ISO 27001 SoA gatavībai NIS2 un DORA prasībām

Ir pirmdienas 08:30, un Elena, strauji augoša B2B fintech SaaS pakalpojumu sniedzēja galvenā informācijas drošības vadītāja, atver valdes pieprasījumu ar atzīmi “steidzami”. Uzņēmums tikko ir ieguvis ISO/IEC 27001:2022 sertifikāciju, taču nozīmīgs potenciālais klients no ES banku sektora uzdod sarežģītākus jautājumus nekā ierastā drošības anketa.

Viņi nejautā tikai to, vai uzņēmums šifrē datus, izmanto daudzfaktoru autentifikāciju vai tam ir ielaušanās testēšanas pārskats. Viņi vēlas zināt, vai SaaS platforma atbalsta viņu DORA pienākumus, vai pakalpojumu sniedzējs varētu ietilpt NIS2 tvērumā kā IKT pakalpojums vai digitālās infrastruktūras atkarība, un vai ISO 27001 piemērojamības deklarācija var pamatot katru iekļauto kontroles pasākumu, katru izslēgto kontroles pasākumu un katru pierādījumu.

Valde uzdod jautājumu, ko arvien biežāk dzird katrs galvenais informācijas drošības vadītājs, atbilstības vadītājs un SaaS dibinātājs:

Vai mūsu ISO 27001 SoA var pierādīt gatavību NIS2 un DORA prasībām?

Elena zina, ka nepareizā atbilde būtu sākt trīs atsevišķas atbilstības programmas: vienu ISO 27001, vienu NIS2 un vienu DORA. Tas radītu dublētus pierādījumus, konfliktējošus kontroles pasākumu īpašniekus un pastāvīgu steigu pirms katra klienta izvērtējuma. Labāka pieeja ir izmantot esošo informācijas drošības pārvaldības sistēmu (IDPS) kā atbilstības operētājsistēmu, bet piemērojamības deklarāciju jeb SoA — kā galveno izsekojamības dokumentu.

SoA nav tikai izklājlapa ISO sertifikācijai. ES kiberdrošības un darbības noturības vidē tā ir vieta, kur organizācija pierāda, kāpēc kontroles pasākumi pastāv, kāpēc izslēgumi ir pamatoti, kam pieder katrs kontroles pasākums, kādi pierādījumi apliecina ieviešanu un kā kontroles pasākumu kopums aptver NIS2, DORA, GDPR, klientu līgumus un iekšējo riska apstrādi.

Clarysec Enterprise Informācijas drošības politika Informācijas drošības politika nosaka:

IDPS jāietver noteiktas darbības jomas robežas, riska novērtēšanas metodoloģija, izmērāmi mērķi un dokumentēti kontroles pasākumi, kas pamatoti piemērojamības deklarācijā (SoA).

Šī prasība no Informācijas drošības politikas 6.1.2. punkta ir auditam gatavas pieejas pamats. SoA jākļūst par tiltu starp pienākumiem, riskiem, kontroles pasākumiem, pierādījumiem un vadības lēmumiem.

Kāpēc NIS2 un DORA mainīja vārda “piemērojams” nozīmi

Tradicionāla ISO/IEC 27001:2022 SoA bieži sākas ar vienkāršu jautājumu: “Kuri A pielikuma kontroles pasākumi attiecas uz mūsu riska apstrādes plānu?” Tas joprojām ir pareizi, taču ar to vairs nepietiek SaaS, mākoņpakalpojumu, pārvaldīto pakalpojumu, fintech un kritiskās piegādes ķēdes pakalpojumu sniedzējiem.

NIS2 paaugstina kiberdrošības risku pārvaldības pamatlīmeni būtiskām un svarīgām vienībām ES. Tā aptver tādas nozares kā digitālā infrastruktūra, mākoņskaitļošanas pakalpojumu sniedzēji, datu centru pakalpojumu sniedzēji, satura piegādes tīkli, pārvaldīto pakalpojumu sniedzēji, pārvaldīto drošības pakalpojumu sniedzēji, banku sektors un finanšu tirgus infrastruktūras. Dalībvalstīm jāidentificē būtiskās un svarīgās vienības un domēna vārdu reģistrācijas pakalpojumu sniedzēji, un daudzi tehnoloģiju pakalpojumu sniedzēji, kas iepriekš kiberdrošības regulējumu uztvēra kā klienta jautājumu, tagad ir vai nu tieši tvērumā, vai pakļauti prasībām līgumiskas prasību tālāknodošanas rezultātā.

NIS2 Article 21 prasa atbilstošus un samērīgus tehniskos, operatīvos un organizatoriskos pasākumus riska analīzes, drošības politiku, incidentu apstrādes, darbības nepārtrauktības, piegādes ķēdes drošības, drošas iegādes un izstrādes, kontroles efektivitātes izvērtēšanas, kiberdrošības higiēnas, apmācību, kriptogrāfijas, personāla drošības, piekļuves kontroles, aktīvu pārvaldības un autentifikācijas jomās, ja tas ir attiecināms. NIS2 Article 23 to papildina ar pakāpeniskām incidentu ziņošanas prasībām, tostarp agrīno brīdinājumu, paziņošanu, atjauninājumiem un galīgo ziņojumu par būtiskiem incidentiem.

DORA jeb Digitālās darbības noturības akts ir piemērojams no 2025. gada 17. janvāra un koncentrējas uz finanšu vienībām un to IKT risku ekosistēmu. Tas aptver IKT risku pārvaldību, ar IKT saistītu incidentu ziņošanu, ar maksājumiem saistītu operacionālu vai drošības incidentu ziņošanu noteiktām vienībām, digitālās darbības noturības testēšanu, kiberdraudu informācijas apmaiņu, IKT trešo pušu riska pārvaldību, līgumiskās vienošanās un kritisko IKT trešo pušu pakalpojumu sniedzēju pārraudzību.

Finanšu vienībām, kas vienlaikus ir būtiskas vai svarīgas vienības NIS2 izpratnē, DORA darbojas kā nozarei specifisks režīms līdzvērtīgiem IKT risku pārvaldības un incidentu ziņošanas pienākumiem. Taču SaaS pakalpojumu sniedzējiem, mākoņpakalpojumu sniedzējiem, MSP un MDR pakalpojumu sniedzējiem, kas apkalpo finanšu klientus, praktiskā realitāte ir tāda, ka DORA prasības nonāk caur iepirkumu, līgumiem, audita tiesībām, incidentu atbalsta pienākumiem, izstāšanās plānošanu, apakšuzņēmēju pārredzamību un noturības pierādījumiem.

Tas maina sarunu par SoA. Jautājums vairs nav: “Vai A pielikumā ir šis kontroles pasākums?” Precīzāks jautājums ir:

Vai mēs varam pierādīt, ka kontroles pasākumu atlase ir balstīta uz risku, ņem vērā pienākumus, ir samērīga, tai ir īpašnieki, tā ir ieviesta, uzraudzīta, pierādījumos balstīta un apstiprināta?

ISO 27001 ir universālais tulks NIS2 un DORA vajadzībām

ISO/IEC 27001:2022 ir vērtīgs, jo tas ir pārvaldības sistēmas standarts, nevis šaurs kontrolsaraksts. Tas prasa integrēt IDPS organizācijas procesos un pielāgot to organizācijas vajadzībām. Tādēļ tas ir efektīvs universālais tulks pārklājošām atbilstības prasībām.

4.1. līdz 4.4. punkts prasa organizācijai izprast savu kontekstu, identificēt ieinteresētās puses, noteikt attiecīgās prasības un definēt IDPS darbības jomu. Tādam fintech SaaS pakalpojumu sniedzējam kā Elenas uzņēmums šo ieinteresēto pušu prasības var ietvert ES klientus, finanšu klientus, kurus ietekmē DORA, NIS2 nozaru tvērumu, GDPR pārziņa un apstrādātāja pienākumus, ārpakalpojumā izmantotas mākoņpakalpojumu atkarības, piegādātāju saskarnes un valdes gaidas.

6.1.1. līdz 6.1.3. punkts prasa plānot riskus un iespējas, izveidot atkārtojamu informācijas drošības riska novērtēšanas procesu, riska apstrādes procesu, salīdzinājumu ar A pielikumu un piemērojamības deklarāciju, kurā identificēti iekļautie kontroles pasākumi, ieviešanas statuss un izslēgumu pamatojumi.

Šeit SoA kļūst par kontroles lēmumu ierakstu. Kontroles pasākums var tikt iekļauts, jo tas apstrādā risku, izpilda juridisku prasību, pilda klienta līgumu, atbalsta biznesa mērķi vai pārstāv drošības higiēnas pamatlīmeni. Kontroles pasākumu drīkst izslēgt tikai pēc tam, kad organizācija to apzināti ir izvērtējusi, atzinusi par neattiecināmu uz IDPS darbības jomu, dokumentējusi pamatojumu un saņēmusi atbilstošu apstiprinājumu.

Clarysec Enterprise Risku pārvaldības politika Risku pārvaldības politika nosaka:

Piemērojamības deklarācijai (SoA) jāatspoguļo visi apstrādes lēmumi, un tā jāatjaunina ikreiz, kad tiek mainīts kontroles pārklājums.

Šī prasība no Risku pārvaldības politikas 5.4. punkta ir kritiski svarīga gatavībai NIS2 un DORA prasībām. Jauns reglamentēts klients, jauna mākoņpakalpojumu atkarība, jauns incidentu ziņošanas pienākums vai jauns piegādātāju koncentrācijas risks var mainīt kontroles pasākumu piemērojamību.

Sāciet ar atbilstības reģistru, nevis kontroles pasākumu sarakstu

Vāja SoA sākas ar A pielikumu un jautājumu: “Kuri kontroles pasākumi mums jau ir?” Spēcīga SoA sākas ar organizācijas darbības realitāti un jautājumu: “Kādi pienākumi, pakalpojumi, riski, dati, piegādātāji un klienti IDPS ir jāaptver?”

ISO/IEC 27005:2022 atbalsta šo pieeju, uzsverot ieinteresēto pušu prasības, riska kritērijus un nepieciešamību ņemt vērā standartus, iekšējos noteikumus, likumus, regulējumus, līgumus un esošos kontroles pasākumus. Tas arī uzsver, ka nepiemērojamība vai neatbilstība ir jāpaskaidro un jāpamato.

Clarysec SME Tiesiskās un regulatīvās atbilstības politika-sme Tiesiskās un regulatīvās atbilstības politika-sme - SME ietver to pašu darbības principu:

ĢD jāuztur vienkāršs, strukturēts atbilstības reģistrs, kurā uzskaitīti:

Šī prasība izriet no Tiesiskās un regulatīvās atbilstības politikas-sme 5.1.1. punkta. Mazākā organizācijā reģistrs var būt vienkāršs. Uzņēmuma līmeņa organizācijā tam jābūt detalizētākam. Loģika ir viena un tā pati: pienākumiem jābūt redzamiem, pirms tos var kartēt.

Clarysec Enterprise Tiesiskās un regulatīvās atbilstības politika Tiesiskās un regulatīvās atbilstības politika ir nepārprotama:

Visi juridiskie un regulatīvie pienākumi ir jākartē uz konkrētām politikām, kontroles pasākumiem un īpašniekiem informācijas drošības pārvaldības sistēmā (IDPS).

Tas ir Tiesiskās un regulatīvās atbilstības politikas 6.2.1. punkts. Tas ir pārvaldības pamats ISO 27001 piemērojamības deklarācijas izmantošanai gatavībai NIS2 un DORA atbilstībai.

Izveidojiet riska kritērijus, kas atspoguļo noturību, privātumu, piegādātājus un regulējumu

Daudzi SoA pamatojumi izgāžas, jo riska vērtēšanas modelis ir pārāk šaurs. Tas mēra tehnisko varbūtību un ietekmi, bet neaptver regulatīvo ietekmi, pakalpojuma kritiskumu, kaitējumu klientam, piegādātāja atkarību, privātuma ietekmi vai sistēmiskus darbības traucējumus.

NIS2 nav tikai par konfidencialitāti. Tā koncentrējas uz incidentu ietekmes uz pakalpojumiem un pakalpojumu saņēmējiem novēršanu un mazināšanu. DORA definē kritiskas vai svarīgas funkcijas, pamatojoties uz to, vai traucējumi būtiski ietekmētu finanšu rezultātus, pakalpojumu nepārtrauktību vai regulatīvo atbilstību. GDPR papildina to ar pārskatatbildību, integritāti, konfidencialitāti, gatavību pārkāpumiem un kaitējumu datu subjektiem.

Clarysec SME Risku pārvaldības politika-sme Risku pārvaldības politika-sme - SME sniedz praktisku minimumu:

Katrā riska ierakstā jāiekļauj: apraksts, varbūtība, ietekme, vērtējums, īpašnieks un apstrādes plāns.

Tas ir Risku pārvaldības politikas-sme 5.1.2. punkts. Gatavībai NIS2 un DORA prasībām Clarysec šo minimumu paplašina ar tādiem laukiem kā pienākuma avots, ietekmētais pakalpojums, datu kategorija, piegādātāja atkarība, biznesa īpašnieks, regulatīvā ietekme, atlikušais risks, apstrādes statuss un pierādījumu avots.

Pievērsiet uzmanību formulējumam. Spēcīgs pamatojums nesaka tikai “ieviests”. Tas paskaidro, kāpēc kontroles pasākums ir piemērojams organizācijas biznesa, regulatīvajā un riska kontekstā.

Kartējiet NIS2 un DORA jomas uz ISO 27001:2022 kontroles pasākumiem

Kad atbilstības reģistrs un riska kritēriji ir izveidoti, praktiskais darbs ir kartēt regulatīvās jomas uz A pielikuma kontroles pasākumiem. Šī kartēšana pati par sevi nepierāda atbilstību, taču tā auditoriem un klientiem sniedz skaidru indeksu pierādījumu testēšanai.

Elenai šī kartēšana mainīja sarunu ar valdi. Tā vietā, lai prezentētu NIS2 un DORA kā atsevišķus projektus, viņa varēja parādīt pārklājumu: pārvaldību, risku pārvaldību, incidentus, nepārtrauktību, piegādātājus, testēšanu, piekļuves kontroli un kriptogrāfiju.

Trīs ISO kontroles pasākumi, no kuriem atkarīga katra NIS2 un DORA SoA

Zenith Controls: savstarpējās atbilstības ceļvedī Zenith Controls Clarysec trīs ISO/IEC 27002:2022 kontroles pasākumus uzskata par centrāliem auditam gatavai SoA pārvaldībai NIS2 un DORA vajadzībām. Tie ir ISO kontroles pasākumi, kas Zenith Controls ceļvedī papildināti ar savstarpējās atbilstības atribūtiem.

Šie kontroles pasākumi nav izolēti. Tie ir tieši saistīti ar piegādātāju attiecību kontroles pasākumiem A.5.19 līdz A.5.23, incidentu pārvaldības kontroles pasākumiem A.5.24 līdz A.5.28, nepārtrauktības kontroles pasākumiem A.5.29 un A.5.30, privātuma kontroles pasākumu A.5.34, ievainojamību pārvaldību A.8.8, konfigurāciju pārvaldību A.8.9, informācijas rezerves kopijām A.8.13, žurnālfiksēšanu A.8.15, uzraudzības darbībām A.8.16, kriptogrāfiju A.8.24, drošas izstrādes kontroles pasākumiem A.8.25 līdz A.8.29 un izmaiņu pārvaldību A.8.32.

Zenith Controls vērtība ir tajā, ka tas palīdz komandām neuztvert SoA kā viena standarta artefaktu. Kontroles pasākums 5.31 atbalsta juridisko un līgumisko kartēšanu. Kontroles pasākums 5.35 atbalsta iekšējo auditu, neatkarīgu pārskatīšanu un vadības apliecinājumu. Kontroles pasākums 5.36 atbalsta operacionālo atbilstību politikām, procedūrām, standartiem un kontroles prasībām.

Izmantojiet Zenith Blueprint, lai izveidotu, testētu un aizstāvētu SoA

Zenith Blueprint: auditora 30 soļu ceļvedī Zenith Blueprint Clarysec novieto SoA izveidi risku pārvaldības posmā, 13. solī: riska apstrādes plānošana un piemērojamības deklarācija. Blueprint norāda organizācijām izmantot SoA lapu “Risk Register and SoA Builder.xlsx” veidnē, izlemt, vai katrs no 93 A pielikuma kontroles pasākumiem ir piemērojams, un balstīt lēmumu uz riska apstrādi, juridiskajām un līgumiskajām prasībām, darbības jomas atbilstību un organizācijas kontekstu.

Blueprint norāda:

SoA faktiski ir savienojošs dokuments: tas sasaista jūsu riska izvērtēšanu/apstrādi ar faktiskajiem kontroles pasākumiem, kas jums ir.

Šis teikums precīzi raksturo darbības modeli. SoA savieno pienākumus, riskus, politikas, kontroles pasākumus, pierādījumus un audita secinājumus.

Zenith Blueprint arī norāda komandām SoA piezīmēs atbilstošās vietās veidot krusteniskas atsauces uz regulējumiem. Ja kontroles pasākums ir ieviests GDPR, NIS2 vai DORA vajadzībām, tam jāparādās riska reģistrā vai SoA piezīmēs. Vēlāk, 24. solī, Blueprint norāda organizācijām atjaunināt SoA pēc ieviešanas un krusteniski pārbaudīt to ar riska apstrādes plānu. 30. solī — sertifikācijas sagatavošanā, galīgajā pārskatīšanā un izmēģinājuma auditā — Blueprint liek komandām apstiprināt, ka katram piemērojamam A pielikuma kontroles pasākumam ir pierādījumi, piemēram, politika, procedūra, pārskats, plāns vai ieviešanas ieraksts.

Šī secība padara SoA par dzīvu atbilstības instrumentu:

1. 13. solis to izveido no riska apstrādes un pienākumiem.
2. 24. solis to pārbauda pret ieviešanas realitāti.
3. 30. solis to aizstāv, izmantojot galīgo pierādījumu pārskatīšanu un izmēģinājuma auditu.

Kā rakstīt iekļaušanas pamatojumus, kuriem auditori var izsekot

Kontroles pasākums jāiekļauj, ja pastāv vismaz viens pamatots virzītājs: riska apstrāde, juridiska prasība, līgumiska prasība, darbības jomas atbilstība, drošības higiēnas pamatlīmenis, klienta apliecinājuma gaidas vai vadības apstiprināts noturības mērķis.

Noderīga formula ir:

Piemērojams, jo [risks vai pienākums] ietekmē [pakalpojumu, aktīvu, datus vai procesu], un šis kontroles pasākums nodrošina [preventīvu, atklājošu, koriģējošu vai noturības rezultātu], ko apliecina [politika, ieraksts, tests, pārskats vai sistēmas izvade].

Fintech SaaS pakalpojumu sniedzējam viena SoA rinda varētu izskatīties šādi:

Tas ir auditam gatavs, jo sasaista kontroles pasākumu ar kontekstu, risku, pienākumu, ieviešanu, īpašumtiesībām un pierādījumiem.

Kā pamatot izslēgumus, neradot audita risku

Izslēgumi nav neveiksme. Neveiksme ir slikti pamatoti izslēgumi.

ISO/IEC 27001:2022 prasa SoA pamatot izslēgtos A pielikuma kontroles pasākumus. ISO/IEC 27005:2022 papildus uzsver, ka nepiemērojamība ir jāpaskaidro un jāpamato. Clarysec Enterprise Informācijas drošības politika nosaka:

Pamatlīniju drīkst pielāgot; tomēr izslēgumi ir jādokumentē SoA ar formālu apstiprinājumu un pamatojumu.

Tas ir Informācijas drošības politikas 7.2.2. punkts.

Clarysec Informācijas drošības politika-sme Informācijas drošības politika-sme - SME nosaka:

Jebkura atkāpe no šīs politikas ir jādokumentē, skaidri paskaidrojot, kāpēc atkāpe ir nepieciešama, kādi alternatīvi aizsardzības pasākumi ir ieviesti un kāds datums noteikts atkārtotai izvērtēšanai.

Šī prasība izriet no Informācijas drošības politikas-sme 7.2.1. punkta.

NIS2 un DORA kontekstā izslēgumiem nepieciešama īpaša piesardzība. SaaS uzņēmumam reti būtu jāizslēdz žurnālfiksēšana, uzraudzība, rezerves kopijas, incidentu pārvaldība, piekļuves kontrole, piegādātāju drošība vai ievainojamību pārvaldība. Pat tad, ja kontroles pasākums nav sasaistīts ar vienu konkrētu risku, tas joprojām var būt nepieciešams kā drošības pamatlīmenis, klienta apliecinājums, līgumiska prasība vai juridisks pienākums.

Clarysec Risku pārvaldības politika-sme arī atgādina komandām, kā jāapstrādā pieņemtais risks:

Pieņemt: pamatot, kāpēc turpmāka rīcība nav nepieciešama, un reģistrēt atlikušo risku.

Šis Risku pārvaldības politikas-sme 6.1.1. punkts precīzi atspoguļo domāšanas veidu, kas nepieciešams izslēgumiem un atlikušā riska lēmumiem.

Incidentu ziņošana: pierādiet darbplūsmu, nevis politikas esamību

NIS2 Article 23 prasa pakāpenisku būtisku incidentu ziņošanu, tostarp agrīno brīdinājumu 24 stundu laikā no uzzināšanas brīža, paziņošanu 72 stundu laikā, atjauninājumus pēc pieprasījuma un galīgo ziņojumu viena mēneša laikā pēc 72 stundu paziņojuma. DORA prasa finanšu vienībām atklāt, pārvaldīt, klasificēt, eskalēt, komunicēt un ziņot par būtiskiem ar IKT saistītiem incidentiem, informēt ietekmētos klientus, ja tas nepieciešams, veikt pamatcēloņa analīzi un uzlabot kontroles pasākumus.

SaaS pakalpojumu sniedzējam ne vienmēr jāziņo tieši DORA iestādei, taču tam var būt jāatbalsta finanšu klientu ziņošanas termiņi. Tādēļ incidentu kontroles pasākumi SoA ir ļoti būtiski.

Vāja SoA saka: “Incidentu reaģēšanas politika pastāv.”

Spēcīga SoA saka: “Piemērojams, jo organizācijai jāatklāj, jāizvērtē, jāklasificē, jāeskalē, jākomunicē, jāsaglabā pierādījumi, jāatbalsta regulatīvie ziņošanas termiņi, jāinformē ietekmētie klienti, ja tas ir līgumiski prasīts, un jāmācās no incidentiem, kas ietekmē pakalpojumus, datus vai reglamentētus klientus.”

Pierādījumos jāiekļauj:

• Incidentu reaģēšanas plāns un eskalācijas matrica.
• Smaguma pakāpes klasifikācijas kritēriji.
• Klientu paziņošanas darbplūsma.
• Regulatīvās paziņošanas lēmumu koks, ja attiecināms.
• Incidentu pieteikumi un laika skalas.
• Žurnāli un uzraudzības brīdinājumi.
• Galda mācību ieraksti.
• Pēcincidenta pārskatīšana un korektīvās darbības.
• Pierādījumu saglabāšanas procedūras.

Clarysec Enterprise Audita un atbilstības uzraudzības politika Audita un atbilstības uzraudzības politika paskaidro, kāpēc tas ir svarīgi:

Izveidot pamatotus pierādījumus un audita pēdu, lai atbalstītu regulatīvos pieprasījumus, tiesvedību vai klientu apliecinājuma pieprasījumus.

Šis mērķis izriet no Audita un atbilstības uzraudzības politikas 3.4. punkta.

Mazākām organizācijām pierādījumu glabāšanai arī jābūt skaidri noteiktai. Clarysec Audita un atbilstības uzraudzības politika-sme Audita un atbilstības uzraudzības politika-sme - SME nosaka:

Pierādījumi jāglabā vismaz divus gadus vai ilgāk, ja to prasa sertifikācija vai klientu vienošanās.

Tas ir Audita un atbilstības uzraudzības politikas-sme 6.2.4. punkts.

Viena SoA, vairākas audita sarunas

Labākā SoA nedublē ietvarus. Tā izveido izsekojamu kontroles pasākumu stāstījumu, ko dažādi auditori var saprast.

ISO 27001 auditors parasti sāk ar punktu loģiku: darbības joma, ieinteresētās puses, risku izvērtēšana, riska apstrāde, SoA, mērķi, iekšējais audits, vadības pārskatīšana un uzlabošana. Uz NIS2 orientēts pārskatītājs koncentrējas uz samērīgumu, vadības pārskatatbildību, apmācībām, piegādes ķēdi, incidentu termiņiem un pakalpojuma ietekmi. Uz DORA orientēts klienta izvērtētājs koncentrējas uz IKT risku, kritiskām vai svarīgām funkcijām, būtiskiem IKT incidentiem, noturības testēšanu, līguma klauzulām, audita tiesībām, izstāšanās plāniem, apakšuzņēmējiem un koncentrācijas risku. Privātuma pārskatītājs koncentrējas uz GDPR pārskatatbildību un gatavību pārkāpumiem. COBIT 2019 vai ISACA tipa auditors testē pārvaldību, metrikas, īpašumtiesības, apliecinājumu un korektīvo darbību.

Tāpēc SoA nevar uzturēt tikai drošības komanda. Tai nepieciešama juridiskās funkcijas, privātuma, iepirkumu, inženierijas, operāciju, personāla vadības un augstākās vadības līdzdalība.

Biežākās SoA kļūdas NIS2 un DORA gatavības projektos

Clarysec gatavības projektos atkārtoti konstatē vienas un tās pašas problēmas:

1. SoA atzīmē kontroles pasākumus kā piemērojamus, bet nav reģistrēts risks, pienākums vai biznesa pamatojums.
2. NIS2 un DORA ir minētas politikās, bet nav kartētas uz kontroles pasākumiem, īpašniekiem vai pierādījumiem.
3. Piegādātāju kontroles pasākumi ir atzīmēti kā ieviesti, bet nav piegādātāju reģistra, kritiskuma vērtējuma, līgumiskās pārskatīšanas vai izstāšanās plāna.
4. Incidentu kontroles pasākumi pastāv, bet process neatbalsta 24 stundu, 72 stundu, klientu vai galīgās ziņošanas darbplūsmas.
5. Vadības apstiprinājums tiek pieņemts kā pašsaprotams, bet nav riska pieņemšanas, SoA apstiprinājuma vai atlikušā riska lēmuma ieraksta.
6. Izslēgumi ir kopēti no veidnes un neatbilst faktiskajam mākoņpakalpojumu, attālinātā darba, SaaS vai fintech darbības modelim.
7. Pierādījumi pastāv dažādos rīkos, bet neviena audita pēda nesaista pierādījumus ar SoA.
8. GDPR personas datu apstrāde nav sasaistīta ar drošības kontroles pasākumiem, reaģēšanu uz pārkāpumiem, piegādātāju līgumiem vai glabāšanu.
9. Iekšējais audits pārbauda dokumentus, bet netestē, vai SoA atspoguļo faktisko ieviešanu.
10. SoA tiek atjaunināta tikai pirms sertifikācijas, nevis pēc jauniem klientiem, piegādātājiem, incidentiem, audita konstatējumiem vai regulatīvām izmaiņām.

Tās nav dokumentu kārtošanas problēmas. Tās ir pārvaldības problēmas.

Praktisks kontrolsaraksts auditam gatavai ISO 27001 SoA

Izmantojiet šo kontrolsarakstu pirms ISO 27001 sertifikācijas audita, NIS2 gatavības pārskatīšanas, DORA klienta izvērtējuma, valdes sanāksmes vai investora sākotnējās padziļinātās pārbaudes procesa.

Pārvērtiet SoA par pamatotu atbilstības tiltu

Elenas prezentācija valdei bija veiksmīga, jo viņa nepiedāvāja trīs nesaistītus atbilstības projektus. Viņa prezentēja vienu kontrolētu, pierādījumos balstītu darbības modeli, kas veidots uz ISO/IEC 27001:2022, ar SoA kā tiltu starp regulējumu, risku, kontroles pasākumu ieviešanu, pierādījumiem un vadības pārraudzību.

NIS2 un DORA nepadara ISO 27001 novecojušu. Tās padara labi izveidotu ISO 27001 piemērojamības deklarāciju vērtīgāku. SoA var kļūt par vienu vietu, kur jūsu organizācija paskaidro, kāpēc kontroles pasākumi pastāv, kāpēc izslēgumi ir pamatoti, kā pierādījumi tiek glabāti, kā tiek pārvaldīti piegādātāji, kā incidenti tiek eskalēti un kā vadība zina, ka IDPS darbojas.

Jūsu tūlītējā rīcība ir vienkārša:

1. Atveriet pašreizējo SoA.
2. Izvēlieties piecus kontroles pasākumus, kas atzīmēti kā piemērojami, un pajautājiet: “Kāds risks, pienākums vai līgums to pamato?”
3. Izvēlieties piecus izslēgumus un pajautājiet: “Vai tas joprojām būtu saprotami NIS2, DORA, GDPR vai ISO/IEC 27001:2022 auditoram?”
4. Pārbaudiet, vai katram piemērojamam kontroles pasākumam ir aktuāli pierādījumi.
5. Apstipriniet, ka vadība ir apstiprinājusi atlikušos riskus un SoA lēmumus.
6. Atjauniniet atbilstības reģistru, riska reģistru un SoA ikreiz, kad mainās pakalpojumi, piegādātāji, klienti, regulējumi vai incidenti.

Clarysec palīdz organizācijām to paveikt ar Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, uzņēmuma un SME politiku komplektiem, riska reģistra rīkiem, SoA veidnēm, audita sagatavošanu un savstarpējās atbilstības kartēšanu NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 un klientu apliecinājuma vajadzībām.

Ja jūsu SoA nevar atbildēt, kāpēc kontroles pasākums ir vajadzīgs, kam tas pieder, kādi pierādījumi to apliecina un kuru pienākumu tas atbalsta, tā vēl nav gatava. Izmantojiet Clarysec, lai pārvērstu to par auditam gatavu atbilstības tiltu, pirms regulators, auditors vai klients pirmais uzdod šos pašus jautājumus.