Il-Funzjoni Govern ta’ NIST CSF 2.0 għall-SMEs u ISO 27001
Sarah, il-CISO li kienet għadha kemm inħatret f’SME FinTech li qed tikber malajr, kellha whiteboard mimlija oqfsa u skadenza li ma setgħetx tinbidel. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Riskju tal-fornituri. Responsabbiltà tal-bord. Diliġenza dovuta minn klijenti korporattivi.
Il-kawża kienet familjari: spreadsheet mingħand klijent ewlieni fis-servizzi finanzjarji. It-tim tal-Akkwist ried evidenza ta’ mudell ta’ governanza taċ-ċibersigurtà, aptit għar-riskju, programm tas-sigurtà tal-fornituri, immappjar tal-obbligi legali u regolatorji, proċess ta’ eskalazzjoni tal-inċidenti u allinjament ma’ ISO 27001:2022.
Il-Kap Eżekuttiv ma riditx diskors dwar il-konformità. Riedet tweġiba sempliċi għal mistoqsija diffiċli: “Kif nippruvaw lill-bord tagħna, lill-klijenti tagħna u lir-regolaturi tagħna li għandna kontroll fuq ir-riskju ċibernetiku?”
Din hija l-problema ta’ governanza li qed jiffaċċjaw ħafna SMEs. Kwestjonarju tal-klijent rarament ikun biss kwestjonarju tal-klijent. Spiss ikun ħames diskussjonijiet dwar il-konformità miġbura f’talba waħda. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, aspettattivi tal-fornituri mmexxija minn DORA, reżiljenza fil-cloud, sorveljanza mill-bord u impenji kuntrattwali jkunu kollha moħbija fl-istess talba għall-evidenza.
Ħafna SMEs iwieġbu billi joħolqu artefatti separati: spreadsheet għal NIST, folder taċ-ċertifikazzjoni ISO, tracker tal-GDPR, Reġistru tar-Riskji tal-fornituri u Pjan ta’ Rispons għall-Inċidenti li ma jkunux marbuta ma’ xulxin. Sitt xhur wara, ħadd ma jkun jaf liema dokument huwa awtorevoli.
L-approċċ ta’ Clarysec huwa differenti. Uża l-Funzjoni Govern ta’ NIST CSF 2.0 bħala s-saff ta’ governanza eżekuttiva, imbagħad immappjaha ma’ politiki ISO 27001:2022, trattament tar-riskju, id-Dikjarazzjoni ta’ Applikabbiltà, sorveljanza tal-fornituri, rieżami mill-maniġment u evidenza tal-awditjar. Ir-riżultat mhuwiex aktar xogħol ta’ konformità. Huwa mudell operattiv wieħed li jista’ jwieġeb lill-awdituri, lill-klijenti, lir-regolaturi u lit-tmexxija bl-istess sett ta’ evidenza.
Għaliex il-Funzjoni Govern ta’ NIST CSF 2.0 hija importanti għall-SMEs
NIST CSF 2.0 jgħolli l-governanza għal funzjoni tagħha stess, flimkien ma’ Identify, Protect, Detect, Respond u Recover. Din il-bidla hija importanti għaliex il-biċċa l-kbira tal-fallimenti tas-sigurtà fl-SMEs ma jiġux ikkawżati min-nuqqas ta’ għodda oħra. Jiġu kkawżati minn responsabbiltà mhux ċara, deċiżjonijiet dgħajfa dwar ir-riskju, eċċezzjonijiet mhux dokumentati, sorveljanza inkonsistenti tal-fornituri u politiki li ġew approvati darba iżda qatt ma ġew operazzjonalizzati.
Il-Funzjoni Govern ta’ NIST CSF 2.0 tbiddel il-mistoqsija minn “x’kontrolli għandna?” għal “min hu responsabbli, liema obbligi japplikaw, kif jiġu pprijoritizzati r-riskji u kif tiġi riveduta l-prestazzjoni?”
Għall-SMEs, ir-riżultati ta’ Govern jipprovdu mandat prattiku:
- Jifhmu u jimmaniġġjaw l-obbligi legali, regolatorji, kuntrattwali, tal-privatezza u tal-libertajiet ċivili.
- Jistabbilixxu l-aptit għar-riskju, it-tolleranza għar-riskju, il-punteġġjar tar-riskju, il-prijoritizzazzjoni u l-għażliet ta’ rispons għar-riskju.
- Jiddefinixxu r-rwoli, ir-responsabbiltajiet, l-awtoritajiet, il-mogħdijiet ta’ eskalazzjoni u r-riżorsi taċ-ċibersigurtà.
- Jistabbilixxu, jikkomunikaw, japplikaw, jirrevedu u jaġġornaw il-politiki taċ-ċibersigurtà.
- Jirrevedu l-istrateġija taċ-ċibersigurtà, il-prestazzjoni u r-responsabbiltà tal-maniġment.
- Jiggwernaw ir-riskju taċ-ċibersigurtà tal-fornituri u ta’ partijiet terzi mid-diliġenza dovuta sat-terminazzjoni tar-relazzjoni.
Għalhekk NIST CSF 2.0 Govern huwa punt ta’ dħul b’saħħtu ħafna għal ISO 27001:2022. NIST jagħti lill-eżekuttivi l-lingwaġġ tal-governanza. ISO 27001:2022 jagħti s-sistema ta’ ġestjoni li tista’ tiġi awditjata.
Il-klawżoli 4 sa 10 ta’ ISO 27001:2022 jeħtieġu li l-organizzazzjonijiet jifhmu l-kuntest, jiddefinixxu l-partijiet interessati, jistabbilixxu l-kamp ta’ applikazzjoni tal-ISMS, juru tmexxija, jippjanaw il-valutazzjoni tar-riskju u t-trattament tar-riskju, jappoġġaw informazzjoni dokumentata, iħaddmu kontrolli, jevalwaw il-prestazzjoni, iwettqu awditi interni u rieżamijiet mill-maniġment, u jtejbu kontinwament. L-Anness A imbagħad jipprovdi s-sett ta’ referenza tal-kontrolli, inklużi politiki, responsabbiltajiet tal-maniġment, obbligi legali, privatezza, relazzjonijiet mal-fornituri, servizzi cloud, ġestjoni tal-inċidenti u tħejjija tal-ICT għall-kontinwità tan-negozju.
Il-Politika tas-Sigurtà tal-Informazzjoni għall-intrapriżi ta’ Clarysec Politika tas-Sigurtà tal-Informazzjoni tiddikjara:
L-organizzazzjoni għandha żżomm mudell formali ta’ governanza biex tissorvelja l-ISMS, allinjat mal-Klawżoli 5.1 u 9.3 ta’ ISO/IEC 27001.
Dak ir-rekwiżit, mill-klawżola 5.1 tal-Politika tas-Sigurtà tal-Informazzjoni, huwa l-pont prattiku bejn ir-responsabbiltà NIST GV u l-aspettattivi ta’ tmexxija ta’ ISO 27001:2022. Il-governanza mhijiex preżentazzjoni annwali. Hija mudell formali li jgħaqqad deċiżjonijiet, politiki, rwoli, riskji, kontrolli, evidenza u rieżami.
L-immappjar ewlieni: NIST CSF 2.0 Govern ma’ evidenza ISO 27001:2022
L-aktar mod mgħaġġel biex NIST CSF 2.0 ikun utli huwa li r-riżultati ta’ Govern jinbidlu f’sjieda tal-politiki u evidenza tal-awditjar. It-tabella t’hawn taħt hija l-istruttura li Clarysec juża ma’ SMEs li qed jippreparaw għal ċertifikazzjoni ISO 27001:2022, diliġenza dovuta minn klijenti korporattivi, tħejjija għal NIS2, assigurazzjoni għall-klijenti ta’ DORA u responsabbiltà GDPR.
| Qasam NIST CSF 2.0 Govern | Mistoqsija ta’ governanza għall-SME | Allinjament ma’ ISO 27001:2022 | Punt ta’ ankra tal-politika ta’ Clarysec | Evidenza mistennija mill-awdituri u mill-klijenti |
|---|---|---|---|---|
| GV.OC, kuntest organizzattiv | Nafu l-obbligi legali, regolatorji, kuntrattwali, tal-privatezza u tan-negozju tagħna? | Klawżoli 4.1 sa 4.4, Anness A 5.31 u 5.34 | Politika dwar il-Konformità Legali u Regolatorja | Reġistru tal-Konformità, kamp ta’ applikazzjoni tal-ISMS, reġistru tal-partijiet interessati, mappa tal-obbligi tal-klijenti, reġistru tal-privatezza |
| GV.RM, strateġija tal-ġestjoni tar-riskju | Kif niddefinixxu, niskorjaw, nipprijoritizzaw, naċċettaw u nittrattaw ir-riskji ċibernetiċi? | Klawżoli 6.1.1 sa 6.1.3, 8.2 u 8.3 | Politika tal-Ġestjoni tar-Riskju | Metodoloġija tar-riskju, Reġistru tar-Riskji, Pjan ta’ Trattament tar-Riskju, approvazzjonijiet tas-Sid tar-Riskju, immappjar tas-SoA |
| GV.RR, rwoli u responsabbiltajiet | Min għandu s-sjieda tad-deċiżjonijiet taċ-ċibersigurtà, l-eċċezzjonijiet, ir-riżorsi u r-rappurtar? | Klawżoli 5.1 sa 5.3, Anness A 5.2 u 5.4 | Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza għall-SMEs | RACI, deskrizzjonijiet tar-rwoli, minuti tal-laqgħat, approvazzjonijiet tal-eċċezzjonijiet, reġistri tat-taħriġ |
| GV.PO, politika | Il-politiki huma approvati, ikkomunikati, applikati, riveduti u aġġornati? | Klawżoli 5.2, 7.5 u 9.3, Anness A 5.1 | Politika tas-Sigurtà tal-Informazzjoni | Reġistru tal-politiki, reġistri ta’ approvazzjoni, storja tal-verżjonijiet, rikonoxximenti tal-impjegati, minuti tar-rieżami tal-politiki |
| GV.OV, sorveljanza | L-istrateġija u l-prestazzjoni taċ-ċibersigurtà jiġu riveduti u aġġustati? | Klawżoli 9.1, 9.2, 9.3, 10.1 u 10.2 | Politika tal-Monitoraġġ tal-Awditjar u l-Konformità | dashboard tal-KPIs, pjan tal-awditjar intern, outputs tar-rieżami mill-maniġment, azzjonijiet korrettivi |
| GV.SC, riskju tal-katina tal-provvista | Il-fornituri huma magħrufa, ipprijoritizzati, evalwati, kuntrattati, immonitorjati u rtirati b’mod ikkontrollat? | Anness A 5.19 sa 5.23 u 5.30 | Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri għall-SMEs | Inventarju tal-fornituri, reġistri tad-diliġenza dovuta, klawżoli kuntrattwali, reġistri tar-rieżami, pjanijiet ta’ ħruġ, kuntatti għall-inċidenti |
Dan l-immappjar huwa intenzjonalment iffukat fuq l-evidenza. Ma jitlobx lill-SME toħloq 40 dokument. Jistaqsi ħames mistoqsijiet operattivi:
- Liema deċiżjoni qed tittieħed?
- Min għandu s-sjieda tagħha?
- Liema politika tirregolaha?
- Liema klawżola ISO 27001:2022 jew kontroll tal-Anness A jappoġġaha?
- Liema evidenza turi li seħħet?
Il-Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza għall-SMEs Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza għall-SMEs - SME tagħmel dik it-traċċabbiltà espliċita:
Id-deċiżjonijiet, l-eċċezzjonijiet u l-eskalazzjonijiet sinifikanti kollha dwar is-sigurtà għandhom jiġu rreġistrati u jkunu traċċabbli.
Din il-kwotazzjoni ġejja mill-klawżola 5.5 tal-Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza għall-SMEs. Tbiddel NIST GV.RR minn prinċipju ta’ governanza għal regola operattiva li tista’ tiġi awditjata.
Ibda b’Profil CSF Govern, mhux bi spreadsheet tal-kontrolli
Il-Profili Organizzattivi ta’ NIST CSF 2.0 jgħinu lill-organizzazzjonijiet jiddeskrivu r-riżultati kurrenti u fil-mira taċ-ċibersigurtà. Għall-SMEs, il-Profil huwa fejn il-governanza ssir maniġġabbli.
Workshop prattiku dwar Profil Govern għandu jwieġeb ħames mistoqsijiet:
- X’inhu fil-kamp ta’ applikazzjoni: il-kumpanija kollha, pjattaforma SaaS, prodott regolat, jew ambjent ta’ klijent?
- Liema obbligi jmexxu l-profil: kuntratti tal-klijenti, GDPR, espożizzjoni għal NIS2, aspettattivi tal-klijenti mmexxija minn DORA, ċertifikazzjoni ISO 27001:2022, jew diliġenza dovuta tal-investituri?
- X’tipprova l-evidenza kurrenti, mhux x’jemmnu n-nies li jeżisti?
- Liema stat fil-mira huwa realistiku għad-90 jum li ġejjin u għat-12-il xahar li ġejjin?
- Liema riskji, politiki, fornituri u entrati tas-SoA għandhom jinbidlu?
Il-Zenith Blueprint: Pjan direzzjonali ta’ awditur fi 30 pass Zenith Blueprint jappoġġa dan fil-fażi tal-Fondazzjoni u t-Tmexxija tal-ISMS, Pass 6, “Informazzjoni dokumentata u bini tal-librerija tal-ISMS.” Jirrakkomanda li s-SoA titħejja kmieni u tintuża bħala librerija tal-kontrolli:
✓ Kontrolli addizzjonali: Hemm kontrolli barra l-Anness A li tista’ tinkludi? ISO 27001 jippermetti li jiżdiedu kontrolli oħra fis-SoA. Pereżempju, forsi trid tinkludi konformità ma’ NIST CSF jew kontrolli speċifiċi tal-privatezza minn ISO 27701. Ġeneralment, l-Anness A huwa komprensiv, iżda tista’ żżid kwalunkwe kontroll uniku li tippjana
✓ Uża Spreadsheet (SoA Builder): Approċċ prattiku huwa li tħejji l-ispreadsheet tas-SoA issa. Ħejjejna mudell SoA_Builder.xlsx li jelenka l-kontrolli kollha tal-Anness A b’kolonni għall-applikabbiltà, l-istatus tal-implimentazzjoni u n-noti.
Għal SME, dan huwa importanti. M’hemmx għalfejn tisforza NIST CSF 2.0 fl-Anness A ta’ ISO bħallikieku t-tnejn huma identiċi. Tista’ tinkludi r-riżultati ta’ CSF Govern bħala rekwiżiti addizzjonali ta’ governanza fil-librerija tas-SoA tiegħek, timmappjahom ma’ klawżoli ISO 27001:2022 u kontrolli tal-Anness A, u tużahom biex ittejjeb ir-rieżami mill-maniġment, il-governanza tal-fornituri, ir-rappurtar tar-riskju u l-monitoraġġ tal-konformità.
Ibni Reġistru tal-Evidenza għal Govern
Reġistru tal-Evidenza għal Govern huwa l-għodda prattika li tbiddel l-oqfsa fi prova. Għandu jgħaqqad kull riżultat NIST ma’ referenza ISO, sid tal-politika, oġġett ta’ evidenza, frekwenza tar-rieżami, lakuna u azzjoni.
| Qasam | Eżempju ta’ entrata |
|---|---|
| Riżultat CSF | GV.OC-03 |
| Mistoqsija ta’ governanza | L-obbligi legali, regolatorji, kuntrattwali, tal-privatezza u tal-libertajiet ċivili huma mifhuma u mmaniġġjati? |
| Referenza ISO 27001:2022 | Klawżoli 4.2, 4.3 u 6.1.3, Anness A 5.31 u 5.34 |
| Politika ta’ Clarysec | Politika dwar il-Konformità Legali u Regolatorja |
| Sid tal-evidenza | Maniġer tal-Konformità |
| Evidenza | Reġistru tal-Konformità v1.4, mappa tal-obbligi tal-klijenti, reġistru tal-ipproċessar tal-GDPR |
| Frekwenza tar-rieżami | Kull tliet xhur u meta jseħħu bidliet f’suq, klijent jew prodott ġdid |
| Lakuna | Il-klawżoli DORA mgħoddija mill-klijenti mhumiex immappjati mal-kuntratti tal-fornituri |
| Azzjoni | Aġġorna l-mudell tal-kuntratt tal-fornituri u n-noti tas-SoA |
| Data ta’ skadenza | 30 jum |
Il-Politika dwar il-Konformità Legali u Regolatorja għall-intrapriżi ta’ Clarysec Politika dwar il-Konformità Legali u Regolatorja tagħti r-rekwiżit ta’ governanza:
L-obbligi legali u regolatorji kollha għandhom jiġu mmappjati ma’ politiki, kontrolli u sidien speċifiċi fi ħdan is-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS).
Din hija l-klawżola 6.2.1 tal-Politika dwar il-Konformità Legali u Regolatorja. Għall-SMEs, il-Politika dwar il-Konformità Legali u Regolatorja għall-SMEs Politika dwar il-Konformità Legali u Regolatorja għall-SMEs - SME iżżid rekwiżit prattiku ta’ immappjar trasversali:
Fejn regolament japplika għal diversi oqsma (eż. GDPR japplika għaż-żamma, is-sigurtà u l-privatezza), dan għandu jiġi mmappjat b’mod ċar fir-Reġistru tal-Konformità u fil-materjal tat-taħriġ.
Dik il-kwotazzjoni ġejja mill-klawżola 5.2.2 tal-Politika dwar il-Konformità Legali u Regolatorja għall-SMEs. Flimkien, dawn il-klawżoli jibdlu GV.OC-03 fi proċess immaniġġjat, rivedibbli u lest għall-awditjar.
Għaqqad il-punteġġjar tar-riskju mat-trattament tar-riskju u s-SoA
NIST GV.RM jeħtieġ objettivi tar-riskju, aptit għar-riskju, tolleranza għar-riskju, kalkolu standardizzat tar-riskju, għażliet ta’ rispons u linji ta’ komunikazzjoni. ISO 27001:2022 joperazzjonalizza dan permezz ta’ valutazzjoni tar-riskju, trattament tar-riskju, approvazzjoni mis-Sid tar-Riskju, aċċettazzjoni tar-riskju residwu u d-Dikjarazzjoni ta’ Applikabbiltà.
Il-Politika tal-Ġestjoni tar-Riskju għall-SMEs Politika tal-Ġestjoni tar-Riskju għall-SMEs - SME hija intenzjonalment konkreta:
Kull entrata tar-riskju għandha tinkludi: deskrizzjoni, probabbiltà, impatt, punteġġ, sid u pjan ta’ trattament.
Dan ġej mill-klawżola 5.1.2 tal-Politika tal-Ġestjoni tar-Riskju għall-SMEs. Il-Politika tal-Ġestjoni tar-Riskju għall-intrapriżi Politika tal-Ġestjoni tar-Riskju issaħħaħ il-konnessjoni mas-SoA:
Dikjarazzjoni ta’ Applikabbiltà (SoA) għandha tirrifletti d-deċiżjonijiet kollha ta’ trattament u għandha tiġi aġġornata kull meta l-kopertura tal-kontrolli tinbidel.
Dik hija l-klawżola 5.4 tal-Politika tal-Ġestjoni tar-Riskju.
Ikkunsidra riskju reali għal SME: aċċess mhux awtorizzat għad-data tal-klijenti fil-produzzjoni minħabba applikazzjoni inkonsistenti tal-MFA fil-kontijiet ta’ amministrazzjoni tal-cloud.
Immappjar Govern b’saħħtu jinkludi:
- NIST GV.RM għal dokumentazzjoni standardizzata tar-riskju u prijoritizzazzjoni.
- NIST GV.RR għas-sjieda tar-rwoli u l-awtorità biex jiġi applikat il-kontroll tal-aċċess.
- NIST GV.PO għall-applikazzjoni u r-rieżami tal-politiki.
- Klawżoli ISO 27001:2022 6.1.2, 6.1.3, 8.2 u 8.3.
- Kontrolli tal-Anness A għall-kontroll tal-aċċess, il-ġestjoni tal-identità, l-informazzjoni ta’ awtentikazzjoni, il-logging, il-monitoraġġ, il-konfigurazzjoni u s-servizzi cloud.
- Evidenza bħal entrata fir-Reġistru tar-Riskji, esportazzjoni tal-konfigurazzjoni tal-MFA, approvazzjoni ta’ eċċezzjoni, rieżami tal-IAM tal-cloud, deċiżjoni tar-rieżami mill-maniġment u nota tas-SoA aġġornata.
Il-Zenith Blueprint, fażi tal-Ġestjoni tar-Riskju, Pass 13, “Ippjanar tat-Trattament tar-Riskju u Dikjarazzjoni ta’ Applikabbiltà,” jispjega r-rabta:
✓ Żgura allinjament mar-Reġistru tar-Riskji tiegħek: kull kontroll mitiganti li ktibt fil-Pjan ta’ Trattament tar-Riskju għandu jikkorrispondi għal kontroll tal-Anness A immarkat “Applikabbli.” Bil-maqlub, jekk kontroll ikun immarkat bħala applikabbli, għandu jkollok jew riskju jew rekwiżit li jmexxih.
Din hija d-differenza bejn li tgħid “nużaw MFA” u li tipprova “għandna raġuni rregolata, ibbażata fuq ir-riskju u allinjata ma’ ISO 27001:2022 għall-MFA, b’evidenza, sid u frekwenza tar-rieżami.”
Iggverna r-riskju tal-fornituri mingħajr ma tibni programm żejjed
NIST GV.SC huwa wieħed mill-aktar partijiet utli tal-Funzjoni Govern għall-SMEs għaliex SMEs moderni jiddependu ħafna fuq fornituri: fornituri cloud, proċessuri tal-pagamenti, pjattaformi tar-Riżorsi Umani, sistemi tal-helpdesk, repożitorji tal-kodiċi, għodod CI/CD, għodod ta’ monitoraġġ u servizzi ta’ sigurtà ġestiti.
L-Anness A ta’ ISO 27001:2022 jappoġġa dan permezz ta’ kontrolli tal-fornituri u tal-cloud, inklużi 5.19 Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri, 5.20 Indirizzar tas-sigurtà tal-informazzjoni fi ftehimiet mal-fornituri, 5.21 Ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT, 5.22 Monitoraġġ, rieżami u ġestjoni tat-tibdil tas-servizzi tal-fornituri, 5.23 Sigurtà tal-informazzjoni għall-użu ta’ servizzi cloud, u 5.30 Tħejjija tal-ICT għall-kontinwità tan-negozju.
Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri għall-SMEs Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri għall-SMEs - SME tagħmel ir-rekwiżit tal-evidenza ċar:
Dawn ir-rieżamijiet għandhom jiġu dokumentati u miżmuma mar-reġistru tal-fornitur. L-azzjonijiet ta’ segwitu għandhom jiġu traċċati b’mod ċar.
Din hija l-klawżola 6.3.2 tal-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri għall-SMEs.
Mudell ħafif għall-fornituri f’SME jista’ juża tliet livelli:
| Livell tal-fornitur | Kriterji | Evidenza minima | Frekwenza tar-rieżami |
|---|---|---|---|
| Kritiku | Jappoġġa l-produzzjoni, id-data tal-klijenti, l-awtentikazzjoni, il-monitoraġġ tas-sigurtà, il-fluss tal-ħlasijiet jew it-twassil ta’ servizz regolat | Kwestjonarju tad-diliġenza dovuta, klawżoli kuntrattwali tas-sigurtà, SLA, kuntatt għall-inċidenti, pjan ta’ ħruġ, rieżami tar-riskju | Annwali u meta jkun hemm bidla materjali |
| Importanti | Jappoġġa l-operazzjonijiet tan-negozju jew informazzjoni sensittiva interna iżda mhux it-twassil dirett ta’ servizz kritiku | Sommarju tas-sigurtà, termini tal-ipproċessar tad-data, rieżami tal-aċċess, aċċettazzjoni tar-riskju jekk ikun hemm lakuni | Kull 18-il xahar |
| Standard | Għodod b’riskju baxx mingħajr data sensittiva jew dipendenza kritika | Approvazzjoni mis-sid tan-negozju, kontroll bażiku tad-data u tal-aċċess | Waqt l-onboarding u mat-tiġdid |
Dan il-mudell sempliċi jappoġġa NIST GV.SC, il-kontrolli tal-fornituri ta’ ISO 27001:2022, id-diliġenza dovuta tal-klijenti u l-aspettattivi kuntrattwali mmexxija minn DORA minn klijenti finanzjarji.
It-tmiem tar-relazzjoni mal-fornitur jistħoqqlu attenzjoni speċjali. NIST GV.SC jistenna governanza tul iċ-ċiklu kollu tal-ħajja tal-fornitur, inkluż it-tmiem tar-relazzjoni. L-evidenza għandha tinkludi ritorn jew tħassir tad-data, tneħħija tal-aċċess, ippjanar tat-tranżizzjoni tas-servizz, reġistri kuntrattwali miżmuma u rieżami tar-riskju residwu.
Uża Zenith Controls għall-konformità trasversali, mhux bħala sett separat ta’ kontrolli
Zenith Controls: Il-Gwida għall-Konformità Trasversali ta’ Clarysec Zenith Controls hija gwida għall-konformità trasversali għall-immappjar tat-temi ta’ kontroll ISO/IEC 27002:2022 ma’ diversi oqfsa u lentijiet ta’ awditjar. Dawn mhumiex “Zenith controls” separati. Huma kontrolli ISO/IEC 27002:2022 analizzati fi ħdan Zenith Controls għall-użu fil-konformità trasversali.
Għal NIST CSF 2.0 Govern, tliet oqsma ta’ kontroll ISO/IEC 27002:2022 huma partikolarment importanti:
| Qasam ta’ kontroll ISO/IEC 27002:2022 f’Zenith Controls | Konnessjoni ma’ NIST CSF 2.0 Govern | Interpretazzjoni prattika għall-SME |
|---|---|---|
| 5.1 Politiki għas-sigurtà tal-informazzjoni | GV.PO | Il-politiki għandhom jiġu approvati, ikkomunikati, applikati, riveduti u aġġornati meta jinbidlu t-theddid, it-teknoloġija, il-liġi jew l-objettivi tan-negozju |
| 5.4 Responsabbiltajiet tal-maniġment | GV.RR u GV.OV | Ir-responsabbiltajiet tas-sigurtà għandhom jiġu assenjati fil-livelli tat-tmexxija u operattivi, b’riżorsi, rappurtar u rieżami |
| 5.31 Rekwiżiti legali, statutorji, regolatorji u kuntrattwali | GV.OC-03 | L-obbligi għandhom jiġu identifikati, immappjati ma’ kontrolli u sidien, immonitorjati għal tibdil u sostnuti b’evidenza |
Il-Zenith Blueprint, fażi tal-Kontrolli fl-Azzjoni, Pass 22, “Kontrolli organizzattivi,” jagħti l-mudell operattiv:
Ifformalizza l-governanza tas-sigurtà tal-informazzjoni
Żgura li l-politiki tiegħek dwar is-sigurtà tal-informazzjoni (5.1) ikunu finalizzati, approvati u taħt kontroll tal-verżjoni. Assenja sidien nominati għal kull qasam ta’ politika (eż. aċċess, iċċifrar, backup) u ddokumenta ir-rwoli u r-responsabbiltajiet madwar l-ISMS (5.2). Irrevedi s-separazzjoni tad-dmirijiet (5.3) f’oqsma ta’ riskju għoli bħall-finanzi, l-amministrazzjoni tas-sistemi u l-kontroll tat-tibdil. Ipproduċi mappa sempliċi ta’ governanza li turi min japprova, min jimplimenta u min jimmonitorja l-politika tas-sigurtà.
Dik il-mappa ta’ governanza hija waħda mill-aktar artefatti ta’ valur li SME tista’ toħloq. Twieġeb għal NIST GV.RR, ir-rekwiżiti ta’ tmexxija ta’ ISO 27001:2022, l-aspettattivi ta’ responsabbiltà tal-maniġment taħt NIS2 u l-mistoqsijiet tal-klijenti dwar min għandu s-sjieda tar-riskju ċibernetiku.
Mudell wieħed ta’ governanza għal NIS2, DORA, GDPR, NIST u ISO
Il-Funzjoni Govern issir l-aktar siewja meta SME tiffaċċja rekwiżiti li jikkoinċidu.
NIS2 jeħtieġ li entitajiet essenzjali u importanti fil-kamp ta’ applikazzjoni jadottaw miżuri xierqa u proporzjonati għall-ġestjoni tar-riskji taċ-ċibersigurtà. Iqiegħed ukoll responsabbiltà fuq il-korpi maniġerjali biex japprovaw il-miżuri għall-ġestjoni tar-riskji taċ-ċibersigurtà, jissorveljaw l-implimentazzjoni u jsegwu taħriġ. NIST GV.RR jappoġġa r-responsabbiltà tal-maniġment. GV.RM jappoġġa miżuri bbażati fuq ir-riskju. GV.SC jappoġġa s-sigurtà tal-katina tal-provvista. GV.PO jappoġġa l-politiki. GV.OV jappoġġa r-rieżami tal-prestazzjoni.
Il-governanza tal-inċidenti taħt NIS2 tintroduċi wkoll aspettattivi ta’ rappurtar fi stadji, inkluż twissija bikrija fi żmien 24 siegħa, notifika tal-inċident fi żmien 72 siegħa u rappurtar finali fi żmien xahar għal inċidenti sinifikanti. Dawk l-iskadenzi għandhom jiġu riflessi fil-proċeduri ta’ rispons għall-inċidenti, il-mogħdijiet ta’ eskalazzjoni, il-pjanijiet ta’ komunikazzjoni u r-rappurtar lill-maniġment.
DORA japplika mis-17 ta’ Jannar 2025 għal entitajiet finanzjarji tal-UE, iżda ħafna SMEs iħossu l-impatt tiegħu permezz ta’ kuntratti tal-klijenti. Klijenti finanzjarji jistgħu jgħaddu rekwiżiti DORA lil fornituri tal-ICT, fornituri tas-softwer, fornituri ta’ servizzi ġestiti u fornituri dipendenti fuq il-cloud. DORA jiffoka fuq il-ġestjoni tar-riskju tal-ICT, ir-responsabbiltà tal-korp maniġerjali, ir-rappurtar tal-inċidenti, l-ittestjar tar-reżiljenza, ir-riskju ta’ partijiet terzi tal-ICT, ir-rekwiżiti kuntrattwali u s-sorveljanza.
GDPR iżid responsabbiltà għall-ipproċessar tad-data personali. L-SMEs għandhom jifhmu jekk humiex kontrolluri, proċessuri jew it-tnejn, liema data personali jipproċessaw, liema sistemi u fornituri huma involuti, liema bażijiet legali japplikaw u liema xenarji ta’ inċidenti jistgħu jsiru ksur ta’ data personali.
Il-Zenith Blueprint, fażi tal-Ġestjoni tar-Riskju, Pass 14, jirrakkomanda li r-rekwiżiti DORA, NIS2 u GDPR jiġu rreferenzjati b’mod trasversali fis-sett ta’ kontrolli ISO 27001:2022:
Għal kull regolament, jekk applikabbli, tista’ toħloq tabella sempliċi ta’ immappjar (tista’ tkun appendiċi f’rapport) li telenka r-rekwiżiti ewlenin tas-sigurtà tar-regolament u l- kontrolli/politiki korrispondenti fl-ISMS tiegħek. Dan mhuwiex obbligatorju f’ISO 27001, iżda huwa eżerċizzju intern utli biex tiżgura li xejn ma jaqa’ bejn żewġ siġġijiet.
Mappa prattika tal-konformità trasversali tista’ tidher hekk:
| Rekwiżit ta’ governanza | NIST CSF 2.0 Govern | Punt ta’ ankra ISO 27001:2022 | Rilevanza għal NIS2, DORA, GDPR | Evidenza primarja |
|---|---|---|---|---|
| Responsabbiltà tal-maniġment | GV.RR u GV.OV | Klawżoli 5.1, 5.3 u 9.3, Anness A 5.4 | Sorveljanza tal-korp maniġerjali taħt NIS2, responsabbiltà tal-korp maniġerjali taħt DORA | Mappa ta’ governanza, RACI, minuti tar-rieżami mill-maniġment |
| Obbligi legali u kuntrattwali | GV.OC-03 | Klawżoli 4.2, 4.3 u 6.1.3, Anness A 5.31 u 5.34 | Responsabbiltà GDPR, kamp ta’ applikazzjoni legali NIS2, rekwiżiti kuntrattwali DORA mgħoddija lill-fornituri | Reġistru tal-Konformità, mappa tal-obbligi tal-klijenti, reġistru tal-privatezza |
| Miżuri tas-sigurtà bbażati fuq ir-riskju | GV.RM | Klawżoli 6.1.2, 6.1.3, 8.2 u 8.3 | Miżuri tar-riskju taħt NIS2, qafas tar-riskju tal-ICT taħt DORA, sigurtà tal-ipproċessar taħt GDPR | Reġistru tar-Riskji, Pjan ta’ Trattament tar-Riskju, SoA |
| Governanza tal-fornituri | GV.SC | Anness A 5.19 sa 5.23 u 5.30 | Sigurtà tal-katina tal-provvista taħt NIS2, riskju ta’ partijiet terzi tal-ICT taħt DORA, proċessuri taħt GDPR | Inventarju tal-fornituri, diliġenza dovuta, kuntratti, reġistri tar-rieżami |
| Governanza tal-politiki | GV.PO | Klawżola 5.2 u Anness A 5.1 | L-oqfsa kollha jistennew regoli dokumentati, approvati u kkomunikati | Reġistru tal-politiki, storja tal-verżjonijiet, rikonoxximenti |
| Awditjar u titjib | GV.OV | Klawżoli 9.1, 9.2, 9.3, 10.1 u 10.2 | Ittestjar u rimedjazzjoni taħt DORA, effettività taħt NIS2, responsabbiltà GDPR | Rapporti tal-awditjar intern, KPIs, azzjonijiet korrettivi |
Il-valur huwa l-effiċjenza. ISMS ISO 27001:2022 imħaddem tajjeb, iggwidat minn NIST CSF 2.0 Govern, jista’ jiġġenera evidenza li tista’ terġa’ tintuża għal diversi oqfsa fl-istess ħin.
Il-perspettiva tal-awditur: kif tipprova li l-governanza hija reali
Politika fuq xkaffa mhijiex governanza. Awdituri u assessuri jfittxu linja tad-deheb: politika ta’ livell għoli, proċess definit, reġistru operattiv, rieżami mill-maniġment u azzjoni ta’ titjib.
Reviżuri differenti jittestjaw dik il-linja b’modi differenti.
| Lenti tal-awditur | Fuq xiex se jiffokaw | Evidenza li taħdem tajjeb |
|---|---|---|
| Awditur ISO 27001:2022 | Jekk il-governanza hijiex inkorporata fl-ISMS, jekk it-trattament tar-riskju huwiex traċċabbli, jekk id-deċiżjonijiet tas-SoA humiex ġustifikati u jekk l-informazzjoni dokumentata hijiex ikkontrollata | Kamp ta’ applikazzjoni tal-ISMS, Reġistru tal-politiki, Reġistru tar-Riskji, SoA, minuti tar-rieżami mill-maniġment, rapporti tal-awditjar intern, azzjonijiet korrettivi |
| Assessur NIST CSF 2.0 | Jekk jeżistux profili kurrenti u fil-mira, jekk il-lakuni humiex ipprijoritizzati u jekk ir-riżultati Govern humiex marbuta mar-riskju tan-negozju u mas-sorveljanza | Profil CSF, analiżi tal-lakuni, POA&M, dikjarazzjoni tal-aptit għar-riskju, dashboard tat-tmexxija, profil fil-mira tal-fornituri |
| Awditur COBIT 2019 jew stil ISACA | Jekk l-objettivi ta’ governanza, id-drittijiet tad-deċiżjoni, il-miżuri tal-prestazzjoni, is-sjieda tal-kontrolli u l-attivitajiet ta’ assigurazzjoni humiex definiti | Mappa ta’ governanza, RACI, dashboard tal-KPIs u tal-KRIs, attestazzjonijiet tas-sidien tal-kontrolli, Pjan tal-Awditjar, traċċar tal-kwistjonijiet |
| Reviżur GDPR | Jekk l-obbligi tal-privatezza humiex identifikati, jekk l-ipproċessar huwiex immappjat, jekk is-salvagwardji tas-sigurtà humiex xierqa u jekk teżistix evidenza ta’ responsabbiltà | Reġistru tal-ipproċessar, immappjar tal-bażi legali, DPIA fejn meħtieġ, proċess ta’ rispons għal ksur, termini tal-ipproċessar tad-data tal-fornituri |
| Assessur tas-sigurtà tal-klijent | Jekk l-SME tistax tipprova sigurtà operattiva, kontroll tal-fornituri, tħejjija għall-inċidenti u responsabbiltà eżekuttiva mingħajr dewmien eċċessiv | Pakkett tal-evidenza, politiki, rieżamijiet tal-fornituri, outputs ta’ eżerċizzju tabletop tal-inċidenti, rieżami tal-aċċess, testijiet tal-backup, pjan direzzjonali tas-sigurtà |
Il-Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza għall-intrapriżi ta’ Clarysec Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza tiddikjara:
Il-governanza għandha tappoġġa l-integrazzjoni ma’ dixxiplini oħra (eż. riskju, legali, IT, HR), u d-deċiżjonijiet tal-ISMS għandhom ikunu traċċabbli għas-sors tagħhom (eż. reġistri tal-awditjar, reġistri tar-rieżami, minuti tal-laqgħa).
Din hija l-klawżola 5.5 tal-Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza. Taqbad l-essenza tal-konformità trasversali: id-deċiżjonijiet ta’ governanza għandhom ikunu traċċabbli.
Il-Politika tal-Monitoraġġ tal-Awditjar u l-Konformità għall-SMEs Politika tal-Monitoraġġ tal-Awditjar u l-Konformità għall-SMEs - SME iżżid dixxiplina kritika tal-evidenza:
Metadata (eż. min ġabarha, meta, u minn liema sistema) għandha tiġi dokumentata.
Din il-kwotazzjoni ġejja mill-klawżola 6.2.3 tal-Politika tal-Monitoraġġ tal-Awditjar u l-Konformità għall-SMEs. Il-metadata tal-evidenza spiss hija dak li jiddistingwi folder ta’ screenshots minn evidenza ta’ livell adattat għall-awditjar.
Il-Politika tal-Monitoraġġ tal-Awditjar u l-Konformità għall-intrapriżi Politika tal-Monitoraġġ tal-Awditjar u l-Konformità iżżid ir-rekwiżit fil-livell tal-programm:
L-organizzazzjoni għandha żżomm Programm strutturat ta’ Monitoraġġ tal-Awditjar u l-Konformità integrat fl-ISMS, li jkopri:
Din hija l-klawżola 5.1 tal-Politika tal-Monitoraġġ tal-Awditjar u l-Konformità. L-implikazzjoni għall-governanza hija diretta: l-awditjar mhuwiex ġirja ta’ darba fis-sena. Huwa parti mill-operazzjonijiet tal-ISMS.
Żbalji komuni tal-SMEs meta jimmappjaw NIST Govern ma’ ISO 27001:2022
L-ewwel żball huwa dokumentazzjoni żejda mingħajr sjieda. SME tikteb politiki iżda ma tassenjax sidien għat-trattament tar-riskju, ir-rieżamijiet tal-fornituri, l-approvazzjonijiet tal-eċċezzjonijiet jew ir-rappurtar lill-maniġment.
It-tieni żball huwa li l-obbligi legali jiġu ttrattati bħala separati mill-ISMS. NIST GV.OC-03 jeħtieġ li l-obbligi jinftiehmu u jiġu mmaniġġjati. ISO 27001:2022 jeħtieġ li r-rekwiżiti rilevanti tal-partijiet interessati u l-obbligi legali, regolatorji u kuntrattwali jiġu kkunsidrati fl-ISMS.
It-tielet żball huwa raġunament dgħajjef tas-SoA. Is-SoA mhijiex biss lista ta’ kontrolli applikabbli. Hija l-fajl loġiku li jispjega għaliex il-kontrolli huma inklużi, esklużi jew implimentati.
Ir-raba’ żball huwa n-nuqqas ta’ evidenza taċ-ċiklu tal-ħajja tal-fornituri. Il-governanza tal-fornituri tinkludi onboarding, kuntratti, monitoraġġ, inċidenti, bidliet u tluq.
Il-ħames żball huwa li ma jiġix aġġornat il-Profil fil-Mira. Profil CSF għandu jinbidel meta n-negozju jidħol f’ġeografija ġdida, jiffirma klijent ewlieni, jadotta fornitur kritiku, iniedi prodott regolat, jibdel arkitettura cloud jew isofri inċident.
Pjan direzzjonali ta’ 30 jum għal NIST CSF 2.0 Govern għall-SMEs
Jekk SME teħtieġ timxi malajr, ibda bi pjan iffukat ta’ implimentazzjoni ta’ 30 jum.
| Jiem | Attività | Output |
|---|---|---|
| 1 sa 3 | Iddefinixxi l-kamp ta’ applikazzjoni ta’ CSF Govern u iġbor il-politiki, il-kuntratti, ir-reġistri tar-riskju, il-listi tal-fornituri u l-evidenza tal-awditjar eżistenti | Nota tal-kamp ta’ applikazzjoni u inventarju tal-evidenza |
| 4 sa 7 | Ibni r-Reġistru tal-Evidenza għal Govern għal GV.OC, GV.RM, GV.RR, GV.PO, GV.OV u GV.SC | Profil Kurrenti u lakuni inizjali |
| 8 sa 12 | Immappja l-obbligi ma’ politiki ISO 27001:2022, oqsma ta’ kontroll tal-Anness A u sidien | Reġistru tal-Konformità u mappa tas-sjieda tal-politiki |
| 13 sa 17 | Aġġorna r-Reġistru tar-Riskji u l-Pjan ta’ Trattament tar-Riskju, imbagħad allinja l-entrati tas-SoA | Reġistru tar-Riskji, Pjan ta’ Trattament, aġġornamenti tas-SoA |
| 18 sa 22 | Ipprijoritizza l-governanza tal-fornituri, inklużi l-klassifikazzjoni ta’ fornituri kritiċi, lakuni fil-kuntratti u evidenza tar-rieżami | Reġistru tar-riskju tal-fornituri u tracker tal-azzjonijiet |
| 23 sa 26 | Ħejji pakkett tal-evidenza tal-awditjar b’metadata, approvazzjonijiet, reġistri tar-rieżami u deċiżjonijiet tal-maniġment | Pakkett tal-evidenza u indiċi tal-awditjar |
| 27 sa 30 | Wettaq rieżami mill-maniġment u approva l-pjan direzzjonali tal-Profil fil-Mira | Minuti tar-rieżami mill-maniġment, deċiżjonijiet, pjan direzzjonali |
Dan il-pjan joħloq biżżejjed evidenza ta’ governanza biex twieġeb għal mistoqsijiet serji tal-klijenti u tal-awditjar, filwaqt li jibni l-pedament għaċ-ċertifikazzjoni ISO 27001:2022, it-tħejjija għal NIS2, l-assigurazzjoni tal-klijenti ta’ DORA u r-responsabbiltà GDPR.
Ir-riżultat prattiku: storja waħda ta’ governanza, ħafna użi ta’ konformità
Meta Sarah terġa’ tmur quddiem il-bord, ma jibqgħux għandha ħames flussi ta’ xogħol ta’ konformità skonnessi. Għandha storja waħda ta’ governanza.
Ir-riżultati NIST CSF 2.0 Govern huma mmappjati ma’ politiki ISO 27001:2022, sidien, riskji, kontrolli u evidenza. Il-kamp ta’ applikazzjoni tal-ISMS jinkludi dipendenzi fuq klijenti, fornituri, cloud, legali, regolatorji, privatezza u kuntrattwali. Ir-Reġistru tar-Riskji jmexxi d-deċiżjonijiet ta’ trattament u l-applikabbiltà tas-SoA. Il-politiki huma approvati, taħt kontroll tal-verżjoni, b’sjieda assenjata, ikkomunikati u riveduti. Ir-riskji tal-fornituri huma kklassifikati f’livelli, kuntrattati, immonitorjati u traċċati. L-obbligi tal-ipproċessar taħt GDPR, l-aspettattivi ta’ responsabbiltà taħt NIS2 u r-rekwiżiti DORA mgħoddija mill-klijenti jiġu rreferenzjati b’mod trasversali fejn japplikaw. L-evidenza tal-awditjar tinkludi metadata, reġistri tad-deċiżjonijiet u outputs tar-rieżami mill-maniġment.
Hekk tidher il-governanza meta tkun operattiva.
Il-pass li jmiss: ibni l-pakkett tal-evidenza Govern għall-SME tiegħek ma’ Clarysec
Jekk qed tipprepara għal ISO 27001:2022, twieġeb għal diliġenza dovuta minn klijent korporattiv, timmappja r-riżultati ta’ NIST CSF 2.0 Govern, jew tipprova tallinja NIS2, DORA u GDPR mingħajr ma tibni programmi separati, ibda mis-saff ta’ governanza.
Clarysec jista’ jgħinek tibni:
- Profil NIST CSF 2.0 Govern kurrenti u fil-mira.
- Immappjar ta’ politika ISO 27001:2022 u SoA.
- Reġistru tal-obbligi għall-konformità trasversali bl-użu ta’ Zenith Controls Zenith Controls.
- Pjan direzzjonali għall-implimentazzjoni tal-ISMS fi 30 pass bl-użu ta’ Zenith Blueprint Zenith Blueprint.
- Evidenza ta’ politika lesta għall-SMEs bl-użu tas-sett ta’ għodod tal-politiki ta’ Clarysec, inklużi Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza għall-SMEs Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza għall-SMEs - SME, Politika tal-Ġestjoni tar-Riskju għall-SMEs Politika tal-Ġestjoni tar-Riskju għall-SMEs - SME, Politika dwar il-Konformità Legali u Regolatorja għall-SMEs Politika dwar il-Konformità Legali u Regolatorja għall-SMEs - SME, Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri għall-SMEs Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri għall-SMEs - SME, u Politika tal-Monitoraġġ tal-Awditjar u l-Konformità għall-SMEs Politika tal-Monitoraġġ tal-Awditjar u l-Konformità għall-SMEs - SME.
L-aktar triq mgħaġġla mhijiex spreadsheet oħra. Hija ISMS iggwernat, ibbażat fuq ir-riskju u lest bl-evidenza, li jippermetti lill-SME tiegħek twieġeb mistoqsija waħda b’kunfidenza:
Tista’ tipprova li ċ-ċibersigurtà hija mmaniġġjata, għandha sidien assenjati, tiġi riveduta u titjieb kontinwament?
Ma’ Clarysec, it-tweġiba ssir iva.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
