Politiku dzīvescikla pārvaldība ISO 27001, NIS2 un DORA vajadzībām

E-pasts nonāca CISO Marijas Petrovas iesūtnē ar klusu, bet satraucošu signālu. To bija nosūtījis ārējais auditors — sākotnējais pieprasījumu saraksts apvienotam ISO/IEC 27001:2022 uzraudzības auditam un DORA gatavības izvērtēšanai. Pirmais punkts šķita vienkāršs:

“Lūdzu, iesniedziet aktuālo Informācijas drošības politiku, tās pilnu versiju vēsturi, pierādījumus par vadības apstiprinājumu katrai versijai un ierakstus par tās paziņošanu attiecīgajam personālam pēdējo 24 mēnešu laikā.”

Marijas uzņēmumam — vidēja lieluma fintech platformai — politikas bija. Desmitiem. Bija informācijas drošības politika, incidentu reaģēšanas plāns, piegādātāju drošības anketa, risku reģistrs, piekļuves kontroles procedūra, darbības nepārtrauktības plāns un mape ar audita pierādījumiem. Taču faili bija izkaisīti SharePoint vietnēs, mantotās Confluence darba telpās, e-pasta sarakstēs, pieteikumu pielikumos un koplietojamos diskos, kuru īpašnieki jau bija aizgājuši no uzņēmuma.

Patiesā problēma kļuva skaidra, kad pienāca auditora papildu jautājumi.

Kas apstiprināja aktuālo incidentu procedūru? Kāpēc SharePoint piegādātāju drošības politikai ir norādīta versija 2.1, bet iepirkumu funkcija izmanto versiju 1.8? Kura politika ir sasaistīta ar NIS2 Article 21 risku pārvaldības pasākumiem? Kur ir ieraksts, kas apliecina, ka personāls tika informēts par pēdējo politikas atjauninājumu? Kāpēc tika piešķirts priviliģētās piekļuves izņēmums, kas pieņēma atlikušo risku un kad izņēmuma termiņš beidzas? Vai novecojuši dokumenti ir izņemti no operatīvās lietošanas? Cik ilgi tiek glabāti audita pārskati? Vai uzņēmums var pierādīt, ka politiku bibliotēka tika pārskatīta pēc pēdējām būtiskajām sistēmas izmaiņām?

Marijai bija kontroles pasākumi, bet nebija kontroles pār pašiem kontroles pasākumiem.

Tā ir politiku dzīvescikla pārvaldības problēma 2026. gadā. Organizācijas auditos vairs necieš neveiksmi tikai tāpēc, ka ugunsmūra kārtula ir nepareiza vai nav veikts rezerves kopiju atjaunošanas tests. Tās cieš neveiksmi tāpēc, ka dokumentētā informācija ir sadrumstalota, neauditējama, dublēta, novecojusi, nekontrolēta vai atrauta no juridiskajiem pienākumiem. Saskaņā ar ISO/IEC 27001:2022 7.5. punktu dokumentētā informācija nav administratīva formalitāte. Tā ir IDPS operatīvā atmiņa. NIS2 kontekstā tā atbalsta vadības struktūras apstiprinājumu un pārraudzību. DORA kontekstā tā kļūst par daļu no IKT risku pārvaldības ietvara un noturības pierādījumu pēdas. GDPR kontekstā tā pierāda pārskatatbildību.

Clarysec skatījums ir tiešs: politiku bibliotēka nav dokumentu izgāztuve. Tā ir pārvaldīta pierādījumu sistēma.

Kāpēc politiku dzīvescikla pārvaldība tagad ir valdes līmeņa jautājums

Politiku dzīvescikla pārvaldība ir disciplīna, kas aptver politiku un saistīto ierakstu izveidi, apstiprināšanu, publicēšanu, paziņošanu, pārskatīšanu, grozīšanu, izņemšanu no lietošanas, glabāšanu un pierādīšanu. Tā atbild uz jautājumiem, kurus auditori, regulatori, klienti un valdes tagad uzdod regulāri:

1. Kam pieder katra politika?
2. Kas to apstiprina?
3. Kuras juridiskās, līgumiskās un risku prasības tā izpilda?
4. Kuri kontroles pasākumi un procedūras to ievieš?
5. Kura versija ir aktuāla?
6. Kurš tika informēts, apmācīts vai kuram bija jāapliecina iepazīšanās?
7. Kuri izņēmumi ir ar to saistīti?
8. Kuri ieraksti pierāda, ka tā darbojas praksē?
9. Kas notiek, kad tā kļūst novecojusi?

ISO/IEC 27001:2022 atbalsta šo disciplīnu ar 7.5. punktu par dokumentēto informāciju, 5. punktu par līderību, 6. punktu par plānošanu un risku apstrādi, 8. punktu par darbības kontroli un A pielikuma kontroles pasākumiem, kas aptver politikas, ierakstus, juridiskās prasības, piegādātājus, incidentus, nepārtrauktību, privātumu, žurnālfiksēšanu, uzraudzību un izmaiņu pārvaldību.

Regulatīvais spiediens ir tikpat tiešs.

NIS2 Article 20 prasa, lai vadības struktūras apstiprinātu kiberdrošības riska pārvaldības pasākumus, pārraudzītu to ieviešanu un saņemtu atbilstošu apmācību. Article 21 prasa uz risku balstītus tehniskus, operatīvus un organizatoriskus pasākumus, tostarp drošības politikas, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu izstrādi, efektivitātes izvērtēšanu, kiberdrošības higiēnu, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un autentifikāciju. Politiku kopums bez īpašumtiesību, apstiprinājumu un pārskatīšanas pierādījumiem vājina vadības pārskatatbildības pamatojumu.

DORA ir piemērojama no 2025. gada 17. janvāra un izveido vienotu ES ietvaru IKT risku pārvaldībai, incidentu ziņošanai, digitālās darbības noturības testēšanai, IKT trešo pušu riskam un līgumiskajām prasībām. Finanšu sabiedrībām, kuras vienlaikus ir būtiskas vai svarīgas vienības NIS2 izpratnē, DORA ir nozares specifiskais Savienības tiesību akts attiecīgajiem kiberdrošības pienākumiem. Article 5 prasa vadības struktūras atbildību par IKT risku pārvaldības ietvaru, politikām, pienākumiem, nepārtrauktības plāniem, auditiem, IKT trešo pušu politikām, ziņošanas kanāliem un apmācību. Article 6 prasa labi dokumentētu IKT risku pārvaldības ietvaru, kas finanšu sabiedrībām, kuras nav mikrouzņēmumi, jāpārskata vismaz reizi gadā un jāuzlabo, ņemot vērā gūtās mācības.

GDPR pievieno pārskatatbildības prasību. Article 5 prasa, lai personas dati tiktu apstrādāti likumīgi, godprātīgi un pārredzami, konkrētiem nolūkiem, ievērojot minimizēšanu, precizitāti, glabāšanas ierobežojumu un drošību. Article 5(2) nosaka pārzinim pienākumu spēt pierādīt atbilstību. Šī pierādīšana ir atkarīga no kontrolētiem ierakstiem: lēmumiem par tiesisko pamatu, glabāšanas grafikiem, DPIA, ja piemērojams, apstrādātāju pienācīgas pārbaudes, pārkāpumu ierakstiem, piekļuves tiesību pārskatīšanas, apmācību žurnāliem un politiku apstiprinājumiem.

Kopīgais pavediens ir pierādījumi. Auditors neprasīs tikai to, vai politika pastāv. Viņš prasīs tās “dzimšanas apliecību”, versiju vēsturi, apstiprinājumu pēdu, paziņošanas ierakstu, saistītās procedūras un operatīvos ierakstus, kas pierāda, ka tā darbojas.

ISO/IEC 27001:2022 dokumentētās informācijas mugurkauls

Aizstāvamas dokumentācijas mugurkauls ir ISO/IEC 27001:2022 7.5. punkts “Dokumentēta informācija”. Tas prasa organizācijām izveidot, atjaunināt un kontrolēt dokumentēto informāciju, kas nepieciešama IDPS un ko prasa standarts.

Praksē šo prasību var saprast, sadalot dokumentēto informāciju trīs slāņos:

Clarysec Zenith Blueprint: auditora 30 soļu ceļvedis to skaidri aplūko IDPS pamatu un līderības fāzē, 6. solī: dokumentētā informācija un IDPS bibliotēkas izveide. Tajā skaidrots, ka 7.5. punkts aptver dokumentāciju kopumā, tās izveidi un atjaunināšanu, kā arī dokumentētās informācijas kontroli.

Zenith Blueprint to pārvērš praktiskās ieviešanas vadlīnijās:

“Dokumentiem jābūt pienācīgi identificētiem (nosaukums, iespējams, dokumenta numurs vai unikāls identifikators, autors), atbilstošā formātā … un pirms lietošanas pārskatītiem un apstiprinātiem attiecībā uz piemērotību.”

Tas sniedz arī operatīvu noteikumu, ko daudzas organizācijas palaiž garām:

“Jānodrošina, ka viegli atrodama ir tikai aktuālā versija (novecojušās versijas jāarhivē vai skaidri jāmarķē kā aizstātas).”

Tieši šeit daudzas IDPS ieviešanas nemanāmi sabrūk. Politika var būt reiz apstiprināta, bet, ja vecās versijas joprojām ir pieejamas, personāls izmanto novecojušas procedūras vai auditori nevar izsekot izmaiņām, dokuments vairs nav jēgpilni kontrolēts.

Zenith Blueprint iesaka izveidot “IDPS dokumentācijas bibliotēku” ar mapēm politikām un procedūrām, risku izvērtēšanai un SoA, apmācību ierakstiem, auditam un pārskatīšanai, incidentu ierakstiem, aktīviem un uzskaitei, kā arī A pielikuma kontroles pasākumu bibliotēkai. Tajā arī norādīts, ka krātuvei jābūt “pieejamai, bet drošai”: politikas ir lasāmas darbiniekiem, savukārt konfidenciālas mapes, piemēram, risku izvērtēšana un incidentu ieraksti, ir ierobežotas.

Tas nav tikai failu kārtošanas modelis. Tā ir pārvaldības arhitektūra.

Clarysec politiku dzīvescikla modelis

Clarysec strukturē ISO 27001 politiku dzīvescikla pārvaldību slēgtā ciklā: prasība, īpašnieks, dokuments, apstiprinājums, publicēšana, paziņošana, pierādījumi, pārskatīšana, izmaiņas, glabāšana un izņemšana no lietošanas. Šis cikls novērš klasisko audita neveiksmi, kad uzņēmumam ir dokumenti, bet tas nevar pierādīt pilnvarojumu, aktualitāti vai kontroli.

Šis dzīvescikls ir spēcīgāks par vienreizēju apstiprinājumu, jo tas sasaista dokumentus ar kontroles pasākumiem, īpašniekiem un pierādījumiem. Tas atbalsta arī savstarpējo atbilstību. Viena incidentu reaģēšanas politika var būt sasaistīta ar ISO/IEC 27001:2022 A pielikuma incidentu kontroles pasākumiem, NIS2 Article 23 ziņošanas gatavību, DORA incidentu klasifikācijas un ziņošanas procesiem, GDPR personas datu aizsardzības pārkāpumu apstrādi, NIST CSF 2.0 Respond rezultātiem un COBIT 2019 pārvaldības gaidām.

Ko Clarysec politikas prasa pārskatīšanai, versiju pārvaldībai un pierādījumiem

Clarysec politiku bibliotēka ir veidota tā, lai politiku dzīvescikla prasības nebūtu atstātas interpretācijai.

MVU organizācijām Information Security Policy-sme - SME nosaka skaidru pārskatīšanas ierosinātāju:

“Šī politika ģenerāldirektoram (GM) jāpārskata vismaz reizi gadā, lai nodrošinātu pastāvīgu atbilstību ISO/IEC 27001 sertifikācijas prasībām, regulatīvajām izmaiņām (piemēram, GDPR, NIS2 un DORA) un mainīgajām uzņēmuma vajadzībām.”

Tā prasa arī dokumentētus izmaiņu ierakstus:

“Visas politikas pārskatīšanas un izmaiņas formāli jādokumentē, skaidri norādot datumu, grozījumu raksturu un GM apstiprinājumu.”

Un tā saglabā vēsturisko izsekojamību:

“Politiku versiju vēsturiskais ieraksts droši jāuztur, lai auditu laikā pierādītu politikas attīstību un atbilstību.”

Šie trīs nosacījumi atrisina biežu MVU problēmu. Organizācijai var nebūt liela pārvaldības biroja, bet tai joprojām ir vajadzīgi pierādījumi par pārskatīšanu, apstiprināšanu un versiju vēsturi.

MVU Governance Roles and Responsibilities Policy-sme - SME papildina pārvaldības lēmumu izsekojamības prasību:

“Visi būtiskie drošības lēmumi, izņēmumi un eskalācijas jāreģistrē un tiem jābūt izsekojamiem.”

Šis nosacījums ir kritisks politiku izņēmumiem. Pagaidu atkāpei no MFA, aizkavētai piegādātāja pārskatīšanai vai ārkārtas izmaiņai žurnālu glabāšanas termiņā nevajadzētu pastāvēt tikai e-pasta sarakstēs. Tai jābūt sasaistītai ar attiecīgo politiku, kontroles pasākumu, riska īpašnieku, atlikušā riska lēmumu un beigu datumu.

Pierādījumu centralizācijai MVU Audit and Compliance Monitoring Policy-sme - SME nosaka:

“Visi pierādījumi jāglabā centralizētā audita mapē.”

Uzņēmuma līmeņa vidēs Clarysec Information Security Policy prasa, lai politikas būtu:

“Pārvaldītas ar versiju kontroli un dokumentētas”

un:

“Paziņotas visām ietekmētajām pusēm, izmantojot oficiālos komunikācijas kanālus”

Uzņēmuma līmeņa Governance Roles and Responsibilities Policy ietver jēdzienu:

“Politikas īpašnieks un apstiprinātājs”

Uzņēmuma līmeņa Audit and Compliance Monitoring Policy pievieno glabāšanas prasības:

“Pārskati jāglabā ne mazāk kā sešus gadus (vai ilgāk, ja to prasa tiesību akti), droši jāuzglabā un jāpakļauj versiju kontrolei saskaņā ar Dokumentu un ierakstu pārvaldības politiku (P6).”

Visbeidzot, uzņēmuma līmeņa Legal and Regulatory Compliance Policy sasaista juridiskos pienākumus ar IDPS:

“Visi juridiskie un regulatīvie pienākumi jāsasaista ar konkrētām politikām, kontroles pasākumiem un īpašniekiem informācijas drošības pārvaldības sistēmā (ISMS).”

Šī prasība ir tilts starp politiku dzīvescikla pārvaldību un NIS2, DORA un GDPR pierādījumiem. Bez pienākumu kartēšanas uzņēmumam var būt dokumenti, bet tas nevar parādīt, ka šie dokumenti izpilda konkrētas juridiskās, līgumiskās vai risku prasības.

Kontroles trijstūris: politikas, ieraksti un operatīvās procedūras

Clarysec Zenith Controls: savstarpējās atbilstības ceļvedis sniedz savstarpējās atbilstības kompasu šai tēmai. ISO/IEC 27002:2022 kontroles pasākumam 5.1 “Informācijas drošības politikas” Zenith Controls to identificē kā preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību, ir saskaņots ar pārvaldības un kiberdrošības identificēšanas jēdzieniem un ir saistīts ar pārvaldības un politiku pārvaldības operatīvajām spējām.

Tas ir svarīgi, jo politiku pārvaldība nav tikai atbilstības artefakts. Tā ir preventīva. Skaidri piešķirta un paziņota piekļuves kontroles politika samazina nesankcionētas piekļuves risku pirms incidentu rašanās. Pienācīgi apstiprināta piegādātāju politika novērš nepārvaldītu ārpakalpojumu risku. Kontrolēta incidentu procedūra uzlabo reaģēšanas konsekvenci vēl pirms sākas pirmais regulatīvās paziņošanas termiņš.

Zenith Controls izceļ arī ISO/IEC 27002:2022 kontroles pasākumu 5.33 “Ierakstu aizsardzība” kā preventīvu un saskaņotu ar juridiskajiem jautājumiem un atbilstību, aktīvu pārvaldību un informācijas aizsardzību. Tas ir centrāli audita pierādījumiem. Zenith Blueprint paplašina šo pašu jēdzienu “Kontroles pasākumi darbībā” fāzē, 23. solī:

“Ieraksti nav tikai pagātnes lēmumu atliekas. Tie ir pierādījumi — par atbilstību, par darbību, par pārskatatbildību.”

Turpinājumā teikts:

“Ieraksti ir atbilstoši aizsargāti pret zudumu, nesankcionētu piekļuvi, manipulācijām un priekšlaicīgu iznīcināšanu.”

ISO/IEC 27002:2022 kontroles pasākums 5.37 “Dokumentētas operatīvās procedūras” arī ir būtisks. Zenith Controls to klasificē kā preventīvu un koriģējošu kontroles pasākumu, kas atbalsta aizsardzību un atjaunošanu. DORA un NIS2 vajadzībām dokumentētas operatīvās procedūras ir veids, kā politika kļūst par atkārtojamu darbību: incidentu triāža, rezerves kopijas atjaunošana, piegādātāju uzņemšana, ievainojamību apstrāde, droša izstrāde, izmaiņu pārvaldība, pierādījumu vākšana un krīzes komunikācija.

Kopā 5.1, 5.33 un 5.37 veido politiku dzīvescikla kontroles trijstūri:

Nobriedušai IDPS ir nepieciešami visi trīs. Politikas bez ierakstiem ir deklarācijas. Ieraksti bez procedūrām ir nekonsekventi. Procedūras bez politikas virziena kļūst par lokāliem ieradumiem, nevis pārvaldītiem kontroles pasākumiem.

Savstarpējās atbilstības kartēšana ISO 27001, NIS2, DORA, GDPR, NIST un COBIT vajadzībām

Atsevišķa politiku pārvaldība ISO 27001, NIS2, DORA un GDPR vajadzībām rada dublēšanos, pretrunas un pierādījumu nogurumu. Labāks modelis ir uzturēt vienu kontrolētu IDPS bibliotēku ar kartēšanas metadatiem. Tas ļauj vienam pierādījumu kopumam apmierināt vairākas apliecinājuma auditorijas.

NIST CSF 2.0 ir īpaši noderīgs kā komunikācijas slānis. Tā GOVERN funkcija paredz, ka juridiskie, regulatīvie un līgumiskie pienākumi ir saprasti, risku pārvaldības mērķi un atbildības ir definētas, politikas ir izveidotas un atjauninātas, un rezultāti tiek izvērtēti. Tā organizācijas profila metode nodrošina arī praktisku procesu: noteikt profila darbības jomu, apkopot ievaddatus, piemēram, politikas, riska prioritātes un prasības, izveidot pašreizējo un mērķa profilu, analizēt trūkumus un ieviest prioritizētu rīcības plānu.

Tas cieši atbilst Clarysec pieejai: izveidot vienu ar pierādījumiem pamatotu operatīvo modeli un pēc tam kartēt to uz NIS2, DORA, GDPR, NIST un COBIT, nevis uzturēt atsevišķas atbilstības saliņas.

Vienas nedēļas sprints politiku pierādījumu kontroles pakotnes izveidei

Pilnīga politiku pārvaldības transformācija prasa laiku, taču fokusēts vienas nedēļas sprints var atklāt trūkumus un izveidot aizstāvamu pamatu.

1. diena: izveidojiet dokumentu reģistru

Sāciet ar izklājlapu, GRC sistēmu vai strukturētu SharePoint sarakstu. Dokumentu reģistrs ir indekss, kas ļauj auditoriem orientēties pierādījumu kopumā.

Nepārsarežģījiet. Ja reģistrs uzticami parāda īpašnieku, apstiprinātāju, versiju, pārskatīšanas datumu, kartējumu un pierādījumu atrašanās vietu, tas jau atrisina daudzas audita pierādījumu izgūšanas problēmas.

2. diena: izveidojiet krātuvi

Ievērojiet Zenith Blueprint 6. soļa struktūru: Politikas un procedūras, Risku izvērtēšana un SoA, Apmācību un informētības ieraksti, Audits un pārskatīšana, Incidentu ieraksti, Aktīvi un uzskaite, kā arī Kontroles pasākumu bibliotēka.

Piemērojiet piekļuves noteikumus. Politikas drīkst lasīt visi darbinieki. Risku izvērtēšanas ieraksti jāierobežo IDPS komandai un vadībai. Incidentu ierakstiem jāpiemēro “nepieciešamības zināt” princips. Piegādātāju līgumiem jābūt pieejamiem tikai iepirkumam, juridiskajai funkcijai, finansēm un drošībai. Novecojušiem dokumentiem jābūt nepieejamiem ikdienas lietošanai, bet saglabātiem audita izsekojamībai.

3. diena: standartizējiet galvenes un izmaiņu žurnālus

Katrai politikai jāietver dokumenta nosaukums, īpašnieks, apstiprinātājs, versija, spēkā stāšanās datums, nākamais pārskatīšanas datums, klasifikācija, saistītie kontroles pasākumi, saistītie juridiskie pienākumi un izmaiņu vēsture.

Tas atbalsta ISO/IEC 27001:2022 dokumentētās informācijas kontroli, NIS2 vadības pārraudzību, DORA pārskatīšanas prasības un GDPR pārskatatbildību.

4. diena: sasaistiet izņēmumus ar politikām

Izveidojiet izņēmumu reģistru ar izņēmuma ID, ietekmēto politiku, ietekmēto kontroles pasākumu, biznesa pamatojumu, kompensējošajiem kontroles pasākumiem, riska īpašnieku, apstiprinājumu, beigu datumu un pārskatīšanas statusu.

Piemēram, mantota sistēma 60 dienas nevar atbalstīt MFA. Izņēmums tiek sasaistīts ar Piekļuves kontroles politiku, aktīvu uzskaiti, risku reģistru un trūkumu novēršanas plānu. Riska īpašnieks apstiprina atlikušo risku, un izņēmums automātiski beidzas, ja tas netiek atjaunots. Tas ievieš Clarysec MVU pārvaldības prasību, ka būtiski lēmumi, izņēmumi un eskalācijas jāreģistrē un tiem jābūt izsekojamiem.

5. diena: izveidojiet audita pierādījumu pakotni

Katrai augstākā līmeņa politikai izveidojiet pierādījumu apakšmapi, kurā ir apstiprinātā aktuālā versija, iepriekšējā versija un izmaiņu žurnāls, apstiprinājuma pierādījumi, paziņošanas pierādījumi, apmācības vai iepazīšanās apliecinājuma ieraksts, saistītā procedūra, saistītais operatīvais ieraksts, izņēmumi, pēdējās pārskatīšanas ieraksts, nākamais pārskatīšanas datums un kartējums ar juridiskajiem pienākumiem un kontroles pasākumiem.

Incidentu reaģēšanai iekļaujiet galda mācību ierakstus, incidentu klasifikācijas kritērijus, kontaktu sarakstus, pēcincidenta pārskatīšanas veidnes un paziņošanas lēmumu ierakstus. Tas atbalsta NIS2 Article 23 pakāpeniskās ziņošanas gatavību, DORA incidentu klasifikāciju un GDPR pārkāpumu pārskatatbildību.

6. diena: pārbaudiet izgūšanu

Lūdziet iekšējam auditoram vai atbilstības vadītājam izgūt pierādījumus trim jautājumiem:

1. Pierādiet, ka Informācijas drošības politika tika apstiprināta, paziņota un pārskatīta.
2. Pierādiet, ka piegādātāju drošības pienākumi ir sasaistīti ar DORA un NIS2 prasībām.
3. Pierādiet, ka GDPR pārskatatbildības pierādījumi tiek glabāti un aizsargāti.

Ja pierādījumu izgūšana vienam jautājumam aizņem vairāk nekā 30 minūtes, krātuve jāuzlabo.

7. diena: prezentējiet vadībai

Vadības pārskatīšanā apkopojiet politiku dzīvescikla statusu:

• Aktuālās politikas, kavētās politikas vai politikas, kurām termiņš pienāk 90 dienu laikā
• Atvērtie un beigušies izņēmumi
• Pierādījumu trūkumi
• Regulatīvās kartēšanas atjauninājumi
• Audita konstatējumi
• Korektīvās darbības
• Resursu vajadzības

Tas noslēdz ciklu ar ISO/IEC 27001:2022 līderības prasībām, NIS2 valdes pārskatatbildību un DORA vadības struktūras pārraudzību.

Kā auditori pārbaudīs jūsu politiku dzīvesciklu

Dažādi auditori uz vieniem un tiem pašiem pierādījumiem skatās caur dažādām prizmām.

ISO/IEC 27001:2022 auditors sāks ar dokumentētās informācijas kontroli. Viņš pārbaudīs, vai nepieciešamie dokumenti pastāv, vai tie ir apstiprināti pirms lietošanas, vai versijas tiek kontrolētas, vai dokumenti ir pieejami tur, kur nepieciešams, vai konfidenciāli ieraksti ir aizsargāti un vai novecojuši dokumenti ir pasargāti no nejaušas lietošanas. Viņš sasaistīs politiku dzīvesciklu ar līderību, risku apstrādi, darbības kontroli, iekšējo auditu un vadības pārskatīšanu.

DORA orientēts pārbaudītājs skatīsies no noturības perspektīvas. Viņš pārbaudīs, vai IKT risku pārvaldības ietvars ir labi dokumentēts, vadības apstiprināts, pārskatīts vismaz reizi gadā, ja piemērojams, regulāri auditēts, uzlabots, ņemot vērā gūtās mācības, un sasaistīts ar incidentu ziņošanu, testēšanu, trešo pušu risku, nepārtrauktību un atjaunošanu.

NIS2 regulators vēlēsies redzēt nepārtrauktu pierādījumu ķēdi no risku identificēšanas līdz kiberdrošības riska pārvaldības pasākumiem, vadības struktūras apstiprinājumam, ieviešanai un uzraudzībai. Jebkurš pārrāvums šajā ķēdē var izskatīties kā pienācīgas rūpības trūkums.

GDPR auditors vai privātuma pārbaudītājs jautās, vai personas datu pārvaldības ieraksti pierāda pārskatatbildību: apstrādes nolūkus, tiesisko pamatu, glabāšanu, tehniskos un organizatoriskos pasākumus, apstrādātāju kontroles pasākumus, pārkāpumu ierakstus un pierādījumus par politikas piemērošanu.

COBIT 2019 vai ISACA stila auditors koncentrēsies uz pārvaldības sistēmas komponentiem: procesiem, organizatoriskajām struktūrām, informācijas plūsmām, politikām, lomām, kultūru, prasmēm un pakalpojumiem. Viņš jautās, vai īpašumtiesības ir definētas, vai vadība uzrauga veiktspēju, vai izņēmumi tiek eskalēti un vai pierādījumi atbalsta kontroles darbību un vadības pārraudzību.

Tas pats kontrolētais pierādījumu repozitorijs var apmierināt visus šos pieprasījumus, bet tikai tad, ja dokumenti ir kartēti, aktuāli, aizsargāti un izsekojami.

Biežākās politiku dzīvescikla kļūdas, kas jānovērš pirms auditora ierašanās

Lielākā daļa politiku dzīvescikla kļūdu ir pamata pārvaldības vājās vietas, kas atkārtojas dažādās vidēs:

• Politikas pastāv, bet tām nav norādīts īpašnieks.
• Apstiprinātāji ir neskaidri, novecojuši vai pārāk juniori attiecīgajam riskam.
• Politikas ir apstiprinātas, bet nav paziņotas.
• Pārskatīšanas datumi tiek nokavēti bez eskalācijas.
• Novecojušas versijas joprojām ir pieejamas koplietojamās mapēs.
• Procedūras ir pretrunā politikām.
• Izņēmumi tiek neformāli apstiprināti e-pastā.
• Juridiskie pienākumi ir sasaistīti ar ietvariem, bet ne ar faktiskajiem kontroles pasākumiem vai īpašniekiem.
• Audita pierādījumi ir izkaisīti personīgajos diskos, pieteikumu sistēmās un tērzēšanas ziņās.
• Glabāšanas termiņi nav definēti vai tiek piemēroti nekonsekventi.
• Ieraksti tiek glabāti, bet nav aizsargāti pret nesankcionētu grozīšanu.
• Piegādātāju politikas nav sasaistītas ar līgumu reģistriem, sākotnējo izpēti vai izstāšanās plāniem.
• Incidentu procedūras nav saskaņotas ar NIS2, DORA vai GDPR paziņošanas lēmumpunktiem.

Šīs problēmas rada audita berzi, jo grauj uzticēšanos. Ja auditors nevar uzticēties politiku kopumam, viņš dziļāk pārbaudīs kontroles darbību.

Marijas trūkumu novēršanas plāns nebija uzrakstīt vēl vienu politiku. Tas bija izveidot vienotu patiesības avotu. Viņa noteica vienu oficiālu IDPS dokumentācijas bibliotēku, migrēja tajā aktuālās politikas, arhivēja nekontrolētās atrašanās vietas, standartizēja īpašnieku un apstiprinātāju laukus, izveidoja apstiprināšanas darbplūsmas, sasaistīja politikas ar NIS2 un DORA pienākumiem un piešķīra auditoriem tikai lasīšanas piekļuvi strukturētiem pierādījumiem. Tas, kas iepriekš radīja trauksmi, kļuva par kontroles demonstrējumu.

Clarysec turpmākais ceļš

Politiku dzīvescikla pārvaldība nav birokrātisks slogs. Tā ir operatīvā disciplīna, kas padara ISO 27001 dokumentēto informāciju, NIS2 vadības pārskatatbildību, DORA IKT risku pārvaldību un GDPR pārskatatbildību aizstāvamu.

Izmantojiet Zenith Blueprint: auditora 30 soļu ceļvedi, lai izveidotu IDPS bibliotēku pareizajā fāzē un secībā, īpaši 6. soli dokumentētajai informācijai un 22. soli politiku pārvaldībai. Izmantojiet Clarysec MVU un uzņēmuma līmeņa politikas, lai definētu pārskatīšanas, apstiprināšanas, versiju kontroles, paziņošanas, izsekojamības, pierādījumu centralizācijas un glabāšanas prasības. Izmantojiet Zenith Controls: savstarpējās atbilstības ceļvedi, lai kartētu ISO/IEC 27002:2022 kontroles pasākumus, piemēram, 5.1, 5.33 un 5.37, ar savstarpējās atbilstības gaidām, kontroles atribūtiem un audita skatījumiem.

Pirms iegādājaties vēl vienu rīku vai rakstāt vēl vienu politiku, atbildiet uz vienu jautājumu:

Vai varat pierādīt, ka katrai būtiskajai politikai ir īpašnieks, tā ir apstiprināta, aktuāla, paziņota, kartēta, pamatota ar pierādījumiem, pārskatīta, aizsargāta un pareizi izņemta no lietošanas?

Ja atbilde vēl nav “jā”, Clarysec var palīdzēt jums izveidot pierādījumiem gatavu IDPS bibliotēku, politiku dzīvescikla darbplūsmu un savstarpējās atbilstības kartējumu, ko auditori, valdes un klienti sagaida 2026. gadā. Lejupielādējiet Zenith Blueprint, iepazīstieties ar Clarysec MVU un uzņēmuma līmeņa politiku pakotnēm vai rezervējiet gatavības izvērtēšanu, lai pārvērstu savu politiku bibliotēku par aizstāvamu atbilstības aktīvu.