NIST CSF 2.0 Govern dla MŚP i ISO 27001
Sarah, nowo mianowana dyrektor ds. bezpieczeństwa informacji (CISO) w szybko rosnącym MŚP z sektora FinTech, miała tablicę wypełnioną ramami i normami oraz termin, którego nie dało się przesunąć. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Ryzyko dostawców. Rozliczalność zarządu. Due diligence klientów korporacyjnych.
Punkt wyjścia był znajomy: arkusz kalkulacyjny od dużego klienta z sektora usług finansowych. Dział zakupów oczekiwał dowodów na istnienie modelu ładu cyberbezpieczeństwa, apetytu na ryzyko, programu bezpieczeństwa dostawców, mapowania obowiązków prawnych i regulacyjnych, procesu eskalacji incydentów oraz dostosowania do ISO 27001:2022.
Prezes nie oczekiwała wykładu o zgodności. Chciała prostej odpowiedzi na trudne pytanie: „Jak udowodnimy zarządowi, klientom i regulatorom, że kontrolujemy ryzyko cyberbezpieczeństwa?”
To problem ładu zarządczego, z którym mierzy się wiele MŚP. Kwestionariusz klienta rzadko jest tylko kwestionariuszem klienta. Często jest pięcioma rozmowami o zgodności skompresowanymi w jedno żądanie. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, oczekiwania wobec dostawców wynikające z DORA, odporność usług chmurowych, nadzór zarządu i zobowiązania umowne kryją się w tym samym żądaniu dowodów.
Wiele MŚP odpowiada, tworząc oddzielne artefakty: arkusz NIST, folder certyfikacyjny ISO, rejestr GDPR, rejestr ryzyka dostawców oraz plan reagowania na incydenty, które nie są ze sobą powiązane. Sześć miesięcy później nikt nie wie, który dokument jest źródłem prawdy.
Podejście Clarysec jest inne. Funkcję NIST CSF 2.0 Govern należy wykorzystać jako wykonawczą warstwę ładu zarządczego, a następnie zmapować ją na polityki ISO 27001:2022, postępowanie z ryzykiem, Deklarację stosowania, nadzór nad dostawcami, przegląd zarządzania i dowody audytowe. Rezultatem nie jest więcej pracy nad zgodnością. Jest nim jeden model operacyjny, który odpowiada audytorom, klientom, regulatorom i kierownictwu tym samym zestawem dowodów.
Dlaczego funkcja NIST CSF 2.0 Govern ma znaczenie dla MŚP
NIST CSF 2.0 podnosi ład zarządczy do rangi odrębnej funkcji, obok Identify, Protect, Detect, Respond i Recover. Ta zmiana jest istotna, ponieważ większość niepowodzeń bezpieczeństwa w MŚP nie wynika z braku kolejnego narzędzia. Wynika z niejasnej rozliczalności, słabych decyzji dotyczących ryzyka, nieudokumentowanych wyjątków, niespójnego nadzoru nad dostawcami oraz polityk, które kiedyś zatwierdzono, ale nigdy nie wdrożono operacyjnie.
Funkcja NIST CSF 2.0 Govern zmienia pytanie z „jakie zabezpieczenia posiadamy?” na „kto jest rozliczalny, jakie obowiązki mają zastosowanie, jak priorytetyzujemy ryzyka i jak przeglądamy wyniki?”.
Dla MŚP wyniki Govern wyznaczają praktyczny mandat:
- Zrozumieć obowiązki prawne, regulacyjne, umowne, dotyczące prywatności i wolności obywatelskich oraz nimi zarządzać.
- Ustanowić apetyt na ryzyko, tolerancję ryzyka, punktację ryzyka, priorytetyzację oraz opcje reakcji na ryzyko.
- Zdefiniować role, odpowiedzialności, uprawnienia, ścieżki eskalacji i zasoby w obszarze cyberbezpieczeństwa.
- Ustanawiać, komunikować, egzekwować, przeglądać i aktualizować polityki cyberbezpieczeństwa.
- Przeglądać strategię cyberbezpieczeństwa, wyniki i rozliczalność kierownictwa.
- Nadzorować ryzyko cyberbezpieczeństwa dostawców i stron trzecich od due diligence po zakończenie współpracy.
Dlatego NIST CSF 2.0 Govern jest tak dobrym punktem wejścia do ISO 27001:2022. NIST daje najwyższemu kierownictwu język ładu zarządczego. ISO 27001:2022 daje audytowalny system zarządzania.
Klauzule ISO 27001:2022 od 4 do 10 wymagają od organizacji zrozumienia kontekstu, zdefiniowania stron zainteresowanych, ustanowienia zakresu SZBI, wykazania przywództwa, zaplanowania oceny ryzyka i postępowania z ryzykiem, zapewnienia wsparcia dla udokumentowanych informacji, obsługi zabezpieczeń, oceny wyników, prowadzenia audytów wewnętrznych i przeglądów zarządzania oraz ciągłego doskonalenia. Załącznik A zapewnia następnie zestaw odniesienia dla zabezpieczeń, obejmujący polityki, odpowiedzialności kierownictwa, obowiązki prawne, prywatność, relacje z dostawcami, usługi chmurowe, zarządzanie incydentami oraz gotowość ICT do zapewnienia ciągłości działania.
Korporacyjna Polityka bezpieczeństwa informacji Clarysec Polityka bezpieczeństwa informacji stanowi:
Organizacja musi utrzymywać formalny model ładu zarządczego służący nadzorowi nad SZBI, zgodny z klauzulami ISO/IEC 27001 5.1 i 9.3.
To wymaganie, pochodzące z klauzuli 5.1 Polityki bezpieczeństwa informacji, jest praktycznym pomostem między rozliczalnością NIST GV a oczekiwaniami ISO 27001:2022 dotyczącymi przywództwa. Ład zarządczy nie jest coroczną prezentacją. Jest formalnym modelem, który łączy decyzje, polityki, role, ryzyka, zabezpieczenia, dowody i przegląd.
Podstawowe mapowanie: NIST CSF 2.0 Govern na dowody ISO 27001:2022
Najszybszym sposobem nadania NIST CSF 2.0 praktycznej wartości jest przekształcenie wyników Govern we właścicielstwo polityk i dowody audytowe. Poniższa tabela przedstawia strukturę, którą Clarysec stosuje z MŚP przygotowującymi się do certyfikacji ISO 27001:2022, due diligence klientów korporacyjnych, gotowości do NIS2, zapewnienia dla klientów w kontekście DORA oraz rozliczalności GDPR.
| Obszar NIST CSF 2.0 Govern | Pytanie dotyczące ładu zarządczego w MŚP | Dostosowanie do ISO 27001:2022 | Punkt odniesienia w polityce Clarysec | Dowody oczekiwane przez audytorów i klientów |
|---|---|---|---|---|
| GV.OC, kontekst organizacyjny | Czy znamy nasze obowiązki prawne, regulacyjne, umowne, dotyczące prywatności i biznesowe? | Klauzule 4.1 do 4.4, Załącznik A 5.31 i 5.34 | Polityka zgodności prawnej i regulacyjnej | Rejestr zgodności, zakres SZBI, rejestr stron zainteresowanych, mapa obowiązków klienta, rejestr prywatności |
| GV.RM, strategia zarządzania ryzykiem | Jak definiujemy, punktujemy, priorytetyzujemy, akceptujemy i traktujemy ryzyka cyberbezpieczeństwa? | Klauzule 6.1.1 do 6.1.3, 8.2 i 8.3 | Polityka zarządzania ryzykiem | Metodyka ryzyka, rejestr ryzyk, plan postępowania z ryzykiem, zatwierdzenia właścicieli ryzyka, mapowanie SoA |
| GV.RR, role i odpowiedzialności | Kto odpowiada za decyzje, wyjątki, zasoby i raportowanie w obszarze cyberbezpieczeństwa? | Klauzule 5.1 do 5.3, Załącznik A 5.2 i 5.4 | Polityka ról i odpowiedzialności w ramach ładu zarządczego dla MŚP | RACI, opisy ról, protokoły ze spotkań, zatwierdzenia wyjątków, zapisy szkoleniowe |
| GV.PO, polityka | Czy polityki są zatwierdzane, komunikowane, egzekwowane, przeglądane i aktualizowane? | Klauzule 5.2, 7.5 i 9.3, Załącznik A 5.1 | Polityka bezpieczeństwa informacji | Rejestr polityk, zapisy zatwierdzeń, historia wersji, potwierdzenia pracowników, protokoły przeglądu polityk |
| GV.OV, nadzór | Czy strategia i wyniki cyberbezpieczeństwa są przeglądane i korygowane? | Klauzule 9.1, 9.2, 9.3, 10.1 i 10.2 | Polityka audytu i monitorowania zgodności | Kokpit KPI, plan audytu wewnętrznego, wyniki przeglądu zarządzania, działania korygujące |
| GV.SC, ryzyko łańcucha dostaw | Czy dostawcy są znani, priorytetyzowani, oceniani, objęci umowami, monitorowani i wycofywani z użycia po zakończeniu współpracy? | Załącznik A 5.19 do 5.23 i 5.30 | Polityka bezpieczeństwa dostawców i stron trzecich dla MŚP | Inwentarz dostawców, zapisy due diligence, klauzule umowne, rejestry przeglądów, plany wyjścia, kontakty incydentowe |
To mapowanie jest celowo oparte na dowodach. Nie wymaga od MŚP stworzenia 40 dokumentów. Zadaje pięć pytań operacyjnych:
- Jaka decyzja jest podejmowana?
- Kto jest jej właścicielem?
- Która polityka nią zarządza?
- Która klauzula ISO 27001:2022 lub które zabezpieczenie z Załącznika A ją wspiera?
- Jaki dowód potwierdza, że to się wydarzyło?
Polityka ról i odpowiedzialności w ramach ładu zarządczego dla MŚP Clarysec Polityka ról i odpowiedzialności w ramach ładu zarządczego dla MŚP czyni tę identyfikowalność jednoznaczną:
Wszystkie istotne decyzje dotyczące bezpieczeństwa, wyjątki i eskalacje muszą być rejestrowane i możliwe do prześledzenia.
Ten cytat pochodzi z klauzuli 5.5 Polityki ról i odpowiedzialności w ramach ładu zarządczego dla MŚP. Przekształca NIST GV.RR z zasady ładu zarządczego w audytowalną regułę operacyjną.
Zacznij od profilu CSF Govern, a nie od arkusza zabezpieczeń
Profile organizacyjne NIST CSF 2.0 pomagają organizacjom opisać bieżące i docelowe wyniki cyberbezpieczeństwa. Dla MŚP profil jest miejscem, w którym ład zarządczy staje się możliwy do opanowania.
Praktyczny warsztat profilu Govern powinien odpowiedzieć na pięć pytań:
- Co jest w zakresie: cała spółka, platforma SaaS, regulowany produkt czy środowisko klienta?
- Jakie obowiązki sterują profilem: umowy z klientami, GDPR, ekspozycja na NIS2, oczekiwania klientów wynikające z DORA, certyfikacja ISO 27001:2022 czy due diligence inwestora?
- Co potwierdzają bieżące dowody, a nie co według ludzi istnieje?
- Jaki stan docelowy jest realistyczny na najbliższe 90 dni i kolejne 12 miesięcy?
- Które ryzyka, polityki, dostawcy i pozycje SoA muszą się zmienić?
Zenith Blueprint: 30-etapowa mapa drogowa audytora Clarysec Zenith Blueprint wspiera to w fazie ISMS Foundation & Leadership, krok 6, „Udokumentowane informacje i budowanie biblioteki SZBI”. Zaleca wczesne przygotowanie SoA i wykorzystanie jej jako biblioteki zabezpieczeń:
✓ Dodatkowe zabezpieczenia: Czy istnieją zabezpieczenia spoza Załącznika A, które warto uwzględnić? ISO 27001 pozwala dodawać inne zabezpieczenia w SoA. Na przykład możesz chcieć uwzględnić zgodność z NIST CSF lub określone zabezpieczenia prywatności z ISO 27701. Co do zasady Załącznik A jest kompleksowy, ale możesz dodać dowolne unikalne zabezpieczenia, które planujesz
✓ Użyj arkusza kalkulacyjnego (SoA Builder): Praktycznym podejściem jest przygotowanie arkusza SoA już teraz. Przygotowaliśmy szablon SoA_Builder.xlsx, który zawiera wszystkie zabezpieczenia z Załącznika A wraz z kolumnami dotyczącymi stosowalności, statusu wdrożenia i uwag.
Dla MŚP ma to znaczenie. Nie trzeba na siłę wtłaczać NIST CSF 2.0 w Załącznik A ISO, tak jakby były identyczne. Wyniki CSF Govern można uwzględnić jako dodatkowe wymagania ładu zarządczego w bibliotece SoA, zmapować je na klauzule ISO 27001:2022 i zabezpieczenia z Załącznika A oraz wykorzystać do usprawnienia przeglądu zarządzania, nadzoru nad dostawcami, raportowania ryzyka i monitorowania zgodności.
Zbuduj rejestr dowodów Govern
Rejestr dowodów Govern jest praktycznym narzędziem, które przekształca ramy i normy w dowody. Powinien łączyć każdy wynik NIST z odniesieniem ISO, właścicielem polityki, elementem dowodowym, cyklem przeglądu, luką i działaniem.
| Pole | Przykładowy wpis |
|---|---|
| Wynik CSF | GV.OC-03 |
| Pytanie dotyczące ładu zarządczego | Czy obowiązki prawne, regulacyjne, umowne, dotyczące prywatności i wolności obywatelskich są rozumiane i zarządzane? |
| Odniesienie ISO 27001:2022 | Klauzule 4.2, 4.3 i 6.1.3, Załącznik A 5.31 i 5.34 |
| Polityka Clarysec | Polityka zgodności prawnej i regulacyjnej |
| Właściciel dowodów | Menedżer ds. zgodności |
| Dowody | Rejestr zgodności v1.4, mapa obowiązków klienta, rejestr przetwarzania GDPR |
| Cykl przeglądu | Kwartalnie oraz przy zmianach dotyczących nowego rynku, klienta lub produktu |
| Luka | Klauzule klienta wynikające z DORA, przenoszone na podwykonawców, nie zostały zmapowane na umowy z dostawcami |
| Działanie | Zaktualizować wzór umowy z dostawcą i uwagi w SoA |
| Termin realizacji | 30 dni |
Korporacyjna Polityka zgodności prawnej i regulacyjnej Clarysec Polityka zgodności prawnej i regulacyjnej określa wymaganie nadrzędne:
Wszystkie obowiązki prawne i regulacyjne muszą być mapowane na konkretne polityki, zabezpieczenia i właścicieli w ramach Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
To klauzula 6.2.1 Polityki zgodności prawnej i regulacyjnej. Dla MŚP Polityka zgodności prawnej i regulacyjnej dla MŚP Clarysec Polityka zgodności prawnej i regulacyjnej dla MŚP dodaje praktyczne wymaganie mapowania przekrojowego:
Jeżeli regulacja ma zastosowanie w wielu obszarach (np. GDPR dotyczy okresu przechowywania, bezpieczeństwa i prywatności), musi to być jasno zmapowane w Rejestrze zgodności i materiałach szkoleniowych.
Ten cytat pochodzi z klauzuli 5.2.2 Polityki zgodności prawnej i regulacyjnej dla MŚP. Łącznie klauzule te przekształcają GV.OC-03 w zarządzany, przeglądany i gotowy do audytu proces.
Połącz punktację ryzyka z postępowaniem z ryzykiem i SoA
NIST GV.RM wymaga celów dotyczących ryzyka, apetytu na ryzyko, tolerancji ryzyka, ustandaryzowanej kalkulacji ryzyka, opcji reakcji oraz kanałów komunikacji. ISO 27001:2022 operacjonalizuje to przez ocenę ryzyka, postępowanie z ryzykiem, zatwierdzenie przez właściciela ryzyka, akceptację ryzyka rezydualnego oraz Deklarację stosowania.
Polityka zarządzania ryzykiem dla MŚP Clarysec Polityka zarządzania ryzykiem dla MŚP jest celowo konkretna:
Każdy wpis ryzyka musi obejmować: opis, prawdopodobieństwo, wpływ, wynik punktowy, właściciela oraz plan postępowania z ryzykiem.
To pochodzi z klauzuli 5.1.2 Polityki zarządzania ryzykiem dla MŚP. Korporacyjna Polityka zarządzania ryzykiem Clarysec Polityka zarządzania ryzykiem wzmacnia powiązanie z SoA:
Deklaracja stosowania (SoA) musi odzwierciedlać wszystkie decyzje dotyczące postępowania z ryzykiem i musi być aktualizowana zawsze, gdy zmienia się pokrycie zabezpieczeniami.
To klauzula 5.4 Polityki zarządzania ryzykiem.
Rozważmy rzeczywiste ryzyko MŚP: nieuprawniony dostęp do produkcyjnych danych klientów z powodu niespójnego egzekwowania MFA na kontach administracyjnych w chmurze.
Silne mapowanie Govern obejmowałoby:
- NIST GV.RM dla ustandaryzowanej dokumentacji ryzyka i priorytetyzacji.
- NIST GV.RR dla właścicielstwa ról oraz uprawnień do egzekwowania kontroli dostępu.
- NIST GV.PO dla egzekwowania i przeglądu polityk.
- Klauzule ISO 27001:2022 6.1.2, 6.1.3, 8.2 i 8.3.
- Zabezpieczenia z Załącznika A dotyczące kontroli dostępu, zarządzania tożsamością, informacji uwierzytelniających, rejestrowania, monitorowania, konfiguracji i usług chmurowych.
- Dowody takie jak wpis w rejestrze ryzyk, eksport konfiguracji MFA, zatwierdzenie wyjątku, przegląd IAM w chmurze, decyzja z przeglądu zarządzania oraz zaktualizowana uwaga w SoA.
Zenith Blueprint, faza zarządzania ryzykiem, krok 13, „Planowanie postępowania z ryzykiem i Deklaracja stosowania”, wyjaśnia to powiązanie:
✓ Zapewnij spójność z rejestrem ryzyk: każdy środek ograniczający ryzyko, który wpisałeś w Planie postępowania z ryzykiem, powinien odpowiadać zabezpieczeniu z Załącznika A oznaczonemu jako „Applicable”. I odwrotnie, jeśli zabezpieczenie oznaczono jako stosowalne, powinno istnieć ryzyko albo wymaganie, które je uzasadnia.
To różnica między stwierdzeniem „używamy MFA” a udowodnieniem „mamy zarządzany, oparty na ryzyku i dostosowany do ISO 27001:2022 powód stosowania MFA, z dowodami, właścicielem i cyklem przeglądu”.
Zarządzaj ryzykiem dostawców bez nadmiernej rozbudowy programu
NIST GV.SC jest jedną z najbardziej użytecznych części funkcji Govern dla MŚP, ponieważ współczesne MŚP w dużym stopniu zależą od dostawców: dostawców usług chmurowych, procesorów płatności, platform HR, systemów helpdesk, repozytoriów kodu, narzędzi CI/CD, narzędzi monitorowania oraz zarządzanych usług bezpieczeństwa.
ISO 27001:2022 Załącznik A wspiera to przez zabezpieczenia dotyczące dostawców i chmury, w tym 5.19 Bezpieczeństwo informacji w relacjach z dostawcami, 5.20 Uwzględnianie bezpieczeństwa informacji w umowach z dostawcami, 5.21 Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT, 5.22 Monitorowanie, przegląd i zarządzanie zmianami usług dostawców, 5.23 Bezpieczeństwo informacji przy korzystaniu z usług w chmurze oraz 5.30 Gotowość ICT do zapewnienia ciągłości działania.
Polityka bezpieczeństwa dostawców i stron trzecich dla MŚP Clarysec Polityka bezpieczeństwa dostawców i stron trzecich dla MŚP jasno określa wymaganie dowodowe:
Te przeglądy muszą być dokumentowane i przechowywane wraz z dokumentacją dostawcy. Działania następcze muszą być jasno śledzone.
To klauzula 6.3.2 Polityki bezpieczeństwa dostawców i stron trzecich dla MŚP.
Odchudzony model dostawców dla MŚP może wykorzystywać trzy poziomy:
| Poziom dostawcy | Kryteria | Minimalne dowody | Cykl przeglądu |
|---|---|---|---|
| Krytyczny | Wspiera środowisko produkcyjne, dane klientów, uwierzytelnianie, monitorowanie bezpieczeństwa, przepływ płatności lub regulowane świadczenie usług | Kwestionariusz due diligence, klauzule bezpieczeństwa w umowie, SLA, kontakt incydentowy, plan wyjścia, przegląd ryzyka | Rocznie oraz przy istotnej zmianie |
| Ważny | Wspiera operacje organizacji lub wewnętrzne informacje wrażliwe, ale nie bezpośrednie świadczenie usług krytycznych | Podsumowanie bezpieczeństwa, warunki powierzenia przetwarzania danych, przegląd uprawnień dostępu, akceptacja ryzyka, jeżeli istnieją luki | Co 18 miesięcy |
| Standardowy | Narzędzia niskiego ryzyka bez danych wrażliwych lub krytycznej zależności | Zatwierdzenie właściciela biznesowego, podstawowa weryfikacja danych i dostępu | Przy onboardingu i odnowieniu |
Ten prosty model wspiera NIST GV.SC, zabezpieczenia ISO 27001:2022 dotyczące dostawców, due diligence klientów oraz oczekiwania umowne klientów finansowych wynikające z DORA.
Zakończenie współpracy z dostawcą wymaga szczególnej uwagi. NIST GV.SC oczekuje ładu zarządczego w całym cyklu życia dostawcy, w tym na końcu relacji. Dowody powinny obejmować zwrot lub usunięcie danych, odebranie dostępu, planowanie przejścia usługowego, zachowane zapisy umowne oraz przegląd ryzyka rezydualnego.
Używaj Zenith Controls do zgodności przekrojowej, a nie jako oddzielnego zestawu zabezpieczeń
Zenith Controls: Przewodnik po zgodności przekrojowej Clarysec Zenith Controls jest przewodnikiem po zgodności przekrojowej służącym do mapowania tematów zabezpieczeń ISO/IEC 27002:2022 na wiele ram i perspektyw audytowych. Nie są to odrębne „zabezpieczenia Zenith”. Są to zabezpieczenia ISO/IEC 27002:2022 analizowane w ramach Zenith Controls pod kątem zastosowań zgodności przekrojowej.
Dla NIST CSF 2.0 Govern szczególnie ważne są trzy obszary zabezpieczeń ISO/IEC 27002:2022:
| Obszar zabezpieczeń ISO/IEC 27002:2022 w Zenith Controls | Powiązanie z NIST CSF 2.0 Govern | Praktyczna interpretacja dla MŚP |
|---|---|---|
| 5.1 Polityki bezpieczeństwa informacji | GV.PO | Polityki muszą być zatwierdzane, komunikowane, egzekwowane, przeglądane i aktualizowane, gdy zmieniają się zagrożenia, technologia, prawo lub cele biznesowe |
| 5.4 Odpowiedzialności kierownictwa | GV.RR i GV.OV | Odpowiedzialności za bezpieczeństwo muszą być przypisane na poziomie kierowniczym i operacyjnym, wraz z zasobami, raportowaniem i przeglądem |
| 5.31 Wymagania prawne, ustawowe, regulacyjne i umowne | GV.OC-03 | Obowiązki muszą być identyfikowane, mapowane na zabezpieczenia i właścicieli, monitorowane pod kątem zmian oraz potwierdzane dowodami |
Zenith Blueprint, faza Controls in Action, krok 22, „Zabezpieczenia organizacyjne”, podaje model operacyjny:
Sformalizuj ład bezpieczeństwa informacji
Upewnij się, że polityki bezpieczeństwa informacji (5.1) są sfinalizowane, zatwierdzone i objęte kontrolą wersji. Przypisz imiennych właścicieli dla każdej domeny polityki (np. dostęp, szyfrowanie, kopie zapasowe) oraz udokumentuj role i odpowiedzialności w ramach SZBI (5.2). Przejrzyj rozdzielenie obowiązków (5.3) w obszarach wysokiego ryzyka, takich jak finanse, administracja systemami i kontrola zmian. Przygotuj prostą mapę ładu zarządczego pokazującą, kto zatwierdza, kto wdraża i kto monitoruje politykę bezpieczeństwa.
Ta mapa ładu zarządczego jest jednym z najbardziej wartościowych artefaktów, jakie może stworzyć MŚP. Odpowiada na NIST GV.RR, wymagania ISO 27001:2022 dotyczące przywództwa, oczekiwania NIS2 dotyczące rozliczalności kierownictwa oraz pytania klientów o to, kto jest właścicielem ryzyka cyberbezpieczeństwa.
Jeden model ładu zarządczego dla NIS2, DORA, GDPR, NIST i ISO
Funkcja Govern zyskuje największą wartość, gdy MŚP mierzy się z nakładającymi się wymaganiami.
NIS2 wymaga, aby objęte zakresem podmioty kluczowe i ważne przyjęły odpowiednie i proporcjonalne środki zarządzania ryzykiem cyberbezpieczeństwa. Nakłada również odpowiedzialność na organy zarządzające za zatwierdzanie środków zarządzania ryzykiem cyberbezpieczeństwa, nadzorowanie wdrożenia oraz uczestnictwo w szkoleniach. NIST GV.RR wspiera rozliczalność kierownictwa. GV.RM wspiera środki oparte na ryzyku. GV.SC wspiera bezpieczeństwo łańcucha dostaw. GV.PO wspiera polityki. GV.OV wspiera przegląd wyników.
Ład incydentowy NIS2 wprowadza również etapowe oczekiwania dotyczące zgłaszania, w tym wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz raport końcowy w ciągu jednego miesiąca dla incydentów znaczących. Te terminy powinny zostać odzwierciedlone w procedurach reagowania na incydenty, ścieżkach eskalacji, planach komunikacji i raportowaniu do kierownictwa.
DORA ma zastosowanie od 17 stycznia 2025 r. do podmiotów finansowych w UE, ale wiele MŚP odczuwa jej wpływ przez umowy z klientami. Klienci finansowi mogą przenosić wymagania DORA na dostawców ICT, dostawców oprogramowania, dostawców usług zarządzanych oraz dostawców zależnych od chmury. DORA koncentruje się na zarządzaniu ryzykiem ICT, odpowiedzialności organu zarządzającego, zgłaszaniu incydentów, testowaniu odporności, ryzyku stron trzecich ICT, wymaganiach umownych i nadzorze.
GDPR dodaje rozliczalność za przetwarzanie danych osobowych. MŚP muszą rozumieć, czy są administratorami, podmiotami przetwarzającymi, czy pełnią obie role, jakie dane osobowe przetwarzają, jakie systemy i dostawcy są zaangażowani, jakie podstawy prawne mają zastosowanie oraz które scenariusze incydentów mogą stać się naruszeniami ochrony danych osobowych.
Zenith Blueprint, faza zarządzania ryzykiem, krok 14, zaleca odniesienie wymagań DORA, NIS2 i GDPR do zestawu zabezpieczeń ISO 27001:2022:
Dla każdej regulacji, jeżeli ma zastosowanie, możesz przygotować prostą tabelę mapowania (może być załącznikiem do raportu), która wymienia kluczowe wymagania bezpieczeństwa danej regulacji oraz odpowiadające im zabezpieczenia/polityki w Twoim SZBI. Nie jest to obowiązkowe w ISO 27001, ale jest użytecznym ćwiczeniem wewnętrznym, które pomaga upewnić się, że nic nie zostało pominięte.
Praktyczna mapa zgodności przekrojowej może wyglądać następująco:
| Wymaganie ładu zarządczego | NIST CSF 2.0 Govern | Punkt odniesienia ISO 27001:2022 | Znaczenie dla NIS2, DORA, GDPR | Główne dowody |
|---|---|---|---|---|
| Rozliczalność kierownictwa | GV.RR i GV.OV | Klauzule 5.1, 5.3 i 9.3, Załącznik A 5.4 | Nadzór organu zarządzającego w NIS2, odpowiedzialność organu zarządzającego w DORA | Mapa ładu zarządczego, RACI, protokoły z przeglądu zarządzania |
| Obowiązki prawne i umowne | GV.OC-03 | Klauzule 4.2, 4.3 i 6.1.3, Załącznik A 5.31 i 5.34 | Rozliczalność GDPR, zakres prawny NIS2, klauzule DORA przenoszone na podwykonawców | Rejestr zgodności, mapa obowiązków klienta, rejestr prywatności |
| Środki bezpieczeństwa oparte na ryzyku | GV.RM | Klauzule 6.1.2, 6.1.3, 8.2 i 8.3 | Środki zarządzania ryzykiem NIS2, ramy zarządzania ryzykiem ICT w DORA, bezpieczeństwo przetwarzania GDPR | Rejestr ryzyk, plan postępowania z ryzykiem, SoA |
| Nadzór nad dostawcami | GV.SC | Załącznik A 5.19 do 5.23 i 5.30 | Bezpieczeństwo łańcucha dostaw NIS2, ryzyko stron trzecich ICT w DORA, podmioty przetwarzające w GDPR | Inwentarz dostawców, due diligence, umowy, rejestry przeglądów |
| Ład polityk | GV.PO | Klauzula 5.2 i Załącznik A 5.1 | Wszystkie ramy oczekują udokumentowanych, zatwierdzonych i zakomunikowanych zasad | Rejestr polityk, historia wersji, potwierdzenia zapoznania się |
| Audyt i doskonalenie | GV.OV | Klauzule 9.1, 9.2, 9.3, 10.1 i 10.2 | Testowanie i remediacja DORA, skuteczność NIS2, rozliczalność GDPR | Raporty z audytów wewnętrznych, KPI, działania korygujące |
Wartością jest efektywność. Jeden dobrze prowadzony SZBI ISO 27001:2022, ukierunkowany przez NIST CSF 2.0 Govern, może generować dowody wielokrotnego użycia dla kilku ram jednocześnie.
Perspektywa audytora: udowodnienie, że ład zarządczy działa
Polityka leżąca na półce nie jest ładem zarządczym. Audytorzy i asesorzy szukają złotej nici: polityki wysokiego poziomu, zdefiniowanego procesu, zapisu operacyjnego, przeglądu zarządzania i działania doskonalącego.
Różni oceniający będą testować tę nić w różny sposób.
| Perspektywa audytora | Na czym się skupi | Dowody, które działają dobrze |
|---|---|---|
| Audytor ISO 27001:2022 | Czy ład zarządczy jest osadzony w SZBI, postępowanie z ryzykiem jest identyfikowalne, decyzje SoA są uzasadnione, a udokumentowane informacje są kontrolowane | Zakres SZBI, rejestr polityk, rejestr ryzyk, SoA, protokoły z przeglądu zarządzania, raporty z audytów wewnętrznych, działania korygujące |
| Asesor NIST CSF 2.0 | Czy istnieją profile bieżące i docelowe, luki są priorytetyzowane, a wyniki Govern są powiązane z ryzykiem biznesowym i nadzorem | Profil CSF, analiza luk, POA&M, deklaracja apetytu na ryzyko, kokpit dla kierownictwa, profil docelowy dostawców |
| Audytor COBIT 2019 lub w stylu ISACA | Czy cele ładu zarządczego, prawa decyzyjne, mierniki wyników, właścicielstwo zabezpieczeń i działania zapewniające są zdefiniowane | Mapa ładu zarządczego, RACI, kokpit KPI i KRI, poświadczenia właścicieli zabezpieczeń, plan audytu, śledzenie zagadnień |
| Przegląd GDPR | Czy obowiązki dotyczące prywatności są zidentyfikowane, przetwarzanie jest zmapowane, zabezpieczenia są odpowiednie, a dowody rozliczalności istnieją | Rejestr przetwarzania, mapowanie podstaw prawnych, DPIA tam, gdzie wymagane, proces reakcji na naruszenie, warunki powierzenia przetwarzania danych przez dostawców |
| Asesor bezpieczeństwa klienta | Czy MŚP może bez nadmiernej zwłoki udowodnić bezpieczeństwo operacyjne, kontrolę dostawców, gotowość incydentową i rozliczalność kierownictwa | Pakiet dowodów, polityki, przeglądy dostawców, wyniki ćwiczeń tabletop dla incydentów, przeglądy dostępu, testy kopii zapasowych, mapa drogowa bezpieczeństwa |
Korporacyjna Polityka ról i odpowiedzialności w ramach ładu zarządczego Clarysec Polityka ról i odpowiedzialności w ramach ładu zarządczego stanowi:
Ład zarządczy musi wspierać integrację z innymi dyscyplinami (np. ryzyko, prawo, IT, HR), a decyzje SZBI muszą być możliwe do prześledzenia do swojego źródła (np. zapisy audytowe, rejestry przeglądów, protokoły ze spotkań).
To klauzula 5.5 Polityki ról i odpowiedzialności w ramach ładu zarządczego. Oddaje istotę zgodności przekrojowej: decyzje ładu zarządczego muszą być możliwe do prześledzenia.
Polityka audytu i monitorowania zgodności dla MŚP Clarysec Polityka audytu i monitorowania zgodności dla MŚP dodaje krytyczną dyscyplinę dowodową:
Metadane (np. kto je zebrał, kiedy i z którego systemu) muszą być udokumentowane.
Ten cytat pochodzi z klauzuli 6.2.3 Polityki audytu i monitorowania zgodności dla MŚP. Metadane dowodów często odróżniają folder ze zrzutami ekranu od dowodów klasy audytowej.
Korporacyjna Polityka audytu i monitorowania zgodności Clarysec Polityka audytu i monitorowania zgodności dodaje wymaganie na poziomie programu:
Organizacja musi utrzymywać ustrukturyzowany program audytu i monitorowania zgodności zintegrowany z SZBI, obejmujący:
To klauzula 5.1 Polityki audytu i monitorowania zgodności. Implikacja dla ładu zarządczego jest bezpośrednia: audyt nie jest coroczną mobilizacją w ostatniej chwili. Jest częścią operacji SZBI.
Typowe błędy MŚP przy mapowaniu NIST Govern na ISO 27001:2022
Pierwszy błąd to nadmierna dokumentacja bez właścicielstwa. MŚP pisze polityki, ale nie przypisuje właścicieli dla postępowania z ryzykiem, przeglądów dostawców, zatwierdzeń wyjątków czy raportowania zarządczego.
Drugi błąd to traktowanie obowiązków prawnych jako odrębnych od SZBI. NIST GV.OC-03 wymaga, aby obowiązki były rozumiane i zarządzane. ISO 27001:2022 wymaga, aby w SZBI uwzględniać istotne wymagania stron zainteresowanych oraz obowiązki prawne, regulacyjne i umowne.
Trzeci błąd to słabe uzasadnienie SoA. SoA nie jest tylko listą stosowalnych zabezpieczeń. Jest plikiem logicznym wyjaśniającym, dlaczego zabezpieczenia są uwzględnione, wyłączone lub wdrożone.
Czwarty błąd to brak dowodów z cyklu życia dostawcy. Nadzór nad dostawcami obejmuje onboarding, umowy, monitorowanie, incydenty, zmiany i zakończenie współpracy.
Piąty błąd to brak aktualizacji profilu docelowego. Profil CSF powinien zmieniać się, gdy organizacja wchodzi na nowy rynek geograficzny, podpisuje dużego klienta, przyjmuje dostawcę krytycznego, uruchamia regulowany produkt, zmienia architekturę chmurową lub doświadcza incydentu.
30-dniowa mapa drogowa NIST CSF 2.0 Govern dla MŚP
Jeśli MŚP musi działać szybko, warto zacząć od skoncentrowanego 30-dniowego planu wdrożenia.
| Dni | Działanie | Wynik |
|---|---|---|
| 1 do 3 | Zdefiniuj zakres CSF Govern i zbierz istniejące polityki, umowy, zapisy ryzyka, listy dostawców oraz dowody audytowe | Notatka zakresu i inwentarz dowodów |
| 4 do 7 | Zbuduj rejestr dowodów Govern dla GV.OC, GV.RM, GV.RR, GV.PO, GV.OV i GV.SC | Profil bieżący i początkowe luki |
| 8 do 12 | Zmapuj obowiązki na polityki ISO 27001:2022, obszary zabezpieczeń z Załącznika A oraz właścicieli | Rejestr zgodności i mapa właścicielstwa polityk |
| 13 do 17 | Zaktualizuj rejestr ryzyk i plan postępowania z ryzykiem, a następnie dostosuj wpisy SoA | Rejestr ryzyk, plan postępowania, aktualizacje SoA |
| 18 do 22 | Nadaj priorytet nadzorowi nad dostawcami, w tym klasyfikacji dostawców krytycznych, lukom umownym i dowodom przeglądów | Rejestr ryzyka dostawców i rejestr działań |
| 23 do 26 | Przygotuj pakiet dowodów audytowych z metadanymi, zatwierdzeniami, rejestrami przeglądów i decyzjami kierownictwa | Pakiet dowodów i indeks audytowy |
| 27 do 30 | Przeprowadź przegląd zarządzania i zatwierdź mapę drogową profilu docelowego | Protokół z przeglądu zarządzania, decyzje, mapa drogowa |
Ten plan tworzy wystarczające dowody ładu zarządczego, aby odpowiedzieć na poważne pytania klientów i audytorów, jednocześnie budując fundament dla certyfikacji ISO 27001:2022, gotowości do NIS2, zapewnienia dla klientów w kontekście DORA oraz rozliczalności GDPR.
Praktyczny rezultat: jedna opowieść o ładzie zarządczym, wiele zastosowań zgodności
Kiedy Sarah wraca do zarządu, nie ma już pięciu rozłącznych strumieni prac nad zgodnością. Ma jedną opowieść o ładzie zarządczym.
Wyniki NIST CSF 2.0 Govern są zmapowane na polityki, właścicieli, ryzyka, zabezpieczenia i dowody ISO 27001:2022. Zakres SZBI obejmuje zależności klienckie, dostawcze, chmurowe, prawne, regulacyjne, prywatnościowe i umowne. Rejestr ryzyk steruje decyzjami dotyczącymi postępowania z ryzykiem i stosowalnością SoA. Polityki są zatwierdzane, objęte kontrolą wersji, mają właścicieli, są komunikowane i przeglądane. Ryzyka dostawców są poziomowane, ujmowane w umowach, monitorowane i śledzone. Obowiązki przetwarzania wynikające z GDPR, oczekiwania rozliczalności z NIS2 oraz klauzule klientów wynikające z DORA, przenoszone na podwykonawców, są wzajemnie odsyłane tam, gdzie mają zastosowanie. Dowody audytowe obejmują metadane, zapisy decyzji oraz wyniki przeglądu zarządzania.
Tak wygląda ład zarządczy, gdy działa operacyjnie.
Następny krok: zbuduj pakiet dowodów Govern dla MŚP z Clarysec
Jeżeli przygotowujesz się do ISO 27001:2022, odpowiadasz na due diligence klienta korporacyjnego, mapujesz wyniki NIST CSF 2.0 Govern lub próbujesz dostosować NIS2, DORA i GDPR bez budowania oddzielnych programów, zacznij od warstwy ładu zarządczego.
Clarysec może pomóc Ci zbudować:
- Bieżący i docelowy profil NIST CSF 2.0 Govern.
- Mapowanie polityk ISO 27001:2022 i SoA.
- Rejestr obowiązków zgodności przekrojowej z wykorzystaniem Zenith Controls Zenith Controls.
- 30-etapową mapę drogową wdrożenia SZBI z wykorzystaniem Zenith Blueprint Zenith Blueprint.
- Dowody polityk gotowe dla MŚP z wykorzystaniem zestawu narzędzi polityk Clarysec, w tym Polityki ról i odpowiedzialności w ramach ładu zarządczego dla MŚP Polityka ról i odpowiedzialności w ramach ładu zarządczego dla MŚP, Polityki zarządzania ryzykiem dla MŚP Polityka zarządzania ryzykiem dla MŚP, Polityki zgodności prawnej i regulacyjnej dla MŚP Polityka zgodności prawnej i regulacyjnej dla MŚP, Polityki bezpieczeństwa dostawców i stron trzecich dla MŚP Polityka bezpieczeństwa dostawców i stron trzecich dla MŚP oraz Polityki audytu i monitorowania zgodności dla MŚP Polityka audytu i monitorowania zgodności dla MŚP.
Najszybszą ścieżką nie jest kolejny arkusz kalkulacyjny. Jest nią zarządzany, oparty na ryzyku i gotowy dowodowo SZBI, który pozwala Twojemu MŚP pewnie odpowiedzieć na jedno pytanie:
Czy potrafisz udowodnić, że cyberbezpieczeństwo jest zarządzane, ma właścicieli, jest przeglądane i stale doskonalone?
Z Clarysec odpowiedź brzmi: tak.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
