Awditu intern ISO 27001 għal NIS2 u DORA
Hija l-ewwel laqgħa tal-kumitat tal-awditjar tal-2026. Sarah, l-Uffiċjal Kap għas-Sigurtà tal-Informazzjoni (CISO) ta’ FinSecure, fornitur ta’ SaaS u FinTech li qed jikber b’rata mgħaġġla, għandha ħmistax-il minuta fuq l-aġenda. Il-bord għandu ħames mistoqsijiet.
Aħna lesti għall-awditu ta’ sorveljanza ISO/IEC 27001:2022? Aħna fil-kamp ta’ applikazzjoni ta’ NIS2 bħala fornitur ta’ servizzi ġestiti? DORA jaffettwana għax nappoġġaw klijenti fis-settur finanzjarju? Nistgħu nipprovaw li r-rappurtar tal-inċidenti, id-diliġenza dovuta tal-fornituri u l-kontinwità tan-negozju qed joperaw? U għaliex ir-rieżami tal-aċċess tal-aħħar kwart xorta sab kontijiet li kellhom jitneħħew?
Sarah għandha l-evidenza, iżda hija mxerrda. L-inġinerija għandha esportazzjonijiet mill-iskannjar tal-vulnerabbiltajiet. L-akkwist għandu kwestjonarji tal-fornituri. Il-funzjoni legali għandha klawżoli kuntrattwali. Il-maniġer tal-konformità għandu reġistru ta’ monitoraġġ tal-GDPR. Is-SOC għandu tickets tal-inċidenti. Xejn minn dan mhu ovvjament żbaljat, iżda xejn minnu ma jirrakkonta storja koerenti ta’ assigurazzjoni.
Dan huwa l-mument meta programm ta’ awditjar intern ISO 27001 jew isir magna strateġika tal-evidenza, jew jibqa’ ġirja annwali tal-aħħar minuta.
Għall-organizzazzjonijiet affettwati minn NIS2 u DORA, l-awditjar intern ma jistax jibqa’ lista ta’ kontroll ċerimonjali. Għandu jsir sistema ta’ assigurazzjoni bbażata fuq ir-riskju li tikkonferma jekk il-kamp ta’ applikazzjoni tal-ISMS huwiex korrett, jekk il-kontrolli jaħdmux fil-prattika, jekk ir-rekwiżiti regolatorji humiex immappjati, jekk is-sejbiet humiex ikklassifikati b’mod konsistenti u jekk l-azzjonijiet korrettivi jaslux għar-rieżami mill-maniġment. Fl-2026, l-aktar programmi b’saħħithom mhux se jistaqsu biss, “Għamilna awditu?” Se jistaqsu, “Nistgħu nipprovaw, xahar b’xahar, li l-governanza taċ-ċibersigurtà, ir-reżiljenza tal-ICT, is-sigurtà tal-fornituri u t-tħejjija għall-inċidenti qed joperaw?”
Dan huwa l-approċċ li Clarysec tibni f’Zenith Blueprint: An Auditor’s 30-Step Roadmap, Zenith Controls: The Cross-Compliance Guide, u s-sett ta’ politiki ta’ Clarysec. L-għan mhuwiex li jinħolqu proġetti separati għal ISO, NIS2 u DORA. L-għan huwa li l-ISMS jissaħħaħ sabiex programm wieħed ta’ awditjar jipproduċi evidenza li tista’ terġa’ tintuża għal diversi rekwiżiti ta’ assigurazzjoni.
Għaliex il-programmi ta’ awditjar intern tal-2026 għandhom jinbidlu
NIS2 u DORA bidlu d-diskussjoni dwar l-awditjar minn dokumentazzjoni għal reżiljenza ggovernata.
NIS2 japplika għal ħafna organizzazzjonijiet medji u kbar f’setturi kritiċi u importanti, inklużi l-infrastruttura diġitali, fornituri tas-servizzi tal-cloud computing, fornituri taċ-ċentri tad-data, fornituri ta’ servizzi ġestiti, fornituri ta’ servizzi ġestiti tas-sigurtà, swieq online, magni tat-tiftix online u pjattaformi ta’ networks soċjali. L-Istati Membri bdew japplikaw miżuri nazzjonali minn Ottubru 2024, u sal-2026 ħafna organizzazzjonijiet qed joperaw fl-ewwel sena sħiħa ta’ aspettattivi maturi ta’ NIS2.
DORA japplika mis-17 ta’ Jannar 2025 għal firxa wiesgħa ta’ entitajiet finanzjarji, inklużi istituzzjonijiet ta’ kreditu, istituzzjonijiet ta’ pagament, istituzzjonijiet tal-flus elettroniċi, ditti tal-investiment, fornituri ta’ servizzi ta’ kriptoassi, impriżi tal-assigurazzjoni u tar-riassigurazzjoni, fornituri ta’ servizzi ta’ crowdfunding u fornituri terzi rilevanti ta’ servizzi tal-ICT. DORA huwa r-reġim settorjali tar-reżiljenza operattiva diġitali għall-entitajiet finanzjarji koperti. Fornituri tal-ICT li jservu entitajiet finanzjarji jistgħu wkoll jintlaqtu minn DORA permezz ta’ kuntratti, drittijiet ta’ awditjar, parteċipazzjoni fl-ittestjar, appoġġ għall-inċidenti, kontrolli tas-subkuntrattar u rekwiżiti ta’ ħruġ.
Iż-żewġ regolamenti jsaħħu r-responsabbiltà. NIS2 Article 20 jeħtieġ li l-korpi maniġerjali japprovaw u jissorveljaw il-miżuri ta’ ġestjoni tar-riskju taċ-ċibersigurtà u jirċievu taħriġ fiċ-ċibersigurtà. DORA Article 5 jagħmel lill-korp maniġerjali finalment responsabbli għar-riskju tal-ICT, inkluż l-approvazzjoni u s-sorveljanza tal-istrateġija tar-reżiljenza operattiva diġitali, il-politiki tal-ICT, l-arranġamenti ta’ kontinwità u r-riskju ta’ partijiet terzi.
ISO 27001 huwa adattat sew għal dan l-ambjent għax huwa sistema ta’ ġestjoni. Jeħtieġ li l-organizzazzjoni tifhem il-kuntest tagħha, tiddefinixxi l-partijiet interessati u r-rekwiżiti, tistabbilixxi l-kamp ta’ applikazzjoni tal-ISMS, tivvaluta u tittratta r-riskji, timmonitorja l-prestazzjoni, twettaq awditi interni u tmexxi titjib kontinwu. Il-punt mhuwiex li NIS2 u DORA jiġu mġiegħla jidħlu f’qafas imfassal bħal ISO. Il-punt huwa li ISO 27001 jintuża bħala s-sistema operattiva għal assigurazzjoni ripetibbli.
Ibda mill-kamp ta’ applikazzjoni: awditja s-sistema li fuqha jiddependi l-bord
Programm dgħajjef ta’ awditjar intern jibda b’kamp ta’ applikazzjoni vag bħal “sigurtà tal-informazzjoni.” Programm b’saħħtu jibda mil-limiti tan-negozju u tar-regolamentazzjoni.
ISO 27001 jeħtieġ li l-kamp ta’ applikazzjoni tal-ISMS iqis kwistjonijiet interni u esterni, rekwiżiti tal-partijiet interessati, u interfaċċi jew dipendenzi ma’ organizzazzjonijiet oħra. Dan huwa importanti għax l-obbligi ta’ NIS2 u DORA ħafna drabi jinsabu fit-truf tal-organizzazzjoni: pjattaformi cloud, fornituri ta’ SOC esternalizzat, Managed Detection and Response, sistemi ta’ pagament, APIs fintech, ipproċessar tad-data tal-klijenti, servizzi tal-backup u sħab għall-eskalazzjoni tal-inċidenti.
Il-Audit and Compliance Monitoring Policy-sme ta’ Clarysec tistabbilixxi l-linja bażi tal-governanza:
Il-Maniġer Ġenerali (GM) għandu japprova pjan annwali ta’ awditjar.
Mit-taqsima “Rekwiżiti ta’ Governanza”, klawżola tal-politika 5.1.1.
Għal ambjenti akbar, il-Audit and Compliance Monitoring Policy ta’ Clarysec tgħolli l-aspettattiva:
Għandu jiġi żviluppat u approvat kull sena pjan tal-awditjar ibbażat fuq ir-riskju, filwaqt li jitqiesu:
Mit-taqsima “Rekwiżiti ta’ Governanza”, klawżola tal-politika 5.2.
Għalhekk, il-kamp ta’ applikazzjoni mhuwiex biss preferenza tal-awditur. Huwa impenn ta’ assigurazzjoni approvat mill-maniġment.
Programm ta’ awditjar intern ISO 27001 għall-2026 li jappoġġa NIS2 u DORA għandu jinkludi:
- Klawżoli u proċessi tal-ISMS, inklużi l-kuntest, it-tmexxija, il-ġestjoni tar-riskju, l-objettivi, l-appoġġ, l-operazzjonijiet, l-evalwazzjoni tal-prestazzjoni u t-titjib.
- Oqsma rilevanti ta’ kontroll tal-Anness A ta’ ISO/IEC 27001:2022, inklużi r-relazzjonijiet mal-fornituri, il-ġestjoni tal-inċidenti, il-kontinwità tan-negozju, l-obbligi legali, il-privatezza, il-logging, il-monitoraġġ, il-ġestjoni tal-vulnerabbiltajiet, il-kontroll tal-aċċess, il-kontrolli kriptografiċi, l-iżvilupp sigur, il-ġestjoni tat-tibdil u l-governanza tal-cloud.
- Saffi regolatorji, inklużi NIS2 Articles 20, 21 u 23, DORA Articles 5, 6, 8 sa 14, 17 sa 19, 24 sa 27 u 28 sa 30, flimkien mar-rekwiżiti ta’ sigurtà u responsabbiltà tal-GDPR.
- Servizzi ewlenin u proċessi tan-negozju, speċjalment funzjonijiet kritiċi jew importanti, servizzi essenzjali, pjattaformi għall-klijenti u sistemi li jappoġġaw klijenti regolati.
- Dipendenzi fuq partijiet terzi, inklużi fornituri tal-ICT, fornituri cloud, żvilupp esternalizzat, SOC, MSSP, proċessuri tad-data u subkuntratturi kritiċi.
- Proċessi li jipproduċu evidenza, inklużi evalwazzjonijiet tar-riskju, rieżamijiet tal-aċċess, rimedjazzjoni tal-vulnerabbiltajiet, eżerċizzji tal-inċidenti, testijiet tar-restawr mill-backup, rieżamijiet tal-fornituri, testijiet tal-kontinwità u rieżamijiet mill-maniġment.
Il-Zenith Blueprint isaħħaħ dan fil-fażi Audit, Review & Improvement, Step 25, Internal Audit Program:
Iddeċiedi l-kamp ta’ applikazzjoni tal-programm ta’ awditjar intern tiegħek. Fl-aħħar mill-aħħar, matul sena, għandek tkopri l-proċessi u l-kontrolli rilevanti kollha tal-ISMS.
Mill-fażi Audit, Review & Improvement, Step 25: Internal Audit Program.
M’għandekx bżonn tawditja kollox kull xahar. Iżda matul iċ-ċiklu annwali, għandek tkopri l-proċessi u l-kontrolli rilevanti kollha tal-ISMS, b’xogħol aktar frekwenti fuq oqsma ta’ riskju għoli u regolati.
Ibni l-univers tal-awditjar madwar it-temi ta’ kontroll ta’ NIS2 u DORA
NIS2 Article 21 jeħtieġ miżuri tekniċi, operazzjonali u organizzattivi xierqa u proporzjonati. Il-linja bażi tiegħu tinkludi analiżi tar-riskju, politiki tas-sigurtà, ġestjoni tal-inċidenti, kontinwità tan-negozju, ġestjoni tal-backup, irkupru minn diżastru, ġestjoni tal-kriżijiet, sigurtà tal-katina tal-provvista, akkwist u żvilupp sigur, ġestjoni tal-vulnerabbiltajiet, evalwazzjoni tal-effettività, iġjene ċibernetika, taħriġ, kontrolli kriptografiċi, sigurtà tar-riżorsi umani, kontroll tal-aċċess, ġestjoni tal-assi, MFA jew awtentikazzjoni kontinwa fejn xieraq, u komunikazzjonijiet siguri.
DORA għandu ċiklu tal-ħajja operattiv simili. Jeħtieġ li l-entitajiet finanzjarji jidentifikaw u jikklassifikaw il-funzjonijiet tan-negozju appoġġati mill-ICT, l-assi tal-informazzjoni, l-assi tal-ICT, id-dipendenzi u l-interkonnessjonijiet ma’ partijiet terzi. Jeħtieġ ukoll protezzjoni, sejbien, klassifikazzjoni tal-inċidenti, rispons, irkupru, backup, restawr, ittestjar, tagħlim wara l-inċidenti, komunikazzjoni u ġestjoni tar-riskju ta’ partijiet terzi tal-ICT.
Univers unifikat tal-awditjar jipprevjeni l-iżball komuni li ISO 27001 jiġi awditjat separatament minn NIS2 u DORA.
| Qasam tal-awditjar | Punt ta’ ankraġġ tal-awditjar ISO 27001 | Rilevanza għal NIS2 u DORA | Evidenza tipika |
|---|---|---|---|
| Governanza u obbligi legali | Kuntest, tmexxija, trattament tar-riskju, rekwiżiti legali u kuntrattwali | Sorveljanza mill-bord taħt NIS2, responsabbiltà tal-korp maniġerjali taħt DORA, responsabbiltà tal-GDPR | Reġistru legali, reġistru tal-partijiet interessati, kamp ta’ applikazzjoni tal-ISMS, aptit għar-riskju, minuti tal-bord, rieżami mill-maniġment |
| Evalwazzjoni u trattament tar-riskju | Valutazzjoni tar-riskju, Dikjarazzjoni ta’ Applikabbiltà, pjan ta’ trattament | Miżuri xierqa u proporzjonati taħt NIS2, qafas tal-ġestjoni tar-riskju tal-ICT taħt DORA | Reġistru tar-riskju, kriterji tar-riskju, approvazzjonijiet tat-trattament, aċċettazzjoni tar-riskju residwu |
| Inventarju tal-assi u tad-dipendenzi | Ġestjoni tal-assi, governanza tas-servizzi cloud, servizzi tal-fornituri | Assi tal-ICT u interkonnessjonijiet taħt DORA, sistemi ta’ twassil tas-servizzi taħt NIS2 | CMDB, mapep tal-fluss tad-data, reġistru tal-fornituri, inventarju cloud, klassifikazzjoni tal-kritiċità |
| Kontroll tal-aċċess u identità | Sigurtà tar-riżorsi umani, ġestjoni tal-aċċess, MFA, aċċess privileġġjat | Kontroll tal-aċċess u MFA taħt NIS2, prinċipju tal-inqas privileġġ u awtentikazzjoni b’saħħitha taħt DORA | Tickets ta’ dħul-trasferiment-tluq, rieżamijiet tal-aċċess, rapporti tal-MFA, logs ta’ kontijiet privileġġjati |
| Logging, monitoraġġ u sejbien | Logging, monitoraġġ, evalwazzjoni tal-avvenimenti | Sejbien ta’ anomaliji u klassifikazzjoni tal-inċidenti taħt DORA, tħejjija għall-inċidenti taħt NIS2 | Twissijiet SIEM, regoli tas-sejbien, reġistri tat-trijaġġ tal-inċidenti, dashboards ta’ monitoraġġ |
| Ġestjoni tal-inċidenti | Ippjanar tal-inċidenti, rispons, ġbir tal-evidenza, tagħlimiet miksuba | Fluss tax-xogħol tar-rappurtar taħt NIS2, ċiklu tal-ħajja tal-inċidenti tal-ICT taħt DORA | Log tal-inċidenti, matriċi tas-severità, mudelli tan-notifiki, rapporti tal-kawża ewlenija, reġistri tal-eżerċizzji |
| Kontinwità tan-negozju u rkupru | Tħejjija tal-ICT, backups, sigurtà waqt tfixkil | Backup u ġestjoni tal-kriżijiet taħt NIS2, kontinwità u rkupru taħt DORA | BIA, pjanijiet tal-kontinwità, testijiet tal-backup, reġistri ta’ RTO u RPO, test tal-komunikazzjoni waqt kriżi |
| Riskju tal-fornituri u ta’ partijiet terzi tal-ICT | Ftehimiet mal-fornituri, katina tal-provvista tal-ICT, akkwist tal-cloud u ħruġ | Sigurtà tal-katina tal-provvista taħt NIS2, reġistru ta’ partijiet terzi tal-ICT u klawżoli kuntrattwali taħt DORA | Diliġenza dovuta tal-fornituri, kuntratti, drittijiet ta’ awditjar, pjanijiet ta’ ħruġ, analiżi tar-riskju ta’ konċentrazzjoni |
| Żvilupp sigur u vulnerabbiltajiet | Akkwist sigur, żvilupp, tibdil, ġestjoni tal-vulnerabbiltajiet | Ġestjoni tal-vulnerabbiltajiet taħt NIS2, patching u ttestjar taħt DORA | Skannjar tal-vulnerabbiltajiet, SLAs ta’ rimedjazzjoni, tickets tat-tibdil, rieżami tal-kodiċi, rapporti ta’ testijiet ta’ penetrazzjoni |
| Monitoraġġ tal-konformità u azzjoni korrettiva | Monitoraġġ, awditjar intern, nuqqas ta’ konformità u azzjoni korrettiva | Miżuri korrettivi taħt NIS2, awditjar u segwitu tar-rimedjazzjoni taħt DORA | Rapporti tal-awditjar, reġistru CAPA, dashboard tal-KPIs, azzjonijiet mir-rieżami mill-maniġment |
Din l-istruttura tibdel kull qasam tal-awditjar f’oġġett ta’ assigurazzjoni kondiviż. L-awditur intern jittestja r-rekwiżit ta’ ISO 27001, imbagħad jirreġistra jekk l-istess evidenza tappoġġax ukoll l-aspettattivi ta’ NIS2, DORA, GDPR, NIST CSF u COBIT 2019.
Ippjana s-sena madwar ir-riskju, mhux il-burokrazija
Il-Zenith Blueprint jagħti lit-timijiet sekwenza prattika biex l-awditjar jinbidel f’titjib:
- Step 25, Internal Audit Program: ippjana l-kamp ta’ applikazzjoni, il-frekwenza, l-indipendenza u l-prijoritajiet ibbażati fuq ir-riskju.
- Step 26, Audit Execution: iġbor evidenza oġġettiva permezz ta’ intervisti, rieżami tad-dokumenti, osservazzjoni u kampjunar.
- Step 27, Audit Findings, Analysis & Root Cause: ikklassifika s-sejbiet u identifika l-kawża ewlenija.
- Step 28, Management Review: daħħal ir-riżultati tal-awditjar, l-inċidenti, in-nuqqasijiet ta’ konformità, l-objettivi, ir-riskji u l-ħtiġijiet tar-riżorsi fir-rieżami mill-maniġment.
- Step 29, Continual Improvement: ibni azzjonijiet korrettivi li jeliminaw il-kawżi, mhux biss is-sintomi.
Il-Zenith Blueprint huwa espliċitu dwar l-indipendenza:
Idealment, l-awditur intern m’għandux jawditja x-xogħol tiegħu stess.
Mill-fażi Audit, Review & Improvement, Step 25: Internal Audit Program.
Għal kumpanija SaaS jew fintech iżgħar, dan jista’ jfisser li maniġer minn funzjoni oħra jintalab jawditja proċessi tas-sigurtà, li jiġu rotati s-sidien tal-kontrolli, jew li jintuża konsulent estern. Il-punt ewlieni huwa li jiġu dokumentati l-kompetenza u l-indipendenza, speċjalment meta l-evidenza ta’ NIS2 u DORA tista’ aktar tard tiġi rieżaminata minn klijenti, regolaturi, korpi superviżorji jew awdituri esterni.
Il-Audit and Compliance Monitoring Policy-sme tiddefinixxi wkoll l-istruttura minima tal-awditjar:
Kull awditu għandu jinkludi kamp ta’ applikazzjoni definit, objettivi, persunal responsabbli u evidenza meħtieġa.
Mit-taqsima “Rekwiżiti ta’ Governanza”, klawżola tal-politika 5.2.3.
Struttura trimestrali prattika għal fornitur SaaS jew ICT b’tkabbir għoli tista’ tkun:
| Kwart | Fokus primarju tal-awditjar | Enfasi regolatorja | Outputs ewlenin |
|---|---|---|---|
| Q1 | Ġestjoni u rappurtar tal-inċidenti | NIS2 Article 23, DORA Articles 17 sa 19 | Rapport tal-awditjar tal-inċidenti, test tal-fluss tax-xogħol tan-notifika, rieżami tal-matriċi tas-severità |
| Q2 | Ġestjoni tar-riskju ta’ partijiet terzi tal-ICT | NIS2 Article 21, DORA Articles 28 sa 30 | Kampjun tal-fornituri, rieżami tal-kuntratti, evidenza tad-diliġenza dovuta, rieżami tal-ippjanar tal-ħruġ |
| Q3 | Kontinwità tan-negozju u ttestjar tar-reżiljenza | NIS2 Article 21, DORA Articles 11, 12, 24 sa 27 | Evidenza ta’ restawr mill-backup, eżerċizzju tal-kontinwità, rimedjazzjoni mit-test tar-reżiljenza |
| Q4 | Governanza, riskju u konformità | NIS2 Article 20, DORA Articles 5 u 6, ISO 27001 Klawżoli 5, 9 u 10 | Pakkett għar-rieżami mill-maniġment, status tal-CAPA, deċiżjonijiet dwar riskju residwu, pjan tal-awditjar għas-sena ta’ wara |
Dan ma jissostitwixxix il-ġbir ta’ evidenza kull xahar. Jagħti lis-sena ritmu ċar ta’ assigurazzjoni.
Kampjunar: kemm evidenza hija biżżejjed?
Il-kampjunar huwa fejn ħafna awditi interni jsiru jew wisq superfiċjali jew wisq għaljin. F’ambjenti tal-ICT regolati, il-kampjunar għandu jkun ibbażat fuq ir-riskju, spjegabbli u dokumentat.
Il-Zenith Blueprint, Step 26, jipprovdi l-prinċipju prattiku:
Ħu kampjuni u wettaq kontrolli spot: ma tistax tiċċekkja kollox, għalhekk uża l-kampjunar.
Mill-fażi Audit, Review & Improvement, Step 26: Audit Execution.
Il-politika tal-intrapriża ta’ Clarysec tagħmel dan adattat għall-awditjar:
Dokumentazzjoni tal-istrateġija tal-kampjunar, il-kamp ta’ applikazzjoni tal-awditjar u l-limitazzjonijiet
Mit-taqsima “Rekwiżiti ta’ Governanza”, klawżola tal-politika 5.5.3.
Għal NIS2 u DORA, il-kampjunar għandu jqis il-kritiċità, ir-riskju, l-importanza tal-fornitur, il-perjodu ta’ żmien, l-istorja tal-inċidenti, il-ġeografija u jekk il-proċess kampjunat jappoġġax funzjonijiet kritiċi jew importanti.
| Qasam tal-kontroll | Popolazzjoni | Kampjun issuġġerit | Aġġustament ibbażat fuq ir-riskju |
|---|---|---|---|
| Għoti ta’ aċċess | Il-kontijiet kollha ta’ utenti ġodda fil-kwart | 10 kontijiet jew 10 fil-mija, skont liema jkun l-akbar | Inkludi l-kontijiet privileġġjati kollha u l-amministraturi ta’ applikazzjonijiet kritiċi |
| Tneħħija tal-aċċess ta’ impjegati li telqu | L-utenti kollha terminati fil-kwart | 100 fil-mija għall-utenti privileġġjati, 10 utenti standard | Żid il-kampjun jekk l-integrazzjoni HR jew IAM inbidlet |
| Diliġenza dovuta tal-fornituri | Fornituri ICT attivi | Il-fornituri kritiċi kollha, 5 fornituri ta’ riskju medju, 3 fornituri ta’ riskju baxx | Inkludi fornituri li jappoġġaw klijenti finanzjarji jew servizzi essenzjali |
| Rimedjazzjoni tal-vulnerabbiltajiet | Sejbiet kritiċi u għoljin magħluqa fil-kwart | 15-il ticket fuq sistemi differenti | Inkludi sistemi aċċessibbli mill-internet u eċċezzjonijiet ripetuti |
| Ġestjoni tal-inċidenti | L-inċidenti tas-sigurtà kollha fil-kwart | L-inċidenti maġġuri kollha, 5 inċidenti minuri, 3 eżempji ta’ triage ta’ false positive | Inkludi inċidenti b’data personali, impatt fuq il-klijent jew rilevanza transkonfinali |
| Restawr mill-backup | Testijiet tal-backup imwettqa fil-kwart | It-testijiet kollha tas-sistemi kritiċi, 3 sistemi mhux kritiċi | Inkludi sistemi li jappoġġaw funzjonijiet kritiċi jew importanti |
| Ġestjoni tat-tibdil | Bidliet fil-produzzjoni fil-kwart | 15-il bidla, inklużi bidliet ta’ emerġenza | Inkludi bidliet li jaffettwaw l-awtentikazzjoni, il-logging, l-iċċifrar jew id-data tal-klijenti |
| Taħriġ dwar is-sigurtà | Impjegati u kuntratturi attivi fil-perjodu | 20 utent minn diversi dipartimenti | Inkludi membri tal-korp maniġerjali u rwoli tekniċi privileġġjati |
Għal ambjenti affettwati minn DORA, l-evidenza tal-ittestjar teħtieġ attenzjoni speċjali. DORA jeħtieġ ittestjar tar-reżiljenza operattiva diġitali għall-entitajiet finanzjarji, b’ittestjar aktar avvanzat bħal threat-led penetration testing għal entitajiet magħżula mill-inqas kull tliet snin. Il-kampjun tal-awditjar tiegħek għandu jinkludi mhux biss rapporti tat-testijiet, iżda wkoll evidenza li s-sejbiet ġew ipprijoritizzati, irrimedjati u ttestjati mill-ġdid.
Eżempju prattiku ta’ awditjar: riskju ta’ partijiet terzi tal-ICT
Is-sigurtà tal-fornituri ħafna drabi hija l-aktar mod rapidu biex jiġu esposti lakuni bejn id-dokumentazzjoni u r-realtà operattiva. DORA Articles 28 sa 30 jeħtieġu ġestjoni tar-riskju ta’ partijiet terzi tal-ICT, kontenut kuntrattwali u reġistri tal-informazzjoni. NIS2 Article 21 jeħtieġ sigurtà tal-katina tal-provvista li tqis il-vulnerabbiltajiet u l-prattiki tal-fornituri diretti.
Għal awditu Q2, Sarah tieħu kampjun ta’ ħames fornituri kritiċi, tliet fornituri ġodda onboarded fl-aħħar sitt xhur u żewġ fornituri b’kuntratti mġedda reċentement. L-awditur jintervista l-akkwist, il-funzjoni legali, is-sidien tas-servizzi u s-sidien tal-kontrolli tas-sigurtà.
| Rekwiżit DORA jew NIS2 | Punt ta’ ankraġġ tal-kontroll ISO 27001:2022 | Mistoqsija tal-awditjar | Evidenza li għandha tinġabar |
|---|---|---|---|
| DORA Article 28, reġistru ta’ partijiet terzi tal-ICT | A.5.19 Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri | Hemm reġistru komplut u aġġornat tal-arranġamenti ma’ fornituri terzi tal-ICT? | Reġistru attiv tal-fornituri u reġistri kampjunati ta’ fornituri kritiċi |
| DORA Article 28, valutazzjoni tar-riskju ta’ qabel il-kuntratt | A.5.19 Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri | Twettqet diliġenza dovuta qabel l-iffirmar jew it-tiġdid tal-kuntratti tal-fornituri? | Rapporti tad-diliġenza dovuta, evalwazzjonijiet tar-riskju u reġistri tal-approvazzjoni |
| DORA Article 30, kontenut kuntrattwali | A.5.20 Indirizzar tas-sigurtà tal-informazzjoni fi ftehimiet mal-fornituri | Il-kuntratti jinkludu miżuri tas-sigurtà, drittijiet ta’ awditjar, assistenza għall-inċidenti u appoġġ għat-terminazzjoni fejn meħtieġ? | Kuntratti, addenda, skedi tas-sigurtà u noti ta’ rieżami legali |
| NIS2 Article 21, sigurtà tal-katina tal-provvista | A.5.21 Ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT | Il-prattiki tas-sigurtà tal-fornituri, is-subkuntrattar u d-dipendenzi tas-servizz huma mifhuma? | Kwestjonarji tal-fornituri, żvelar tas-subkuntratturi u mapep tad-dipendenzi |
| Monitoraġġ kontinwu tal-fornituri | A.5.22 Monitoraġġ, rieżami u ġestjoni tat-tibdil tas-servizzi tal-fornituri | Il-prestazzjoni u s-sigurtà tal-fornituri jiġu rieżaminati maż-żmien? | Minuti QBR, rapporti SLA, rapporti tal-awditjar u reġistri tar-rieżami annwali |
Din it-tabella tagħmel aktar milli tiggwida l-ġbir tal-evidenza. Tipprova li l-organizzazzjoni ttraduċiet it-test regolatorju fi kriterji ta’ awditjar allinjati ma’ ISO u f’evidenza konkreta.
Sejbiet: iktibhom sabiex il-maniġment ikun jista’ jaġixxi
Sejba ta’ awditjar m’għandhiex tinstema’ bħal ilment vag. Għandha tkun strutturata biżżejjed biex il-maniġment jifhem ir-riskju, jassenja s-sjieda u japprova azzjoni korrettiva.
Il-Audit and Compliance Monitoring Policy-sme tiddikjara:
Is-sejbiet kollha tal-awditjar għandhom jiġu dokumentati b’klassifikazzjonijiet tar-riskju u azzjonijiet proposti.
Mit-taqsima “Rekwiżiti ta’ Governanza”, klawżola tal-politika 5.4.1.
Il-Audit and Compliance Monitoring Policy għall-intrapriżi żżid id-dixxiplina tal-azzjoni korrettiva:
Is-sejbiet kollha għandhom jirriżultaw f’CAPA dokumentata li tinkludi:
Mit-taqsima “Rekwiżiti għall-Implimentazzjoni tal-Politika”, klawżola tal-politika 6.2.1.
Fil-Zenith Blueprint, Step 27 jirrakkomanda li s-sejbiet jiġu kategorizzati bħala nuqqasijiet ta’ konformità maġġuri, nuqqasijiet ta’ konformità minuri jew osservazzjonijiet, u mbagħad titwettaq analiżi tal-kawża ewlenija. Nuqqas ta’ konformità maġġuri jindika lakuna serja jew falliment sistematiku. Nuqqas ta’ konformità minuri huwa nuqqas iżolat fi proċess li, b’mod ġenerali, ikun konformi. Osservazzjoni hija opportunità ta’ titjib.
Sejba b’saħħitha tinkludi:
- Rekwiżit jew aspettattiva ta’ kontroll.
- Kundizzjoni osservata.
- Evidenza kampjunata.
- Riskju u impatt fuq in-negozju.
- Rilevanza regolatorja.
- Klassifikazzjoni u klassifikazzjoni tar-riskju.
- Kawża ewlenija.
- Sid tal-azzjoni korrettiva u data ta’ skadenza.
Eżempju ta’ sejba:
Sejba NC-2026-07, nuqqas ta’ konformità minuri, dewmien fir-rieżami tas-sigurtà tal-fornituri
Rekwiżit: Ir-rieżamijiet tas-sigurtà tal-fornituri għal fornituri kritiċi tal-ICT għandhom jitwettqu mill-inqas darba fis-sena, b’appoġġ għall-kontrolli tal-fornituri ta’ ISO 27001, għall-aspettattivi tal-katina tal-provvista ta’ NIS2 u għall-obbligi ta’ riskju ta’ partijiet terzi tal-ICT taħt DORA.
Kundizzjoni: Tnejn minn tnax-il fornitur kritiku tal-ICT ma kellhomx rieżamijiet tas-sigurtà tal-2026 kompluti sad-data meħtieġa.
Evidenza: Esportazzjoni tar-reġistru tal-fornituri datata 15 ta’ Ġunju 2026, reġistru ta’ monitoraġġ tar-rieżami tal-fornituri, intervista mal-Procurement Lead u żewġ reġistri ta’ rieżami nieqsa.
Riskju: Rieżami tard tal-fornituri jista’ jipprevjeni l-identifikazzjoni f’waqtha ta’ vulnerabbiltajiet, bidliet fis-subkuntrattar, lakuni fl-appoġġ għall-inċidenti jew nuqqas ta’ konformità kuntrattwali li jaffettwaw servizzi kritiċi.
Kawża ewlenija: L-akkwist ma ġiex infurmat awtomatikament meta resqu d-dati tar-rieżami tal-fornituri, u s-sjieda tal-evidenza tal-fornituri relatata ma’ DORA ma ġietx assenjata.
Azzjoni korrettiva: Ikkonfigura tfakkiriet awtomatizzati għar-rieżami, assenja sidien tal-kontroll nominati għall-fornituri kritiċi kollha tal-ICT, lesti r-rieżamijiet li ilhom dovuti sal-31 ta’ Lulju 2026 u wettaq kontrolli tal-kampjun kull tliet xhur.
Għall-analiżi tal-kawża ewlenija, it-teknika “5 Whys” hija utli. Jekk tkun intilfet evalwazzjoni ta’ qabel il-kuntratt, il-kawża vera tista’ ma tkunx żball individwali. Tista’ tkun li l-fluss tax-xogħol tal-akkwist ippermetta lil kuntratti ICT ta’ valur baxx jevitaw rieżami tas-sigurtà, minkejja li l-aspettattivi ta’ DORA u NIS2 japplikaw abbażi tar-riskju u d-dipendenza, mhux biss tal-infiq.
Il-kalendarju tal-evidenza għall-2026
Kalendarju tal-evidenza għall-2026 jibdel l-awditjar intern f’ritmu operattiv. Iqassam il-ġenerazzjoni tal-evidenza matul is-sena u jevita l-ġirja tal-aħħar tas-sena.
Il-Information Security Policy ta’ Clarysec tistenna rieżami tal-governanza ta’:
Rieżami tal-indikaturi ewlenin tal-prestazzjoni tas-sigurtà (KPIs), l-inċidenti, is-sejbiet tal-awditjar u l-istatus tar-riskju
Mit-taqsima “Rekwiżiti ta’ Governanza”, klawżola tal-politika 5.3.2.
L-evidenza ma tinġabarx għall-awdituri biss. Hija tinforma deċiżjonijiet dwar riskju, baġit, riżorsi, fornituri, għodod, taħriġ u azzjoni korrettiva.
| Xahar | Fokus tal-awditjar u tal-evidenza | Outputs ewlenin tal-evidenza |
|---|---|---|
| Jannar | Ikkonferma l-kamp ta’ applikazzjoni regolatorju, il-kamp ta’ applikazzjoni tal-ISMS u l-pjan tal-awditjar tal-2026 | Pjan tal-awditjar approvat, rieżami tal-kamp ta’ applikazzjoni tal-ISMS, evalwazzjoni tal-applikabbiltà ta’ NIS2 u DORA, aġġornament tar-reġistru legali |
| Frar | Governanza, aptit għar-riskju u taħriġ tal-korp maniġerjali | Minuti tal-bord, reġistri tat-taħriġ, kriterji tar-riskju, reġistru tar-riskju aġġornat |
| Marzu | Inventarju tal-assi, tad-data u tad-dipendenzi | Esportazzjoni CMDB, mapep tal-fluss tad-data, lista ta’ servizzi kritiċi, mappa tal-interkonnessjonijiet tal-fornituri ICT |
| April | Awditjar tal-kontroll tal-aċċess u tal-MFA | Reġistri tar-rieżami tal-aċċess, kampjun ta’ aċċess privileġġjat, rapport tal-kopertura tal-MFA, ittestjar ta’ utenti li telqu |
| Mejju | Vulnerabbiltajiet, patching u ġestjoni sigura tat-tibdil | Metriċi tal-vulnerabbiltajiet, evidenza tar-rimedjazzjoni, kampjun ta’ tickets tat-tibdil, approvazzjonijiet tal-eċċezzjonijiet |
| Ġunju | Governanza tal-fornituri u tas-servizzi cloud | Kampjun ta’ diliġenza dovuta tal-fornituri, rieżami tal-klawżoli kuntrattwali, drittijiet ta’ awditjar, pjanijiet ta’ ħruġ, noti dwar riskju ta’ konċentrazzjoni |
| Lulju | Eżerċizzju ta’ ġestjoni u rappurtar tal-inċidenti | Simulazzjoni tal-inċidenti, klassifikazzjoni tas-severità, test tal-fluss tax-xogħol tar-rappurtar ta’ NIS2, test tal-eskalazzjoni tal-inċidenti ta’ DORA |
| Awwissu | Logging, monitoraġġ u sejbien | Każijiet ta’ użu SIEM, tuning tat-twissijiet, kopertura tal-monitoraġġ, kampjun ta’ eskalazzjoni |
| Settembru | Backup, restawr u kontinwità tan-negozju | Reġistri tat-testijiet tal-backup, evidenza ta’ RTO u RPO, eżerċizzju tal-kontinwità, test tal-komunikazzjoni waqt kriżi |
| Ottubru | Żvilupp sigur u sigurtà tal-applikazzjonijiet | Evidenza tal-SDLC, kampjun ta’ rieżami tal-kodiċi, riżultati tat-testijiet tas-sigurtà, rieżami ta’ żvilupp esternalizzat |
| Novembru | Awditjar intern sħiħ tal-ISMS u rieżami tal-konformità trasversali | Rapport tal-awditjar intern, reġistru tas-sejbiet, immappjar ta’ NIS2 u DORA, evidenza tar-responsabbiltà tal-GDPR |
| Diċembru | Rieżami mill-maniġment u għeluq tal-azzjoni korrettiva | Minuti tar-rieżami mill-maniġment, status tal-CAPA, aċċettazzjoni tar-riskju residwu, inputs għall-pjan tal-awditjar tal-2027 |
Dan il-kalendarju jagħti lill-kumitat tal-awditjar pjan ta’ assigurazzjoni li jħares ’il quddiem u jagħti lis-sidien tal-kontrolli żmien biex joħolqu evidenza permezz tal-operazzjonijiet normali.
Is-sinsla ISO 27002:2022: 5.31, 5.35 u 5.36
Zenith Controls hija l-gwida ta’ Clarysec għall-konformità trasversali. Timmappja l-oqsma ta’ kontroll ta’ ISO/IEC 27001:2022 u ISO/IEC 27002:2022 ma’ standards, regolamenti, aspettattivi ta’ awditjar u mudelli ta’ evidenza oħra. Hija partikolarment utli biex tgħaqqad ir-rieżami intern, l-obbligi legali u l-konformità mal-politiki.
Tliet oqsma ta’ kontroll ta’ ISO/IEC 27002:2022 jiffurmaw is-sinsla ta’ programm unifikat ta’ awditjar intern:
| Qasam ISO 27002:2022 enfasizzat f’Zenith Controls | Mistoqsija tal-awditjar | Valur għal NIS2 u DORA |
|---|---|---|
| 5.31 Rekwiżiti legali, statutorji, regolatorji u kuntrattwali | Nafu liema obbligi japplikaw u mmappjajniehom ma’ kontrolli u evidenza? | Jappoġġa l-applikabbiltà ta’ NIS2, l-obbligi tal-ICT taħt DORA, il-kuntratti tal-klijenti u r-responsabbiltà tal-GDPR |
| 5.35 Rieżami indipendenti tas-sigurtà tal-informazzjoni | Ir-rieżamijiet huma oġġettivi, ippjanati, kompetenti u jingħataw segwitu? | Jappoġġa l-assigurazzjoni fuq il-miżuri taċ-ċibersigurtà, l-ittestjar tar-reżiljenza tal-ICT u s-sorveljanza mill-maniġment |
| 5.36 Konformità mal-politiki, regoli u standards għas-sigurtà tal-informazzjoni | Ir-regoli interni jiġu segwiti fil-prattika u mmonitorjati kontinwament? | Jappoġġa l-applikazzjoni tal-politika, l-iġjene ċibernetika, il-kontroll tal-aċċess, it-tħejjija għall-inċidenti u l-azzjoni korrettiva |
Il-Kontroll 5.35 huwa l-pedament tal-assigurazzjoni għax jivverifika jekk l-ISMS hux qed jiġi rieżaminat b’mod indipendenti. Il-Kontroll 5.36 jikkonferma li l-politiki mhumiex biss approvati, iżda verament segwiti. Il-Kontroll 5.31 jgħaqqad l-ISMS mal-obbligi legali, regolatorji u kuntrattwali, inklużi NIS2, DORA, GDPR u r-rekwiżiti tas-sigurtà tal-klijenti.
Immappjar tal-konformità trasversali: awditu wieħed, diversi perspettivi ta’ assigurazzjoni
Dokument ta’ ħidma matur tal-awditjar intern għandu juri b’mod espliċitu kif oġġett wieħed ta’ evidenza jappoġġa diversi aspettattivi ta’ assigurazzjoni.
| Evidenza tal-awditjar | Assigurazzjoni ISO 27001 | Rilevanza għal NIS2 | Rilevanza għal DORA | Rilevanza għal GDPR, NIST u COBIT |
|---|---|---|---|---|
| Reġistru legali u regolatorju | Kuntest u obbligi ta’ konformità | Kamp ta’ applikazzjoni, status tal-entità, fatturi ta’ Article 21 | Obbligi settorjali tar-reżiljenza tal-ICT | Responsabbiltà tal-GDPR, NIST CSF GOVERN, konformità esterna ta’ COBIT |
| Reġistru tar-riskju u pjan ta’ trattament | Valutazzjoni tar-riskju, trattament, Dikjarazzjoni ta’ Applikabbiltà | Miżuri xierqa u proporzjonati | Qafas tal-ġestjoni tar-riskju tal-ICT u tolleranza | Ġestjoni tar-riskju ta’ NIST, ottimizzazzjoni tar-riskju ta’ COBIT |
| Rapport ta’ eżerċizzju tabletop tal-inċidenti | Tħejjija għall-inċidenti u tagħlimiet miksuba | Tħejjija tal-fluss tax-xogħol tar-rappurtar | Klassifikazzjoni, eskalazzjoni, rappurtar u kawża ewlenija | Tħejjija għall-ksur tal-GDPR, NIST CSF RESPOND, inċidenti ġestiti taħt COBIT |
| Fajl tad-diliġenza dovuta tal-fornitur | Relazzjoni mal-fornituri u katina tal-provvista tal-ICT | Vulnerabbiltajiet u prattiki tal-fornituri | Reġistru ta’ partijiet terzi tal-ICT, diliġenza dovuta, ippjanar tal-ħruġ | NIST C-SCRM, governanza tal-fornituri taħt COBIT |
| Test tar-restawr mill-backup | Tħejjija tal-ICT u kontinwità | Backup, irkupru minn diżastru, ġestjoni tal-kriżijiet | Objettivi ta’ rkupru, restawr u kontrolli tal-integrità | Disponibbiltà taħt GDPR, NIST CSF RECOVER, kontinwità taħt COBIT |
| Rieżami tal-aċċess | Kontroll tal-aċċess u sigurtà tar-riżorsi umani | Kontroll tal-aċċess u aspettattivi tal-MFA | Prinċipju tal-inqas privileġġ u awtentikazzjoni b’saħħitha | Integrità u kunfidenzjalità taħt GDPR, NIST CSF PROTECT |
Dan huwa dak li jippermetti lill-CISO jgħid lill-bord, “L-awditu tal-inċidenti tagħna ta’ Lulju pproduċa evidenza għal ISO 27001, NIS2, assigurazzjoni tal-klijenti taħt DORA, tħejjija għall-ksur taħt GDPR, riżultati ta’ rispons taħt NIST CSF u governanza tal-inċidenti taħt COBIT.”
Rieżami mill-maniġment: fejn l-awditjar isir responsabbiltà
L-awditjar intern għandu valur limitat jekk is-sejbiet ma jaslux għand il-maniġment. Ir-rieżami mill-maniġment ta’ ISO 27001 jipprovdi l-mekkaniżmu, u NIS2 u DORA jagħmlu l-aspettattiva ta’ governanza espliċita.
Il-Audit and Compliance Monitoring Policy-sme teħtieġ:
Is-sejbiet tal-awditjar u l-aġġornamenti tal-istatus għandhom jiġu inklużi fil-proċess tar-rieżami mill-maniġment tal-ISMS.
Mit-taqsima “Rekwiżiti ta’ Governanza”, klawżola tal-politika 5.4.3.
Tiddikjara wkoll:
Il-GM għandu japprova pjan ta’ azzjoni korrettiva u jsegwi l-implimentazzjoni tiegħu.
Mit-taqsima “Rekwiżiti ta’ Governanza”, klawżola tal-politika 5.4.2.
Ir-rieżami mill-maniġment għandu jwieġeb:
- L-obbligi ta’ NIS2, DORA, GDPR u dawk kuntrattwali għadhom riflessi b’mod korrett fil-kamp ta’ applikazzjoni tal-ISMS?
- Il-kontrolli ta’ riskju għoli qed jiġu awditjati bi frekwenza suffiċjenti?
- Liema sejbiet jindikaw dgħufija sistemika aktar milli żball iżolat?
- Hemm azzjonijiet korrettivi li ilhom dovuti?
- Is-sidien tar-riskju qed jaċċettaw ir-riskju residwu b’mod konxju?
- Il-fornituri, ir-rappurtar tal-inċidenti, il-kontinwità u l-ittestjar għandhom biżżejjed riżorsi?
- Ix-xejriet tal-awditjar jissuġġerixxu bidliet fil-politiki, fl-għodod, fil-baġit jew fit-taħriġ?
Jekk dawn it-tweġibiet ma jkunux dokumentati, l-organizzazzjoni jista’ jkollha evidenza ta’ attività iżda mhux evidenza ta’ governanza.
Żbalji komuni li għandhom jiġu evitati fl-2026
L-aktar falliment komuni huwa li l-awditjar intern ISO 27001 jiġi ttrattat bħala separat mill-assigurazzjoni regolatorja. Dan joħloq duplikazzjoni u blind spots.
Żbalji oħra jinkludu:
- Il-kamp ta’ applikazzjoni jeskludi fornituri kritiċi, pjattaformi cloud jew servizzi ta’ SOC esternalizzat.
- L-applikabbiltà ta’ NIS2 jew DORA mhijiex dokumentata fir-reġistru legali.
- Il-pjan tal-awditjar mhuwiex approvat mill-maniġment.
- Il-kampjunar jitwettaq iżda ma jiġix dokumentat.
- Awdituri interni jirrieżaminaw xogħolhom stess mingħajr mitigazzjoni.
- Is-sejbiet jiddeskrivu sintomi iżda mhux kawżi ewlenin.
- L-azzjonijiet korrettivi jaġġornaw dokumenti iżda ma jsewwux il-proċessi.
- Ir-rieżami mill-maniġment jirċievi riżultati tal-awditjar iżda ma jieħu l-ebda deċiżjoni.
- L-eżerċizzji tal-inċidenti jittestjaw ir-rispons tekniku iżda mhux in-notifika regolatorja.
- L-awditi tal-fornituri jirrieżaminaw kwestjonarji iżda mhux kuntratti, pjanijiet ta’ ħruġ jew riskju ta’ konċentrazzjoni.
- L-evidenza tal-backup turi xogħlijiet ta’ backup li rnexxew iżda mhux integrità tar-restawr.
- Rieżamijiet tal-aċċess jitwettqu iżda l-eċċezzjonijiet ma jiġux segwiti sal-għeluq.
Kull żball jista’ jsir nuqqas ta’ konformità minuri jew maġġuri skont is-severità u l-impatt sistemiku. Aktar importanti minn hekk, kull wieħed idgħajjef il-kapaċità tal-organizzazzjoni li tipprova r-reżiljenza taħt NIS2, DORA u l-iskrutinju tal-klijenti.
Ibdel il-pjan tal-awditjar tiegħek għall-2026 f’magna tal-evidenza
Jekk il-programm ta’ awditjar intern tiegħek għadu avveniment annwali wieħed, issa huwa l-waqt li tfasslu mill-ġdid.
Ibda b’pjan ta’ awditjar approvat mill-maniġment. Iddefinixxi l-kamp ta’ applikazzjoni tal-ISMS madwar servizzi reali, obbligi regolati u dipendenzi fuq partijiet terzi. Ibni univers tal-awditjar ibbażat fuq ir-riskju. Iddokumenta l-kampjunar. Ikklassifika s-sejbiet b’mod konsistenti. Uża analiżi tal-kawża ewlenija. Segwi l-CAPA. Daħħal ir-riżultati fir-rieżami mill-maniġment. Żomm kalendarju ta’ evidenza ta’ kull xahar.
Clarysec tista’ tgħinek timxi aktar malajr b’:
- Zenith Blueprint: An Auditor’s 30-Step Roadmap għall-ippjanar tal-awditjar, l-eżekuzzjoni, is-sejbiet, ir-rieżami mill-maniġment u t-titjib kontinwu.
- Zenith Controls: The Cross-Compliance Guide għall-immappjar tal-assigurazzjoni ISO 27001 mal-aspettattivi ta’ NIS2, DORA, GDPR, NIST CSF u COBIT.
- Audit and Compliance Monitoring Policy u Audit and Compliance Monitoring Policy-sme għall-ippjanar tal-awditjar u l-ġestjoni tas-sejbiet lesti għall-governanza.
- Information Security Policy għar-rieżami tal-KPI, tal-inċidenti, tas-sejbiet tal-awditjar u tal-istatus tar-riskju fil-livell tal-maniġment.
Agħżel qasam wieħed ta’ riskju għoli, bħar-rappurtar tal-inċidenti jew il-governanza tal-fornituri tal-ICT, u wettaq awditu intern iffukat billi tuża l-istruttura ta’ Clarysec għall-kamp ta’ applikazzjoni, il-kampjunar u s-sejbiet. Fi żmien ċiklu wieħed, tkun taf jekk l-evidenza tiegħek hijiex lesta għall-awditjar, jekk il-kontrolli tiegħek humiex qed joperaw u jekk il-korp maniġerjali tiegħek għandux l-informazzjoni li għandu bżonn biex jiggoverna r-riskju ċibernetiku.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
