ISO 27001 bħala s-sinsla għall-evidenza ta’ NIS2 u DORA
Il-kolliżjoni tal-konformità tat-Tnejn filgħodu
Fit-08:12 tat-Tnejn, Maria, is-CISO ta’ proċessur Ewropew tal-pagamenti, tirċievi tliet messaġġi li jidhru li mhumiex relatati.
Il-maniġer tal-awditjar intern jitlob evidenza li d-Dikjarazzjoni tal-Applikabbiltà ta’ ISO 27001:2022 hija aġġornata. It-tim legali jgħaddi kwestjonarju ta’ sieħeb bankarju dwar is-sorveljanza tar-riskju ta’ partijiet terzi tal-ICT taħt DORA. Id-direttur tal-operazzjonijiet jistaqsi jekk l-istess playbook tal-inċidenti jistax jappoġġa l-aspettattivi tan-notifika ta’ NIS2 għal unità tan-negozju tal-UE li għadha kif ġiet akkwistata.
Sad-09:00, il-whiteboard fl-uffiċċju ta’ Maria tkun mimlija akronimi: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. L-organizzazzjoni tagħha għandha kontrolli. Għandha ġestjoni tal-aċċess, backups, kwestjonarji tal-fornituri, ċifrar, rispons għall-inċidenti, approvazzjonijiet tal-politiki, rieżamijiet tal-maniġment u reġistri tat-taħriġ. Dak li m’għandhiex huwa qafas ċentrali wieħed ta’ evidenza, lest għall-awditjar, li jispjega għaliex jeżistu dawk il-kontrolli, liema riskji jittrattaw, liema regolamenti jappoġġaw, min hu sidhom u fejn tinsab l-evidenza.
Din il-problema qed issir komuni madwar l-Ewropa. NIS2 jixpruna l-ġestjoni tar-riskju taċ-ċibersigurtà, il-governanza, l-immaniġġjar tal-inċidenti u r-reżiljenza tal-katina tal-provvista. DORA jżid rekwiżiti dettaljati għall-ġestjoni tar-riskju tal-ICT, l-ittestjar tar-reżiljenza, ir-rappurtar tal-inċidenti u s-sorveljanza ta’ partijiet terzi tal-ICT għal entitajiet finanzjarji. GDPR ikompli jeħtieġ responsabbiltà dimostrabbli, sigurtà tal-ipproċessar, governanza tal-proċessuri u valutazzjoni tal-ksur tad-data personali.
Ir-rispons żbaljat huwa li jinbnew tliet programmi paralleli ta’ konformità. Dan joħloq kontrolli duplikati, evidenza inkonsistenti u timijiet eżawriti.
Ir-rispons aktar b’saħħtu huwa li tuża ISO 27001:2022 bħala l-qafas ċentrali ta’ kontroll. Mhux bħala ċertifikat fuq il-ħajt, iżda bħala s-sistema operattiva għar-riskju, il-politiki, il-governanza tal-fornituri, ir-rispons għall-inċidenti, l-immappjar tal-konformità u l-evidenza għall-awditjar.
Il-mudell prattiku ta’ Clarysec huwa sempliċi: uża l-ISMS ta’ ISO 27001:2022 bħala s-sistema organizzattiva, uża d-Dikjarazzjoni tal-Applikabbiltà bħala l-pont, uża l-politiki bħala regoli operattivi infurzabbli, u uża Zenith Controls: Il-Gwida għall-Konformità Trasversali bħala l-kumpass għall-konformità trasversali. Ibni darba, immappja b’attenzjoni, u pprova b’mod kontinwu.
Għaliex ISO 27001:2022 jaħdem bħala l-qafas ċentrali tal-konformità
NIS2 u DORA għandhom kampijiet ta’ applikazzjoni, mekkaniżmi legali u mudelli ta’ sorveljanza differenti. NIS2 japplika għal entitajiet essenzjali u importanti f’diversi setturi. DORA japplika għal entitajiet finanzjarji u joħloq rekwiżiti dettaljati għar-reżiljenza operattiva diġitali. GDPR jiffoka fuq l-ipproċessar tad-data personali u r-responsabbiltà dimostrabbli.
Madankollu, il-mistoqsijiet operattivi wara dawn l-oqfsa jikkoinċidu:
- Iċ-ċibersigurtà hija mmexxija minn politiki approvati mill-maniġment?
- Ir-riskji tas-sigurtà tal-informazzjoni u tal-ICT huma identifikati, evalwati u ttrattati?
- Il-kontrolli jintgħażlu abbażi tar-riskju, il-kuntest tan-negozju u l-obbligi legali?
- Il-fornituri huma ġestiti permezz ta’ diliġenza dovuta, kuntratti, monitoraġġ u kontrolli tal-ħruġ?
- Il-persunal jista’ jagħraf u jirrapporta avvenimenti tas-sigurtà minn kmieni?
- L-inċidenti jistgħu jiġu ttrijaġġjati, eskalati, investigati u evalwati għal notifika regolatorja?
- L-organizzazzjoni tista’ tirkupra l-evidenza malajr waqt awditu, rieżami minn klijent jew talba minn awtorità superviżorja?
ISO 27001:2022 jagħti lit-tmexxija sistema ta’ ġestjoni biex twieġeb dawn il-mistoqsijiet b’mod konsistenti. ISO/IEC 27007:2022 jittratta d-Dikjarazzjoni tal-Applikabbiltà bħala lista awditabbli ta’ kontrolli magħżula tas-sigurtà tal-informazzjoni, inklużi kontrolli minn ISO 27001:2022 Annex A, standards oħra jew miżuri speċifiċi għall-organizzazzjoni, b’raġunament dokumentat għall-inklużjoni jew l-esklużjoni. ISO/IEC 27006-1:2024 isaħħaħ li s-SoA u d-dokumentazzjoni relatata tal-ISMS jiffurmaw bażi ewlenija ta’ evidenza biex jintwera liema kontrolli huma meħtieġa, kif jiġu assenjati r-responsabbiltajiet u kif jiġu implimentati u kkomunikati l-politiki.
Dan jagħmel is-SoA ħafna aktar minn spreadsheet. Issir il-kuntratt tal-kontrolli bejn ir-riskju, il-konformità, l-operazzjonijiet, il-qasam legali, l-akkwist, l-awditjar u l-bord.
Il-[P01] Politika tas-Sigurtà tal-Informazzjoni ta’ Clarysec tistabbilixxi dan ir-rekwiżit ta’ governanza:
L-organizzazzjoni għandha timplimenta u żżomm Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS) skont ISO/IEC 27001:2022 Clauses 4 through 10.
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1.
Dan huwa importanti għaliex it-talbiet għal evidenza taħt NIS2 u DORA rarament jaslu bil-lingwaġġ ta’ ISO. Regolatur, klijent jew kumitat tal-bord jista’ jitlob evidenza tal-ġestjoni tar-riskju taċ-ċibersigurtà, il-governanza tal-ICT, is-sorveljanza tad-dipendenzi fuq partijiet terzi, l-eskalazzjoni tal-inċidenti jew l-ittestjar tar-reżiljenza operattiva. L-ISMS ta’ ISO 27001:2022 jagħti struttura lil dawk it-tweġibiet.
Is-SoA hija l-pont, mhux eżerċizzju burokratiku
F’Zenith Blueprint: Pjan Direzzjonali ta’ 30 Pass għall-Awditur, fil-fażi tal-Ġestjoni tar-Riskju, Pass 13, Clarysec jifformula s-SoA bħala l-mekkaniżmu ewlieni ta’ traċċabbiltà bejn it-trattament tar-riskju u l-kontrolli implimentati:
Is-SoA hija effettivament dokument ta’ rabta: torbot il-valutazzjoni/trattament tar-riskju tiegħek mal-kontrolli attwali li għandek.
Din is-sentenza hija l-qalba tal-konformità trasversali. Kontroll mingħajr traċċabbiltà jsir artefatt maqtugħ. Kontroll marbut ma’ riskju, obbligu legali, politika, sid, reġistru ta’ evidenza u riżultat ta’ test isir lest għall-awditjar.
Pass 13 jirrakkomanda wkoll li jiżdiedu referenzi għall-kontrolli fix-xenarji tar-riskju, pereżempju billi xenarju ta’ ksur f’database tal-klijenti jintrabat mal-kontroll tal-aċċess, il-kontrolli kriptografiċi, il-ġestjoni tal-vulnerabbiltajiet, ir-rispons għall-inċidenti u l-kontrolli tal-fornituri. Jirrakkomanda wkoll li jiġi nnotat meta l-kontrolli jappoġġaw rekwiżiti esterni bħal GDPR, NIS2 jew DORA.
Il-[P06] Politika tal-Ġestjoni tar-Riskju ta’ Clarysec tagħmel din ir-regola operattiva espliċita:
Id-deċiżjonijiet dwar il-kontrolli li jirriżultaw mill-proċess tat-trattament tar-riskju għandhom jiġu riflessi fis-SoA.
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.5.1.
Għal organizzazzjonijiet iżgħar, Politika tal-Ġestjoni tar-Riskju - SME tuża l-istess loġika:
Tiżgura li l-ġestjoni tar-riskju tkun komponent attiv tal-ippjanar, l-eżekuzzjoni tal-proġetti, l-għażla tal-fornituri u r-rispons għall-inċidenti, f’allinjament ma’ ISO 27001, ISO 31000 u r-rekwiżiti regolatorji applikabbli.
Mit-taqsima “Għan”, klawżola tal-politika 1.2.
Jekk trattament tar-riskju ta’ partijiet terzi taħt DORA, miżura tal-immaniġġjar tal-inċidenti taħt NIS2 jew rekwiżit ta’ sigurtà għal proċessur taħt GDPR ma jiġix rifless fis-SoA jew fir-reġistru relatat tal-konformità, l-organizzazzjoni xorta tista’ tkun qed tagħmel ix-xogħol. Iżda se ssibha diffiċli tipprova dak ix-xogħol b’mod koerenti.
Mappa prattika ta’ riferiment inkroċjat minn ISO 27001:2022 għal NIS2 u DORA
Il-mappa ta’ riferiment inkroċjat li ġejja mhijiex parir legali. Hija mudell prattiku ta’ evidenza għal CISOs, mexxejja tal-konformità, awdituri interni u sidien tan-negozju li jeħtieġu jallinjaw l-evidenza ta’ ISO 27001:2022 mal-aspettattivi ta’ NIS2 u DORA.
ENISA, flimkien mal-Kummissjoni Ewropea u l-Grupp ta’ Kooperazzjoni NIS, ipprovdiet gwida konsultattiva ta’ riferimenti inkroċjati li tgħin tallinja r-rekwiżiti taċ-ċibersigurtà tal-UE ma’ standards internazzjonali u nazzjonali, inkluż ISO 27001. Dik il-gwida mhijiex legalment vinkolanti u għandha tiġi ssupplimentata bi struzzjonijiet tal-awtoritajiet nazzjonali, regoli tas-settur u rieżami legali. Madankollu, tappoġġa approċċ ta’ immappjar difensibbli.
| Mistoqsija dwar il-konformità | Evidenza mill-qafas ċentrali ISO 27001:2022 | Rilevanza għal NIS2 | Rilevanza għal DORA | Artefatt ta’ evidenza ta’ Clarysec |
|---|---|---|---|---|
| Iċ-ċibersigurtà hija mmexxija minn politiki approvati mill-maniġment? | Politika tas-sigurtà tal-informazzjoni, kamp ta’ applikazzjoni tal-ISMS, rwoli, reġistri tar-rieżami tal-maniġment, SoA | Aspettattivi ta’ ġestjoni tar-riskju taċ-ċibersigurtà u governanza | Governanza tal-ICT u qafas tal-ġestjoni tar-riskju tal-ICT | Politika tas-Sigurtà tal-Informazzjoni, SoA, pakkett tar-rieżami tal-maniġment |
| Ir-riskji jiġu evalwati u ttrattati? | Reġistru tar-Riskji, Pjan ta’ Trattament tar-Riskju, ġustifikazzjonijiet tas-SoA, approvazzjonijiet tar-riskju residwu | Miżuri taċ-ċibersigurtà bbażati fuq ir-riskju taħt Article 21 | Identifikazzjoni, protezzjoni, prevenzjoni, skoperta, rispons u rkupru fir-riskju tal-ICT | Reġistru tar-Riskji, Pjan ta’ Trattament tar-Riskju, SoA_Builder.xlsx |
| Il-fornituri huma kkontrollati? | Politika tal-fornituri, reġistri ta’ diliġenza dovuta, kuntratti, drittijiet ta’ awditjar, klawżoli tan-notifika ta’ ksur | Ċibersigurtà tal-katina tal-provvista taħt Article 21(2)(d) | Ġestjoni tar-riskju ta’ partijiet terzi tal-ICT taħt Articles 28 to 30 | Politika tas-sigurtà ta’ partijiet terzi u tal-fornituri, reġistru tal-fornituri |
| L-inċidenti jiġu skoperti, eskalati u rrappurtati? | Pjan ta’ rispons għall-inċidenti, kanal ta’ rappurtar, reġistri tat-triage, eżerċizzji tabletop, tagħlimiet miksuba | Immaniġġjar u rappurtar ta’ inċidenti sinifikanti taħt Article 23 | Ġestjoni u rappurtar ta’ inċidenti relatati mal-ICT taħt Articles 17 to 19 | Politika dwar ir-Rispons għall-Inċidenti, rekords tal-inċidenti, rapport tal-eżerċizzju |
| L-evidenza hija ċċentralizzata u adattata għall-awditjar? | Programm ta’ awditjar intern, repożitorju tal-evidenza, Reġistru tal-Konformità, azzjonijiet korrettivi | Tħejjija tal-evidenza għal sorveljanza | Tħejjija għal spezzjoni regolatorja u superviżorja | Politika ta’ Monitoraġġ tal-Awditjar u l-Konformità, repożitorju ċentrali tal-awditjar |
Il-mappa taħdem għaliex ma toħloqx kontrolli duplikati għal kull regolament. Tuża ISO 27001:2022 bħala l-qafas ċentrali ta’ kontroll u żżid tikketti regolatorji, sjieda u aspettattivi tal-evidenza.
Tliet kontrolli ta’ ISO 27001:2022 li jiftħu l-qafas ċentrali
Diversi kontrolli huma importanti għal NIS2 u DORA, iżda tliet kontrolli ta’ ISO/IEC 27002:2022 spiss isiru s-sinsla tal-mudell tal-evidenza: 5.1, 5.19 u 5.24. Kontroll ieħor, 6.8, spiss jiddetermina jekk ir-rappurtar tal-inċidenti jaħdimx fil-prattika.
| Kontroll ISO/IEC 27002:2022 | Għaliex huwa importanti | Valur għall-konformità trasversali |
|---|---|---|
| 5.1 Policies for information security | Jistabbilixxi direzzjoni tas-sigurtà u responsabbiltà approvati mill-maniġment | Jappoġġa l-governanza ta’ NIS2, il-governanza tal-ICT taħt DORA, ir-responsabbiltà taħt GDPR u l-evidenza tal-politiki ta’ ISO 27001 |
| 5.19 Information security in supplier relationships | Jiddefinixxi l-aspettattivi tas-sigurtà tal-fornituri tul l-integrazzjoni inizjali, il-monitoraġġ u l-ġestjoni tar-relazzjoni | Jappoġġa ċ-ċibersigurtà tal-katina tal-provvista taħt NIS2, ir-riskju ta’ partijiet terzi tal-ICT taħt DORA u s-sorveljanza tal-proċessuri taħt GDPR |
| 5.24 Information security incident management planning and preparation | Joħloq il-qafas tal-ġestjoni tal-inċidenti, ir-rwoli, il-mogħdijiet ta’ eskalazzjoni u l-attivitajiet ta’ tħejjija | Jappoġġa l-immaniġġjar tal-inċidenti taħt NIS2, ir-rappurtar ta’ inċidenti relatati mal-ICT taħt DORA u l-valutazzjoni tal-ksur taħt GDPR |
| 6.8 Information security event reporting | Jiżgura li l-persunal jista’ jirrapporta avvenimenti suspettati malajr permezz ta’ kanali ċari | Jappoġġa skoperta bikrija, eskalazzjoni, valutazzjoni tan-notifika u kwalità tal-evidenza tal-inċidenti |
F’Zenith Controls, il-kontroll 5.1 ta’ ISO/IEC 27002:2022, Policies for information security, huwa kkaratterizzat bħala kontroll preventiv li jappoġġa l-kunfidenzjalità, l-integrità u d-disponibbiltà, bil-governanza u l-ġestjoni tal-politiki bħala kapaċitajiet operattivi ewlenin. L-immappjar inkroċjat jispjega li GDPR Articles 5(2), 24, and 32 jeħtieġu responsabbiltà dimostrabbli u sigurtà tal-ipproċessar. Jimmappja wkoll l-istess kontroll mal-aspettattivi ta’ NIS2 dwar il-ġestjoni tar-riskju taċ-ċibersigurtà u l-governanza, u mar-rekwiżiti ta’ DORA għall-governanza tal-ICT u l-qafas tal-ġestjoni tar-riskju.
Għalhekk il-politika tas-sigurtà tal-informazzjoni mhijiex sempliċement politika oħra. Evalwatur ta’ NIS2 jista’ jaqraha bħala evidenza ta’ governanza. Superviżur ta’ DORA jista’ jaqraha bħala evidenza tal-qafas tar-riskju tal-ICT. Reviżur ta’ GDPR jista’ jaqraha bħala evidenza ta’ responsabbiltà dimostrabbli. Awditur ta’ ISO 27001:2022 jista’ jaqraha bħala parti mill-istruttura tal-politiki tal-ISMS.
Il-kontroll 5.19, Information security in supplier relationships, huwa fejn jiltaqgħu l-akkwist, il-qasam legali, is-sigurtà, il-privatezza u r-reżiljenza. Zenith Controls jimmappjah mal-obbligi tal-proċessuri taħt GDPR, iċ-ċibersigurtà tal-katina tal-provvista taħt NIS2 u l-ġestjoni tar-riskju ta’ partijiet terzi tal-ICT taħt DORA. Għal DORA, din l-evidenza ssir aktar b’saħħitha meta tkun appoġġata mill-kontrolli 5.20, Addressing information security within supplier agreements, 5.21, Managing information security in the ICT supply chain, u 5.23, Information security for use of cloud services.
Il-kontroll 5.24, Information security incident management planning and preparation, huwa l-mutur operattiv għat-tħejjija għall-inċidenti. Zenith Controls jimmappjah mal-immaniġġjar u n-notifika tal-inċidenti taħt NIS2, in-notifika ta’ ksur tad-data personali taħt GDPR u l-ġestjoni u r-rappurtar ta’ inċidenti relatati mal-ICT taħt DORA. L-evidenza tiegħu mhijiex biss politika dwar ir-rispons għall-inċidenti. Tinkludi kanali ta’ rappurtar, kriterji tat-triage, reġistri tal-eskalazzjoni, valutazzjonijiet legali tan-notifika, eżerċizzji tabletop, rekords tal-inċidenti u tagħlimiet miksuba.
Il-kontroll 6.8, Information security event reporting, jagħlaq id-distakk bejn il-pjan miktub u l-imġiba tal-bniedem. Jekk il-persunal ma jafx kif jirrapporta phishing suspettat, tnixxija ta’ data, qtugħ fis-servizz minn fornitur jew attività suspettuża fis-sistema, l-organizzazzjoni tista’ titlef ħin kritiku qabel ma jibdew il-valutazzjonijiet legali jew regolatorji tar-rappurtar.
Inċident wieħed ta’ fornitur, katina waħda kkoordinata ta’ evidenza
Immaġina fornitur ta’ analitika cloud użat mill-proċessur tal-pagamenti ta’ Maria li jiskopri aċċess mhux awtorizzat għal portal ta’ appoġġ. Il-fornitur jospita data psewdonimizzata dwar l-użu mill-klijenti u jappoġġa fluss tax-xogħol tar-rappurtar kritiku għan-negozju. L-inċident jista’ jaffettwa data personali, reżiljenza regolata tal-ICT u disponibbiltà tas-servizz.
Programm frammentat ta’ konformità jiftaħ tliet flussi ta’ xogħol separati: valutazzjoni ta’ ksur taħt GDPR, rieżami ta’ inċident tal-ICT taħt DORA u rekord ta’ fornitur taħt ISO 27001. Kull tim jitlob evidenza simili f’format differenti. L-akkwist ifittex il-kuntratt. Il-qasam legali jistaqsi jekk il-fornitur huwiex proċessur. Is-sigurtà tistaqsi jekk l-inċident jilħaqx il-limiti tar-rappurtar. Il-konformità tibda spreadsheet ġdida.
Qafas ċentrali matur ta’ ISO 27001:2022 jiftaħ katina waħda kkoordinata ta’ evidenza.
L-ewwel, l-avveniment jiġi rreġistrat taħt il-proċess tar-rispons għall-inċidenti. Ir-rapportatur juża kanal definit, it-tim tas-sigurtà jagħmel triage tal-avveniment, u l-qasam legali jevalwa l-obbligi tan-notifika. Il-[P30] Politika dwar ir-Rispons għall-Inċidenti ta’ Clarysec teħtieġ li inċidenti ta’ data regolata jiġu evalwati mill-qasam Legali u mid-DPO:
Jekk inċident jirriżulta f’espożizzjoni kkonfermata jew probabbli ta’ data personali jew dejta rregolata oħra, il-qasam Legali u d-DPO għandhom jevalwaw l-applikabbiltà ta’:
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.4.1.
Għal organizzazzjonijiet iżgħar, Incident Response Policy-sme - SME tassenja l-istess punt prattiku ta’ deċiżjoni:
Fejn tkun involuta data tal-klijenti, il-Maniġer Ġenerali għandu jevalwa l-obbligi legali tan-notifika abbażi tal-applikabbiltà ta’ GDPR, NIS2 jew DORA.
Mit-taqsima “Trattament tar-riskju u eċċezzjonijiet”, klawżola tal-politika 7.4.1.
It-tieni, ir-relazzjoni mal-fornitur tiġi rieżaminata. Il-fornitur kien ikklassifikat bħala kritiku? Il-kuntratt kien jinkludi obbligi tan-notifika ta’ ksur, drittijiet ta’ awditjar, responsabbiltajiet tal-protezzjoni tad-data, aspettattivi tal-kontinwità tas-servizz u dispożizzjonijiet tal-ħruġ? Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri ta’ Clarysec tistabbilixxi dik l-aspettattiva:
Inkorpora rekwiżiti standardizzati tas-sigurtà fil-kuntratti kollha tal-fornituri, inklużi l-obbligi tan-notifika ta’ ksur, id-drittijiet ta’ awditjar u r-responsabbiltajiet tal-protezzjoni tad-data.
Mit-taqsima “Objettivi”, klawżola tal-politika 3.2.
Għall-SMEs, Third-Party and Supplier Security Policy-sme - SME tagħmel espliċitu l-għan tal-konformità trasversali:
Appoġġa l-konformità ma’ ISO/IEC 27001:2022, GDPR, NIS2 u l-obbligi ta’ DORA relatati mal-governanza tal-fornituri.
Mit-taqsima “Objettivi”, klawżola tal-politika 3.6.
It-tielet, ir-Reġistru tar-Riskji, il-pjan ta’ trattament u s-SoA jiġu aġġornati jekk l-inċident jikxef lakuna. Forsi l-kuntratt tal-fornitur jonqsu skadenza regolatorja speċifika għan-notifika. Forsi l-frekwenza tal-monitoraġġ tal-fornituri hija baxxa wisq għal fornitur kritiku tal-ICT. Forsi l-pjan tar-rispons għall-inċidenti ma jiddistingwixxix b’mod ċar bejn kriterji ta’ ksur tad-data personali u kriterji ta’ tfixkil tas-servizz tal-ICT.
Il-punt mhuwiex li jinħoloq univers ġdid ta’ konformità. Il-punt huwa li tiġi aġġornata katina waħda integrata ta’ evidenza sabiex l-istess reġistri jkunu jistgħu jwieġbu għal diversi mistoqsijiet tal-awditjar.
It-trasformazzjoni tas-SoA f’mappa ta’ evidenza għal NIS2 u DORA
SoA standard spiss twieġeb tajjeb għall-mistoqsijiet ta’ ISO: liema kontrolli huma applikabbli, għaliex intgħażlu u jekk humiex implimentati. Biex issir mappa prattika ta’ evidenza għal NIS2 u DORA, arrikkiha b’oqsma regolatorji u operattivi tal-evidenza.
Iftaħ is-SoA_Builder.xlsx mill-Audit Ready Toolkit imsemmi f’Zenith Blueprint, fil-fażi Audit, Review & Improvement, Pass 24. Pass 24 jispjega li l-awdituri spiss jieħdu kampjun ta’ kontroll mis-SoA u jistaqsu għaliex ġie implimentat. Il-kolonna tal-ġustifikazzjoni u r-riskju jew ir-rekwiżit marbut għandhom iwieġbu dik il-mistoqsija.
Żid dawn il-kolonni:
| Kolonna ġdida fis-SoA | Għan | Eżempju ta’ entrata |
|---|---|---|
| Mutur regolatorju | Juri jekk il-kontroll jappoġġax NIS2, DORA, GDPR, kuntratti tal-klijenti jew reżiljenza | NIS2, DORA, GDPR |
| ID tar-riskju mmappjat | Jorbot il-kontroll mar-Reġistru tar-Riskji | R-017 Qtugħ fis-servizz minn fornitur li jaffettwa rappurtar irregolat |
| Sid tal-evidenza | Jidentifika min iżomm l-evidenza | Kap tal-Operazzjonijiet tas-Sigurtà |
| Evidenza primarja | Tiddefinixxi l-artefatt li l-awdituri għandhom jispezzjonaw l-ewwel | Pjan ta’ rispons għall-inċidenti u log tar-rekords tal-inċidenti |
| Evidenza operattiva | Turi li l-kontroll qed jaħdem maż-żmien | Rapport ta’ eżerċizzju tabletop, test tan-notifika ta’ ksur mill-fornitur |
| Status tal-awditjar | Jittraċċa t-tħejjija | Ittestjat, lakuna miftuħa, azzjoni korrettiva dovuta |
Issa applikaha għas-sett ewlieni ta’ kontrolli.
| Kontroll ISO/IEC 27002:2022 | Mutur regolatorju | Evidenza primarja | Evidenza operattiva | Konklużjoni tal-awditur |
|---|---|---|---|---|
| 5.1 Policies for information security | NIS2, DORA, GDPR | Politika approvata tas-sigurtà tal-informazzjoni, kamp ta’ applikazzjoni tal-ISMS, assenjazzjonijiet ta’ rwoli | Reġistru tar-rieżami tal-politika, rikonoxximent tat-taħriġ, minuti tar-rieżami tal-maniġment | Teżisti governanza, il-maniġment approva d-direzzjoni, ir-responsabbiltà hija dokumentata |
| 5.19 Information security in supplier relationships | NIS2, DORA, GDPR | Politika tal-fornituri, reġistru tal-fornituri, klassifikazzjoni tal-fornituri | Rieżamijiet tad-diliġenza dovuta, valutazzjonijiet tal-kritiċità, rieżamijiet tal-kuntratti, evidenza tad-dritt ta’ awditjar | Ir-riskju ta’ partijiet terzi huwa ġestit tul l-integrazzjoni inizjali, il-kuntrattar, il-monitoraġġ u l-ħruġ |
| 5.20 Addressing information security within supplier agreements | NIS2, DORA, GDPR | Klawżoli kuntrattwali standard, skeda tas-sigurtà, termini tal-ipproċessar tad-data | Kampjunar tal-kuntratti, approvazzjonijiet ta’ eċċezzjonijiet għall-klawżoli, reġistri tar-rieżami legali | Ir-rekwiżiti tas-sigurtà huma inkorporati fil-ftehimiet mal-fornituri |
| 5.23 Information security for use of cloud services | DORA, NIS2, GDPR | Standard tas-sigurtà tal-cloud, valutazzjoni tar-riskju tal-cloud, approvazzjoni tal-arkitettura | Rieżami tal-fornitur cloud, rieżami tar-riskju ta’ konċentrazzjoni, test ta’ inċident cloud | Ir-riskju tas-servizzi cloud huwa identifikat, ġestit, immonitorjat u ttestjat |
| 5.24 Information security incident management planning and preparation | NIS2, DORA, GDPR | Politika dwar ir-rispons għall-inċidenti, matriċi tal-eskalazzjoni, siġra tad-deċiżjoni tan-notifika | Rekords tal-inċidenti, rapporti tabletop, tagħlimiet miksuba, valutazzjonijiet tan-notifika | L-inċidenti jistgħu jiġu skoperti, ttrijaġġjati, eskalati u evalwati għal rappurtar regolatorju |
| 6.8 Information security event reporting | NIS2, DORA, GDPR | Kanal ta’ rappurtar, materjal ta’ sensibilizzazzjoni, proċedura tar-rappurtar tal-avvenimenti | Rapporti ta’ phishing, logs tal-hotline, reġistri tas-simulazzjonijiet, intervisti mal-persunal | Il-persunal jaf kif jirrapporta malajr avvenimenti suspettati tas-sigurtà |
Imbagħad wettaq traċċa ta’ kampjun. Agħżel inċident wieħed ta’ fornitur mis-sena li għaddiet u segwih mir-rekord tal-inċident sal-kuntratt tal-fornitur, mill-klassifikazzjoni tal-fornitur għar-Reġistru tar-Riskji, mit-trattament tar-riskju għas-SoA, u mis-SoA għar-rieżami tal-maniġment.
Jekk il-katina tinkiser, dan mhuwiex falliment. Huwa azzjoni korrettiva preċiża qabel ma awditur, klijent, regolatur jew kumitat tal-bord isib il-lakuna.
Evidenza ċċentralizzata hija l-aċċeleratur li spiss jiġi injorat
Ħafna organizzazzjonijiet għandhom kontrolli adegwati iżda rkupru dgħajjef tal-evidenza. L-evidenza tkun mifruxa bejn email, sistemi ta’ ticketing, folders ta’ SharePoint, repożitorji tal-kuntratti, pjattaformi tar-Riżorsi Umani, għodod GRC u portali tal-fornituri. Matul l-istaġun tal-awditjar, it-tim tal-konformità jqatta’ ġimgħat jiġbor screenshots.
Din mhijiex kapaċità li tintwera l-konformità. Dan huwa rkupru għall-awditjar.
Il-[P33S] Audit and Compliance Monitoring Policy-sme - SME ta’ Clarysec tgħid:
L-evidenza kollha għandha tinħażen f’folder ċentralizzat tal-awditjar.
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.2.1.
Folder ċentralizzat tal-awditjar ma jfissirx post mhux ikkontrollat fejn jintrema kollox. Ifisser repożitorju strutturat allinjat mal-ISMS, is-SoA, ir-Reġistru tar-Riskji, il-Pjan tal-Awditjar u r-Reġistru tal-Konformità.
| Folder | Kontenut | Użu għall-konformità trasversali |
|---|---|---|
| 01 Governanza | Kamp ta’ applikazzjoni tal-ISMS, politika tas-sigurtà tal-informazzjoni, assenjazzjonijiet ta’ rwoli, minuti tar-rieżami tal-maniġment | Governanza ta’ NIS2, governanza tal-ICT taħt DORA, responsabbiltà taħt GDPR |
| 02 Riskju u SoA | Reġistru tar-Riskji, Pjan ta’ Trattament tar-Riskju, SoA, approvazzjonijiet tar-riskju residwu | Ġestjoni tar-riskju ta’ NIS2, ġestjoni tar-riskju tal-ICT taħt DORA |
| 03 Fornituri | Reġistru tal-fornituri, diliġenza dovuta, kuntratti, klassifikazzjonijiet tal-kritiċità, reġistri tar-rieżami | Katina tal-provvista ta’ NIS2, riskju ta’ partijiet terzi tal-ICT taħt DORA, proċessuri taħt GDPR |
| 04 Inċidenti | Rekords tal-inċidenti, valutazzjonijiet ta’ ksur, deċiżjonijiet tan-notifika, eżerċizzji tabletop | Rappurtar taħt NIS2, ġestjoni tal-inċidenti taħt DORA, notifika ta’ ksur taħt GDPR |
| 05 Awditjar u titjib | Rapporti tal-awditjar intern, azzjonijiet korrettivi, kampjunar tal-evidenza, segwitu mill-maniġment | Lest għall-awditjar ISO 27001:2022, tħejjija għas-sorveljanza |
Il-Politika dwar il-Konformità Legali u Regolatorja - SME ta’ Clarysec tindirizza direttament il-problema tal-immappjar:
Fejn regolament japplika għal oqsma multipli (eż. GDPR japplika għaż-żamma, is-sigurtà u l-privatezza), dan għandu jiġi mmappjat b’mod ċar fir-Reġistru tal-Konformità u fil-materjal tat-taħriġ.
Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.2.2.
Dan huwa eżattament kif ISO 27001:2022 isir il-qafas ċentrali ta’ kontroll għal NIS2 u DORA. Ma tiddependix fuq għarfien tribali. Timmappja r-regolamenti mal-proċessi, il-politiki, il-kontrolli, l-evidenza u t-taħriġ.
Ir-rappurtar tal-inċidenti jibda min-nies, mhux mill-portali
Dgħufija komuni fl-awditjar tidher meta l-pjan tar-rispons għall-inċidenti jidher b’saħħtu, iżda l-impjegati ma jafux meta jew kif jirrapportaw. Dan huwa perikoluż għal NIS2, DORA u GDPR għaliex il-linji taż-żmien tal-valutazzjoni regolatorja jiddependu fuq l-iskoperta, l-eskalazzjoni u l-klassifikazzjoni.
F’Zenith Blueprint, fil-fażi Controls in Action, Pass 16, Clarysec jenfasizza rappurtar tal-inċidenti mmexxi mill-persunal taħt il-kontroll 6.8 ta’ ISO/IEC 27002:2022. Il-gwida tgħid li r-rispons għall-inċidenti jibda min-nies. L-organizzazzjonijiet għandhom joħolqu kanal ta’ rappurtar ċar, sempliċi u aċċessibbli, bħal indirizz tal-email immonitorjat, portal intern, hotline jew kategorija fis-sistema ta’ ticketing. Tirrakkomanda wkoll taħriġ ta’ sensibilizzazzjoni, kultura ta’ rappurtar mingħajr ħtija, kunfidenzjalità, rappurtar b’limitu baxx u simulazzjonijiet perjodiċi.
L-impatt fuq il-konformità trasversali huwa dirett. Zenith Blueprint jorbot din il-kapaċità ta’ rappurtar mill-persunal ma’ GDPR Article 33, NIS2 Article 23 u DORA Article 17. Jekk l-impjegati joqogħdu lura milli jirrapportaw attività suspettuża, l-organizzazzjoni tista’ titlef ħin kritiku qabel ma t-timijiet legali, tas-sigurtà jew regolatorji jkunu jistgħu jevalwaw id-dmirijiet tan-notifika.
Test prattiku tal-kontroll huwa sempliċi:
- Staqsi lil ħames impjegati kif jirrapportaw email suspettuża ta’ phishing.
- Iċċekkja jekk il-kanal ta’ rappurtar huwiex immonitorjat.
- Ikkonferma jekk is-sistema ta’ ticketing għandhiex kategorija għal inċidenti tas-sigurtà.
- Irrevedi l-aħħar simulazzjoni jew eżerċizzju tabletop.
- Ivverifika li t-tagħlimiet miksuba ġew rieżaminati fir-rieżami tal-maniġment.
Jekk xi tweġiba mhijiex ċara, aġġorna l-iskeda ta’ istruzzjonijiet għall-inċidenti, il-materjal tat-taħriġ, il-kanal ta’ rappurtar u r-referenza tal-evidenza fis-SoA.
Kif awdituri differenti jispezzjonaw l-istess qafas ċentrali
L-evidenza tal-konformità trasversali trid tiflaħ għal lentijiet differenti ta’ awditjar. L-istess kontroll jista’ jiġi ttestjat b’mod differenti skont il-mandat tar-reviżur.
| Lenti tal-awditur | Mistoqsija probabbli | Evidenza mistennija | Falliment komuni |
|---|---|---|---|
| Awditur ISO 27001:2022 | Għaliex dan il-kontroll huwa applikabbli, u qed jopera kif deskritt? | Raġunament tas-SoA, rabta mat-trattament tar-riskju, politika, reġistri operattivi, riżultati tal-awditjar intern | Il-kontroll jeżisti, iżda l-ġustifikazzjoni tas-SoA hija vaga jew skaduta |
| Evalwatur orjentat lejn NIS2 | Tista’ turi miżuri taċ-ċibersigurtà bbażati fuq ir-riskju u koordinazzjoni tal-inċidenti? | Reġistru tar-Riskji, politika tal-governanza, pjan tal-inċidenti, fluss tax-xogħol tar-rappurtar, evidenza tar-riskju tal-fornituri | L-immappjar ta’ NIS2 jeżisti fi preżentazzjoni iżda mhux fl-evidenza operattiva |
| Superviżur orjentat lejn DORA | Tista’ tipprova ġestjoni tar-riskju tal-ICT, klassifikazzjoni tal-inċidenti, ittestjar u sorveljanza ta’ partijiet terzi? | Reġistru tar-riskju tal-ICT, kritiċità tal-fornituri, klassifikazzjoni tal-inċidenti, testijiet tar-reżiljenza, klawżoli kuntrattwali | Ir-reġistri tal-fornituri ma jiddistingwux bejn fornituri kritiċi tal-ICT u fornituri ordinarji |
| Reviżur orjentat lejn GDPR | Tista’ turi responsabbiltà dimostrabbli, sigurtà tal-ipproċessar, kontrolli tal-proċessuri u valutazzjoni tal-ksur? | Immappjar tal-protezzjoni tad-data, klawżoli tal-proċessuri, reġistri tal-valutazzjoni tal-ksur, evidenza tal-aċċess u taċ-ċifrar | Il-kontrolli tas-sigurtà huma implimentati iżda mhumiex marbuta mar-riskji tad-data personali |
| Awditur orjentat lejn NIST | Tista’ turi governanza, identifikazzjoni tar-riskju, protezzjoni, skoperta, rispons u rkupru? | Governanza tal-politiki, reġistri tal-assi u tar-riskju, logs tas-sejbien, evidenza tal-inċidenti u tal-irkupru | Teżisti evidenza teknika iżda s-sjieda tal-governanza hija dgħajfa |
| Awditur b’approċċ COBIT 2019 jew ISACA | L-objettivi tal-governanza, ir-responsabbiltajiet, il-monitoraġġ tal-prestazzjoni u l-attivitajiet ta’ assigurazzjoni huma definiti? | RACI, sjieda tal-kontrolli, rappurtar lill-maniġment, Pjan tal-Awditjar, metriċi, azzjonijiet korrettivi | Il-kontrolli huma tekniċi iżda mhumiex immexxija permezz ta’ responsabbiltà miżurabbli |
Hawnhekk Zenith Controls iżid valur lil hinn minn tabella sempliċi ta’ immappjar. Jgħin jittraduċi l-kontrolli ta’ ISO/IEC 27002:2022 f’perspettivi rilevanti għall-awditjar, inklużi attributi tal-kontroll, relazzjonijiet regolatorji u aspettattivi tal-evidenza. Għall-kontroll 5.1, l-attributi jappoġġaw il-governanza, il-ġestjoni tal-politiki, ir-responsabbiltà u l-objettivi tas-sigurtà. Għall-kontroll 5.24, l-attributi jappoġġaw il-kunċetti ta’ rispons u rkupru, it-tħejjija għall-inċidenti u azzjoni korrettiva. Għall-kontroll 5.19, l-attributi tar-relazzjoni mal-fornituri jgħaqqdu l-governanza, ir-riskju tal-ekosistema, il-protezzjoni u s-sorveljanza ta’ partijiet terzi.
X’għandu jara l-bord
Il-bord m’għandux bżonn kull linja tas-SoA. Iżda jeħtieġ l-istorja li tgħid is-SoA.
Pakkett b’saħħtu għall-bord dwar l-allinjament ta’ ISO 27001:2022, NIS2 u DORA għandu jinkludi:
- Kamp ta’ applikazzjoni tal-ISMS u servizzi tan-negozju koperti.
- Riskji ewlenin tas-sigurtà tal-informazzjoni u tal-ICT.
- Sommarju tal-kontrolli applikabbli skont id-dominju.
- Status tal-immappjar ta’ NIS2, DORA u GDPR.
- Fornituri kritiċi u riskji ta’ konċentrazzjoni.
- Metriċi tar-rappurtar tal-inċidenti u riżultati ta’ tabletop.
- Azzjonijiet korrettivi miftuħa u trattamenti tar-riskju li qabżu l-iskadenza.
- Deċiżjonijiet meħtieġa dwar aċċettazzjoni tar-riskju, baġit, sjieda u riżorsi.
Dan jittrasforma l-konformità f’evidenza ta’ governanza. Jallinja wkoll mal-għan tal-kontroll 5.1 f’Zenith Controls, fejn il-politiki għas-sigurtà tal-informazzjoni jappoġġaw direzzjoni fil-livell eżekuttiv, responsabbiltà u objettivi tas-sigurtà.
Żbalji komuni li għandhom jiġu evitati
L-ewwel żball huwa li wieħed jassumi li ċ-ċertifikazzjoni ISO 27001:2022 tipprova awtomatikament il-konformità ma’ NIS2 jew DORA. Mhux hekk. ISO 27001:2022 jagħtik sistema ta’ ġestjoni u qafas ċentrali ta’ kontroll b’saħħithom, iżda xorta teħtieġ delimitazzjoni regolatorja tal-kamp ta’ applikazzjoni, analiżi legali, interpretazzjoni speċifika għas-settur, flussi ta’ notifika u għarfien tal-aspettattivi tal-awtoritajiet nazzjonali.
It-tieni żball huwa li s-SoA titqies statika. Is-SoA għandha tevolvi meta jidhru fornituri, sistemi, inċidenti, regolamenti, servizzi jew riskji ġodda. Zenith Blueprint, Pass 24, jirrakkomanda li s-SoA tiġi vverifikata b’mod inkroċjat kontra r-Reġistru tar-Riskji u l-pjan ta’ trattament, biex jiġi żgurat li kull kontroll magħżul ikollu raġunament ibbażat fuq riskju mmappjat, rekwiżit legali jew ħtieġa tan-negozju.
It-tielet żball huwa immappjar fuq livell għoli wisq. Preżentazzjoni li tgħid “ISO 27001 maps to DORA” mhijiex evidenza għall-awditjar. Entrata speċifika fis-SoA li torbot is-sigurtà tar-relazzjoni mal-fornituri ma’ riskju ta’ fornitur kritiku tal-ICT, klawżola kuntrattwali, reġistru tar-rieżami tal-fornitur u aspettattiva ta’ sorveljanza ta’ partijiet terzi taħt DORA hija ħafna aktar b’saħħitha.
Ir-raba’ żball huwa nuqqas li tiġi ċċentralizzata l-evidenza. Jekk il-maniġer tal-konformità jqatta’ ġimagħtejn jiġbor screenshots qabel kull awditu, l-organizzazzjoni għandha problema ta’ rkupru tal-evidenza.
Il-ħames żball huwa li jiġu injorati l-kontrolli tar-riżorsi umani. Ir-rappurtar tal-inċidenti, l-integrazzjoni tal-fornituri, ir-rieżamijiet tal-aċċess, l-aċċettazzjoni tal-politika u l-eskalazzjoni kollha jiddependu fuq l-imġiba tal-bniedem. Proċess illustrat li ħadd ma jsegwi se jfalli taħt kampjunar tal-awditjar.
Il-mudell operattiv ta’ Clarysec għall-konformità trasversali
Il-metodu ta’ Clarysec jgħaqqad l-istorja tal-konformità mill-istrateġija sal-evidenza:
- F’Zenith Blueprint, fil-fażi tal-Ġestjoni tar-Riskju, Pass 13, timmappja l-kontrolli mar-riskji u tibni s-SoA bħala d-dokument ta’ rabta.
- F’Zenith Blueprint, fil-fażi tal-Ġestjoni tar-Riskju, Pass 14, tagħmel referenzi inkroċjati bejn ir-rekwiżiti ta’ GDPR, NIS2 u DORA u l-politiki u l-kontrolli.
- F’Zenith Blueprint, fil-fażi Controls in Action, Pass 16, tagħmel operattiv ir-rappurtar tal-inċidenti mmexxi min-nies sabiex l-eskalazzjoni tibda kmieni.
- F’Zenith Blueprint, fil-fażi Audit, Review & Improvement, Pass 24, tiffinalizza u tittestja s-SoA, tivverifikaha b’mod inkroċjat kontra l-Pjan ta’ Trattament tar-Riskju, u tippreparaha bħala wieħed mill-ewwel dokumenti li awditur se jitlob.
Dak il-metodu huwa appoġġat minn politiki ta’ Clarysec li jittrasformaw il-prinċipji f’regoli operattivi: governanza tas-sigurtà tal-informazzjoni, trattament tar-riskju, sigurtà tal-fornituri, rispons għall-inċidenti, immappjar legali u regolatorju, u ħażna tal-evidenza.
Ir-riżultat mhuwiex biss tħejjija għal ISO 27001:2022. Huwa sistema ta’ evidenza tal-konformità li tista’ terġa’ tintuża għal NIS2, DORA, GDPR, programmi ta’ assigurazzjoni għall-klijenti, awditjar intern u sorveljanza mill-bord.
Passi li jmiss: ibni darba, ipprova ħafna drabi
Jekk l-organizzazzjoni tiegħek qed tiffaċċja pressjoni minn NIS2, DORA, GDPR, awditi tal-klijenti jew ċertifikazzjoni ISO 27001:2022, ibda mill-qafas ċentrali.
- Irrevedi s-SoA tiegħek u żid kolonni għall-muturi regolatorji ta’ NIS2, DORA u GDPR.
- Ivverifika s-SoA kontra r-Reġistru tar-Riskji u l-Pjan ta’ Trattament tar-Riskju tiegħek.
- Immappja l-fornituri kritiċi mal-kontrolli tas-sigurtà tal-fornituri, il-klawżoli kuntrattwali u l-evidenza tal-monitoraġġ.
- Ittestja l-fluss tax-xogħol tar-rappurtar tal-inċidenti tiegħek b’eżerċizzju tabletop.
- Iċċentralizza l-evidenza tal-awditjar skont il-kontroll, ir-regolament, is-sid u l-istatus tat-test.
- Uża Zenith Controls biex tittraduċi l-kontrolli ta’ ISO/IEC 27002:2022 f’evidenza għall-konformità trasversali.
- Uża Zenith Blueprint biex timxi mit-trattament tar-riskju għal validazzjoni tas-SoA lesta għall-awditjar.
- Implimenta s-sett ta’ politiki ta’ Clarysec, inklużi l-Politika tas-Sigurtà tal-Informazzjoni, il-Politika tal-Ġestjoni tar-Riskju, il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri, u l-Politika dwar ir-Rispons għall-Inċidenti, biex tħaffef l-implimentazzjoni.
L-iktar triq mgħaġġla mhijiex aktar listi ta’ kontroll skonnessi. Hija ISMS integrat wieħed, SoA waħda traċċabbli, mudell ċentralizzat wieħed tal-evidenza u ritmu operattiv wieħed għall-konformità trasversali.
Clarysec jista’ jgħinek tittrasforma ISO 27001:2022 minn proġett ta’ ċertifikazzjoni f’qafas ċentrali prattiku ta’ kontroll għal NIS2 u DORA. Niżżel Zenith Blueprint, esplora Zenith Controls, jew ibbukkja valutazzjoni ta’ Clarysec biex tibni mudell ta’ evidenza lest għall-awditjar qabel ma r-regolatur, il-klijent jew il-kumitat tal-bord li jmiss jitlob evidenza.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
