas pierādījumi, izmaiņu pieteikumu izlase, izņēmumu apstiprinājumi |
| Jūnijs | Piegādātāju un mākoņpakalpojumu pārvaldība | Piegādātāju padziļinātās izpētes izlase, līgumu klauzulu pārbaude, audita tiesības, izstāšanās plāni, koncentrācijas riska piezīmes |
| Jūlijs | Incidentu pārvaldības un ziņošanas mācības | Incidentu simulācija, smaguma pakāpes klasifikācija, NIS2 ziņošanas darbplūsmas tests, DORA incidentu eskalācijas tests |
| Augusts | Žurnalēšana, uzraudzība un atklāšana | SIEM lietošanas scenāriji, brīdinājumu pielāgošana, uzraudzības pārklājums, eskalācijas izlase |
| Septembris | Rezerves kopijas, atjaunošana un darbības nepārtrauktība | Rezerves kopiju testu ieraksti, RTO un RPO pierādījumi, nepārtrauktības mācības, krīzes komunikācijas tests |
| Oktobris | Droša izstrāde un lietojumprogrammu drošība | SDLC pierādījumi, koda pārskatīšanas izlase, drošības testēšanas rezultāti, ārpakalpojuma izstrādes pārskatīšana |
| Novembris | Pilns iekšējais ISMS audits un savstarpējās atbilstības pārskatīšana | Iekšējā audita pārskats, konstatējumu reģistrs, NIS2 un DORA kartējums, GDPR pārskatatbildības pierādījumi |
| Decembris | Vadības pārskatīšana un korektīvo darbību slēgšana | Vadības pārskatīšanas protokoli, CAPA statuss, atlikušā riska pieņemšana, ievaddati 2027. gada audita plānam |
Šis kalendārs audita komitejai sniedz uz nākotni vērstu apliecināšanas plānu un kontroles pasākumu īpašniekiem — laiku radīt pierādījumus ikdienas darbībā.
ISO 27002:2022 mugurkauls: 5.31, 5.35 un 5.36
Zenith Controls ir Clarysec savstarpējās atbilstības ceļvedis. Tas kartē ISO/IEC 27001:2022 un ISO/IEC 27002:2022 kontroles jomas pret citiem standartiem, regulējumiem, audita prasībām un pierādījumu modeļiem. Tas ir īpaši noderīgs, lai sasaistītu iekšējo pārskatīšanu, juridiskos pienākumus un politiku atbilstību.
Trīs ISO/IEC 27002:2022 kontroles jomas veido vienotas iekšējā audita programmas mugurkaulu:
| ISO 27002:2022 joma, kas izcelta Zenith Controls | Audita jautājums | NIS2 un DORA vērtība |
|---|---|---|
| 5.31 Tiesiskās, normatīvās, regulatīvās un līgumiskās prasības | Vai mēs zinām, kuri pienākumi ir piemērojami, un vai esam tos kartējuši pret kontroles pasākumiem un pierādījumiem? | Atbalsta NIS2 piemērojamību, DORA IKT pienākumus, klientu līgumus un GDPR pārskatatbildību |
| 5.35 Neatkarīga informācijas drošības pārskatīšana | Vai pārskatīšanas ir objektīvas, plānotas, kompetentas un ar turpmāku rīcību? | Atbalsta apliecināšanu par kiberdrošības pasākumiem, IKT noturības testēšanu un vadības pārraudzību |
| 5.36 Atbilstība informācijas drošības politikām, noteikumiem un standartiem | Vai iekšējie noteikumi praksē tiek ievēroti un pastāvīgi uzraudzīti? | Atbalsta politiku piemērošanu, kiberdrošības higiēnu, piekļuves kontroli, gatavību incidentiem un korektīvo darbību |
Kontrole 5.35 ir apliecināšanas stūrakmens, jo tā validē, vai ISMS tiek neatkarīgi pārskatīta. Kontrole 5.36 apstiprina, ka politikas nav tikai apstiprinātas, bet arī faktiski ievērotas. Kontrole 5.31 sasaista ISMS ar tiesiskajiem, regulatīvajiem un līgumiskajiem pienākumiem, tostarp NIS2, DORA, GDPR un klientu drošības prasībām.
Savstarpējās atbilstības kartēšana: viens audits, vairākas apliecināšanas perspektīvas
Nobriedušam iekšējā audita darba dokumentam skaidri jāparāda, kā viens pierādījumu elements atbalsta vairākas apliecināšanas prasības.
| Audita pierādījumi | ISO 27001 apliecinājums | NIS2 nozīme | DORA nozīme | GDPR, NIST un COBIT nozīme |
|---|---|---|---|---|
| Tiesisko un regulatīvo pienākumu reģistrs | Konteksts un atbilstības pienākumi | Darbības joma, vienības statuss, Article 21 ierosinātāji | Nozarei specifiski IKT noturības pienākumi | GDPR pārskatatbildība, NIST CSF GOVERN, COBIT ārējā atbilstība |
| Riska reģistrs un riska apstrādes plāns | Risku izvērtēšana, apstrāde, piemērojamības deklarācija (SoA) | Atbilstoši un samērīgi pasākumi | IKT risku pārvaldības ietvars un tolerance | NIST risku pārvaldība, COBIT risku optimizācija |
| Incidenta galda mācību pārskats | Gatavība incidentiem un gūtās mācības | Ziņošanas darbplūsmas gatavība | Klasifikācija, eskalācija, ziņošana un pamatcēlonis | GDPR gatavība paziņošanai par pārkāpumu, NIST CSF RESPOND, COBIT pārvaldītie incidenti |
| Piegādātāja padziļinātās izpētes lieta | Piegādātāju attiecības un IKT piegādes ķēde | Piegādātāju ievainojamības un prakses | IKT trešo personu reģistrs, padziļinātā izpēte, izstāšanās plānošana | NIST C-SCRM, COBIT piegādātāju pārvaldība |
| Rezerves kopijas atjaunošanas tests | IKT gatavība un nepārtrauktība | Rezerves kopijas, darbības atjaunošana pēc katastrofas, krīzes pārvaldība | Atjaunošanas mērķi, atjaunošana un integritātes pārbaudes | GDPR pieejamība, NIST CSF RECOVER, COBIT nepārtrauktība |
| Piekļuves tiesību pārskatīšana | Piekļuves kontrole un personāla drošība | Piekļuves kontrole un MFA prasības | Minimāli nepieciešamās tiesības un spēcīga autentifikācija | GDPR integritāte un konfidencialitāte, NIST CSF PROTECT |
Tas ļauj CISO valdei teikt: “Mūsu jūlija incidentu audits radīja pierādījumus ISO 27001, NIS2, DORA klientu apliecināšanai, GDPR gatavībai paziņošanai par pārkāpumu, NIST CSF reaģēšanas rezultātiem un COBIT incidentu pārvaldībai.”
Vadības pārskatīšana: vieta, kur audits kļūst par pārskatatbildību
Iekšējam auditam ir maza vērtība, ja konstatējumi nenonāk līdz vadībai. ISO 27001 vadības pārskatīšana nodrošina mehānismu, savukārt NIS2 un DORA skaidri nosaka pārvaldības gaidas.
Audita un atbilstības uzraudzības politika MVU prasa:
Audita konstatējumi un statusa atjauninājumi jāiekļauj ISMS vadības pārskatīšanas procesā.
No sadaļas “Pārvaldības prasības”, politikas punkts 5.4.3.
Tā arī nosaka:
GM jāapstiprina korektīvās darbības plāns un jāuzrauga tā ieviešana.
No sadaļas “Pārvaldības prasības”, politikas punkts 5.4.2.
Vadības pārskatīšanai jāatbild uz šādiem jautājumiem:
- Vai NIS2, DORA, GDPR un līgumiskie pienākumi joprojām ir pareizi atspoguļoti ISMS darbības jomā?
- Vai augsta riska kontroles pasākumi tiek auditēti pietiekami bieži?
- Kuri konstatējumi norāda uz sistēmisku vājumu, nevis atsevišķu kļūdu?
- Vai korektīvās darbības kavējas?
- Vai riska īpašnieki apzināti pieņem atlikušos riskus?
- Vai piegādātāji, ziņošana par incidentiem, nepārtrauktība un testēšana ir pietiekami nodrošināti ar resursiem?
- Vai audita tendences liecina par nepieciešamām izmaiņām politikās, rīkos, budžetā vai apmācībā?
Ja šīs atbildes nav dokumentētas, organizācijai var būt darbības pierādījumi, bet ne pārvaldības pierādījumi.
Biežākās kļūdas, no kurām izvairīties 2026. gadā
Visbiežākā kļūme ir ISO 27001 iekšējā audita traktēšana atsevišķi no regulatīvās apliecināšanas. Tas rada dublēšanos un aklās zonas.
Citas kļūdas ietver:
- Darbības joma neietver kritiskos piegādātājus, mākoņplatformas vai ārpakalpojuma SOC pakalpojumus.
- NIS2 vai DORA piemērojamība nav dokumentēta juridiskajā reģistrā.
- Audita plānu nav apstiprinājusi vadība.
- Izlase tiek veikta, bet nav dokumentēta.
- Iekšējie auditori pārskata savu darbu bez riska mazināšanas pasākumiem.
- Konstatējumi apraksta simptomus, nevis pamatcēloņus.
- Korektīvās darbības atjaunina dokumentus, bet nesalabo procesus.
- Vadības pārskatīšana saņem audita rezultātus, bet nepieņem lēmumus.
- Incidentu mācības testē tehnisko reaģēšanu, bet ne regulatīvo paziņošanu.
- Piegādātāju auditi pārskata anketas, bet ne līgumus, izstāšanās plānus vai koncentrācijas risku.
- Rezerves kopiju pierādījumi rāda sekmīgi izpildītus uzdevumus, bet ne atjaunošanas integritāti.
- Piekļuves tiesību pārskatīšana tiek veikta, bet izņēmumi netiek izsekoti līdz slēgšanai.
Katrs no šiem trūkumiem var kļūt par maznozīmīgu vai būtisku neatbilstību atkarībā no smaguma un sistēmiskās ietekmes. Vēl svarīgāk — katrs vājina organizācijas spēju pierādīt noturību NIS2, DORA un klientu pārbaudes apstākļos.
Pārvērtiet 2026. gada audita plānu par pierādījumu dzinēju
Ja jūsu iekšējā audita programma joprojām ir viens gada pasākums, tagad ir laiks to pārveidot.
Sāciet ar vadības apstiprinātu audita plānu. Definējiet ISMS darbības jomu ap reāliem pakalpojumiem, regulatīvajiem pienākumiem un trešo personu atkarībām. Izveidojiet uz risku balstītu audita kopumu. Dokumentējiet izlasi. Konsekventi klasificējiet konstatējumus. Izmantojiet pamatcēloņa analīzi. Izsekojiet CAPA. Iekļaujiet rezultātus vadības pārskatīšanā. Uzturiet ikmēneša pierādījumu kalendāru.
Clarysec var palīdzēt jums virzīties ātrāk ar:
- Zenith Blueprint: auditora 30 soļu ceļvedi audita plānošanai, izpildei, konstatējumiem, vadības pārskatīšanai un nepārtrauktai uzlabošanai.
- Zenith Controls: savstarpējās atbilstības ceļvedi ISO 27001 apliecinājuma kartēšanai pret NIS2, DORA, GDPR, NIST CSF un COBIT prasībām.
- Audita un atbilstības uzraudzības politiku un Audita un atbilstības uzraudzības politiku MVU pārvaldībai gatavai audita plānošanai un konstatējumu pārvaldībai.
- Informācijas drošības politiku KPI, incidentu, audita konstatējumu un riska statusa pārskatīšanai vadības līmenī.
Izvēlieties vienu augsta riska jomu, piemēram, ziņošanu par incidentiem vai IKT piegādātāju pārvaldību, un veiciet fokusētu iekšējo auditu, izmantojot Clarysec darbības jomas, izlases un konstatējumu struktūru. Viena cikla laikā jūs zināsiet, vai jūsu pierādījumi ir gatavi auditam, vai kontroles pasākumi darbojas un vai vadības struktūrai ir informācija, kas nepieciešama kiberriska pārvaldībai.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
