ISO 27001:2022 apmācības pierādījumi NIS2 un DORA vajadzībām
Ir 09:12 otrdienas rītā 2026. gada februārī. Finanšu analītiķis strauji augošā FinTech uzņēmumā saņem e-pastu, kas šķietami nosūtīts no finanšu direktora un kurā tiek prasīta steidzama piegādātāja maksājuma datnes pārskatīšana. Pielikums atver pārliecinošu Microsoft pieteikšanās lapu. Analītiķis apstājas, atceras iepriekšējā mēneša pikšķerēšanas simulāciju un maksājumu krāpšanas moduli un, neievadot pieteikšanās datus, ziņo par e-pastu drošības portālā.
Informācijas drošības vadītājam šis viens lēmums ir kontroles pasākums, kas reāli darbojas.
Auditoram ar šo stāstu nepietiek.
Pēc nedēļas pienāk pierādījumu pieprasījums: “Sniedziet pierādījumus par visaptverošu, uz lomām balstītu informācijas drošības izpratnes un apmācības programmu, tostarp efektivitātes rādītājus un ierakstus, kas apliecina visu darbinieku, arī vadības, pārklājumu.”
Šis teikums maina sarunas būtību. Izklājlapa, kurā blakus 97 procentiem darbinieku norādīts “Pabeigts”, vairs nav pietiekama. Auditors jautās, kas apmācīja analītiķi, kad apmācība tika piešķirta, vai tā bija obligāta, vai tā bija balstīta uz lomu, vai finanšu funkcija saņēma papildu izpratnes apmācību par maksājumu krāpšanu, vai tika iekļauti jaunie darbinieki un līgumdarbinieki, vai vadība apstiprināja programmu, vai apmācība tika mainīta pēc pēdējās pikšķerēšanas kampaņas un vai pabeigšanas ieraksti tika saglabāti.
- gadā drošības izpratnes apmācības pierādījumi atrodas ISO/IEC 27001:2022, NIS2, DORA, GDPR un NIST CSF 2.0 krustpunktā. Tā vairs nav ikgadēja personāla vadības aktivitāte. Tā ir valdes līmeņa pārvaldība, risku apstrāde, gatavība incidentiem, juridiskā pārskatatbildība un audita pierādījumi.
Clarysec uztver drošības izpratni kā operacionālu pierādījumu sistēmu, nevis slaidu komplektu. Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Zenith Controls: The Cross-Compliance Guide Zenith Controls, Informācijas drošības izpratnes un apmācības politika - SME Informācijas drošības izpratnes un apmācības politika - SME un Informācijas drošības izpratnes un apmācības politika Informācijas drošības izpratnes un apmācības politika sasaista uz lomām balstītu apmācību ar IDPS, regulatīvajiem pienākumiem, reaģēšanu uz incidentiem, piegādātāju piekļuvi un vadības pārskatu.
Kāpēc vispārīga drošības izpratnes apmācība 2026. gadā vairs neatbilst prasībām
Regulatīvā pāreja ir skaidra. NIS2 nosaka kiberdrošību kā vadības atbildību būtiskām un svarīgām vienībām. 20. pants prasa, lai vadības struktūras apstiprinātu kiberdrošības risku pārvaldības pasākumus, pārraudzītu to īstenošanu un saņemtu apmācību. 21. pants ietver kiberhigiēnas pamatpraksi un kiberdrošības apmācību kā daļu no obligātā risku pārvaldības pamatlīmeņa. Mākoņpakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, pārvaldīto pakalpojumu sniedzējiem, pārvaldīto drošības pakalpojumu sniedzējiem, DNS pakalpojumu sniedzējiem, TLD reģistriem, tiešsaistes tirdzniecības vietām un meklētājprogrammām apmācība ir kļuvusi par valdes līmeņa jautājumu.
DORA paaugstina prasību līmeni finanšu iestādēm un IKT pakalpojumu sniedzējiem, kas apkalpo finanšu sektoru. Tā ir piemērojama no 2025. gada 17. janvāra un prasa finanšu iestādēm uzturēt iekšēju pārvaldības un kontroles sistēmu IKT riska pārvaldībai. Vadības struktūrām jāpārrauga IKT risks, budžeti, auditi, trešo pušu vienošanās, darbības nepārtrauktība, reaģēšanas un atjaunošanas plāni un digitālā darbības noturība. DORA 17. līdz 19. pants prasa arī, lai ar IKT saistīti incidenti tiktu atklāti, klasificēti, eskalēti, komunicēti un ziņoti. Apmācība ir tas, kas padara šīs procedūras izpildāmas paaugstināta spiediena apstākļos.
ISO/IEC 27001:2022 nodrošina organizācijām pārvaldības sistēmas pamatu. 4. līdz 10. punkts aptver kontekstu, ieinteresētās puses, līderību, risku novērtēšanu, risku apstrādi, kompetenci, izpratni, dokumentētu informāciju, snieguma izvērtēšanu un uzlabošanu. Standarts ir mērogojams dažādās nozarēs un dažāda lieluma organizācijās, tāpēc Clarysec to izmanto kā darbības modeli integrētai ISO, NIS2, DORA, GDPR un NIST saskaņošanai ISO/IEC 27001:2022.
GDPR pievieno pārskatatbildības slāni. Organizācijām jāspēj pierādīt, ka personas dati tiek apstrādāti likumīgi, godprātīgi, droši un ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem. Darbiniekiem, kuri apstrādā personas datus, administrē sistēmas, izstrādā programmatūru, atbalsta klientus vai izmeklē incidentus, ir nepieciešama privātuma un pārkāpumu eskalācijas apmācība.
NIST CSF 2.0 nostiprina to pašu virzienu. Tā GOVERN funkcija sasaista tiesiskās, regulatīvās, līgumiskās, privātuma un ieinteresēto pušu prasības ar lomām, pienākumiem, politikām, resursiem, pārraudzību un uzņēmuma risku pārvaldību. NIST CSF profili palīdz arī pārvērst apmācības pienākumus pašreizējā un mērķa stāvokļa uzlabošanas plānos.
Secinājums ir vienkāršs: auditam gatavai drošības izpratnes apmācībai jāpierāda, ka cilvēki zina savus pienākumus, ka apmācība ir pielāgota lomai un riskam un ka pierādījumi ir pietiekami pilnīgi auditoriem, regulatoriem, klientiem un vadībai.
Audita problēma: “mēs apmācījām visus” nav pierādījums
Daudzas organizācijas auditu neiztur nevis tāpēc, ka apmācība nav veikta, bet gan tāpēc, ka tās nevar pierādīt, ka apmācība tika izstrādāta, piešķirta, pabeigta, pārskatīta un uzlabota.
Vāja pierādījumu pakete parasti ietver vienu ikgadēju PDF dokumentu, pabeigšanas izklājlapu bez datumiem, bez ievadapmācības pierādījumiem, bez līgumdarbinieku pārklājuma, bez privileģēto lietotāju apmācības, bez vadības apmācības, bez uz lomām balstītiem moduļiem izstrādātājiem vai finanšu funkcijai, bez saites uz risku novērtēšanu un bez pierādījumiem, ka apmācība ir atjaunināta pēc incidentiem vai regulatīvām izmaiņām.
Auditori nevēlas motivējošu plakātu. Viņi vēlas pierādījumu ķēdi.
Clarysec SME politika šo prasību formulē tieši. Informācijas drošības izpratnes un apmācības politika - SME, Mērķi, 3.3. punkts, prasa organizācijām:
“Izveidot dokumentētus pabeigšanas ierakstus, lai pierādītu atbilstību tiesiskajām, līgumiskajām un audita prasībām.”
Tā pati SME politika pārvērš apmācību par saglabājamu dokumentētu informāciju. Politikas ieviešanas prasības, 6.3.2. punkts, nosaka:
“Centrālai izklājlapai vai Cilvēkresursu informācijas sistēmai šie ieraksti jāuztur vismaz trīs gadus.”
Uzņēmuma vidēm Informācijas drošības izpratnes un apmācības politika, Mērķis, 1.2. punkts, nosaka strukturētāku prasību:
“Šī politika atbalsta ISO/IEC 27001 7.3. punktu un A pielikuma 6.3. kontroles pasākumu, prasot strukturētu, uz riska informāciju balstītu izpratnes un apmācības ietvaru, kas pielāgots organizācijas lomām un mainīgajiem apdraudējumiem.”
Šī frāze ir būtiska: strukturēta, uz riska informāciju balstīta, lomām pielāgota un apdraudējumu izmaiņas ņemoša vērā. Tā ir atšķirība starp izpratnes teātri un pamatotu kompetenci.
Sāciet ar lomām, nevis kursiem
Biežākā kļūda ir satura iegāde pirms pienākumu definēšanas. Integrētā atbilstības programmā pareizais pirmais jautājums nav “Kuru apmācību platformu izmantot?” Pareizais jautājums ir “Kuras lomas rada, pārvalda, apstiprina, apstrādā, aizsargā vai atjauno informācijas aktīvus?”
ISO/IEC 27001:2022 5.3. punkts prasa piešķirt un komunicēt atbildību un pilnvaras informācijas drošības lomām. 7.2. punkts prasa kompetenci personām, kas veic darbu organizācijas kontrolē, pamatojoties uz izglītību, apmācību vai pieredzi. 7.3. punkts prasa izpratni par informācijas drošības politiku, ieguldījumu IDPS efektivitātē un neatbilstības sekām.
Zenith Blueprint, IDPS pamati un līderība, 5. solī: komunikācija, izpratne un kompetence, Clarysec pārvērš to ieviešanas valodā:
“Identificējiet nepieciešamās kompetences: nosakiet, kādas zināšanas un prasmes ir nepieciešamas dažādām lomām jūsu IDPS.”
Blueprint sniedz praktiskus piemērus: IT personālam var būt nepieciešama droša serveru konfigurācija, izstrādātājiem — droša kodēšana, personāla vadībai — droša personas datu apstrāde, bet vispārējam personālam — izpratne par pikšķerēšanu. Tajā uzsvērti arī ieraksti:
“Uzturiet kompetences ierakstus: 7.2. punkts paredz, ka dokumentēta informācija jāsaglabā kā kompetences pierādījums.”
Tas nozīmē, ka apmācības programma jāsāk ar lomu un risku matricu.
| Lomu grupa | Apmācības fokuss | Saglabājamie pierādījumi | Atbilstības vērtība |
|---|---|---|---|
| Visi darbinieki | Pikšķerēšana, paroļu higiēna, MFA, pieņemama lietošana, ierīču drošība, ziņošana par incidentiem | Pabeigšanas pārskats, testa rezultāts, politikas apliecinājums, satura versija | ISO/IEC 27001:2022 7.3. punkts, ISO/IEC 27002:2022 6.3. kontroles pasākums, NIS2 21. pants |
| Augstākā vadība un valde | Kiberrisku pārvaldība, NIS2 20. panta pienākumi, DORA pārraudzība, riska apetīte, krīzes lēmumi | Apmeklējuma ieraksts, valdes materiālu pakete, protokoli, programmas apstiprinājums | NIS2 20. pants, DORA 5. pants, ISO/IEC 27001:2022 līderības pierādījumi |
| Izstrādātāji | Droša kodēšana, OWASP Top 10, drošs SDLC, API drošība, ievainojamību apstrāde, noslēpumu pārvaldība | Moduļa pabeigšana, laboratorijas darbu rezultāti, drošas kodēšanas kontrolsaraksts, trūkumu novēršanas pierādījumi | ISO/IEC 27002:2022 8.25 un 8.28 kontroles pasākumi, DORA IKT riska prasības |
| IT un sistēmu administratori | Privileģētās piekļuves pārvaldība, žurnālfailu reģistrēšana, ievainojamību pārvaldība, rezerves kopiju atjaunošana, izmaiņu kontrole, droša konfigurēšana | Pabeigšanas ieraksts, saite uz piekļuves tiesību pārskatīšanu, dalība galda mācībās | ISO/IEC 27002:2022 8.8 un 8.13 kontroles pasākumi, DORA noturības gatavība |
| Personāla vadība | Konfidencialitāte, ievadapmācība un darba attiecību izbeigšana, disciplinārais process, īpašu kategoriju datu apstrāde | Personāla vadības apmācības ieraksts, ievadapmācības kontrolsaraksts, politikas apliecinājums | GDPR pārskatatbildība, ISO/IEC 27002:2022 personāla kontroles pasākumi |
| Finanses | Maksājumu krāpšana, piegādātāja imitācija, pienākumu nodalīšana, aizdomīgu pieprasījumu eskalācija | Mērķēta moduļa pabeigšana, pikšķerēšanas simulācijas rezultāti | Krāpšanas riska samazināšana, NIS2 un DORA gatavība incidentiem |
| Klientu atbalsts | Digitālās identitātes pārbaude, droša pieteikumu apstrāde, personas datu aizsardzība, eskalācijas ceļi | Lomas moduļa pabeigšana, pieteikumu pārskatīšanas izlase, privātuma apliecinājums | GDPR apstrādātāja pārskatatbildība, klientu apliecinājums |
| Incidentu reaģēšanas dalībnieki | Klasifikācija, eskalācija, pierādījumu saglabāšana, regulatīvās paziņošanas termiņi, gūtās mācības | Mācību ieraksts, scenārija pārskats, lomas piešķīrums, darbību izsekošanas rīks | NIS2 23. pants, DORA 17. līdz 19. pants, ISO/IEC 27002:2022 incidentu kontroles pasākumi |
| Līgumdarbinieki ar piekļuvi sistēmām | Pieņemama lietošana, ziņošanas kanāls, datu apstrāde, piekļuves nosacījumi | Līgumdarbinieka apliecinājums, ievadapmācības ieraksts, saite uz piekļuves apstiprinājumu | Piegādātāju apliecinājums, piekļuves pārvaldība, atbilstība līgumsaistībām |
Šī matrica nav tikai apmācības grafiks. Tā ir atbilstības karte, kas parāda, kāpēc dažādām personu grupām tiek nodrošināta atšķirīga apmācība.
Sasaistiet apmācību ar kontroles pasākumu ķēdi
Zenith Controls ISO/IEC 27002:2022 6.3. kontroles pasākumu, Informācijas drošības izpratne, izglītošana un apmācība, klasificē kā preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību. Tā kiberdrošības koncepts ir Protect, operacionālā spēja ir cilvēkresursu drošība, un drošības jomas ir Pārvaldība un ekosistēma.
Zenith Controls starpatbilstības interpretācija ir tieša:
“6.3. kontroles pasākums īsteno NIS2 prasību par drošības apmācību un izpratni, ieviešot strukturētu izpratnes programmu, kas aptver kiberhigiēnu, jaunos apdraudējumus un personāla pienākumus.”
Tas pats kartējums sasaista ISO/IEC 27002:2022 6.3. kontroles pasākumu ar GDPR prasībām darbiniekiem, kuri apstrādā personas datus, DORA IKT drošības apmācību, kas pielāgota lomām, un NIST SP 800-53 Rev.5 AT-2, AT-3 un AT-4 attiecībā uz drošības pratības un izpratnes apmācību, uz lomām balstītu apmācību un apmācības ierakstiem.
Galvenais ir tas, ka 6.3. kontroles pasākums nepastāv izolēti. Zenith Controls to sasaista ar ISO/IEC 27002:2022 5.2. kontroles pasākumu, Informācijas drošības lomas un pienākumi, jo lomas nosaka, kam kāda apmācība nepieciešama. Tas to sasaista ar 6.8. kontroles pasākumu, Informācijas drošības notikumu ziņošana, jo darbinieki nevar ziņot par to, ko viņi neatpazīst. Tas to sasaista arī ar 5.36. kontroles pasākumu, Atbilstība informācijas drošības politikām, noteikumiem un standartiem, jo atbilstība ir atkarīga no tā, vai cilvēki zina noteikumus.
Tas veido praktisku kontroles pasākumu ķēdi:
- Definējiet pienākumus.
- Piešķiriet pamatapmācību un uz lomām balstītu apmācību.
- Pierādiet pabeigšanu.
- Pārbaudiet izpratni.
- Uzraugiet atbilstību.
- Novērsiet trūkumus.
- Iekļaujiet gūtās mācības risku apstrādē un vadības pārskatā.
Tas ir būtiski NIS2 kontekstā, jo 21. pants prasa risku analīzi, politikas, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un uzturēšanu, kontroles pasākumu efektivitātes izvērtēšanu, kiberhigiēnu un apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un MFA vai drošu autentifikāciju, ja piemērojams.
Tas ir būtiski DORA kontekstā, jo pārvaldība, incidentu pārvaldība, reaģēšana un atjaunošana, trešo pušu risks un noturības testēšana darbojas tikai tad, ja cilvēki zina, kas jādara pirms incidents notiek.
Izveidojiet auditam gatavu pierādījumu paketi
Nobriedusi pierādījumu pakete ietver vairāk nekā apmeklējuma žurnālus. Tā parāda pārvaldību, dizainu, nodrošināšanu, pabeigšanu, efektivitāti un uzlabošanu. Clarysec iesaka sešu mapju struktūru.
| Pierādījumu mape | Kas tajā iekļauts | Kāpēc tas ir svarīgi |
|---|---|---|
| 01 Pārvaldība | Apstiprinātā politika, apmācības mērķi, vadības apstiprinājums, budžets, gada plāns | Parāda vadības apņemšanos un pārraudzību |
| 02 Lomu kartēšana | Lomu uzskaite, kompetenču matrica, apmācības piešķiršanas noteikumi, līgumdarbinieku tvērums | Pierāda uz risku un lomām balstītu dizainu |
| 03 Apmācības saturs | Kursu materiāli, LMS moduļi, pikšķerēšanas veidnes, drošības biļeteni, versiju vēsture | Parāda, kas cilvēkiem faktiski tika mācīts |
| 04 Pabeigšanas ieraksti | LMS eksporti, HRIS ieraksti, apmeklējuma žurnāli, testu rezultāti, apliecinājumi | Pierāda dalību un saglabātu dokumentētu informāciju |
| 05 Efektivitātes pierādījumi | Pikšķerēšanas simulāciju metrika, interviju rezultāti, incidentu ziņošanas tendences, galda mācību rezultāti | Parāda, vai apmācība mainīja uzvedību |
| 06 Uzlabošana | Korektīvās darbības, atjauninātie moduļi, gūtās mācības, vadības pārskata ievaddati | Parāda nepārtrauktu uzlabošanu |
Clarysec uzņēmuma politika prasa ievadapmācību, ikgadējo atkārtoto apmācību un uz lomām balstītus moduļus. Informācijas drošības izpratnes un apmācības politika, Pārvaldības prasības, 5.1.1.2. punkts, nosaka:
“Iekļaut ievadapmācību, ikgadējo atkārtoto apmācību un uz lomām balstītus apmācības moduļus”
Tā pati politika piešķir atbildību par pierādījumiem. Pārvaldības prasības, 5.3.1. un 5.3.1.1. punkts, nosaka:
“Informācijas drošības vadītājam vai deleģētajai personai jāuztur:”
“Pabeigšanas ieraksti par katru lietotāju”
SME gadījumā SME politika pievieno praktisku regularitāti. Informācijas drošības izpratnes un apmācības politika - SME, Politikas ieviešanas prasības, 6.1.1. punkts, nosaka:
“Materiāliem jābūt praktiskiem, lomai atbilstošiem un atjauninātiem reizi gadā.”
Tā aptver arī apmācību, ko izraisa izmaiņas. 6.5.1. punkts nosaka:
“Ja mainās amata lomas vai tiek ieviestas sistēmas, var būt nepieciešama mērķēta izpratnes apmācība (piemēram, droša failu koplietošana, jaunas datu aizsardzības un datu minimizēšanas prasības).”
Šis punkts 2026. gadā ir īpaši svarīgs, jo migrācija uz mākoņvidi, AI rīki, jaunas maksājumu integrācijas, jauni apstrādātāji un regulatīvās ziņošanas izmaiņas var mainīt risku ātrāk nekā ikgadējais cikls.
Vienas nedēļas glābšanas plāns pirms audita
Apsveriet 180 cilvēku SaaS vai FinTech pakalpojumu sniedzēju, kas gatavojas ISO/IEC 27001:2022 uzraudzības auditam, DORA klientu pienācīgajai pārbaudei, GDPR pārskatatbildības pārskatam un NIS2 vadītiem klientu jautājumiem. Informācijas drošības vadītājam ir viena nedēļa, lai vispārīgus pabeigšanas ierakstus pārvērstu pamatotā pierādījumu paketē.
1. diena: Apstipriniet tvērumu un pienākumus
Izmantojiet ISO/IEC 27001:2022 4.1. līdz 4.4. punktu, lai apstiprinātu kontekstu, ieinteresētās puses un IDPS tvērumu. Fiksējiet klientu līgumiskās saistības, GDPR pārziņa vai apstrādātāja pienākumus, NIS2 gaidas no kritiskiem klientiem un ar DORA saistītus IKT piegādātāja pienācīgās pārbaudes pieprasījumus.
Pēc tam pārvērtiet šos pienākumus apmācības vajadzībās. GDPR prasa, lai personāls, kas apstrādā personas datus, izprastu konfidencialitāti, minimizēšanu, glabāšanu un pārkāpumu eskalāciju. NIS2 prasa kiberhigiēnu, darbinieku apmācību un vadības pārraudzību. DORA vadīti klienti sagaidīs pierādījumus, ka komandas, kas atbalsta kritiskus pakalpojumus, izprot incidentu eskalāciju, noturību, piekļuves kontroli, rezerves kopiju veidošanu un atjaunošanu, kā arī trešo pušu koordināciju.
2. diena: Izveidojiet uz lomām balstītu matricu
Izmantojiet Zenith Blueprint norādījumus un Zenith Controls kartējumus ISO/IEC 27002:2022 5.2. un 6.3. kontroles pasākumiem. Iekļaujiet darbiniekus, līgumdarbiniekus, privileģētus kontus, izstrādātājus, atbalsta komandas, personāla vadību, finanses, augstāko vadību un incidentu reaģēšanas dalībniekus.
Sasaistiet katru lomu ar sistēmām un riskiem. Izstrādātāji saņem drošas kodēšanas un ievainojamību apstrādes apmācību. Atbalsta komandas saņem digitālās identitātes pārbaudes un drošas pieteikumu apstrādes apmācību. Finanses saņem maksājumu krāpšanas un piegādātāju izmaiņu pārbaudes apmācību. Augstākā vadība saņem pārvaldības, juridiskās pārskatatbildības, riska apetītes un krīzes lēmumu pieņemšanas apmācību.
3. diena: Saskaņojiet politiku un piešķīrumus
Pieņemiet vai atjauniniet atbilstošo Clarysec politiku. Izmantojiet SME politiku vieglākam darbības modelim vai uzņēmuma politiku stingrākai pārvaldībai un pierādījumu atbildībai. Apstipriniet, ka politika ietver ievadapmācību, ikgadējās atkārtotās apmācības, uz lomām balstītus moduļus, pierādījumu glabāšanu, līgumdarbinieku pārklājumu un izmaiņu izraisītu apmācību.
Publicējiet politiku, savāciet apliecinājumus un sasaistiet apmācības moduļus ar amatu saimēm HRIS vai LMS.
4. diena: Nodrošiniet mērķētu apmācību
Neapmāciet visus par visu. Apmāciet visus par pamatlīmeņa kontroles pasākumiem un pēc tam piešķiriet lomai specifiskus moduļus.
Pamatlīmeņa modulim jāaptver pikšķerēšana un sociālā inženierija, paroļu higiēna un MFA, pieņemama lietošana, droša informācijas apstrāde, incidentu ziņošanas kanāli, ziņošana par nozaudētām ierīcēm un datu aizsardzības pamati.
Lomai specifiskajiem moduļiem jāaptver drošs SDLC izstrādātājiem, privileģētās piekļuves pārvaldība un rezerves kopiju atjaunošana IT komandām, darbinieku dati personāla vadībai, maksājumu krāpšana finanšu funkcijai, incidentu klasifikācija reaģēšanas dalībniekiem un NIS2 un DORA pārvaldība augstākajai vadībai.
5. diena: Eksportējiet un pārbaudiet pierādījumus
Izveidojiet sešu mapju pierādījumu paketi. Eksportējiet pabeigšanas pārskatus, testu rezultātus, kursu versiju numurus, politikas apliecinājumus un apmācības grafikus. Identificējiet nepabeigtās apmācības un atveriet korektīvās darbības.
Pēc tam pārbaudiet izpratni intervijās. Uzdodiet darbiniekiem no dažādām struktūrvienībām šādus jautājumus:
- Kādu drošības apmācību jūs pabeidzāt?
- Kā jūs ziņojat par aizdomīgu e-pastu?
- Ko jūs darītu, ja pazaudētu klēpjdatoru?
- Kur jūs varat atrast informācijas drošības politiku?
- Kādus personas datus jūs apstrādājat savā lomā?
Reģistrējiet rezultātus kā iekšējā audita izlasi. Auditori bieži izmanto intervijas, lai pārliecinātos, vai izpratne ir ne tikai nodrošināta, bet arī apgūta.
6. diena: Sasaistiet apmācību ar reaģēšanu uz incidentiem
Izmantojiet ziņošanu par incidentiem kā tiltu uz ISO/IEC 27002:2022 6.8. kontroles pasākumu, NIS2 23. pantu un DORA 17. līdz 19. pantu.
NIS2 23. pants prasa pakāpenisku ziņošanu par būtiskiem incidentiem, tostarp agrīnu brīdinājumu 24 stundu laikā pēc informētības iegūšanas, paziņojumu 72 stundu laikā un galīgo ziņojumu viena mēneša laikā. DORA prasa, lai būtiski ar IKT saistīti incidenti tiktu klasificēti, eskalēti, komunicēti un ziņoti noteiktajā ziņošanas dzīves ciklā.
Darbiniekiem nav jāiegaumē juridiskie termiņi, taču viņiem jāziņo par aizdomīgiem incidentiem pietiekami ātri, lai organizācija varētu tos ievērot.
Zenith Blueprint, Kontroles pasākumi darbībā, 16. solī: Personāla kontroles II, Clarysec norāda:
“Efektīva incidentu reaģēšanas sistēma sākas nevis ar rīkiem, bet ar cilvēkiem.”
Tas nav “mīksts” ieteikums. Tā ir darbības noturība.
7. diena: Sagatavojiet audita stāstījumu
Gala audita stāstījumam jābūt īsam un balstītam pierādījumos:
“Mēs identificējām apmācības vajadzības, pamatojoties uz IDPS lomām, tiesiskajiem un līgumiskajiem pienākumiem, risku novērtēšanas rezultātiem un piekļuvi sistēmām. Mēs piešķīrām pamatlīmeņa un uz lomām balstītus moduļus, izmantojot LMS. Mēs saglabājām pabeigšanas ierakstus, testu rezultātus, satura versijas un apliecinājumus. Mēs pārbaudījām efektivitāti ar pikšķerēšanas simulācijām, intervijām un incidentu ziņošanas rādītājiem. Nepabeigšana tiek izsekota kā korektīvā darbība. Vadība programmu pārskata reizi gadā un pēc būtiskām izmaiņām.”
Ar pierādījumiem pamatots šāds stāstījums iztur ISO/IEC 27001:2022 audita jautājumus, NIS2 pārvaldības pārbaudi, DORA klientu pienācīgo pārbaudi, GDPR pārskatatbildības pārskatu un NIST stila kontroles pasākumu izvērtēšanu.
Starpatbilstības kartējums drošības izpratnes apmācībai
Drošības izpratne bieži tiek kļūdaini klasificēta kā personāla vadības uzdevums. Praksē tas ir starpatbilstības kontroles pasākums, kas skar pārvaldību, risku pārvaldību, privātumu, reaģēšanu uz incidentiem, piegādātāju apliecinājumu un noturību.
| Ietvars vai regulējums | Apmācības nozīme | Clarysec ieviešanas punkts |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetence, izpratne, līderība, lomu piešķiršana, dokumentēta informācija, uzraudzība, iekšējais audits un uzlabošana | Zenith Blueprint 5. un 15. solis, politikas punkti par ievadapmācību, ikgadējām atkārtotām apmācībām, uz lomām balstītu apmācību un pierādījumiem |
| ISO/IEC 27002:2022 | 6.3. kontroles pasākuma izpratne, izglītošana un apmācība, kas sasaistīta ar 5.2. lomām, 6.8. notikumu ziņošanu un 5.36. atbilstības uzraudzību | Zenith Controls kartē atribūtus, saistītos kontroles pasākumus, audita gaidas un saskaņošanu starp ietvariem |
| NIS2 | Vadības apmācība, darbinieku kiberdrošības apmācība, kiberhigiēna, gatavība incidentiem un pārvaldības pārskatatbildība | Valdes modulis, darbinieku pamatlīmenis, incidentu ziņošanas modulis, vadības apstiprinājuma pierādījumi |
| DORA | IKT pārvaldība, vadības pārraudzība, mācības un attīstība, incidentu eskalācija, noturības testēšana un trešo pušu prasības | Augstākās vadības apmācība, IKT lomu moduļi, incidentu reaģēšanas dalībnieku apmācība, piegādātājiem paredzēta pierādījumu pakete |
| GDPR | Pārskatatbildība, droša apstrāde, privātuma lomu izpratne, pārkāpumu atpazīšana un personas datu apstrāde | Privātuma apmācība personāla vadības, atbalsta, pārdošanas, inženierijas un incidentu komandām |
| NIST CSF 2.0 | GOVERN funkcija, lomas, politikas, juridiskie pienākumi, pārraudzība, profili un uzlabošanas plānošana | Pašreizējais un mērķa apmācības profils, trūkumu reģistrs un prioritizēts rīcības plāns |
| NIST SP 800-53 Rev.5 | Izpratnes apmācība, uz lomām balstīta apmācība un apmācības ieraksti | Kartējums uz AT-2, AT-3 un AT-4, izmantojot Zenith Controls |
| COBIT 2019 balstīts apliecinājums | Pārvaldības mērķi, pārskatatbildība, spēja, snieguma rādītāji un vadības ziņošana | Apmācības KPI, lomu īpašumtiesības, vadības pārskats un korektīvo darbību slēgšana |
NIST CSF 2.0 ir īpaši noderīgs organizācijām, kurām briedums jāskaidro ieinteresētajām pusēm ārpus ISO vides. Tā organizācijas profilu metode atbalsta pašreizējā un mērķa stāvokļa plānošanu. Piemēram, pašreizējais profils var norādīt, ka pamatlīmeņa izpratne pastāv, bet izstrādātāju drošas kodēšanas apmācība nav pabeigta. Mērķa profils var prasīt, lai visi izstrādātāji līdz Q3 pabeigtu drošas kodēšanas, ievainojamību atklāšanas un noslēpumu pārvaldības apmācību.
Kā auditori un regulatori pārbauda apmācības pierādījumus
Dažādi pārskatītāji uzdod dažādus jautājumus, bet visi pārbauda vienu patiesību: vai organizācija zina, kas cilvēkiem jādara, un vai tā var pierādīt, ka cilvēki ir gatavi to darīt?
ISO/IEC 27001:2022 auditors sasaistīs apmācības pierādījumus ar 5.3., 7.2., 7.3., 7.5., 9.1., 9.2., 10.1. un 10.2. punktu, kā arī A pielikuma kontroles pasākumiem. Sagaidiet jautājumus par to, kā tika noteiktas kompetences prasības, kā darbinieki zina informācijas drošības politiku, kā tiek apmācīti jaunie darbinieki un līgumdarbinieki, kā tiek apstrādāta nepabeigšana, kā uz lomām balstīta apmācība sasaistās ar risku novērtēšanu un Piemērojamības paziņojumu un kā tiek izvērtēta efektivitāte.
Zenith Controls norāda, ka auditori, kas izmanto ISO/IEC 19011:2018, pārskatīs mācību programmu, grafikus, materiālus, apmeklējuma ierakstus, pabeigšanas sertifikātus un pasniedzēju kompetenci. Tajā arī norādīts, ka ISO/IEC 27007:2020 auditori var izmantot intervijas, lai noteiktu, vai darbinieki zina, kā ziņot par incidentiem, un atceras galvenos apmācības vēstījumus.
Uz NIS2 vērsta pārbaude skatīsies tālāk par pabeigšanas rādītājiem. Tajā tiks jautāts, vai vadības struktūra apstiprināja un pārraudzīja kiberdrošības risku pārvaldības pasākumus, vai vadība saņēma apmācību, vai personāla kiberhigiēnas apmācība ir regulāra un vai incidentu ziņošana ir saprotama. 21. pants prasa arī procedūras kiberdrošības risku pārvaldības pasākumu efektivitātes izvērtēšanai, tāpēc pikšķerēšanas metrika, incidentu ziņošanas tendences un audita konstatējumi kļūst par kontroles efektivitātes pierādījumiem.
DORA pārbaude, īpaši finanšu klientam izvērtējot IKT pakalpojumu sniedzēju, koncentrēsies uz darbības noturību. Sagaidiet jautājumus par personālu, kas atbalsta kritiskus finanšu pakalpojumus, apmācības ierakstiem komandām, kas pārvalda maksājumu sistēmas, vadības apmācību par IKT trešo pušu risku, incidentu klasifikāciju saskaņā ar DORA 18. pantu un līgumdarbinieku apmācību piekļuvei klientu videi.
GDPR pārbaude koncentrēsies uz pārskatatbildību. Organizācijai jāparāda, ka personāls, kas apstrādā personas datus, izprot likumīgu apstrādi, konfidencialitāti, minimizēšanu, glabāšanu, drošu apstrādi un pārkāpumu eskalāciju. SaaS, FinTech un pārvaldīto pakalpojumu sniedzējiem apmācības pierādījumi ir daļa no pierādījuma, ka privātuma prasības ir iestrādātas operacionālajā uzvedībā.
Rādītāji, kas pierāda kontroles efektivitāti
Pabeigšana ir nepieciešama, taču ar to nepietiek. Spēcīgāks 2026. gada informācijas panelis parāda, vai apmācība uzlaboja uzvedību.
| Rādītājs | Ko tas parāda | Audita interpretācija |
|---|---|---|
| Pabeigšana pa lomām | Vai piešķirtās personu grupas pabeidza obligātos moduļus | Pamata atbilstība un pārklājums |
| Jauno darbinieku pabeigšana mērķa termiņā | Vai ievadapmācības kontroles pasākumi darbojas | Personāla vadības un piekļuves pārvaldības briedums |
| Privileģēto lietotāju apmācības pabeigšana | Vai augsta riska lietotāji ir sagatavoti | Uz risku balstīta prioritizācija |
| Pikšķerēšanas simulācijas klikšķu un ziņošanas rādītājs | Vai uzvedība uzlabojas | Izpratnes efektivitāte |
| Darbinieku iesniegtie incidentu ziņojumi | Vai cilvēki atpazīst notikumus un ziņo par tiem | Saikne ar gatavību incidentiem |
| Laiks no aizdomīga e-pasta līdz ziņojumam | Vai ziņošana atbalsta regulatīvos termiņus | NIS2 un DORA gatavība |
| Atkārtota nepabeigšana | Vai politikas piemērošana un eskalācija darbojas | Atbilstības uzraudzība |
| Apmācības atjauninājumi pēc incidentiem vai izmaiņām | Vai gūtās mācības veicina uzlabošanu | Nepārtraukta uzlabošana |
Šie rādītāji atbalsta ISO/IEC 27001:2022 9.1. punktu par uzraudzību un mērīšanu, 9.2. punktu par iekšējo auditu, 10.1. punktu par nepārtrauktu uzlabošanu un 10.2. punktu par neatbilstību un korektīvo darbību. ISO/IEC 27002:2022 5.36. kontroles pasākums nostiprina prasību, ka atbilstība politikām, noteikumiem un standartiem ir jāuzrauga, jāizvērtē un trūkumi jānovērš.
Biežākie konstatējumi, ko Clarysec redz auditos
Tās pašas vājās vietas atkārtojas regulāri.
Organizācijas apmāca darbiniekus, bet aizmirst augstāko vadību. NIS2 un DORA ietvaros vadības apmācība ir pārvaldības sastāvdaļa, nevis brieduma bonuss.
Organizācijas nodrošina ikgadēju apmācību, bet ignorē lomu izmaiņas. Atbalsta inženierim, kurš pāriet uz DevOps, nepieciešama apmācība par privileģēto piekļuvi, žurnālfailu reģistrēšanu, rezerves kopijām un incidentu eskalāciju.
Organizācijas iekļauj darbiniekus, bet aizmirst līgumdarbiniekus. Zenith Blueprint 15. solis iesaka paplašināt apmācību uz līgumdarbiniekiem vai trešajām pusēm, kam ir piekļuve sistēmām vai datiem.
Organizācijas māca ziņošanu par incidentiem, bet rada bailes. Ja personāls uzskata, ka tiks sodīts par klikšķi uz pikšķerēšanas saites, tas var klusēt. Zenith Blueprint 16. solis uzsver vienkāršus ziņošanas kanālus, ar izpratni atbalstītu ziņošanu un kultūru bez vainošanas.
Organizācijas nevar pierādīt satura versiju pārvaldību. Ja auditors jautā, ko darbinieki pabeidza martā, pašreizējais slaidu komplekts SharePoint nav pietiekams. Saglabājiet piegādāto versiju.
Organizācijas nespēj sasaistīt apmācību ar risku apstrādi. Ja izspiedējprogrammatūra, maksājumu krāpšana, mākoņvides nepareiza konfigurācija vai datu noplūde ir būtisks risks, apmācības plānam jāparāda mērķēta apstrāde attiecīgajām lomām.
Kur iederas Clarysec
Clarysec palīdz organizācijām izveidot vienu pamatotu programmu, nevis piecus savstarpēji nesaistītus atbilstības virzienus.
Informācijas drošības izpratnes un apmācības politika - SME sniedz mazākām organizācijām praktisku pamatlīmeni: uz lomām balstītas prasības, dokumentētus ierakstus, ikgadējus atjauninājumus, izmaiņu izraisītu apmācību un glabāšanu vismaz trīs gadus.
Uzņēmuma Informācijas drošības izpratnes un apmācības politika sniedz lielākām organizācijām stingrāku pārvaldību: strukturētu, uz riska informāciju balstītu izpratni, ievadapmācību, ikgadējās atkārtotās apmācības, uz lomām balstītus moduļus, informācijas drošības vadītāja atbildību par ierakstiem un gatavību regulatīvām pārbaudēm GDPR, DORA un NIS2 ietvaros.
Zenith Blueprint ieviešanas komandām pasaka, kas jādara secīgi. 5. solis iestrādā kompetenci un izpratni IDPS pamatā. 15. solis operacionalizē ISO/IEC 27002:2022 6.3. kontroles pasākumu ar ikgadēju apmācību, lomai specifiskiem moduļiem, ievadapmācību, pikšķerēšanas simulācijām, dalības pierādījumiem, mērķētiem biļeteniem, līgumdarbinieku apmācību un uzvedības nostiprināšanu. 16. solis sasaista izpratni ar personāla vadītu incidentu ziņošanu.
Zenith Controls sniedz atbilstības komandām kartējumu. Tas sasaista ISO/IEC 27002:2022 6.3. kontroles pasākumu ar lomām, notikumu ziņošanu, atbilstības uzraudzību, ISO/IEC 27005:2024 cilvēkfaktora riskiem, GDPR apmācības prasībām, NIS2 21. pantu, DORA IKT apmācību, NIST izpratnes kontroles pasākumiem un audita metodoloģijām. Tas sasaista arī 5.2. kontroles pasākumu ar pārvaldības pienākumiem un 5.36. kontroles pasākumu ar atbilstības uzraudzību un korektīvo darbību.
Kopā šie resursi ļauj informācijas drošības vadītājam izskaidrot ne tikai to, kāda apmācība notika, bet arī kāpēc tā notika, kas to pieprasīja, kādu risku tā apstrādāja, kā tā tika pierādīta un kā tā uzlabojas.
Sagatavojiet drošības apmācības pierādījumus auditam jau tagad
Ja jūsu pašreizējie pierādījumi ir izklājlapa, slaidu komplekts un cerība, ka darbinieki atceras ziņošanas e-pasta adresi, tagad ir laiks tos pilnveidot.
Sāciet ar četrām darbībām šonedēļ:
- Izveidojiet uz lomām balstītu apmācības matricu, kas sasaistīta ar IDPS pienākumiem, piekļuvi sistēmām un regulatīvajiem pienākumiem.
- Pieņemiet vai atjauniniet savu Clarysec izpratnes politiku, izmantojot Informācijas drošības izpratnes un apmācības politiku - SME vai Informācijas drošības izpratnes un apmācības politiku.
- Izveidojiet sešu mapju pierādījumu paketi pārvaldībai, lomu kartēšanai, saturam, pabeigšanai, efektivitātei un uzlabošanai.
- Izmantojiet Zenith Blueprint un Zenith Controls, lai kartētu apmācības pierādījumus uz ISO/IEC 27001:2022, NIS2, DORA, GDPR un NIST audita gaidām.
Drošības izpratne ir vērtīga, ja tā maina uzvedību. Atbilstības pierādījumi ir vērtīgi, ja tie konsekventi pierāda šo uzvedību.
Clarysec palīdz jums izveidot abus.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
