Evidenza tal-awditu ISO 27001 għal NIS2 u DORA
Huma t-08:17 ta’ nhar ta’ Tlieta, u s-CISO ta’ kumpanija fintech SaaS li qed tikber b’rata mgħaġġla għandu tliet messaġġi jistennewh.
L-ewwel wieħed huwa mingħand klijent bankarju ewlieni: “Jekk jogħġobkom ibagħtulna l-aħħar rapport tal-awditu intern, il-minuti tar-rieżami mill-maniġment, l-istatus tal-azzjonijiet korrettivi, il-proċedura tar-rappurtar tal-inċidenti, ir-reġistru tal-fornituri u evidenza tas-sorveljanza tal-bord.”
It-tieni huwa mingħand is-CFO: “Aħna fil-kamp ta’ applikazzjoni ta’ NIS2 jew DORA, u x’evidenza diġà għandna?”
It-tielet huwa mingħand is-CEO: “Nistgħu ngħidu li aħna lesti għall-awditu?”
It-tweġiba skomda f’ħafna organizzazzjonijiet mhijiex li mhu qed isir xejn. Hija agħar minn hekk. Ix-xogħol tas-sigurtà qed isir kullimkien, iżda l-evidenza ma tinsab imkien. Hemm kontrolli, iżda m’hemmx traċċa tal-awditu. Hemm tickets, iżda m’hemmx rabta ċara mar-riskji. Hemm aġġornamenti għat-tmexxija, iżda m’hemmx outputs formali tar-rieżami mill-maniġment. Hemm diskussjonijiet mal-fornituri, iżda m’hemmx reġistru tal-fornituri difensibbli, rieżami tal-kuntratti jew strateġija ta’ ħruġ.
Dik il-lakuna hija eżatt fejn l-awditu intern u r-rieżami mill-maniġment ISO/IEC 27001:2022 isiru aktar minn attivitajiet ta’ ċertifikazzjoni. Isiru r-ritmu operattiv għal NIS2, DORA, GDPR, l-assigurazzjoni tal-klijenti, l-assigurazzjoni ċibernetika u r-responsabbiltà tal-bord.
Timijiet SaaS, cloud, MSP, MSSP u fintech rarament ifallu għax jonqoshom attività ta’ sigurtà. Ifallu għax l-attività tkun imxerrda bejn Slack, Jira, spreadsheets, portali tal-fornituri, tickets tas-SOC, fajls tal-akkwist u decks tal-bord. Regolatur, awditur estern jew klijent korporattiv ma jridx spjegazzjoni eroika. Irid evidenza oġġettiva.
Is-soluzzjoni prattika mhijiex li jitħaddmu programmi separati ta’ awditu għal kull qafas. Hija li jintuża l-ISMS ISO 27001 bħala l-magna ċentrali tal-evidenza, u mbagħad dik l-evidenza tiġi ttaggjata għal NIS2, DORA, GDPR u rekwiżiti kuntrattwali. Meta jsir tajjeb, ċiklu wieħed ta’ awditu intern u ċiklu wieħed ta’ rieżami mill-maniġment jistgħu jwieġbu ħafna mistoqsijiet dwar il-konformità.
Minn għeja tal-oqfsa għal mudell unifikat tal-evidenza tal-ISMS
Ħafna CISOs jiffaċċjaw verżjoni tal-problema ta’ Maria. Maria tmexxi s-sigurtà għal kumpanija B2B SaaS b’klijenti fis-settur finanzjarju. It-tim tagħha għadda minn awditu ta’ ċertifikazzjoni ISO/IEC 27001:2022 sitt xhur ilu. L-ISMS qed jimmatura, il-politiki qed jiġu segwiti u s-sidien tal-kontrolli jifhmu r-responsabbiltajiet tagħhom. Imbagħad is-CEO jgħaddilha żewġ artikli, wieħed dwar id-Direttiva NIS2 u wieħed dwar DORA, b’mistoqsija qasira: “Aħna koperti?”
It-tweġiba tiddependi fuq il-kamp ta’ applikazzjoni, is-servizzi, il-klijenti u l-entitajiet legali. Iżda t-tweġiba operattiva hija ċara: jekk Maria tittratta NIS2 u DORA bħala proġetti separati ta’ konformità, toħloq xogħol duplikat, evidenza inkonsistenti u għeja dejjem tikber mill-awditu. Jekk tittrattahom bħala rekwiżiti ta’ partijiet interessati fi ħdan l-ISMS, tista’ tuża ISO 27001 biex tassorbi, tittestja u turi t-tħejjija.
ISO/IEC 27001:2022 huwa mfassal għal dan. Klawżola 4 teħtieġ li l-organizzazzjoni tifhem il-kuntest tagħha u r-rekwiżiti tal-partijiet interessati, inklużi obbligi legali, regolatorji, kuntrattwali u mmexxija mid-dipendenzi. Klawżola 5 teħtieġ tmexxija u integrazzjoni fil-proċessi tan-negozju. Klawżola 6 teħtieġ valutazzjoni tar-riskju u trattament tar-riskju. Klawżola 9 teħtieġ evalwazzjoni tal-prestazzjoni permezz ta’ monitoraġġ, awditu intern u rieżami mill-maniġment. Klawżola 10 teħtieġ titjib u azzjoni korrettiva.
NIS2 u DORA jidħlu b’mod naturali f’din l-istruttura.
NIS2 jeħtieġ li entitajiet essenzjali u importanti jimplimentaw miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati għall-ġestjoni tar-riskju taċ-ċibersigurtà. Jpoġġi wkoll responsabbiltà fuq il-korpi maniġerjali biex japprovaw dawk il-miżuri, jissorveljaw l-implimentazzjoni u jkunu jistgħu jinżammu responsabbli għal ksur. Il-miżuri minimi tiegħu jkopru analiżi tar-riskju, immaniġġjar tal-inċidenti, kontinwità tan-negozju, sigurtà tal-katina tal-provvista, żvilupp sigur, immaniġġjar tal-vulnerabbiltajiet, evalwazzjoni tal-effettività, taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi u, fejn xieraq, awtentikazzjoni b’diversi fatturi jew awtentikazzjoni kontinwa.
DORA japplika mis-17 ta’ Jannar 2025 u joħloq reġim speċifiku għas-settur tar-reżiljenza operattiva diġitali għall-entitajiet finanzjarji. Jeħtieġ responsabbiltà tal-korp maniġerjali għall-ġestjoni tar-riskju tal-ICT, qafas dokumentat għall-ġestjoni tar-riskju tal-ICT, strateġija tar-reżiljenza operattiva diġitali, pjanijiet ta’ kontinwità tal-ICT u ta’ rkupru, ittestjar tar-reżiljenza, governanza tal-inċidenti tal-ICT u ġestjoni tar-riskju tal-ICT ta’ partijiet terzi. Għal fornituri SaaS u cloud li jaqdu entitajiet finanzjarji, DORA jista’ jidher permezz ta’ obbligi kuntrattwali, awditi tal-klijenti u aspettattivi tal-ġestjoni tar-riskju tal-ICT ta’ partijiet terzi, anki meta l-fornitur innifsu ma jkunx entità finanzjarja.
GDPR iżid is-saff tar-responsabbiltà. Meta data personali tiġi pproċessata fil-kamp ta’ applikazzjoni ta’ GDPR, l-organizzazzjonijiet għandhom ikunu jistgħu juru konformità mal-prinċipji tal-protezzjoni tad-data u ma’ miżuri tekniċi u organizzattivi xierqa.
ISO 27001 mhuwiex ċertifikat maġiku ta’ konformità għal dawn l-obbligi. Huwa s-sistema ta’ ġestjoni li tista’ torganizzahom, tipprovdi evidenza dwarhom u ttejjibhom.
Il-mistoqsija dwar il-kamp ta’ applikazzjoni: x’qed tipprova, u għal min?
Qabel ma jinbena pakkett ta’ evidenza lest għall-awditu, it-tmexxija għandha twieġeb mistoqsija bażika: liema obbligi huma fil-kamp ta’ applikazzjoni?
Għal negozji SaaS u cloud, il-kamp ta’ applikazzjoni ta’ NIS2 jista’ jkun usa’ milli mistenni. NIS2 japplika għal entitajiet pubbliċi jew privati f’setturi elenkati li jilħqu limiti ta’ daqs, u għal ċerti entitajiet b’impatt għoli irrispettivament mid-daqs. Setturi rilevanti jistgħu jinkludu infrastruttura diġitali, fornituri tas-servizzi tal-cloud computing, fornituri ta’ ċentri tad-data, networks tal-kunsinna tal-kontenut, fornituri ta’ servizzi fiduċjarji, fornituri ta’ komunikazzjonijiet elettroniċi pubbliċi u fornituri B2B ta’ ġestjoni tas-servizzi tal-ICT bħall-fornituri ta’ servizzi ġestiti u fornituri ta’ servizzi ta’ sigurtà ġestiti. Il-fornituri SaaS għandhom jagħtu attenzjoni mill-qrib lil kif jitwasslu s-servizzi, liema setturi jappoġġaw u jekk jippermettux amministrazzjoni on-demand u aċċess remot wiesa’ għal riżorsi tal-komputazzjoni kondiviżi u skalabbli.
Għal fornituri ta’ servizzi fintech u tas-settur finanzjarju, DORA għandu jiġi analizzat separatament. DORA jkopri direttament firxa wiesgħa ta’ entitajiet finanzjarji, inklużi istituzzjonijiet ta’ kreditu, istituzzjonijiet ta’ pagament, fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet, istituzzjonijiet tal-flus elettroniċi, ditti ta’ investiment, fornituri ta’ servizzi ta’ kriptoassi, swieq tan-negozjar, maniġers ta’ fondi, impriżi tal-assigurazzjoni u tar-riassigurazzjoni u fornituri ta’ servizzi ta’ crowdfunding. Fornituri terzi ta’ servizzi tal-ICT huma wkoll parti mill-ekosistema DORA għaliex l-entitajiet finanzjarji għandhom jimmaniġġjaw id-dipendenzi tagħhom tal-ICT, iżommu reġistri ta’ arranġamenti kuntrattwali u jinkludu dispożizzjonijiet kuntrattwali speċifiċi għal servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti.
NIS2 u DORA jinteraġixxu wkoll. Meta att legali tal-UE speċifiku għal settur jimponi rekwiżiti ekwivalenti għall-ġestjoni tar-riskju taċ-ċibersigurtà jew għan-notifika tal-inċidenti, id-dispożizzjonijiet korrispondenti ta’ NIS2 jistgħu ma japplikawx għal dawk l-entitajiet f’dawk l-oqsma. DORA huwa r-reġim speċifiku għas-settur tar-reżiljenza operattiva għall-entitajiet finanzjarji. Dan ma jagħmilx lil NIS2 irrilevanti għall-fornituri kollha ta’ madwarhom. Ifisser li l-mudell tal-evidenza għandu jiddistingwi jekk l-organizzazzjoni hijiex entità finanzjarja direttament soġġetta għal DORA, fornitur terz ta’ servizzi tal-ICT li jappoġġa entitajiet finanzjarji, fornitur SaaS fil-kamp ta’ applikazzjoni ta’ NIS2, jew grupp b’diversi entitajiet legali u linji ta’ servizz.
Din l-analiżi tal-kamp ta’ applikazzjoni tappartjeni fil-kuntest tal-ISMS u fir-reġistru tal-partijiet interessati. Mingħajrha, il-Pjan tal-Awditu jittestja l-affarijiet żbaljati.
Traċċa waħda tal-awditu, ħafna mistoqsijiet dwar il-konformità
Żball komuni huwa li jinħolqu pakketti separati ta’ evidenza għal ISO 27001, NIS2, DORA, GDPR, assigurazzjoni ċibernetika u awditi tal-klijenti. Dak l-approċċ joħloq duplikazzjoni u tweġibiet kontradittorji. Approċċ aħjar huwa mudell wieħed tal-evidenza b’diversi perspettivi.
Fiċ-ċentru hemm l-ISMS. Madwaru hemm ħames familji ta’ evidenza.
| Familja tal-evidenza | X’tipprova | Reġistri tipiċi |
|---|---|---|
| Evidenza tal-governanza | Il-maniġment approva, ipprovda riżorsi u rrieżamina l-ISMS | Politika tas-Sigurtà tal-Informazzjoni, rwoli, Pjan tal-Awditu, minuti tar-rieżami mill-maniġment, rappurtar lill-bord |
| Evidenza tar-riskju | Ir-riskji ġew identifikati, evalwati, assenjati lil sidien u trattati | Kriterji tar-riskju, Reġistru tar-Riskji, Pjan ta’ Trattament, Dikjarazzjoni ta’ Applikabbiltà, approvazzjonijiet tar-riskju residwu |
| Evidenza tal-kontrolli | Il-kontrolli joperaw kif iddisinjati | Rieżamijiet tal-aċċess, testijiet tal-backup, allerti tal-monitoraġġ, rapporti tal-vulnerabbiltajiet, diliġenza dovuta tal-fornituri, reġistri tal-iżvilupp sigur |
| Evidenza tal-assigurazzjoni | Verifiki indipendenti jew interni sabu lakuni u vverifikaw il-konformità | Pjan tal-awditu intern, lista ta’ kontroll tal-awditu, rapport tal-awditu, reġistru tan-nuqqasijiet ta’ konformità, reġistru CAPA |
| Evidenza tat-titjib | Is-sejbiet wasslu għal korrezzjoni, analiżi tal-kawża ewlenija u titjib kontinwu | Pjanijiet ta’ azzjoni korrettiva, lezzjonijiet mitgħallma, deċiżjonijiet tal-maniġment, politiki aġġornati, reġistri ta’ ttestjar mill-ġdid |
Din l-istruttura hija allinjata ma’ Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint. Fil-fażi Audit, Review & Improvement, Pass 25 jiffoka fuq il-programm tal-awditu intern, Pass 26 fuq it-twettiq tal-awditu, Pass 28 fuq ir-rieżami mill-maniġment u Pass 29 fuq it-titjib kontinwu.
Il-gwida ta’ Pass 25 fil-Blueprint hija deliberatament prattika:
“Żviluppa skeda li tindika meta se jsiru l-awditi u x’se jkopru.”
“Uża l-mudell tal-Pjan tal-Awditu Intern jekk ikun ipprovdut; dan jista’ jkun dokument sempliċi jew spreadsheet li jelenka d-dati tal-awditu, il-kamp ta’ applikazzjoni u l-awdituri assenjati.”
Minn Zenith Blueprint, fażi Audit, Review & Improvement, Pass 25: Internal Audit Program Zenith Blueprint
Dak il-Pjan tal-Awditu sempliċi jsir b’saħħtu meta jkun ibbażat fuq ir-riskju u ttaggjat mal-obbligi ta’ NIS2, DORA u GDPR.
Kontrolli ISO 27001 li jankraw il-kapaċità li tintwera l-konformità
Għat-tħejjija għall-awditu, tliet kontrolli ISO/IEC 27002:2022 huma partikolarment importanti meta jiġu interpretati permezz ta’ Zenith Controls: The Cross-Compliance Guide Zenith Controls:
- 5.4 Responsabbiltajiet tal-maniġment
- 5.35 Rieżami indipendenti tas-sigurtà tal-informazzjoni
- 5.36 Konformità mal-politiki, mar-regoli u mal-istandards għas-sigurtà tal-informazzjoni
Dawn mhumiex “kontrolli Zenith” separati. Huma kontrolli ISO/IEC 27002:2022 li Zenith Controls jgħin biex jiġu mmappjati, awditjati u interpretati bejn oqfsa differenti.
Il-kontroll 5.4 jistaqsi jekk ir-responsabbiltajiet tas-sigurtà tal-informazzjoni humiex assenjati u mifhuma. Il-kontroll 5.35 jistaqsi jekk is-sigurtà tal-informazzjoni hijiex rieżaminata b’mod indipendenti. Il-kontroll 5.36 jistaqsi jekk l-organizzazzjoni hijiex konformi mal-politiki, ir-regoli u l-istandards tagħha.
Zenith Controls jikklassifika l-kontroll 5.35 b’mod orjentat lejn l-assigurazzjoni:
ISO/IEC 27002:2022 kontroll 5.35, “Independent Review of Information Security,” huwa ttrattat f’Zenith Controls bħala “Preventive, Corrective,” u jappoġġa l-kunfidenzjalità, l-integrità u d-disponibbiltà permezz tal-kunċetti taċ-ċibersigurtà “Identify” u “Protect,” b’kapaċità operattiva f’“Information Security Assurance.” Zenith Controls
Dan huwa importanti għaliex l-awditu intern huwa kemm preventiv kif ukoll korrettiv. Jipprevjeni blind spots billi jittestja l-ISMS qabel skrutinju estern, u jikkoreġi dgħufijiet permezz ta’ azzjonijiet dokumentati.
Il-crosswalk usa’ jibda bir-rekwiżiti ta’ NIS2 u DORA u mbagħad jidentifika l-evidenza ISO 27001 li tista’ tipprovahom.
| Tema regolatorja | Evidenza ISO/IEC 27001:2022 u ISO/IEC 27002:2022 | Fokus prattiku tal-awditu |
|---|---|---|
| Responsabbiltà tal-maniġment | Klawżoli 5, 9.3 u kontrolli 5.2, 5.4, 5.35, 5.36 | Approvazzjonijiet tat-tmexxija, minuti tar-rieżami, assenjazzjonijiet tar-rwoli, deċiżjonijiet CAPA |
| Analiżi tar-riskju u politiki tas-sigurtà | Klawżoli 4, 6.1, 6.2 u kontrolli 5.1, 5.7, 5.9, 5.31 | Kriterji tar-riskju, Reġistru tar-Riskji, approvazzjonijiet tal-politiki, rekwiżiti legali u kuntrattwali |
| Immaniġġjar tal-inċidenti | Kontrolli 5.24, 5.25, 5.26, 5.27, 5.28 | Klassifikazzjoni, eskalazzjoni, reġistri tar-rispons, lezzjonijiet mitgħallma, preservazzjoni tal-evidenza |
| Kontinwità tan-negozju u rkupru | Kontrolli 5.29, 5.30, 8.13 | Pjanijiet ta’ kontinwità, tħejjija tal-ICT, testijiet ta’ restawr minn backup, metriċi tal-irkupru |
| Riskju tal-fornituri u tal-cloud | Kontrolli 5.19, 5.20, 5.21, 5.22, 5.23 | Diliġenza dovuta tal-fornituri, kuntratti, monitoraġġ, pjanijiet ta’ ħruġ mill-cloud, riskju ta’ konċentrazzjoni |
| Żvilupp sigur u vulnerabbiltajiet | Kontrolli 8.8, 8.25, 8.26, 8.27, 8.28, 8.29 | SLAs tal-vulnerabbiltajiet, reġistri ta’ SDLC sigur, approvazzjonijiet tal-bidliet, ittestjar tas-sigurtà |
| Aċċess, HR u taħriġ | Kontrolli 5.15, 5.16, 5.17, 5.18, 6.1, 6.2, 6.3, 6.5, 6.6, 6.7 | Rieżamijiet tal-aċċess, kampjuni ta’ joiner-mover-leaver, reġistri ta’ sensibilizzazzjoni, kontrolli tax-xogħol remot |
| Illoggjar, monitoraġġ u kontrolli kriptografiċi | Kontrolli 8.15, 8.16, 8.17, 8.24 | Żamma tal-logs, rieżami tal-allerti, sinkronizzazzjoni tal-ħin, standards tal-iċċifrar |
| Privatezza u konformità legali | Kontrolli 5.31, 5.34, 5.36 | Reġistru legali, kontrolli tal-privatezza, evidenza tal-proċessuri, rieżamijiet tal-konformità |
L-immappjar tal-kontrolli huwa utli biss meta l-evidenza tkun b’saħħitha. Jekk ir-reġistru jkun dgħajjef, l-ebda crosswalk ma jsalvah. Jekk ir-reġistru jkun komplut, l-istess evidenza tista’ twieġeb mistoqsijiet fl-istil ta’ ISO, NIS2, DORA, GDPR, NIST Cybersecurity Framework 2.0 u COBIT 2019.
Evidenza tal-politika li Clarysec tistenna li l-organizzazzjonijiet iżommu
Il-politiki ta’ Clarysec jibdlu t-teorija tal-ISMS f’aspettattivi ta’ evidenza.
Għall-SMEs, Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme teħtieġ approvazzjoni tat-tmexxija u dixxiplina tal-awditu:
“Il-Maniġer Ġenerali (GM) għandu japprova Pjan tal-Awditu annwali.”
Minn Audit and Compliance Monitoring Policy-sme, Rekwiżiti ta’ governanza, klawżola 5.1.1 Audit and Compliance Monitoring Policy-sme
Tistabbilixxi wkoll kadenzja minima:
“Awditi interni jew rieżamijiet tal-konformità għandhom isiru mill-inqas darba fis-sena.”
Minn Audit and Compliance Monitoring Policy-sme, Rekwiżiti ta’ governanza, klawżola 5.2.1
U torbot is-sejbiet mal-korrezzjoni u mar-rieżami mill-maniġment:
“Il-GM għandu japprova pjan ta’ azzjoni korrettiva u jsegwi l-implimentazzjoni tiegħu.”
Minn Audit and Compliance Monitoring Policy-sme, Rekwiżiti ta’ governanza, klawżola 5.4.2
“Is-sejbiet tal-awditu u l-aġġornamenti tal-istatus għandhom jiġu inklużi fil-proċess tar-rieżami mill-maniġment tal-ISMS.”
Minn Audit and Compliance Monitoring Policy-sme, Rekwiżiti ta’ governanza, klawżola 5.4.3
Iż-żamma tal-evidenza hija wkoll espliċita:
“L-evidenza għandha tinżamm għal mill-inqas sentejn, jew għal aktar żmien fejn ikun meħtieġ minn ċertifikazzjoni jew ftehimiet mal-klijenti.”
Minn Audit and Compliance Monitoring Policy-sme, Rekwiżiti għall-implimentazzjoni tal-politika, klawżola 6.2.4
Għal organizzazzjonijiet akbar, Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy, imsemmija wkoll f’xi materjali ta’ Clarysec bħala l-P33 Audit and Compliance Monitoring Policy, testendi l-istruttura:
“Pjan tal-Awditu ibbażat fuq ir-riskju għandu jiġi żviluppat u approvat kull sena, filwaqt li jitqiesu:”
Minn Audit and Compliance Monitoring Policy, Rekwiżiti ta’ governanza, klawżola 5.2 Audit and Compliance Monitoring Policy
“L-organizzazzjoni għandha żżomm Reġistru tal-Awditu li jkun fih:”
Minn Audit and Compliance Monitoring Policy, Rekwiżiti ta’ governanza, klawżola 5.4
“L-awditi interni għandhom isegwu proċedura dokumentata li tinkludi:”
Minn Audit and Compliance Monitoring Policy, Rekwiżiti għall-implimentazzjoni tal-politika, klawżola 6.1.1
“Is-sejbiet kollha għandhom iwasslu għal CAPA dokumentata li tinkludi:”
Minn Audit and Compliance Monitoring Policy, Rekwiżiti għall-implimentazzjoni tal-politika, klawżola 6.2.1
Ir-rieżami mill-maniġment huwa ankrat f’Information Security Policy Information Security Policy, imsemmija wkoll f’xi materjali ta’ Clarysec bħala P01 Information Security Policy:
“L-attivitajiet tar-rieżami mill-maniġment (skont ISO/IEC 27001 Klawżola 9.3) għandhom isiru mill-inqas darba fis-sena u għandhom jinkludu:”
Minn Information Security Policy, Rekwiżiti ta’ governanza, klawżola 5.3 Information Security Policy
Dawn ir-rekwiżiti joħolqu l-katina tal-evidenza li l-awdituri jistennew: pjan approvat, proċedura definita, Reġistru tal-Awditu, sejbiet, CAPA, żamma u rieżami mit-tmexxija.
Il-bini tal-pakkett ta’ evidenza lest għall-awditu
Pakkett ta’ evidenza lest għall-awditu mhuwiex folder enormi maħluq jumejn qabel l-awditu. Huwa struttura ħajja miżmuma matul is-sena.
| Oġġett tal-evidenza | Għan ISO 27001 | Rilevanza għal NIS2 u DORA |
|---|---|---|
| Kamp ta’ applikazzjoni tal-ISMS u reġistru tal-partijiet interessati | Juri li ġew identifikati rekwiżiti legali, kuntrattwali u ta’ dipendenza | Jappoġġa l-kamp ta’ applikazzjoni tal-entità taħt NIS2, l-analiżi tar-rwol taħt DORA u r-responsabbiltà taħt GDPR |
| Kriterji tar-riskju u Reġistru tar-Riskji | Juri valutazzjoni tar-riskju u sjieda konsistenti | Jappoġġa l-miżuri ta’ ġestjoni tar-riskju ta’ NIS2 u l-qafas tar-riskju tal-ICT ta’ DORA |
| Dikjarazzjoni ta’ Applikabbiltà | Turi kontrolli magħżula, ġustifikazzjoni u status tal-implimentazzjoni | Toħloq linja bażi kkonsolidata tal-kontrolli għall-konformità bejn oqfsa differenti |
| Pjan annwali tal-awditu intern | Juri assigurazzjoni ppjanata | Jappoġġa s-sorveljanza tal-maniġment u l-ippjanar tal-awditu tal-ICT taħt DORA |
| Lista ta’ kontroll tal-awditu intern | Turi kriterji tal-awditu u metodu ta’ kampjunar | Turi kif ġew ittestjati r-rekwiżiti ta’ NIS2, DORA u GDPR |
| Rapport tal-awditu u reġistru tas-sejbiet | Juri evidenza oġġettiva u nuqqasijiet ta’ konformità | Jappoġġa evalwazzjoni tal-effettività u assigurazzjoni regolatorja |
| Reġistru CAPA | Juri kawża ewlenija, sid, data ta’ skadenza u għeluq | Jappoġġa miżuri korrettivi taħt NIS2 u rimedju taħt DORA |
| Pakkett tar-rieżami mill-maniġment | Juri rieżami mit-tmexxija tal-prestazzjoni, l-inċidenti, ir-riskju u r-riżorsi | Jappoġġa r-responsabbiltà tal-bord taħt NIS2 u DORA |
| Reġistru tal-fornituri u evidenza kuntrattwali | Juri kontroll tar-riskju ta’ partijiet terzi | Jappoġġa s-sigurtà tal-katina tal-provvista taħt NIS2 u l-ġestjoni tar-riskju tal-ICT ta’ partijiet terzi taħt DORA |
| Reġistri tar-rappurtar tal-inċidenti u lezzjonijiet mitgħallma | Juru rispons u titjib | Jappoġġaw rappurtar fi stadji taħt NIS2 u governanza tal-inċidenti taħt DORA |
Il-pakkett tal-evidenza għandu jiġi mmappjat mal-klawżoli ISO/IEC 27001:2022 u l-kontrolli tal-Annex A, iżda ttaggjat għar-rilevanza regolatorja. Reġistru ta’ awditu tal-fornitur, pereżempju, jista’ jappoġġa kontrolli tal-fornituri tal-Annex A, is-sigurtà tal-katina tal-provvista taħt NIS2 u l-ġestjoni tar-riskju tal-ICT ta’ partijiet terzi taħt DORA. Reġistru ta’ eżerċizzju tabletop tal-inċidenti jista’ jappoġġa l-ġestjoni tal-inċidenti ISO 27001, it-tħejjija għan-notifika fi stadji taħt NIS2 u l-governanza ta’ inċidenti maġġuri relatati mal-ICT taħt DORA.
Kif twettaq l-awditu intern integrat
Pass 26 ta’ Zenith Blueprint jenfasizza l-evidenza oġġettiva:
“Wettaq l-awditu billi tiġbor evidenza oġġettiva għal kull oġġett fil-lista ta’ kontroll tiegħek.”
“Intervista persunal rilevanti.”
“Irrevedi d-dokumentazzjoni.”
“Osserva l-prattiki.”
“Ħu kampjuni u wettaq kontrolli spot.”
Minn Zenith Blueprint, fażi Audit, Review & Improvement, Pass 26: Audit Execution Zenith Blueprint
Dan huwa eżattament dak li teħtieġ it-tħejjija għal NIS2 u DORA. Ir-regolaturi u l-klijenti mhux se jaċċettaw “nemmnu li dan jaħdem.” Se jistaqsu kif tafu.
Awditu mmexxi tajjeb jittestja erba’ dimensjonijiet tal-evidenza.
| Dimensjoni tal-evidenza | Eżempju ta’ test tal-awditu | Evidenza tajba |
|---|---|---|
| Disinn | Il-politika jew il-proċess jiddefinixxu r-rekwiżit? | Politika, proċedura, standard jew fluss tax-xogħol approvat |
| Implimentazzjoni | Il-proċess ġie implimentat? | Tickets, konfigurazzjonijiet, reġistri tat-taħriġ, reġistri tal-fornituri |
| Effettività operattiva | Ħadem maż-żmien? | Kampjuni minn diversi xhur, allerti, reġistri tar-rieżami, riżultati tat-testijiet |
| Eskalazzjoni tal-governanza | Il-maniġment ra r-riżultati u aġixxa fuqhom? | Approvazzjoni CAPA, minuti tar-rieżami mill-maniġment, deċiżjoni dwar il-baġit |
Ikkunsidra avveniment simulat ta’ ransomware fuq server ta’ staging. L-awditur jittestja jekk il-proċess ta’ rispons għall-inċidenti jistax jissodisfa r-rekwiżiti ta’ ISO 27001, l-aspettattivi ta’ rappurtar fi stadji taħt NIS2 u l-obbligi lejn il-klijenti taħt DORA.
| Evidenza miġbura | Rilevanza għal ISO 27001 | Rilevanza għal NIS2 | Rilevanza għal DORA |
|---|---|---|---|
| Reġistru tal-inċident bil-klassifikazzjoni inizjali u timestamp | Kontroll 5.26 rispons għal inċidenti tas-sigurtà tal-informazzjoni | Jistabbilixxi l-mument tal-għarfien għall-iskadenzi tar-rappurtar | Jappoġġa l-identifikazzjoni u l-illoggjar ta’ inċidenti relatati mal-ICT |
| Eskalazzjoni lis-CSIRT u lill-konsulent legali | Kontroll 5.25 evalwazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni | Jappoġġa t-teħid tad-deċiżjonijiet għan-notifika ta’ inċident sinifikanti | Jappoġġa proċeduri ta’ komunikazzjoni interna u eskalazzjoni |
| Abbozz ta’ mudell ta’ notifika ta’ twissija bikrija | Kontroll 5.24 ippjanar u tħejjija għall-ġestjoni tal-inċidenti | Jappoġġa l-kapaċità li tintlaħaq l-aspettattiva ta’ twissija bikrija fi 24 siegħa | Jista’ jappoġġa t-tħejjija għall-komunikazzjoni kuntrattwali |
| Reġistru tad-deċiżjoni dwar ir-restawr minn backup | Kontrolli 5.29, 5.30 u 8.13 | Jappoġġa evidenza tal-kontinwità tan-negozju u tal-irkupru minn diżastru | Jappoġġa aspettattivi ta’ rispons, rkupru u restawr minn backup |
| Reġistru tal-komunikazzjoni mal-klijent | Kontrolli 5.20 u 5.22 ftehimiet mal-fornituri u monitoraġġ tas-servizz tal-fornitur | Jista’ jappoġġa komunikazzjoni kuntrattwali u tal-katina tal-provvista | Jappoġġa l-obbligi tar-riskju ta’ partijiet terzi tal-klijenti finanzjarji |
NIS2 għandu struttura ta’ rappurtar fi stadji għal inċidenti sinifikanti, inkluża twissija bikrija fi żmien 24 siegħa mill-għarfien, notifika tal-inċident fi żmien 72 siegħa u rapport finali fi żmien xahar min-notifika tal-inċident. DORA għandu l-qafas tiegħu stess għall-klassifikazzjoni u r-rappurtar ta’ inċidenti relatati mal-ICT għall-entitajiet finanzjarji. L-awditu intern għandu jivverifika li l-playbooks jaqbdu l-ħin tal-għarfien, il-kriterji tas-severità, is-servizzi affettwati, l-indikaturi ta’ kompromess, l-azzjonijiet ta’ mitigazzjoni, il-kawża ewlenija, id-dmirijiet ta’ notifika lill-klijenti u d-data għar-rappurtar finali.
Kif sejba waħda tal-awditu tinbidel f’evidenza għal NIS2 u DORA
Sejba realistika dwar fornitur turi kif għandha tiċċirkola l-evidenza.
Matul l-awditu intern, l-awditur jieħu kampjun ta’ ħames fornituri kritiċi. Fornitur wieħed ta’ illoggjar fil-cloud jappoġġa monitoraġġ tal-frodi u twissijiet tas-sigurtà għall-pjattaforma fintech. Il-fornitur huwa elenkat fl-inventarju, iżda m’hemmx pjan ta’ ħruġ dokumentat, m’hemmx evidenza ta’ rieżami annwali tas-sigurtà u m’hemmx konferma li l-kuntratt jinkludi assistenza għall-inċidenti jew drittijiet ta’ awditu.
L-awditur jirreġistra nuqqas ta’ konformità kontra r-rekwiżiti tas-sigurtà tal-fornituri u tal-ħruġ mill-cloud. Rispons dgħajjef jgħid “rieżami tal-fornitur nieqes.” Rispons b’saħħtu joħloq katina ta’ evidenza għal konformità bejn oqfsa differenti:
- Irreġistra s-sejba fir-rapport tal-awditu, inkluż id-daqs tal-kampjun, l-isem tal-fornitur, ir-referenza tal-kuntratt u l-evidenza nieqsa.
- Żid entrata CAPA bil-kawża ewlenija, pereżempju “il-lista ta’ kontroll għall-onboarding tal-fornitur ma kinitx tinkludi klassifikazzjoni tal-kritiċità jew attivatur għall-pjan ta’ ħruġ.”
- Assenja s-sid tal-fornitur u s-Sid tar-Riskju.
- Aġġorna r-reġistru tal-fornituri biex timmarka s-servizz bħala wieħed li jappoġġa funzjoni kritika jew importanti.
- Wettaq valutazzjoni tar-riskju li tkopri tfixkil tas-servizz, aċċess għad-data, riskju ta’ konċentrazzjoni, dipendenza tar-rappurtar tal-inċidenti u lakuni kuntrattwali.
- Aġġorna l-Pjan ta’ Trattament tar-Riskju u d-Dikjarazzjoni ta’ Applikabbiltà fejn rilevanti.
- Ikseb addendum kuntrattwali aġġornat jew aċċettazzjoni tar-riskju dokumentata.
- Oħloq jew ittestja pjan ta’ ħruġ.
- Erġa’ awditja l-evidenza tal-fornitur wara r-rimedju.
- Irrapporta s-sejba, ir-riskju u l-ħtiġijiet tar-riżorsi fir-rieżami mill-maniġment.
Din il-katina waħda tappoġġa obbligi multipli. NIS2 jistenna sigurtà tal-katina tal-provvista u konsiderazzjoni tal-vulnerabbiltajiet tal-fornituri, il-prattiki taċ-ċibersigurtà u l-proċeduri ta’ żvilupp sigur. DORA jeħtieġ li l-entitajiet finanzjarji jimmaniġġjaw ir-riskju tal-ICT ta’ partijiet terzi, iżommu reġistri ta’ arranġamenti kuntrattwali, jevalwaw il-fornituri qabel il-kuntrattar, jinkludu drittijiet ta’ awditu u spezzjoni fejn xieraq, iżommu drittijiet ta’ terminazzjoni u jiddokumentaw strateġiji ta’ ħruġ għal servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti. GDPR jista’ jkun rilevanti wkoll jekk il-fornitur jipproċessa data personali.
Ir-Reġistru tal-Awditu m’għadux biss evidenza tal-konformità. Huwa evidenza tar-reżiljenza.
Rieżami mill-maniġment: fejn l-evidenza ssir responsabbiltà
L-awditu intern isib il-verità. Ir-rieżami mill-maniġment jiddeċiedi x’għandu jsir dwarha.
Pass 28 ta’ Zenith Blueprint jiddeskrivi l-pakkett ta’ inputs għar-rieżami mill-maniġment:
“ISO 27001 jispeċifika diversi inputs meħtieġa għar-rieżami mill-maniġment. Ipprepara rapport jew preżentazzjoni qasira li tkopri dawn il-punti.”
Il-Blueprint jelenka l-istatus ta’ azzjonijiet preċedenti, bidliet fi kwistjonijiet esterni u interni, il-prestazzjoni u l-effettività tal-ISMS, inċidenti jew nuqqasijiet ta’ konformità, opportunitajiet għal titjib u ħtiġijiet tar-riżorsi.
Minn Zenith Blueprint, fażi Audit, Review & Improvement, Pass 28: Management Review Zenith Blueprint
Għal NIS2 u DORA, ir-rieżami mill-maniġment huwa fejn ir-responsabbiltà fil-livell tal-bord issir viżibbli. Ir-rieżami m’għandux jgħid biss “ġiet diskussa s-sigurtà.” Għandu juri li t-tmexxija rrieżaminat:
- Bidliet fir-rekwiżiti ta’ NIS2, DORA, GDPR, klijenti u rekwiżiti kuntrattwali.
- Bidliet fil-kamp ta’ applikazzjoni, inklużi pajjiżi ġodda, prodotti, klijenti rregolati jew dipendenzi tal-ICT.
- Riżultati tal-awditu intern, inklużi nuqqasijiet ta’ konformità maġġuri u minuri.
- Status tal-CAPAs u azzjonijiet li qabżu d-data ta’ skadenza.
- Objettivi u metriċi tas-sigurtà.
- Xejriet tal-inċidenti, kważi inċidenti u lezzjonijiet mitgħallma.
- Riskji ta’ konċentrazzjoni tal-fornituri u tal-cloud.
- Riżultati tat-testijiet tal-kontinwità tan-negozju u tal-backup.
- Prestazzjoni tal-ġestjoni tal-vulnerabbiltajiet u tal-applikazzjoni tal-patches.
- Ħtiġijiet tar-riżorsi, inklużi nies, għodod, taħriġ u baġit.
- Riskji residwi li jeħtieġu aċċettazzjoni formali.
- Deċiżjonijiet ta’ titjib u sidien responsabbli.
Hawnhekk Maria tista’ tbiddel rapport tekniku f’assigurazzjoni strateġika. Minflok tgħid “sibna lakuna waħda fil-proċess tal-inċidenti,” tista’ tgħid: “L-awditu identifika nuqqas ta’ konformità minuri wieħed fil-kriterji tagħna għad-deċiżjoni dwar ir-rappurtar tal-inċidenti taħt NIS2. Il-CAPA taġġorna l-proċedura, iżżid matriċi tad-deċiżjonijiet u teħtieġ eżerċizzju tabletop fi żmien 30 jum. Għandna bżonn approvazzjoni tal-maniġment għal rieżami legali u ħin għat-taħriġ.”
Dan huwa t-tip ta’ reġistru li jappoġġa governanza, sorveljanza u teħid ta’ deċiżjonijiet difensibbli.
Azzjoni korrettiva: id-differenza bejn sejba u maturità
Awditu intern mingħajr azzjoni korrettiva huwa biss dijanjosi.
Pass 29 ta’ Zenith Blueprint jgħid lill-organizzazzjonijiet jużaw reġistru CAPA:
“Imlieh b’kull kwistjoni: deskrizzjoni tal-kwistjoni, kawża ewlenija, azzjoni korrettiva, sid responsabbli, data mmirata għat-tlestija, status.”
Minn Zenith Blueprint, fażi Audit, Review & Improvement, Pass 29: Continual Improvement Zenith Blueprint
Jagħmel ukoll distinzjoni importanti:
“F’termini ta’ awditu: il-korrezzjoni tirranġa s-sintomu, l-azzjoni korrettiva tirranġa l-kawża. It-tnejn huma importanti.”
Minn Zenith Blueprint, fażi Audit, Review & Improvement, Pass 29: Continual Improvement
Jekk l-evidenza tar-restawr minn backup hija nieqsa, il-korrezzjoni tista’ tkun li jsir u jiġi dokumentat test ta’ restawr din il-ġimgħa. L-azzjoni korrettiva hija li tinbidel il-proċedura tal-backup sabiex it-testijiet tar-restawr jiġu skedati kull tliet xhur, jinħolqu tickets awtomatikament, jiġu riveduti mis-sid tas-servizz u jiġu inklużi fil-metriċi tar-rieżami mill-maniġment.
L-awdituri jfittxu dik il-maturità. Awditur ISO 27001 jittestja l-konformità mal-ISMS u mal-kontrolli magħżula. Rieżaminatur NIS2 jistaqsi jekk il-miżuri ta’ ġestjoni tar-riskju humiex effettivi u taħt sorveljanza. Rieżaminatur DORA jfittex integrazzjoni tal-qafas tar-riskju tal-ICT, ittestjar tar-reżiljenza, ġestjoni tad-dipendenzi fuq partijiet terzi u rimedju. Valutatur tan-NIST Cybersecurity Framework 2.0 jista’ jistaqsi jekk l-eżiti tal-governanza, identifikazzjoni, protezzjoni, skoperta, rispons u rkupru humiex qed joperaw. Awditur COBIT 2019 jista’ jiffoka fuq objettivi ta’ governanza, sjieda, indikaturi tal-prestazzjoni u assigurazzjoni.
L-istess reġistru CAPA jista’ jissodisfa dawn il-perspettivi jekk jinkludi kawża ewlenija, sid, impatt fuq ir-riskju, azzjoni korrettiva, data ta’ skadenza, evidenza tal-implimentazzjoni, rieżami tal-effettività u viżibbiltà għall-maniġment.
Il-perspettivi multipli tal-awditur
Awdituri differenti jaqraw l-istess evidenza b’modi differenti. Zenith Controls jgħin biex jiġu antiċipati dawk il-mistoqsijiet billi jaġixxi bħala gwida għall-konformità bejn oqfsa differenti għall-kontrolli ISO/IEC 27002:2022 u oqfsa relatati.
| Perspettiva tal-awditu | X’aktarx jistaqsi l-awditur | Evidenza li twieġeb tajjeb |
|---|---|---|
| Awditur ISO 27001 | L-ISMS huwa ppjanat, implimentat, evalwat u mtejjeb skont ir-rekwiżiti ISO/IEC 27001:2022? | Kamp ta’ applikazzjoni, Valutazzjoni tar-Riskju, Dikjarazzjoni ta’ Applikabbiltà, Pjan tal-awditu intern, rapport tal-awditu, outputs tar-rieżami mill-maniġment, CAPA |
| Rieżaminatur NIS2 | Il-maniġment approva u ssorvelja miżuri xierqa ta’ ġestjoni tar-riskju, u l-entità tista’ turi effettività u azzjoni korrettiva? | Minuti tal-bord jew tar-rieżami mill-maniġment, Pjan ta’ Trattament tar-Riskju, playbooks tal-inċidenti, rieżamijiet tal-fornituri, reġistri tat-taħriġ, metriċi tal-effettività |
| Rieżaminatur DORA | Il-ġestjoni tar-riskju tal-ICT hija integrata fil-governanza, fl-istrateġija tar-reżiljenza, fl-ittestjar, fir-riskju ta’ partijiet terzi u fir-rimedju? | Qafas tar-riskju tal-ICT, Pjan tal-Awditu, evidenza tat-testijiet tar-reżiljenza, reġistru ta’ partijiet terzi, immappjar ta’ funzjonijiet kritiċi, reġistri tar-rimedju |
| Rieżaminatur GDPR | L-organizzazzjoni tista’ turi responsabbiltà għall-ipproċessar u s-sigurtà tad-data personali? | Inventarju tad-data, reġistri tal-bażi legali, ftehimiet mal-proċessuri, reġistri ta’ ksur, kontrolli tal-aċċess, evidenza taż-żamma, miżuri tas-sigurtà |
| Valutatur NIST CSF 2.0 | L-eżiti tal-governanza, tar-riskju, tal-protezzjoni, tas-sejbien, tar-rispons u tal-irkupru qed joperaw b’mod effettiv? | Evidenza tal-kontrolli mmappjata mal-eżiti, logs, monitoraġġ, reġistri tal-inċidenti, testijiet ta’ rkupru, azzjonijiet ta’ titjib |
| Awditur COBIT 2019 | L-objettivi ta’ governanza, is-sjieda, il-ġestjoni tal-prestazzjoni u l-attivitajiet ta’ assigurazzjoni huma definiti u mmonitorjati? | RACI, politiki, KPIs, Reġistru tal-Awditu, ġestjoni tal-kwistjonijiet, rappurtar lill-maniġment, reġistri tad-deċiżjonijiet |
Il-kontroll 5.36 huwa eżempju tajjeb. L-awditur ISO 27001 jista’ jiffoka fuq jekk ir-rieżamijiet tal-konformità jsirux u jidħlux f’azzjoni korrettiva. Ir-rieżaminatur NIS2 jista’ jistaqsi jekk dawk ir-rieżamijiet jittestjawx miżuri legali taċ-ċibersigurtà, mhux biss regoli interni. Ir-rieżaminatur DORA jista’ jiffoka fuq jekk ir-rieżamijiet tal-konformità jinkludux fornituri kritiċi tal-ICT u infurzar kuntrattwali.
Għalhekk l-evidenza għandha tkun iddisinjata għal diversi qarrejja mill-bidu nett.
Sprint prattiku ta’ 30 jum għat-tħejjija għall-awditu
Jekk is-CEO jistaqsi jekk l-organizzazzjoni tistax tkun lesta għall-awditu fi 30 jum, it-tweġiba onesta hija: tista’ tibni linja bażi kredibbli tal-evidenza jekk it-tmexxija tappoġġa l-isprint u l-kamp ta’ applikazzjoni jkun realistiku.
| Jiem | Attività | Output |
|---|---|---|
| 1 sa 3 | Ikkonferma l-kamp ta’ applikazzjoni tal-ISMS, is-servizzi rregolati, il-partijiet interessati u l-obbligi | Dikjarazzjoni tal-kamp ta’ applikazzjoni, nota dwar l-applikabbiltà ta’ NIS2, DORA u GDPR |
| 4 sa 7 | Aġġorna l-kriterji tar-riskju, ir-Reġistru tar-Riskji u s-sidien ewlenin tar-riskji | Reġistru tar-Riskji aġġornat u prijoritajiet tat-trattament |
| 8 sa 10 | Ibni Pjan tal-Awditu intern ibbażat fuq ir-riskju | Pjan tal-Awditu approvat u lista ta’ kontroll tal-awditu |
| 11 sa 17 | Wettaq intervisti tal-awditu, kampjunar u rieżami tal-evidenza | Reġistru tal-evidenza, sejbiet, osservazzjonijiet pożittivi |
| 18 sa 20 | Ivverifika s-sejbiet mas-sidien u kklassifika s-severità | Rapport tal-awditu u reġistru tan-nuqqasijiet ta’ konformità |
| 21 sa 24 | Oħloq reġistru CAPA bil-kawżi ewlenin, is-sidien u d-dati ta’ skadenza | Pjan ta’ azzjoni korrettiva approvat |
| 25 sa 27 | Ipprepara pakkett tar-rieżami mill-maniġment | Deck jew rapport tar-rieżami b’metriċi, riskji, inċidenti, riżorsi |
| 28 sa 30 | Żomm rieżami mill-maniġment u rreġistra d-deċiżjonijiet | Minuti, reġistru tal-azzjonijiet, aċċettazzjonijiet tar-riskju, deċiżjonijiet dwar ir-riżorsi |
Dan l-isprint ma jissostitwixxix maturità fit-tul. Joħloq linja bażi operattiva difensibbli. Il-valur reali jiġi meta l-organizzazzjoni tirrepeti ċ-ċiklu kull tliet xhur jew kull sitt xhur, mhux darba fis-sena biss.
Nuqqasijiet komuni fl-evidenza li ssib Clarysec
L-istess dgħufijiet jidhru f’awditi ta’ SaaS, cloud u fintech:
- Il-Pjan tal-Awditu jeżisti, iżda mhuwiex ibbażat fuq ir-riskju.
- Il-lista ta’ kontroll tal-awditu tittestja klawżoli ISO iżda tinjora NIS2, DORA, GDPR u obbligi tal-klijenti.
- Il-minuti tar-rieżami mill-maniġment jeżistu, iżda ma jurux deċiżjonijiet, allokazzjoni tar-riżorsi jew aċċettazzjoni tar-riskju.
- Ir-reġistri CAPA jelenkaw azzjonijiet iżda mhux kawża ewlenija.
- Is-sejbiet jingħalqu mingħajr verifika tal-effettività.
- Ir-rieżamijiet tal-fornituri jsiru, iżda fornituri kritiċi ma jiġux distinti minn fornituri b’riskju baxx.
- Il-playbooks tal-inċidenti jeżistu, iżda ħadd ma jista’ jipprova li l-fluss tax-xogħol tar-rappurtar ta’ 24 siegħa jew 72 siegħa jaħdem.
- Ix-xogħlijiet ta’ backup huma ħodor, iżda t-testijiet tar-restawr mhumiex appoġġati b’evidenza.
- Ir-rieżamijiet tal-aċċess jiġu esportati, iżda l-eċċezzjonijiet ma jiġux segwiti sal-għeluq.
- Il-logs jinġabru, iżda ħadd ma jista’ juri monitoraġġ, eskalazzjoni jew rispons.
- L-evidenza tinħażen f’folders personali minflok f’repożitorju kkontrollat.
- Ir-rekwiżiti taż-żamma mhumiex ċari jew huma inkonsistenti mal-kuntratti tal-klijenti.
Dawn in-nuqqasijiet jistgħu jiġu rranġati. Jeħtieġu arkitettura strutturata tal-evidenza tal-ISMS, mhux tfittxija ta’ dokumenti fl-aħħar minuta.
Kif tidher prattika tajba għall-bord
Meta s-CISO jirritorna għand is-CEO u s-CFO, l-aktar tweġiba b’saħħitha mhijiex “għaddejna minn lista ta’ kontroll tal-awditu.” Hija:
“Għandna Pjan tal-Awditu approvat. Wettaqna awditu intern ibbażat fuq ir-riskju. Identifikajna sejbiet b’evidenza oġġettiva. Approvajna CAPAs b’sidien u dati ta’ skadenza. Eskalajna riskji materjali, inċidenti, dipendenzi fuq il-fornituri u ħtiġijiet tar-riżorsi fir-rieżami mill-maniġment. Immappjajna l-evidenza ma’ ISO/IEC 27001:2022, NIS2, DORA u GDPR. Nistgħu nuru t-traċċa tal-awditu.”
Dik it-tweġiba tbiddel il-konverżazzjoni. Tagħti lis-CEO fiduċja mal-klijenti. Tagħti lis-CFO ċarezza dwar l-espożizzjoni regolatorja. Tagħti lill-bord reġistru difensibbli ta’ sorveljanza. Tagħti lis-CISO pjan direzzjonali pprijoritizzat minflok munzell ta’ talbiet skonnessi.
L-aktar importanti, tmexxi lill-organizzazzjoni minn teatru tal-konformità għal reżiljenza operattiva.
Passi li jmiss ma’ Clarysec
L-awditu li jmiss tiegħek m’għandux ikun ġirja ta’ paniku. Għandu jkun prova viżibbli li l-ISMS tiegħek jaħdem, li t-tmexxija hija involuta u li l-organizzazzjoni hija lesta għal ISO 27001, NIS2, DORA, GDPR u l-assigurazzjoni tal-klijenti.
Clarysec tista’ tgħinek:
- Tibni Pjan tal-Awditu intern ibbażat fuq ir-riskju billi tuża Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint.
- Timmappja l-evidenza tal-awditu permezz ta’ Zenith Controls: The Cross-Compliance Guide Zenith Controls.
- Timplimenta governanza tal-awditu għal SMEs jew għal intrapriżi billi tuża Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme jew Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy.
- Tipprepara pakketti tar-rieżami mill-maniġment allinjati ma’ Information Security Policy Information Security Policy u l-aspettattivi ta’ ISO/IEC 27001:2022 Klawżola 9.3.
- Tbiddel is-sejbiet f’reġistri CAPA, deċiżjonijiet tal-maniġment u titjib miżurabbli.
Niżżel it-toolkits ta’ Clarysec, ibbukkja evalwazzjoni tat-tħejjija jew itlob demo biex tbiddel l-awditu intern li jmiss tiegħek f’evidenza lesta għall-bord għal ISO 27001, NIS2, DORA u lil hinn.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
