Pjan ta’ rkupru wara awditu fallut tal-ISO 27001:2022
L-email li ħadd ma ried jirċievi
L-email tasal tard nhar ta’ Ġimgħa b’subject line li tidher bla ħsara: “Riżultat tal-awditu ta’ tranżizzjoni.”
Il-kontenut mhuwiex bla ħsara. Il-korp taċ-ċertifikazzjoni qajjem nuqqas maġġuri ta’ konformità. Iċ-ċertifikat ISO/IEC 27001 huwa sospiż jew id-deċiżjoni tat-tranżizzjoni ma tistax tingħalaq. In-nota tal-awditur hija diretta: id-Dikjarazzjoni ta’ Applikabbiltà ma tiġġustifikax il-kontrolli esklużi, il-valutazzjoni tar-riskju ma tirriflettix il-kuntest attwali, u m’hemmx biżżejjed evidenza li ġew ikkunsidrati obbligi regolatorji ġodda.
Fi żmien siegħa, il-kwistjoni ma tibqax biss problema ta’ konformità. It-tim tal-bejgħ qed jistaqsi jekk sejħa għall-offerti fis-settur pubbliku hijiex issa f’riskju. Il-funzjoni legali qed tirrieżamina klawżoli kuntrattwali tal-klijenti. Il-CISO qed jispjega għaliex is-SoA ma taqbilx mal-pjan ta’ trattament tar-riskju. Il-CEO jistaqsi l-unika mistoqsija li tgħodd: “Kemm nistgħu nsewwu dan malajr?”
Għal ħafna organizzazzjonijiet, il-fatt li għaddiet l-iskadenza tat-tranżizzjoni għall-ISO 27001:2022 ma ħoloqx lakuna teoretika. Ħoloq kwistjoni attiva ta’ kontinwità tan-negozju. Awditu ta’ tranżizzjoni għall-ISO 27001:2022 li ntilef jew falla jista’ jaffettwa l-eliġibbiltà għal offerti, l-onboarding tal-fornituri, l-assigurazzjoni ċibernetika, l-assigurazzjoni għall-klijenti, it-tħejjija għal NIS2, l-aspettattivi ta’ DORA, ir-responsabbiltà skont GDPR u l-fiduċja tal-bord.
L-aħbar tajba hija li r-rkupru huwa possibbli. L-aħbar ħażina hija li t-tisbiħ tad-dokumenti mhux se jaħdem. Ir-rkupru għandu jiġi ttrattat bħala programm dixxiplinat ta’ azzjoni korrettiva tal-ISMS, mhux bħala kitba mill-ġdid mgħaġġla tal-politiki.
F’Clarysec, norganizzaw dan ir-rkupru madwar tliet assi konnessi:
- Zenith Blueprint: Pjan direzzjonali f’30 pass għall-awditur, b’mod partikolari l-fażi ta’ Awditu, Rieżami u Titjib.
- Il-librerija ta’ politiki ta’ Clarysec għall-intrapriżi u għall-SMEs, li tittrasforma s-sejbiet tal-awditu f’obbligi taħt governanza.
- Zenith Controls: Il-gwida għall-konformità trasversali, li tgħin tgħaqqad l-aspettattivi tal-kontrolli ISO/IEC 27002:2022 ma’ NIS2, DORA, GDPR, ħsieb ta’ assigurazzjoni stil NIST u perspettivi ta’ governanza COBIT 2019.
Dan huwa l-pjan prattiku ta’ rkupru għal CISOs, maniġers tal-konformità, awdituri, fundaturi u sidien tan-negozju li tilfu l-iskadenza tat-tranżizzjoni għall-ISO 27001:2022 jew fallew l-awditu ta’ tranżizzjoni.
L-ewwel, iddijanjostika l-mod tal-falliment
Qabel ma tbiddel politika waħda, ikklassifika s-sitwazzjoni. Mhux kull tranżizzjoni falluta jew mitlufa għandha l-istess impatt fuq in-negozju jew l-istess rotta ta’ rkupru. L-ewwel 24 siegħa għandhom jiffukaw fuq il-kisba tar-rapport tal-awditu, id-deċiżjoni tal-korp taċ-ċertifikazzjoni, il-formulazzjoni tan-nuqqas ta’ konformità, it-talbiet għall-evidenza, l-iskadenzi u l-istatus attwali taċ-ċertifikat.
| Sitwazzjoni | Impatt fuq in-negozju | Azzjoni immedjata |
|---|---|---|
| L-awditu ta’ tranżizzjoni falla b’nuqqas maġġuri ta’ konformità | Id-deċiżjoni taċ-ċertifikazzjoni tista’ tiġi mblukkata jew iċ-ċertifikat jista’ jiġi sospiż sakemm il-kwistjoni tiġi kkoreġuta | Iftaħ CAPA, wettaq analiżi tal-kawża ewlenija, ikkonferma l-aspettattivi dwar l-evidenza mal-korp taċ-ċertifikazzjoni |
| L-awditu ta’ tranżizzjoni għadda b’nuqqasijiet minuri ta’ konformità | Iċ-ċertifikazzjoni tista’ tkompli jekk l-azzjonijiet korrettivi jiġu aċċettati | Agħlaq CAPAs minuri malajr u aġġorna l-pakkett tal-evidenza tal-ISMS |
| It-tranżizzjoni ma tlestietx qabel l-iskadenza | Iċ-ċertifikat jista’ ma jibqax validu jew rikonoxxut | Ikkonferma l-istatus mal-korp taċ-ċertifikazzjoni u ppjana rotta ta’ tranżizzjoni jew ċertifikazzjoni mill-ġdid |
| Awditu ta’ sorveljanza żvela evidenza dgħajfa tat-tranżizzjoni | Iċ-ċertifikazzjoni tista’ tkun f’riskju fil-punt tad-deċiżjoni li jmiss | Mexxi awditu simulat u aġġorna s-SoA, it-trattament tar-riskju, ir-rieżami mill-ġestjoni u r-reġistri tal-awditu intern |
| Klijent irrifjuta ċ-ċertifikat jew l-evidenza tat-tranżizzjoni tiegħek | Riskju kummerċjali, riskju għall-offerti u impatt fuq il-fiduċja | Ipprepara pakkett ta’ assigurazzjoni għall-klijent bl-istatus tal-awditu, pjan CAPA, dati fil-mira u approvazzjoni tal-governanza |
Il-pjan ta’ rkupru jiddependi fuq il-mod tal-falliment. Deċiżjoni ta’ ċertifikazzjoni mblukkata teħtieġ rimedjazzjoni mmirata. Ċertifikat sospiż jeħtieġ tiswija urġenti tal-governanza u tal-evidenza. Ċertifikat irtirat jew skadut jista’ jeħtieġ rotta usa’ ta’ ċertifikazzjoni mill-ġdid.
F’kull każ, immappja kull kwistjoni mal-klawżola rilevanti tal-ISMS, il-kontroll ta’ Annex A, ir-reġistru tar-riskju, is-sid tal-politika, l-obbligu legali jew kuntrattwali u s-sors tal-evidenza.
Hawnhekk ISO/IEC 27001:2022 jgħodd bħala sistema ta’ ġestjoni, mhux sempliċement bħala katalgu ta’ kontrolli. Il-klawżoli 4 sa 10 jeħtieġu li l-ISMS jifhem il-kuntest, il-partijiet interessati, il-kamp ta’ applikazzjoni, it-tmexxija, l-ippjanar tar-riskju, l-appoġġ, l-operat, l-evalwazzjoni tal-prestazzjoni u t-titjib kontinwu. Jekk it-tranżizzjoni falliet, normalment ikun inkiser wieħed minn dawn ir-rabtiet tas-sistema ta’ ġestjoni.
Għaliex ifallu l-awditi ta’ tranżizzjoni għall-ISO 27001:2022
Awditi ta’ tranżizzjoni falluti normalment jinġabru madwar mudelli ripetuti. Ħafna minnhom mhumiex profondament tekniċi. Huma fallimenti ta’ governanza, traċċabbiltà, sjieda u evidenza.
| Mudell tas-sejba | Dak li jara l-awditur | Dak li normalment ifisser |
|---|---|---|
| Id-Dikjarazzjoni ta’ Applikabbiltà mhijiex aġġornata jew mhijiex iġġustifikata | Il-kontrolli huma mmarkati bħala applikabbli mingħajr raġuni, jew esklużi mingħajr evidenza | L-għażla tal-kontrolli mhijiex traċċabbli għar-riskju, għar-regolamentazzjoni jew għall-ħtieġa tan-negozju |
| Il-valutazzjoni tar-riskju ma tirriflettix l-obbligi attwali | NIS2, DORA, GDPR, kuntratti tal-klijenti, dipendenzi cloud jew riskju tal-fornituri huma nieqsa | Il-kuntest u l-kriterji tar-riskju ma ġewx aġġornati |
| Ir-Rieżami mill-Ġestjoni huwa superfiċjali | Jeżistu minuti, iżda ma jiġux diskussi deċiżjonijiet, riżorsi, objettivi, riżultati tal-awditu jew bidliet fir-riskju | Ir-responsabbiltà tat-tmexxija mhijiex qed topera |
| L-Awditu Intern ma ttestjax il-kamp ta’ applikazzjoni tat-tranżizzjoni | Il-lista ta’ kontroll tal-awditu hija ġenerika u ma tkoprix kontrolli aġġornati, fornituri, cloud, reżiljenza jew obbligi legali | L-evalwazzjoni tal-prestazzjoni mhijiex biżżejjed |
| Il-kontrolli tal-fornituri u tal-cloud huma dgħajfa | M’hemm l-ebda diliġenza dovuta, rieżami tal-kuntratti, ippjanar tal-ħruġ jew monitoraġġ kontinwu | Il-kontroll operattiv fuq servizzi pprovduti minn barra mhuwiex komplut |
| Ir-Rispons għall-Inċidenti mhuwiex allinjat mar-rappurtar regolatorju | M’hemm l-ebda loġika ta’ eskalazzjoni ta’ 24 siegħa jew 72 siegħa, l-ebda siġra ta’ deċiżjoni għal DORA jew GDPR, u l-ebda evidenza ta’ eżerċizzji | Il-ġestjoni tal-inċidenti mhijiex konnessa mar-rappurtar legali |
| Il-proċess CAPA huwa dgħajjef | Is-sejbiet jingħalqu biss permezz ta’ tibdil fid-dokumenti | Il-kawża ewlenija ma ġietx eliminata |
L-awditu fallut huwa sinjal li l-ISMS ma adattax biżżejjed malajr għall-ambjent operattiv reali tal-organizzazzjoni.
ISO/IEC 27005:2022 huwa utli fir-rkupru għax isaħħaħ l-importanza li jiġi stabbilit il-kuntest permezz ta’ rekwiżiti legali, regolatorji, speċifiċi għas-settur, kuntrattwali, interni u ta’ kontrolli eżistenti. Jappoġġa wkoll kriterji tar-riskju li jqisu obbligi legali, fornituri, privatezza, fatturi umani, objettivi tan-negozju u aptit għar-riskju approvat mill-maniġment.
F’termini prattiċi, ir-rkupru tat-tranżizzjoni jibda b’kuntest u kriterji tar-riskju aġġornati, mhux b’numru ta’ verżjoni ġdid fuq dokument antik.
Pass 1: Iffriża r-rekord tal-awditu u oħloq ċentru ta’ kmand għar-rkupru
L-ewwel żball operattiv wara awditu fallut huwa l-kaos fl-evidenza. It-timijiet jibdew ifittxu f’inboxes, drajvs kondiviżi, sistemi ta’ ticketing, messaġġi ta’ chat, folders personali u pakketti qodma tal-awditu. L-awdituri jinterpretaw dan bħala sinjal li l-ISMS mhuwiex taħt kontroll.
Il-Politika ta’ Monitoraġġ tal-Awditu u tal-Konformità - SME ta’ Clarysec hija espliċita dwar il-kontroll tal-evidenza:
“L-evidenza kollha għandha tinħażen f’folder ċentralizzat tal-awditu.”
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.2.1.
Dak il-folder ċentralizzat tal-awditu jsir il-cockpit tar-rkupru. Għandu jinkludi:
- Rapport u korrispondenza tal-korp taċ-ċertifikazzjoni.
- Konferma tal-istatus taċ-ċertifikat.
- Reġistru tan-nuqqasijiet ta’ konformità.
- Log CAPA.
- Valutazzjoni tar-riskju aġġornata.
- Pjan ta’ trattament tar-riskju aġġornat.
- Dikjarazzjoni ta’ Applikabbiltà aġġornata.
- Rapport tal-awditu intern.
- Minuti tar-rieżami mill-ġestjoni.
- Reġistri tal-approvazzjoni tal-politiki.
- Evidenza għal kull kontroll applikabbli ta’ Annex A.
- Pakkett ta’ assigurazzjoni għall-klijent, jekk l-impenji kummerċjali jkunu affettwati.
Għal ambjenti ta’ intrapriża, il-Politika ta’ Monitoraġġ tal-Awditu u tal-Konformità ta’ Clarysec tistabbilixxi l-istess aspettattiva ta’ governanza:
“Is-sejbiet kollha għandhom jirriżultaw f’CAPA dokumentata li tinkludi:”
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.2.1.
Il-formulazzjoni tintroduċi aspettattiva strutturata ta’ azzjoni korrettiva. Il-punt essenzjali huwa sempliċi: kull sejba tal-awditu trid issir oġġett CAPA taħt governanza, mhux kompitu informali fin-notebook ta’ xi ħadd.
Għall-SMEs, l-involviment tat-tmexxija huwa daqstant importanti:
“Il-GM għandu japprova pjan ta’ azzjoni korrettiva u jsegwi l-implimentazzjoni tiegħu.”
Mill-Politika ta’ Monitoraġġ tal-Awditu u tal-Konformità - SME, taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.4.2.
Dan jgħodd għaliex ISO 27001:2022 ma jittrattax it-tmexxija bħala simbolika. It-tmexxija għolja għandha tistabbilixxi politika, tallinja l-objettivi mal-istrateġija tan-negozju, tipprovdi riżorsi, tikkomunika l-importanza tas-sigurtà tal-informazzjoni, tassenja r-responsabbiltajiet u tippromwovi t-titjib kontinwu.
Jekk it-tranżizzjoni falluta tiġi ttrattata bħala “il-problema tal-persuna tal-konformità”, l-awditu li jmiss jerġa’ jesponi responsabbiltà dgħajfa tat-tmexxija.
Pass 2: Erġa’ ibni l-kuntest, l-obbligi u r-riskju
Awditu ta’ tranżizzjoni fallut ħafna drabi jfisser li l-kuntest tal-ISMS m’għadux jirrifletti d-dinja tal-organizzazzjoni. In-negozju jista’ jkun mar fuq pjattaformi cloud, żied fornituri ġodda, daħal fi swieq regolati, ipproċessa aktar data personali, jew sar rilevanti għal klijenti taħt NIS2 jew DORA. Jekk dawn il-bidliet huma nieqsa mill-ISMS, il-valutazzjoni tar-riskju u s-SoA jkunu mhux kompluti.
Il-Politika dwar il-Konformità Legali u Regolatorja ta’ Clarysec tistabbilixxi l-linja bażi:
“L-obbligi legali u regolatorji kollha għandhom jiġu mmappjati ma’ politiki, kontrolli u sidien speċifiċi fi ħdan is-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS).”
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.2.1.
Din il-klawżola hija kritika wara falliment ta’ tranżizzjoni. Il-klawżoli 4.1 sa 4.3 ta’ ISO 27001:2022 jeħtieġu li l-organizzazzjonijiet jikkunsidraw kwistjonijiet interni u esterni, partijiet interessati, rekwiżiti, interfaċċi, dipendenzi u kamp ta’ applikazzjoni. L-obbligi legali, regolatorji u kuntrattwali mhumiex noti sekondarji. Huma jsawru l-ISMS.
L-Artikolu 21 ta’ NIS2 jeħtieġ miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati, inkluż analiżi tar-riskju, politiki, ġestjoni tal-inċidenti, backup, irkupru minn diżastru, ġestjoni tal-kriżijiet, sigurtà tal-katina tal-provvista, żvilupp sigur, ġestjoni tal-vulnerabbiltajiet, evalwazzjonijiet tal-effettività, iġjene ċibernetika, taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi u komunikazzjonijiet siguri. L-Artikolu 20 ipoġġi r-responsabbiltà fil-livell tal-korp ta’ ġestjoni. L-Artikolu 23 joħloq rappurtar f’fażijiet ta’ inċidenti sinifikanti, inkluż twissija bikrija, notifika tal-inċident, aġġornamenti u rappurtar finali.
DORA japplika direttament għall-entitajiet finanzjarji mis-17 ta’ Jannar 2025 u jkopri ġestjoni tar-riskju tal-ICT, rappurtar ta’ inċidenti maġġuri, ittestjar tar-reżiljenza, riskju tal-ICT minn partijiet terzi, rekwiżiti kuntrattwali u sorveljanza ta’ fornituri kritiċi terzi tas-servizzi tal-ICT. Għall-entitajiet finanzjarji fil-kamp ta’ applikazzjoni, DORA jsir mutur ewlieni tal-governanza tal-ICT, il-kontroll tal-fornituri, l-ittestjar, il-klassifikazzjoni tal-inċidenti u r-responsabbiltà tal-maniġment.
GDPR iżid responsabbiltà għad-data personali. L-Artikolu 5 jeħtieġ ipproċessar legali, ġust, trasparenti, limitat, preċiż, konxju taż-żamma u sigur, b’konformità li tista’ tintwera. L-Artikolu 4 jiddefinixxi ksur ta’ data personali b’mod li jaffettwa direttament il-klassifikazzjoni tal-inċidenti. L-Artikolu 6 jeħtieġ immappjar tal-bażi legali, u l-Artikolu 9 iżid rekwiżiti ogħla għal data ta’ kategoriji speċjali.
Dan ma jfissirx li jinħolqu universi separati ta’ konformità. Ifisser li ISO 27001:2022 jintuża bħala s-sistema ta’ ġestjoni integrata u li l-obbligi jiġu mmappjati f’arkitettura waħda tar-riskju u tal-kontrolli.
Il-Politika tal-Ġestjoni tar-Riskju ta’ Clarysec torbot it-trattament tar-riskju direttament mal-għażla tal-kontrolli:
“Id-deċiżjonijiet dwar il-kontrolli li jirriżultaw mill-proċess ta’ trattament tar-riskju għandhom jiġu riflessi fis-SoA.”
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.5.1.
Awditu fallut huwa wkoll raġuni biex jiġi rieżaminat il-proċess tal-ġestjoni tar-riskju nnifsu. Il-Politika tal-Ġestjoni tar-Riskju - SME ta’ Clarysec tidentifika dan l-attivatur:
“Inċident maġġuri jew sejba tal-awditu tikxef lakuni fil-ġestjoni tar-riskju”
Mit-taqsima “Rekwiżiti għar-rieżami u l-aġġornament”, klawżola tal-politika 9.2.1.1.
Fil-mod ta’ rkupru, dan ifisser li r-Reġistru tar-Riskji, il-kriterji tar-riskju, il-pjan ta’ trattament u s-SoA għandhom jerġgħu jinbnew flimkien.
Pass 3: Irranġa s-SoA bħala s-sinsla tat-traċċabbiltà
Fil-biċċa l-kbira tat-tranżizzjonijiet falluti, id-Dikjarazzjoni ta’ Applikabbiltà hija l-ewwel dokument li għandu jiġi spezzjonat. Hija wkoll wieħed mill-ewwel dokumenti li l-awdituri jagħżlu għall-kampjunar. SoA dgħajfa tgħid lill-awditur li l-għażla tal-kontrolli mhijiex ibbażata fuq ir-riskju.
Il-Zenith Blueprint jagħti istruzzjoni prattika fil-fażi ta’ Awditu, Rieżami u Titjib, Pass 24, Awditu, Rieżami u Titjib:
“Is-SoA tiegħek għandha tkun konsistenti mar-Reġistru tar-Riskji u mal-Pjan ta’ Trattament tar-Riskju tiegħek. Iċċekkja darbtejn li kull kontroll li għażilt bħala trattament tar-riskju huwa mmarkat bħala ‘Applikabbli’ fis-SoA. Bil-maqlub, jekk kontroll huwa mmarkat bħala ‘Applikabbli’ fis-SoA, għandu jkollok raġuni għalih — normalment riskju mmappjat, rekwiżit legali/regolatorju jew ħtieġa tan-negozju.”
Minn Zenith Blueprint: Pjan direzzjonali f’30 pass għall-awditur, fażi ta’ Awditu, Rieżami u Titjib, Pass 24.
Dak huwa l-prinċipju tar-rkupru. Is-SoA mhijiex formalità. Hija s-sinsla tat-traċċabbiltà bejn riskji, obbligi, kontrolli, evidenza tal-implimentazzjoni u konklużjonijiet tal-awditu.
Eżerċizzju prattiku ta’ tiswija tas-SoA għandu jsegwi din is-sekwenza:
- Esporta s-SoA attwali.
- Żid kolonni għall-ID tar-riskju, obbligu regolatorju, rekwiżit tan-negozju, referenza tal-politika, post tal-evidenza, sid, status tal-implimentazzjoni u data tal-aħħar test.
- Għal kull kontroll applikabbli, immappja mill-inqas raġuni waħda difensibbli.
- Għal kull kontroll eskluż, ikteb raġuni speċifika għall-esklużjoni.
- Qabbel is-SoA mal-pjan ta’ trattament tar-riskju.
- Qabbel is-SoA mar-riżultati tal-awditu intern.
- Staqsi l-mistoqsija diffiċli: jekk awditur jagħżel din ir-ringiela għall-kampjunar, nistgħu nippruvawha f’ħames minuti?
Ringiela difensibbli tas-SoA għandha tidher hekk:
| Qasam tas-SoA | Eżempju ta’ entrata ta’ rkupru |
|---|---|
| Raġuni tal-kontroll | Applikabbli minħabba hosting fil-cloud, proċessur tal-pagamenti, appoġġ esternalizzat u impenji kuntrattwali ta’ sigurtà mal-klijenti |
| Rabta mar-riskju | R-014 tfixkil tas-servizz minn parti terza, R-021 espożizzjoni tad-data mill-fornitur, R-027 ksur regolatorju minħabba falliment tal-proċessur |
| Rabta mal-obbligu | Sigurtà tal-katina tal-provvista NIS2, riskju tal-ICT minn partijiet terzi taħt DORA fejn applikabbli, responsabbiltà tal-proċessur taħt GDPR |
| Rabta mal-politika | Politika tas-sigurtà ta’ partijiet terzi u tal-fornituri, proċedura tar-rieżami tal-kuntratti, lista ta’ kontroll għall-evalwazzjoni tal-fornituri |
| Evidenza | Reġistru tal-fornituri, klassifikazzjonijiet tar-riskju, kwestjonarju tad-diliġenza dovuta, DPA iffirmat, rieżami tar-rapport SOC, pjan tal-ħruġ, reġistru tar-rieżami annwali |
| Sid | Maniġer tal-fornituri, CISO, Legali |
| Ittestjar | Kampjun tal-awditu intern tal-aqwa ħames fornituri kritiċi tlesta, eċċezzjonijiet irreġistrati fil-CAPA |
| Status | Implimentat b’żewġ azzjonijiet korrettivi miftuħa għal aġġornamenti tal-kuntratti |
Din ir-ringiela tirrakkonta storja ta’ rkupru. Turi kuntest tan-negozju, loġika tar-riskju, rilevanza regolatorja, sjieda, implimentazzjoni, ittestjar u azzjoni li fadal.
Għall-esklużjonijiet, tapplika l-istess dixxiplina. Pereżempju, jekk l-organizzazzjoni ma twettaq l-ebda żvilupp intern ta’ software, esklużjoni għall-kontroll 8.25 Secure development life cycle u l-kontroll 8.28 Secure coding ta’ ISO/IEC 27002:2022 tista’ tkun difensibbli, iżda biss jekk tkun vera, dokumentata u appoġġata minn evidenza li s-software huwa kummerċjali off-the-shelf jew kompletament esternalizzat b’kontrolli tal-fornituri fis-seħħ.
Pass 4: Wettaq analiżi tal-kawża ewlenija, mhux tisbiħ tad-dokumenti
Awditu ta’ tranżizzjoni fallut rarament ikun ikkawżat minn fajl wieħed nieqes. Normalment ikun ikkawżat minn proċess miksur.
Il-Zenith Blueprint, fażi ta’ Awditu, Rieżami u Titjib, Pass 27, Sejbiet tal-awditu - analiżi u kawża ewlenija, jgħid:
“Għal kull nuqqas ta’ konformità (maġġuri jew minuri) identifikat, aħseb għaliex seħħ — dan huwa kritiku għal korrezzjoni effettiva.”
Minn Zenith Blueprint, fażi ta’ Awditu, Rieżami u Titjib, Pass 27.
Jekk is-sejba tgħid “ġustifikazzjonijiet tas-SoA huma nieqsa”, il-korrezzjoni tista’ tkun li s-SoA tiġi aġġornata. Iżda l-kawża ewlenija tista’ tkun li s-sidien tal-assi ma kinux involuti fil-valutazzjoni tar-riskju, l-obbligi legali ma ġewx immappjati, jew it-tim tal-konformità żamm is-SoA b’mod iżolat.
Tabella ta’ rkupru utli tifred korrezzjonijiet dgħajfa minn azzjoni korrettiva vera:
| Sejba tal-awditu | Korrezzjoni ħażina | Mistoqsija xierqa dwar il-kawża ewlenija | Azzjoni korrettiva aħjar |
|---|---|---|---|
| SoA mhux allinjata mat-trattament tar-riskju | Aġġorna l-formulazzjoni tas-SoA | Għaliex is-SoA ma ġietx irrikonċiljata mat-trattament tar-riskju? | Żid rikonċiljazzjoni trimestrali bejn is-SoA u r-riskju taħt is-sjieda tal-Maniġer tal-ISMS |
| L-ebda evalwazzjoni tal-fornituri | Tella’ kwestjonarju wieħed | Għaliex il-fornituri ma ġewx rieżaminati? | Assenja sid għall-fornituri, iddefinixxi klassifikazzjoni tar-riskju f’livelli, lesti r-rieżamijiet u mmonitorja kull sena |
| Rieżami mill-Ġestjoni mhux komplut | Żid punt fl-aġenda retroattivament | Għaliex ir-Rieżami mill-Ġestjoni ma kopriex l-istatus tat-tranżizzjoni? | Aġġorna l-mudell tar-Rieżami mill-Ġestjoni u skeda rieżami trimestrali tal-governanza |
| Rappurtar tal-inċidenti mhux ittestjat | Editja l-proċedura tal-inċidenti | Għaliex ir-rappurtar ma ġiex eżerċitat? | Mexxi eżerċizzju tabletop b’punti ta’ deċiżjoni għal NIS2, DORA u GDPR u żomm l-evidenza |
| Awditu Intern dejjaq wisq | Espandi l-lista ta’ kontroll | Għaliex l-ippjanar tal-awditu tilef il-kamp ta’ applikazzjoni tat-tranżizzjoni? | Approva pjan ta’ awditu bbażat fuq ir-riskju li jkopri regolamentazzjoni, fornituri, cloud u reżiljenza |
Hawnhekk terġa’ lura l-kredibbiltà. L-awdituri ma jistennewx perfezzjoni. Jistennew sistema kkontrollata li tiskopri, tikkoreġi, titgħallem u titjieb.
Pass 5: Ibni CAPA li awditur jista’ jafda
Azzjoni korrettiva u preventiva hija fejn ħafna organizzazzjonijiet jerġgħu jiksbu l-kontroll. Ir-reġistru CAPA għandu jsir il-pjan direzzjonali tar-rkupru u l-evidenza primarja li l-awditu fallut ġie mmaniġġjat b’mod sistematiku.
Il-Zenith Blueprint, fażi ta’ Awditu, Rieżami u Titjib, Pass 29, Titjib kontinwu, jispjega l-istruttura:
“Kun żgur li kull azzjoni korrettiva hija speċifika, assenjabbli u marbuta biż-żmien. Essenzjalment, qed toħloq mini-proġett għal kull kwistjoni.”
Minn Zenith Blueprint, fażi ta’ Awditu, Rieżami u Titjib, Pass 29.
Il-log CAPA tiegħek għandu jinkludi:
- ID tas-sejba.
- Awditu sors.
- Referenza tal-klawżola jew tal-kontroll.
- Severità.
- Deskrizzjoni tal-kwistjoni.
- Korrezzjoni immedjata.
- Kawża ewlenija.
- Azzjoni korrettiva.
- Azzjoni preventiva, fejn rilevanti.
- Sid.
- Data ta’ skadenza.
- Evidenza meħtieġa.
- Status.
- Verifika tal-effettività.
- Approvazzjoni tal-maniġment.
Il-Politika ta’ Monitoraġġ tal-Awditu u tal-Konformità - SME ta’ Clarysec tidentifika wkoll nuqqas maġġuri ta’ konformità bħala attivatur tar-rieżami:
“Awditu taċ-ċertifikazzjoni jew awditu ta’ sorveljanza jirriżulta f’nuqqas maġġuri ta’ konformità”
Mit-taqsima “Rekwiżiti għar-rieżami u l-aġġornament”, klawżola tal-politika 9.2.2.
Jekk l-awditu ta’ tranżizzjoni pproduċa nuqqas maġġuri ta’ konformità, irrevedi l-proċess ta’ monitoraġġ tal-awditu u tal-konformità nnifsu. Għaliex l-awditu intern ma skopriex il-kwistjoni l-ewwel? Għaliex ir-Rieżami mill-Ġestjoni ma eskalaxha? Għaliex is-SoA ma żvelatx il-lakuna fl-evidenza?
Hekk awditu fallut isir ISMS aktar b’saħħtu.
Pass 6: Uża Zenith Controls biex tgħaqqad l-evidenza ISO mal-konformità trasversali
Awditu mill-ġdid ma jseħħx f’iżolament. Klijenti, regolaturi, assiguraturi u timijiet interni ta’ governanza jistgħu kollha jħarsu lejn l-istess evidenza minn angoli differenti. Hawnhekk Zenith Controls huwa ta’ valur bħala gwida għall-konformità trasversali. Jgħin lit-timijiet jieqfu jittrattaw ISO 27001, NIS2, DORA, GDPR, assigurazzjoni stil NIST u governanza COBIT 2019 bħala listi ta’ kontroll separati.
Tliet kontrolli ISO/IEC 27002:2022 huma partikolarment rilevanti fir-rkupru tat-tranżizzjoni.
| Kontroll ISO/IEC 27002:2022 | Rilevanza għar-rkupru | Evidenza li għandha titħejja |
|---|---|---|
| 5.31 Rekwiżiti legali, statutorji, regolatorji u kuntrattwali | Jikkonferma li l-obbligi huma identifikati, dokumentati u marbuta fl-ISMS | Reġistru legali, obbligi kuntrattwali, mappa regolatorja, matriċi tas-sidien tal-politiki, raġuni tas-SoA |
| 5.35 Rieżami indipendenti tas-sigurtà tal-informazzjoni | Jikkonferma li l-attività ta’ rieżami hija oġġettiva, b’kamp ta’ applikazzjoni, kompetenti u segwita b’azzjoni | Pjan tal-awditu intern, rapport ta’ rieżami indipendenti, kompetenza tal-awditur, reġistri CAPA, rappurtar lill-maniġment |
| 5.36 Konformità mal-politiki, regoli u standards għas-sigurtà tal-informazzjoni | Jikkonferma li l-politiki mhumiex biss ippubblikati, iżda mmonitorjati u infurzati | Attestazzjoni tal-politika, logs tal-eċċezzjonijiet, rapporti ta’ monitoraġġ, fluss tax-xogħol dixxiplinarju, ittestjar tal-konformità |
F’Zenith Controls, il-kontroll 5.31 ta’ ISO/IEC 27002:2022 huwa marbut direttament mal-privatezza u l-PII:
“5.34 ikopri konformità mal-liġijiet tal-protezzjoni tad-data (eż. GDPR), li hija kategorija waħda ta’ rekwiżiti legali taħt 5.31.”
Minn Zenith Controls, kontroll 5.31, rabtiet ma’ kontrolli oħra.
Għar-rkupru, dan ifisser li r-reġistru legali m’għandux joqgħod barra l-ISMS. Għandu jmexxi s-SoA, il-pjan ta’ trattament tar-riskju, is-sett ta’ politiki, is-sjieda tal-kontrolli u l-evidenza tal-awditu.
Għall-kontroll 5.35 ta’ ISO/IEC 27002:2022, Zenith Controls jenfasizza li r-rieżami indipendenti ħafna drabi jasal sa evidenza operattiva:
“Rieżamijiet indipendenti taħt 5.35 spiss jevalwaw l-adegwatezza tal-attivitajiet ta’ logging u monitoraġġ.”
Minn Zenith Controls, kontroll 5.35, rabtiet ma’ kontrolli oħra.
Dan huwa prattiku. Awditur jista’ jibda bil-governanza u mbagħad jieħu kampjun ta’ logs, allerti, reġistri ta’ monitoraġġ, rieżamijiet tal-aċċess, tickets tal-inċidenti, testijiet tal-backup, rieżamijiet tal-fornituri u deċiżjonijiet tal-maniġment.
Għall-kontroll 5.36 ta’ ISO/IEC 27002:2022, Zenith Controls jispjega r-relazzjoni mal-governanza interna tal-politiki:
“Il-kontroll 5.36 iservi bħala l-mekkaniżmu ta’ applikazzjoni għar-regoli definiti taħt 5.1.”
Minn Zenith Controls, kontroll 5.36, rabtiet ma’ kontrolli oħra.
Hawnhekk ifallu ħafna programmi ta’ tranżizzjoni. Il-politiki jeżistu, iżda l-konformità magħhom mhijiex immonitorjata. Il-proċeduri jeżistu, iżda l-eċċezzjonijiet ma jinqabdux. Il-kontrolli jiġu ddikjarati, iżda ma jiġux ittestjati.
Pass 7: Ipprepara għal lentijiet differenti tal-awditu
Pakkett ta’ rkupru b’saħħtu għandu jiflaħ aktar minn perspettiva waħda ta’ awditur. Awdituri taċ-ċertifikazzjoni ISO, superviżuri DORA, rieżaminaturi NIS2, partijiet interessati GDPR, timijiet ta’ assigurazzjoni għall-klijenti, assessuri orjentati lejn NIST u rieżaminaturi tal-governanza COBIT 2019 jistgħu kollha jistaqsu mistoqsijiet differenti dwar l-istess evidenza.
| Lenti tal-awditur | Mistoqsija probabbli | Evidenza li tgħin |
|---|---|---|
| Awditur ISO 27001:2022 | L-ISMS huwa effettiv, ibbażat fuq ir-riskju, b’kamp ta’ applikazzjoni korrett, rieżaminat mit-tmexxija u mtejjeb kontinwament? | Kamp ta’ applikazzjoni, kuntest, partijiet interessati, valutazzjoni tar-riskju, SoA, pjan ta’ trattament, awditu intern, Rieżami mill-Ġestjoni, CAPA |
| Assessur orjentat lejn NIST | L-attivitajiet ta’ governanza, identifikazzjoni tar-riskju, protezzjoni, skoperta, rispons u rkupru qed jaħdmu b’mod koerenti? | Inventarju tal-assi, Reġistru tar-Riskji, kontrolli tal-aċċess, logging, monitoraġġ, playbooks tal-inċidenti, testijiet ta’ rkupru |
| Awditur stil COBIT 2019 jew ISACA | L-objettivi ta’ governanza, is-sjieda, il-monitoraġġ tal-prestazzjoni, il-ġestjoni tar-riskju u l-assigurazzjoni tal-konformità huma inkorporati? | RACI, objettivi approvati, metriċi, pjan tal-awditu, rappurtar lill-maniġment, sjieda tal-kontrolli, traċċar tal-kwistjonijiet |
| Rieżaminatur tal-konformità NIS2 | Il-maniġment approva u ssorvelja miżuri proporzjonati tar-riskju taċ-ċibersigurtà u flussi tax-xogħol għar-rappurtar tal-inċidenti? | Minuti tal-bord, miżuri tar-riskju, kontrolli tal-fornituri, eskalazzjoni tal-inċidenti, taħriġ, evidenza tal-kontinwità u tal-kriżijiet |
| Rieżaminatur DORA | Il-ġestjoni tar-riskju tal-ICT hija dokumentata, ittestjata, konxja tal-fornituri u integrata fil-governanza? | Qafas tar-riskju tal-ICT, testijiet tar-reżiljenza, klassifikazzjoni tal-inċidenti, reġistru tal-kuntratti tal-ICT, pjanijiet tal-ħruġ, drittijiet ta’ awditu |
| Rieżaminatur GDPR | L-organizzazzjoni tista’ turi responsabbiltà għall-protezzjoni tad-data personali u r-rispons għal ksur? | RoPA, immappjar tal-bażi legali, DPIAs fejn meħtieġ, kuntratti tal-proċessuri, logs ta’ ksur, miżuri tekniċi u organizzattivi |
L-għan mhuwiex evidenza duplikata. Ringiela waħda tas-SoA għal logging u monitoraġġ tista’ tappoġġa evidenza ISO, aspettattivi ta’ skoperta stil NIST, ġestjoni tal-inċidenti taħt DORA, evalwazzjoni tal-effettività taħt NIS2 u skoperta ta’ ksur taħt GDPR. Fajl wieħed tar-riskju tal-fornitur jista’ jappoġġa kontrolli tal-fornituri ISO, riskju tal-ICT minn partijiet terzi taħt DORA, sigurtà tal-katina tal-provvista taħt NIS2 u responsabbiltà tal-proċessur taħt GDPR.
Dan huwa l-valur prattiku tal-konformità trasversali.
Pass 8: Mexxi rieżami finali tad-dokumentazzjoni u awditu simulat
Qabel ma terġa’ tmur għand il-korp taċ-ċertifikazzjoni, mexxi sfida interna iebsa. Il-Zenith Blueprint, fażi ta’ Awditu, Rieżami u Titjib, Pass 30, Preparazzjoni għaċ-ċertifikazzjoni - rieżami finali u awditu simulat, jirrakkomanda li jiġu ċċekkjati l-klawżoli 4 sa 10 ta’ ISO 27001:2022 waħda waħda u li tiġi vvalidata l-evidenza għal kull kontroll applikabbli ta’ Annex A.
Jagħti dan il-parir:
“Iċċekkja l-kontrolli ta’ Annex A: kun żgur li għal kull kontroll li mmarkajt bħala ‘Applikabbli’ fis-SoA, għandek xi ħaġa x’turi għalih.”
Minn Zenith Blueprint, fażi ta’ Awditu, Rieżami u Titjib, Pass 30.
Ir-rieżami finali għandu jkun dirett:
- Kull kontroll applikabbli jista’ jiġi spjegat?
- Kull kontroll eskluż jista’ jiġi ġġustifikat?
- Tista’ tintwera aċċettazzjoni tar-riskju residwu?
- Il-maniġment irreveda l-falliment tat-tranżizzjoni, ir-riżorsi, l-objettivi, ir-riżultati tal-awditu u l-azzjonijiet korrettivi?
- L-awditu intern ittestja s-SoA aġġornata u l-pjan ta’ trattament tar-riskju?
- Il-kontrolli tal-fornituri, cloud, kontinwità, inċidenti, privatezza, aċċess, vulnerabbiltajiet, logging u monitoraġġ huma evidenzjati?
- Il-politiki huma approvati, attwali, ikkomunikati u taħt kontroll tal-verżjoni?
- Il-CAPAs huma marbuta mal-kawżi ewlenin u mal-verifiki tal-effettività?
- L-evidenza tista’ tinstab malajr fil-folder ċentralizzat tal-awditu?
Il-Politika tas-Sigurtà tal-Informazzjoni ta’ Clarysec tipprovdi l-linja bażi tal-governanza:
“L-organizzazzjoni għandha timplimenta u żżomm Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS) skont il-klawżoli 4 sa 10 ta’ ISO/IEC 27001:2022.”
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1.
Għall-SMEs, ir-rieżami għandu jsegwi wkoll ir-rekwiżiti taċ-ċertifikazzjoni u l-bidla regolatorja. Il-Politika tas-Sigurtà tal-Informazzjoni - SME ta’ Clarysec tgħid:
“Din il-politika għandha tiġi rieżaminata mill-Maniġer Ġenerali (GM) mill-inqas darba fis-sena biex tiġi żgurata konformità kontinwa mar-rekwiżiti taċ-ċertifikazzjoni ISO/IEC 27001, bidliet regolatorji (bħal GDPR, NIS2 u DORA), u ħtiġijiet tan-negozju li jevolvu.”
Mit-taqsima “Rekwiżiti għar-rieżami u l-aġġornament”, klawżola tal-politika 9.1.1.
Dan huwa eżatt dak li ħafna programmi ta’ tranżizzjoni tilfu: ISO, regolamentazzjoni u bidla fin-negozju jimxu flimkien.
X’għandek tgħid lill-klijenti waqt li tirkupra
Jekk tranżizzjoni falluta jew mitlufa taffettwa kuntratti tal-klijenti, is-skiet huwa perikoluż. M’għandekx għalfejn tiżvela kull dettall tal-awditu intern, iżda għandek tipprovdi assigurazzjoni kkontrollata.
Pakkett ta’ komunikazzjoni għall-klijent għandu jinkludi:
- Status attwali taċ-ċertifikazzjoni kkonfermat mill-korp taċ-ċertifikazzjoni.
- Status tal-awditu ta’ tranżizzjoni u pjan ta’ rimedjazzjoni ta’ livell għoli.
- Konferma li proċess CAPA huwa attiv u approvat mill-maniġment.
- Dati fil-mira għall-azzjonijiet korrettivi u l-għeluq tal-awditu.
- Dikjarazzjoni li l-ISMS jibqa’ operattiv.
- Punt ta’ kuntatt għall-assigurazzjoni tas-sigurtà.
- Dikjarazzjoni aġġornata tal-politika tas-sigurtà, jekk xieraq.
- Evidenza ta’ kontrolli kumpensatorji għal kwalunkwe żona ta’ riskju għoli.
Evita pretensjonijiet vagi bħal “aħna kompletament konformi” waqt li l-awditu għadu mhux riżolt. Għid dak li hu veru: l-ISMS qed jopera, l-azzjoni korrettiva ġiet approvata, l-evidenza qed tiġi kkonsolidata u rieżami tal-għeluq jew awditu mill-ġdid huwa skedat.
Dan huwa partikolarment importanti jekk il-klijenti jiddependu fuqek bħala fornitur f’setturi rilevanti għal NIS2 bħal infrastruttura diġitali, cloud, ċentri tad-data, netwerks ta’ distribuzzjoni tal-kontenut, DNS, servizzi ta’ fiduċja, komunikazzjonijiet elettroniċi pubbliċi, servizzi ġestiti jew servizzi ta’ sigurtà ġestiti. Jekk l-istatus tal-awditu tiegħek jaffettwa r-riskju tagħhom tal-katina tal-provvista, għandhom bżonn assigurazzjoni kredibbli.
Sprint prattiku ta’ rkupru f’10 ijiem
L-iskedi ta’ żmien ivarjaw skont il-korp taċ-ċertifikazzjoni, is-severità, il-kamp ta’ applikazzjoni u l-maturità tal-evidenza. Iżda s-sekwenza tar-rkupru hija affidabbli.
| Jum | Attività | Output |
|---|---|---|
| 1 | Iġbor ir-rapport tal-awditu, ikkonferma l-istatus taċ-ċertifikat, iftaħ folder ċentralizzat tal-awditu | Ċentru ta’ kmand għar-rkupru |
| 2 | Ikklassifika s-sejbiet, assenja sidien, informa lill-maniġment | Governanza tar-rkupru approvata |
| 3 | Aġġorna l-kuntest, l-obbligi, il-partijiet interessati u l-assunzjonijiet tal-kamp ta’ applikazzjoni | Kuntest u mappa tal-konformità aġġornati |
| 4 | Irrikonċilja l-valutazzjoni tar-riskju u l-pjan ta’ trattament tar-riskju | Reġistru tar-Riskji u pjan ta’ trattament aġġornati |
| 5 | Irranġa s-SoA b’raġuni, esklużjonijiet, evidenza u sidien | SoA lesta għall-awditu |
| 6 | Wettaq analiżi tal-kawża ewlenija għas-sejbiet kollha | Log tal-kawżi ewlenin |
| 7 | Ibni pjan CAPA b’dati fil-mira u rekwiżiti tal-evidenza | Reġistru CAPA |
| 8 | Iġbor u ttestja evidenza għall-kontrolli prijoritarji | Pakkett tal-evidenza |
| 9 | Mexxi Rieżami mill-Ġestjoni u approva r-riskji residwi | Minuti tar-Rieżami mill-Ġestjoni |
| 10 | Mexxi awditu simulat u pprepara r-rispons lill-korp taċ-ċertifikazzjoni | Pakkett ta’ tħejjija għall-awditu mill-ġdid |
Tissottomettix ir-rispons sakemm jirrakkonta storja koerenti. L-awditur għandu jkun jista’ jsegwi l-katina mis-sejba għall-kawża ewlenija, mill-kawża ewlenija għall-azzjoni korrettiva, mill-azzjoni korrettiva għall-evidenza, u mill-evidenza għar-Rieżami mill-Ġestjoni.
Il-fluss tax-xogħol ta’ rkupru ta’ Clarysec
Meta Clarysec jappoġġa tranżizzjoni għall-ISO 27001:2022 li ntilfet jew falliet, norganizzaw ix-xogħol f’fluss tax-xogħol ta’ rkupru ffukat.
| Fażi ta’ rkupru | Assi ta’ Clarysec | Output |
|---|---|---|
| Triage tal-awditu | Zenith Blueprint Passi 24, 27, 29, 30 | Klassifikazzjoni tas-sejbiet, mappa tal-evidenza, pjan tal-għeluq tal-awditu |
| Reset tal-governanza | Politika tas-Sigurtà tal-Informazzjoni, Politika ta’ Monitoraġġ tal-Awditu u tal-Konformità | Responsabbiltajiet approvati, involviment tal-maniġment, folder ċentralizzat tal-evidenza |
| Aġġornament tar-riskju | Politika tal-Ġestjoni tar-Riskju, metodu ISO/IEC 27005:2022 | Kuntest, kriterji, Reġistru tar-Riskji u pjan ta’ trattament aġġornati |
| Tiswija tas-SoA | Zenith Blueprint Pass 24, Politika tal-Ġestjoni tar-Riskju | SoA traċċabbli b’riskju, obbligu, sid, evidenza u status |
| Immappjar tal-konformità trasversali | Zenith Controls | Allinjament ta’ assigurazzjoni għal NIS2, DORA, GDPR, stil NIST u COBIT 2019 |
| Eżekuzzjoni CAPA | Zenith Blueprint Pass 29, politiki tal-awditu | Kawża ewlenija, azzjoni korrettiva, sid, skadenza, verifika tal-effettività |
| Awditu simulat | Zenith Blueprint Pass 30 | Pakkett ta’ tħejjija għall-awditu mill-ġdid u pakkett ta’ assigurazzjoni għall-klijenti |
Dan mhuwiex dwar manifattura ta’ burokrazija. Huwa dwar ir-restawr tal-fiduċja li l-ISMS huwa taħt governanza, ibbażat fuq ir-riskju, sostnut b’evidenza u qed jitjieb.
Parir finali: ittratta t-tranżizzjoni falluta bħala stress test
Skadenza mitlufa tat-tranżizzjoni għall-ISO 27001:2022 jew awditu ta’ tranżizzjoni fallut jinħassu bħala kriżi, iżda huma wkoll opportunità dijanjostika. Juru jekk l-ISMS tiegħek jistax jassorbi l-bidla, jintegra obbligi legali, jimmaniġġja fornituri, jipprova t-tħaddim tal-kontrolli u jitgħallem mill-falliment.
L-organizzazzjonijiet li jirkupraw l-aktar malajr jagħmlu tliet affarijiet tajjeb:
- Jiċċentralizzaw l-evidenza u jwaqqfu l-kaos.
- Jerġgħu jibnu t-traċċabbiltà bejn ir-riskju, is-SoA, il-kontrolli, il-politiki u l-obbligi.
- Jimmaniġġjaw is-sejbiet tal-awditu permezz ta’ CAPA dixxiplinata u Rieżami mill-Ġestjoni.
L-organizzazzjonijiet li jitħabtu jippruvaw isolvu l-problema billi jeditjaw dokumenti mingħajr ma jirranġaw is-sjieda, il-monitoraġġ, l-evidenza jew il-kawża ewlenija.
Jekk tlift l-iskadenza jew fallejt l-awditu ta’ tranżizzjoni tiegħek, il-pass li jmiss tiegħek mhuwiex paniku. Huwa rkupru strutturat.
Clarysec jista’ jgħinek tmexxi triage tal-awditu ta’ tranżizzjoni, terġa’ tibni s-SoA tiegħek, timmappja l-aspettattivi ta’ NIS2, DORA, GDPR, stil NIST u COBIT 2019 permezz ta’ Zenith Controls, twettaq azzjonijiet korrettivi b’Zenith Blueprint, u tallinja l-evidenza tal-politiki billi tuża Politika tas-Sigurtà tal-Informazzjoni, Politika ta’ Monitoraġġ tal-Awditu u tal-Konformità, Politika tal-Ġestjoni tar-Riskju, u Politika dwar il-Konformità Legali u Regolatorja.
Il-kwistjoni taċ-ċertifikat tiegħek tista’ tissewwa. L-ISMS tiegħek jista’ jsir aktar b’saħħtu milli kien qabel l-awditu. Jekk l-awditu ta’ tranżizzjoni tiegħek għadu mhux riżolt, ibda l-evalwazzjoni tar-rkupru issa, ikkonsolida l-evidenza tiegħek u pprepara pakkett għal awditu mill-ġdid li jipprova li l-ISMS tiegħek mhuwiex biss dokumentat, iżda qed jaħdem.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
