Plan de recuperare după un audit ISO 27001:2022 eșuat
E-mailul pe care nimeni nu voia să îl primească
E-mailul sosește târziu, într-o vineri, cu un subiect care pare inofensiv: „Rezultatul auditului de tranziție.”
Conținutul nu este deloc inofensiv. Organismul de certificare a ridicat o neconformitate majoră. Certificatul ISO/IEC 27001 este suspendat sau decizia de tranziție nu poate fi închisă. Nota auditorului este directă: Declarația de aplicabilitate nu justifică controalele excluse, evaluarea riscurilor nu reflectă contextul curent și nu există dovezi suficiente că noile obligații de reglementare au fost luate în considerare.
În mai puțin de o oră, problema nu mai este doar una de conformitate. Echipa de vânzări întreabă dacă o licitație din sectorul public este acum expusă riscului. Departamentul juridic revizuiește clauzele contractuale cu clienții. Directorul de securitate a informațiilor (CISO) explică de ce SoA nu se reconciliază cu Planul de tratare a riscurilor. CEO întreabă singurul lucru care contează: „Cât de repede putem remedia?”
Pentru multe organizații, depășirea termenului de tranziție la ISO 27001:2022 nu a creat o lacună teoretică. A creat o problemă reală de continuitate a activității. Un audit de tranziție la ISO 27001:2022 ratat sau eșuat poate afecta eligibilitatea pentru licitații, onboardingul furnizorilor, asigurarea cibernetică, programele de asigurare solicitate de clienți, pregătirea pentru NIS2, așteptările DORA, responsabilitatea conform GDPR și încrederea consiliului de administrație.
Vestea bună este că recuperarea este posibilă. Vestea proastă este că ajustările cosmetice ale documentelor nu funcționează. Recuperarea trebuie tratată ca un program disciplinat de acțiuni corective în cadrul SMSI, nu ca o rescriere grăbită a politicilor.
La Clarysec, organizăm această recuperare în jurul a trei active conexe:
- Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului, în special faza Audit, Revizuire și Îmbunătățire.
- Biblioteca de politici Clarysec pentru companii și IMM-uri, care transformă constatările de audit în obligații guvernate.
- Zenith Controls: ghidul de conformitate transversală, care ajută la conectarea așteptărilor privind controalele ISO/IEC 27002:2022 cu NIS2, DORA, GDPR, abordări de asigurare de tip NIST și perspective de guvernanță COBIT 2019.
Acesta este planul practic de recuperare pentru directori de securitate a informațiilor, manageri de conformitate, auditori, fondatori și proprietari de afaceri care au ratat termenul de tranziție la ISO 27001:2022 sau au eșuat auditul de tranziție.
Mai întâi, diagnosticați modul de eșec
Înainte de a edita o singură politică, clasificați situația. Nu orice tranziție eșuată sau ratată are același impact asupra organizației sau aceeași cale de recuperare. Primele 24 de ore trebuie concentrate pe obținerea raportului de audit, a deciziei organismului de certificare, a formulării neconformității, a solicitărilor de dovezi, a termenelor-limită și a statutului curent al certificatului.
| Situație | Impact asupra organizației | Acțiune imediată |
|---|---|---|
| Auditul de tranziție a eșuat cu neconformitate majoră | Decizia de certificare poate fi blocată sau certificatul poate fi suspendat până la corectarea problemei | Deschideți CAPA, efectuați analiza cauzei principale, confirmați așteptările privind dovezile cu organismul de certificare |
| Auditul de tranziție a fost promovat cu neconformități minore | Certificarea poate continua dacă acțiunile corective sunt acceptate | Închideți rapid CAPA minore și actualizați pachetul de dovezi SMSI |
| Tranziția nu a fost finalizată înainte de termen | Certificatul poate să nu mai fie valid sau recunoscut | Confirmați statutul cu organismul de certificare și planificați calea de tranziție sau recertificare |
| Auditul de supraveghere a evidențiat dovezi slabe privind tranziția | Certificarea poate fi expusă riscului la următorul punct decizional | Derulați un audit simulat și actualizați SoA, tratarea riscurilor, analiza efectuată de management și înregistrările auditului intern |
| Clientul a respins certificatul sau dovezile privind tranziția | Risc comercial, risc de licitație și impact asupra încrederii | Pregătiți un pachet de asigurare pentru client cu statutul auditului, planul CAPA, datele-țintă și aprobarea guvernanței |
Planul de recuperare depinde de modul de eșec. O decizie de certificare blocată necesită remediere țintită. Un certificat suspendat necesită guvernanță urgentă și remedierea dovezilor. Un certificat retras sau expirat poate necesita o cale mai amplă de recertificare.
În toate cazurile, mapați fiecare problemă la clauza SMSI relevantă, controlul din Anexa A, înregistrarea de risc, responsabilul politicii, obligația legală sau contractuală și sursa de dovezi.
Aici ISO/IEC 27001:2022 contează ca sistem de management, nu doar ca un catalog de controale. Clauzele 4 până la 10 cer ca SMSI să înțeleagă contextul, părțile interesate, domeniul de aplicare, leadershipul, planificarea riscurilor, suportul, operarea, evaluarea performanței și îmbunătățirea continuă. Dacă tranziția a eșuat, de regulă una dintre aceste legături ale sistemului de management este ruptă.
De ce eșuează auditurile de tranziție ISO 27001:2022
Auditurile de tranziție eșuate se grupează de obicei în jurul unor tipare recurente. Multe nu sunt profund tehnice. Sunt eșecuri de guvernanță, trasabilitate, responsabilitate și dovezi.
| Tipar de constatare | Ce vede auditorul | Ce înseamnă de obicei |
|---|---|---|
| Declarația de aplicabilitate nu este actualizată sau justificată | Controalele sunt marcate ca aplicabile fără justificare sau excluse fără dovezi | Selectarea controalelor nu este trasabilă la risc, reglementare sau nevoie organizațională |
| Evaluarea riscurilor nu reflectă obligațiile curente | Lipsesc NIS2, DORA, GDPR, contractele cu clienții, dependențele cloud sau riscul asociat furnizorilor | Contextul și criteriile de risc nu au fost actualizate |
| Analiza efectuată de management este superficială | Există procese-verbale, dar nu sunt discutate decizii, resurse, obiective, rezultate ale auditului sau schimbări ale riscurilor | Responsabilitatea conducerii nu funcționează |
| Auditul intern nu a testat domeniul tranziției | Lista de verificare a auditului este generică și nu acoperă controalele actualizate, furnizorii, cloud, reziliența sau obligațiile legale | Evaluarea performanței nu este suficientă |
| Controalele privind furnizorii și cloud sunt slabe | Nu există verificare prealabilă, revizuire contractuală, planificare de ieșire sau monitorizare continuă | Controlul operațional asupra serviciilor furnizate extern este incomplet |
| Răspunsul la incidente nu este aliniat cu raportarea reglementară | Nu există logică de escaladare la 24 de ore sau 72 de ore, nu există arbore decizional DORA sau GDPR și nu există dovezi ale exercițiilor | Gestionarea incidentelor nu este conectată la raportarea legală |
| Procesul CAPA este slab | Constatările sunt închise doar prin editări de documente | Cauza principală nu a fost eliminată |
Auditul eșuat este un semnal că SMSI nu s-a adaptat suficient de rapid la mediul operațional real al organizației.
ISO/IEC 27005:2022 este util în recuperare deoarece consolidează importanța stabilirii contextului prin cerințe legale, de reglementare, sectoriale, contractuale, interne și de control existente. De asemenea, susține criterii de risc care iau în considerare obligațiile legale, furnizorii, protecția datelor cu caracter personal, factorii umani, obiectivele organizației și apetitul la risc aprobat de conducere.
În termeni practici, recuperarea tranziției începe cu un context și criterii de risc actualizate, nu cu un număr nou de versiune pe un document vechi.
Pasul 1: Înghețați înregistrarea auditului și creați un centru de comandă pentru recuperare
Prima greșeală operațională după un audit eșuat este haosul dovezilor. Echipele încep să caute în inboxuri, unități partajate, sisteme de ticketing, mesaje de chat, foldere personale și pachete vechi de audit. Auditorii interpretează acest lucru ca pe un semn că SMSI nu este controlat.
Politica Clarysec pentru IMM-uri Politica de audit și monitorizare a conformității - IMM este explicită cu privire la controlul dovezilor:
„Toate dovezile trebuie stocate într-un dosar centralizat de audit.”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.2.1.
Acel dosar centralizat de audit devine centrul de control al recuperării. El trebuie să includă:
- Raportul și corespondența organismului de certificare.
- Confirmarea statutului certificatului.
- Registrul neconformităților.
- Jurnalul CAPA.
- Evaluarea riscurilor actualizată.
- Planul de tratare a riscurilor actualizat.
- Declarația de aplicabilitate actualizată.
- Raportul de audit intern.
- Procesul-verbal al analizei efectuate de management.
- Înregistrările de aprobare a politicilor.
- Dovezi pentru fiecare control aplicabil din Anexa A.
- Pachetul de asigurare pentru client, dacă angajamentele comerciale sunt afectate.
Pentru mediile enterprise, Politica de audit și monitorizare a conformității a Clarysec stabilește aceeași așteptare de guvernanță:
„Toate constatările trebuie să ducă la o CAPA documentată care include:”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.2.1.
Formularea introduce o așteptare structurată privind acțiunea corectivă. Ideea esențială este simplă: fiecare constatare de audit trebuie să devină un element CAPA guvernat, nu o sarcină informală într-un carnet personal.
Pentru IMM-uri, implicarea conducerii este la fel de importantă:
„Directorul general (GM) trebuie să aprobe un plan de acțiuni corective și să urmărească implementarea acestuia.”
Din Politica de audit și monitorizare a conformității - IMM, secțiunea „Cerințe de guvernanță”, clauza de politică 5.4.2.
Acest lucru contează deoarece ISO 27001:2022 nu tratează leadershipul ca pe un element simbolic. Conducerea de vârf trebuie să stabilească politica, să alinieze obiectivele cu strategia organizației, să furnizeze resurse, să comunice importanța securității informației, să atribuie responsabilități și să promoveze îmbunătățirea continuă.
Dacă tranziția eșuată este tratată ca „problema persoanei de la conformitate”, următorul audit va expune din nou responsabilitatea slabă a conducerii.
Pasul 2: Reconstruiți contextul, obligațiile și riscul
Un audit de tranziție eșuat înseamnă adesea că contextul SMSI nu mai reflectă realitatea organizației. Organizația poate să fi migrat către platforme cloud, să fi adăugat furnizori noi, să fi intrat pe piețe reglementate, să fi prelucrat mai multe date cu caracter personal sau să fi devenit relevantă pentru clienți în temeiul NIS2 sau DORA. Dacă aceste schimbări lipsesc din SMSI, evaluarea riscurilor și SoA vor fi incomplete.
Politica de conformitate juridică și de reglementare a Clarysec stabilește baza:
„Toate obligațiile legale și de reglementare trebuie mapate la politici, controale și responsabili specifici în cadrul Sistemului de management al securității informației (SMSI).”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.2.1.
Această clauză este critică după un eșec de tranziție. Clauzele ISO 27001:2022 4.1 până la 4.3 cer organizațiilor să ia în considerare aspectele interne și externe, părțile interesate, cerințele, interfețele, dependențele și domeniul de aplicare. Obligațiile legale, de reglementare și contractuale nu sunt note secundare. Ele modelează SMSI.
NIS2 Article 21 impune măsuri tehnice, operaționale și organizaționale adecvate și proporționale, inclusiv analiza riscului, politici, gestionarea incidentelor, copii de siguranță, recuperare în caz de dezastru (DR), managementul crizelor, securitatea lanțului de aprovizionare, dezvoltare securizată, gestionarea vulnerabilităților, evaluări ale eficacității, igienă cibernetică, instruire, criptografie, securitate HR, controlul accesului, managementul activelor și comunicații securizate. Article 20 plasează responsabilitatea la nivelul organului de conducere. Article 23 creează raportarea etapizată a incidentelor semnificative, inclusiv avertizare timpurie, notificarea incidentului, actualizări și raport final.
DORA se aplică direct entităților financiare începând cu 17 ianuarie 2025 și acoperă managementul riscurilor TIC, raportarea incidentelor majore, testarea rezilienței, riscul TIC asociat terților, cerințe contractuale și supravegherea furnizorilor terți critici de servicii TIC. Pentru entitățile financiare aflate în domeniul de aplicare, DORA devine un factor principal pentru guvernanța TIC, controlul furnizorilor, testare, clasificarea incidentelor și responsabilitatea conducerii.
GDPR adaugă responsabilitate pentru datele cu caracter personal. Article 5 impune prelucrare legală, echitabilă, transparentă, limitată, exactă, atentă la retenție și securizată, cu conformitate demonstrabilă. Article 4 definește încălcarea securității datelor cu caracter personal într-un mod care afectează direct clasificarea incidentelor. Article 6 impune maparea temeiului juridic, iar Article 9 adaugă cerințe sporite pentru categoriile speciale de date.
Aceasta nu înseamnă crearea unor universuri separate de conformitate. Înseamnă utilizarea ISO 27001:2022 ca sistem de management integrat și maparea obligațiilor într-o singură arhitectură de risc și control.
Politica de management al riscurilor a Clarysec conectează tratarea riscurilor direct la selectarea controalelor:
„Deciziile privind controalele rezultate din procesul de tratare a riscurilor trebuie reflectate în SoA.”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.5.1.
Un audit eșuat este, de asemenea, un motiv pentru a revizui însuși procesul de management al riscurilor. Politica de management al riscurilor - IMM a Clarysec identifică acest declanșator:
„Un incident major sau o constatare de audit evidențiază lacune în managementul riscurilor”
Din secțiunea „Cerințe de revizuire și actualizare”, clauza de politică 9.2.1.1.
În modul de recuperare, aceasta înseamnă că Registrul de riscuri, criteriile de risc, planul de tratare și SoA trebuie reconstruite împreună.
Pasul 3: Corectați SoA ca axă a trasabilității
În majoritatea tranzițiilor eșuate, Declarația de aplicabilitate este primul document inspectat. Este, de asemenea, unul dintre primele documente eșantionate de auditori. O SoA slabă îi transmite auditorului că selectarea controalelor nu este bazată pe risc.
Zenith Blueprint oferă o instrucțiune practică în faza Audit, Revizuire și Îmbunătățire, Pasul 24, Audit, Revizuire și Îmbunătățire:
„SoA trebuie să fie consecventă cu Registrul de riscuri și Planul de tratare a riscurilor. Verificați încă o dată că fiecare control pe care l-ați ales ca tratament al riscului este marcat «Aplicabil» în SoA. Invers, dacă un control este marcat «Aplicabil» în SoA, trebuie să aveți o justificare pentru acesta - de obicei un risc mapat, o cerință legală/de reglementare sau o nevoie organizațională.”
Din Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului, faza Audit, Revizuire și Îmbunătățire, Pasul 24.
Acesta este principiul recuperării. SoA nu este o formalitate. Este axa de trasabilitate între riscuri, obligații, controale, dovezi de implementare și concluzii de audit.
Un exercițiu practic de corectare a SoA trebuie să urmeze această secvență:
- Exportați SoA curentă.
- Adăugați coloane pentru ID-ul riscului, obligația de reglementare, cerința organizațională, referința la politică, locația dovezilor, responsabil, stadiul implementării și data ultimei testări.
- Pentru fiecare control aplicabil, mapați cel puțin o justificare defensabilă.
- Pentru fiecare control exclus, scrieți un motiv specific de excludere.
- Reconciliați SoA cu Planul de tratare a riscurilor.
- Reconciliați SoA cu rezultatele auditului intern.
- Puneți întrebarea dificilă: dacă un auditor eșantionează acest rând, putem dovedi în cinci minute?
Un rând SoA defensabil trebuie să arate astfel:
| Câmp SoA | Exemplu de intrare de recuperare |
|---|---|
| Justificarea controlului | Aplicabil datorită găzduirii cloud, procesatorului de plăți, suportului externalizat și angajamentelor contractuale de securitate față de clienți |
| Legătură cu riscul | R-014 perturbarea serviciilor terților, R-021 expunerea datelor la furnizor, R-027 încălcare de reglementare din cauza eșecului persoanei împuternicite |
| Legătură cu obligația | Securitatea lanțului de aprovizionare NIS2, riscul TIC asociat terților conform DORA unde este aplicabil, responsabilitatea persoanei împuternicite conform GDPR |
| Legătură cu politica | Politica de securitate privind terții și furnizorii, procedura de revizuire contractuală, lista de verificare pentru evaluarea furnizorilor |
| Dovezi | Registrul furnizorilor, scoruri de risc, chestionar de verificare prealabilă, DPA semnat, revizuirea raportului SOC, plan de ieșire, înregistrare de revizuire anuală |
| Responsabil | Manager de furnizori, Director de securitate a informațiilor, Juridic |
| Testare | Eșantionul de audit intern al primilor cinci furnizori critici a fost finalizat, excepțiile au fost înregistrate în CAPA |
| Stare | Implementat, cu două acțiuni corective deschise pentru actualizări contractuale |
Acest rând spune o poveste de recuperare. Arată context organizațional, logică de risc, relevanță de reglementare, responsabilitate, implementare, testare și acțiune rămasă.
Pentru excluderi, se aplică aceeași disciplină. De exemplu, dacă organizația nu efectuează dezvoltare software internă, o excludere pentru controlul ISO/IEC 27002:2022 8.25 ciclul de viață al dezvoltării securizate și controlul 8.28 programare securizată poate fi defensabilă, dar numai dacă este adevărată, documentată și susținută de dovezi că software-ul este comercial standard sau complet externalizat, cu controale privind furnizorii în vigoare.
Pasul 4: Efectuați analiza cauzei principale, nu cosmetizarea documentelor
Un audit de tranziție eșuat este rareori cauzat de un singur fișier lipsă. De obicei, este cauzat de un proces defect.
Zenith Blueprint, faza Audit, Revizuire și Îmbunătățire, Pasul 27, Constatări de audit - analiză și cauză principală, precizează:
„Pentru fiecare neconformitate (majoră sau minoră) identificată, analizați de ce s-a produs - acest lucru este critic pentru corecția eficace.”
Din Zenith Blueprint, faza Audit, Revizuire și Îmbunătățire, Pasul 27.
Dacă formularea constatării spune „justificările SoA lipsesc”, corecția poate fi actualizarea SoA. Dar cauza principală poate fi că responsabilii de active nu au fost implicați în evaluarea riscurilor, obligațiile legale nu au fost mapate sau echipa de conformitate a menținut SoA izolat.
Un tabel util de recuperare separă corecțiile slabe de acțiunile corective reale:
| Constatare de audit | Corecție slabă | Întrebare corectă privind cauza principală | Acțiune corectivă mai bună |
|---|---|---|---|
| SoA nu este aliniată cu tratarea riscurilor | Actualizarea formulării SoA | De ce SoA nu a fost reconciliată cu tratarea riscurilor? | Adăugarea unei reconcilieri trimestriale SoA-risc, deținută de Managerul SMSI |
| Nu există evaluări ale furnizorilor | Încărcarea unui singur chestionar | De ce furnizorii nu au fost revizuiți? | Desemnarea responsabilului pentru furnizor, definirea încadrării pe niveluri de risc, finalizarea revizuirilor, monitorizare anuală |
| Analiza efectuată de management este incompletă | Adăugarea retroactivă a unui punct pe agendă | De ce analiza efectuată de management nu a acoperit starea tranziției? | Actualizarea șablonului pentru analiza efectuată de management și programarea unei revizuiri trimestriale de guvernanță |
| Raportarea incidentelor nu a fost testată | Editarea procedurii de incident | De ce raportarea nu a fost exersată? | Derularea unui exercițiu de simulare de tip tabletop cu puncte decizionale NIS2, DORA și GDPR și păstrarea dovezilor |
| Auditul intern a fost prea îngust | Extinderea listei de verificare | De ce planificarea auditului a omis domeniul tranziției? | Aprobarea unui plan de audit bazat pe risc care acoperă reglementarea, furnizorii, cloud și reziliența |
Aici revine credibilitatea. Auditorii nu se așteaptă la perfecțiune. Ei se așteaptă la un sistem controlat care detectează, corectează, învață și se îmbunătățește.
Pasul 5: Construiți CAPA în care un auditor poate avea încredere
Acțiunea corectivă și preventivă este zona în care multe organizații recâștigă controlul. Registrul CAPA trebuie să devină foaia de parcurs a recuperării și principala dovadă că auditul eșuat a fost gestionat sistematic.
Zenith Blueprint, faza Audit, Revizuire și Îmbunătățire, Pasul 29, Îmbunătățire continuă, explică structura:
„Asigurați-vă că fiecare acțiune corectivă este specifică, atribuibilă și limitată în timp. În esență, creați un mini-proiect pentru fiecare problemă.”
Din Zenith Blueprint, faza Audit, Revizuire și Îmbunătățire, Pasul 29.
Jurnalul CAPA trebuie să includă:
- ID-ul constatării.
- Auditul sursă.
- Referința la clauză sau control.
- Severitatea.
- Descrierea problemei.
- Corecția imediată.
- Cauza principală.
- Acțiunea corectivă.
- Acțiunea preventivă, unde este relevant.
- Responsabilul.
- Termenul-limită.
- Dovezile necesare.
- Starea.
- Verificarea eficacității.
- Aprobarea conducerii.
Politica de audit și monitorizare a conformității - IMM a Clarysec identifică, de asemenea, o neconformitate majoră ca declanșator de revizuire:
„Un audit de certificare sau un audit de supraveghere are ca rezultat o neconformitate majoră”
Din secțiunea „Cerințe de revizuire și actualizare”, clauza de politică 9.2.2.
Dacă auditul de tranziție a produs o neconformitate majoră, revizuiți însuși procesul de audit și monitorizare a conformității. De ce auditul intern nu a detectat primul problema? De ce analiza efectuată de management nu a escaladat-o? De ce SoA nu a evidențiat lacuna de dovezi?
Așa devine un audit eșuat un SMSI mai puternic.
Pasul 6: Utilizați Zenith Controls pentru a conecta dovezile ISO la conformitatea transversală
O reauditare nu are loc în izolare. Clienții, autoritățile de reglementare, asigurătorii și echipele interne de guvernanță pot analiza aceleași dovezi din unghiuri diferite. Aici Zenith Controls este valoros ca ghid de conformitate transversală. Ajută echipele să nu mai trateze ISO 27001, NIS2, DORA, GDPR, abordările de asigurare de tip NIST și guvernanța COBIT 2019 ca liste de verificare separate.
Trei controale ISO/IEC 27002:2022 sunt deosebit de relevante în recuperarea tranziției.
| Control ISO/IEC 27002:2022 | Relevanță pentru recuperare | Dovezi de pregătit |
|---|---|---|
| 5.31 Cerințe legale, statutare, de reglementare și contractuale | Confirmă că obligațiile sunt identificate, documentate și legate în SMSI | Registru juridic, obligații contractuale, hartă de reglementare, matrice responsabil-politică, justificare SoA |
| 5.35 Revizuire independentă a securității informației | Confirmă că activitatea de revizuire este obiectivă, delimitată, competentă și urmată de acțiuni | Plan de audit intern, raport de revizuire independentă, competența auditorului, înregistrări CAPA, raportare către management |
| 5.36 Conformitatea cu politicile, regulile și standardele de securitate a informației | Confirmă că politicile nu sunt doar publicate, ci monitorizate și aplicate | Atestarea politicilor, registre de excepții, rapoarte de monitorizare, flux disciplinar, testarea conformității |
În Zenith Controls, controlul ISO/IEC 27002:2022 5.31 este legat direct de confidențialitate și informații de identificare personală (PII):
„5.34 acoperă conformitatea cu legislația privind protecția datelor (de exemplu, GDPR), care este o categorie de cerințe legale în cadrul 5.31.”
Din Zenith Controls, controlul 5.31, legături cu alte controale.
Pentru recuperare, aceasta înseamnă că registrul juridic nu trebuie să stea în afara SMSI. El trebuie să conducă SoA, Planul de tratare a riscurilor, setul de politici, responsabilitatea pentru controale și dovezile de audit.
Pentru controlul ISO/IEC 27002:2022 5.35, Zenith Controls evidențiază că revizuirea independentă ajunge adesea în dovezi operaționale:
„Revizuirile independente în temeiul 5.35 evaluează frecvent adecvarea activităților de jurnalizare și monitorizare.”
Din Zenith Controls, controlul 5.35, legături cu alte controale.
Este practic. Un auditor poate începe cu guvernanța și apoi poate eșantiona jurnale, alerte, înregistrări de monitorizare, revizuirea drepturilor de acces, tichete de incident, teste de backup, revizuiri ale furnizorilor și decizii de management.
Pentru controlul ISO/IEC 27002:2022 5.36, Zenith Controls explică relația cu guvernanța internă a politicilor:
„Controlul 5.36 servește ca mecanism de aplicare pentru regulile definite în 5.1.”
Din Zenith Controls, controlul 5.36, legături cu alte controale.
Aici eșuează multe programe de tranziție. Politicile există, dar conformitatea cu ele nu este monitorizată. Procedurile există, dar excepțiile nu sunt capturate. Controalele sunt declarate, dar nu sunt testate.
Pasul 7: Pregătiți-vă pentru perspective diferite de audit
Un pachet solid de recuperare trebuie să reziste la mai mult de o perspectivă de auditor. Auditorii de certificare ISO, supraveghetorii DORA, revizorii NIS2, părțile interesate GDPR, echipele de asigurare ale clienților, evaluatorii orientați NIST și revizorii de guvernanță COBIT 2019 pot pune întrebări diferite despre aceleași dovezi.
| Perspectiva auditorului | Întrebare probabilă | Dovezi utile |
|---|---|---|
| Auditor ISO 27001:2022 | Este SMSI eficace, bazat pe risc, delimitat corect, analizat de management și îmbunătățit continuu? | Domeniu de aplicare, context, părți interesate, evaluarea riscurilor, SoA, plan de tratare, audit intern, analiza efectuată de management, CAPA |
| Evaluator orientat NIST | Funcționează coerent activitățile de guvernanță, identificare a riscurilor, protecție, detecție, răspuns și recuperare? | Inventarul activelor, Registrul de riscuri, controale de acces, jurnalizare, monitorizare, proceduri operative pentru incidente, teste de recuperare |
| Auditor COBIT 2019 sau de tip ISACA | Sunt integrate obiectivele de guvernanță, responsabilitatea, monitorizarea performanței, managementul riscurilor și asigurarea conformității? | RACI, obiective aprobate, metrici, plan de audit, raportare către management, responsabilitatea pentru controale, urmărirea problemelor |
| Revizor de conformitate NIS2 | A aprobat și a supravegheat managementul măsuri proporționale privind riscurile de securitate cibernetică și fluxuri de raportare a incidentelor? | Procese-verbale ale consiliului de administrație, măsuri de risc, controale privind furnizorii, escaladarea incidentelor, instruire, dovezi privind continuitatea și criza |
| Revizor DORA | Este managementul riscurilor TIC documentat, testat, conștient de furnizori și integrat în guvernanță? | Cadru de risc TIC, teste de reziliență, clasificarea incidentelor, registrul contractelor TIC, planuri de ieșire, drepturi de audit |
| Revizor GDPR | Poate organizația să demonstreze responsabilitatea pentru protecția datelor cu caracter personal și răspunsul la încălcări? | Registrul activităților de prelucrare (RoPA), maparea temeiului juridic, DPIA unde este necesar, contracte cu persoanele împuternicite, jurnale de încălcări, măsuri tehnice și organizatorice |
Scopul nu este duplicarea dovezilor. Un singur rând SoA pentru jurnalizare și monitorizare poate susține dovezile ISO, așteptările de detecție de tip NIST, gestionarea incidentelor DORA, evaluarea eficacității NIS2 și detectarea încălcărilor GDPR. Un singur dosar de risc al furnizorului poate susține controalele ISO privind furnizorii, riscul TIC asociat terților conform DORA, securitatea lanțului de aprovizionare NIS2 și responsabilitatea persoanei împuternicite conform GDPR.
Aceasta este valoarea practică a conformității transversale.
Pasul 8: Rulați o revizuire finală a documentației și un audit simulat
Înainte de a reveni la organismul de certificare, efectuați o provocare internă riguroasă. Zenith Blueprint, faza Audit, Revizuire și Îmbunătățire, Pasul 30, Pregătire pentru certificare - Revizuire finală și audit simulat, recomandă verificarea clauzelor ISO 27001:2022 4 până la 10 una câte una și validarea dovezilor pentru fiecare control aplicabil din Anexa A.
Recomandarea este:
„Verificați controalele din Anexa A: asigurați-vă că pentru fiecare control pe care l-ați marcat «Aplicabil» în SoA aveți ceva de prezentat.”
Din Zenith Blueprint, faza Audit, Revizuire și Îmbunătățire, Pasul 30.
Revizuirea finală trebuie să fie directă:
- Poate fi explicat fiecare control aplicabil?
- Poate fi justificat fiecare control exclus?
- Poate fi demonstrată acceptarea riscului rezidual?
- A analizat managementul eșecul tranziției, resursele, obiectivele, rezultatele auditului și acțiunile corective?
- A testat auditul intern SoA actualizată și Planul de tratare a riscurilor?
- Sunt susținute cu dovezi controalele privind furnizorii, cloud, continuitatea, incidentele, confidențialitatea, accesul, vulnerabilitățile, jurnalizarea și monitorizarea?
- Sunt politicile aprobate, curente, comunicate și supuse controlului versiunilor?
- Sunt CAPA legate de cauzele principale și verificările de eficacitate?
- Pot fi găsite rapid dovezile în dosarul centralizat de audit?
Politica de securitate a informației a Clarysec oferă baza de guvernanță:
„Organizația trebuie să implementeze și să mențină un Sistem de management al securității informației (SMSI) în conformitate cu clauzele ISO/IEC 27001:2022 4 până la 10.”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.1.1.
Pentru IMM-uri, revizuirea trebuie să urmărească și cerințele de certificare și schimbările de reglementare. Politica de securitate a informației - IMM a Clarysec precizează:
„Această politică trebuie revizuită de Directorul general (GM) cel puțin anual pentru a asigura conformitatea continuă cu cerințele de certificare ISO/IEC 27001, schimbările de reglementare (cum ar fi GDPR, NIS2 și DORA) și nevoile organizaționale în evoluție.”
Din secțiunea „Cerințe de revizuire și actualizare”, clauza de politică 9.1.1.
Exact acest lucru a fost omis de multe programe de tranziție: ISO, reglementarea și schimbarea organizațională evoluează împreună.
Ce să comunicați clienților în timpul recuperării
Dacă o tranziție eșuată sau ratată afectează contractele cu clienții, tăcerea este periculoasă. Nu trebuie să divulgați fiecare detaliu de audit intern, dar trebuie să furnizați o asigurare controlată.
Un pachet de comunicare pentru clienți trebuie să includă:
- Statutul curent al certificării confirmat de organismul de certificare.
- Starea auditului de tranziție și planul de remediere la nivel general.
- Confirmarea că un proces CAPA este activ și aprobat de management.
- Date-țintă pentru acțiuni corective și închiderea auditului.
- Declarația că SMSI rămâne operațional.
- Punct de contact pentru asigurarea securității.
- Declarație actualizată privind politica de securitate, dacă este adecvat.
- Dovezi ale controalelor compensatorii pentru orice zonă cu risc ridicat.
Evitați afirmațiile vagi precum „suntem pe deplin conformi” cât timp auditul este nerezolvat. Spuneți ceea ce este adevărat: SMSI funcționează, acțiunea corectivă este aprobată, dovezile sunt consolidate și este programată o revizuire de închidere sau o reauditare.
Acest lucru este deosebit de important dacă clienții se bazează pe dvs. ca furnizor în sectoare relevante pentru NIS2, cum ar fi infrastructura digitală, cloud, centre de date, rețele de distribuție de conținut, DNS, servicii de încredere, comunicații electronice publice, servicii administrate sau servicii de securitate administrate. Dacă statutul auditului dvs. le afectează riscul lanțului de aprovizionare, aceștia au nevoie de asigurare credibilă.
Un sprint practic de recuperare în 10 zile
Termenele variază în funcție de organismul de certificare, severitate, domeniu de aplicare și maturitatea dovezilor. Dar secvența de recuperare este stabilă.
| Zi | Activitate | Rezultat |
|---|---|---|
| 1 | Colectarea raportului de audit, confirmarea statutului certificatului, deschiderea dosarului centralizat de audit | Centru de comandă pentru recuperare |
| 2 | Clasificarea constatărilor, atribuirea responsabililor, informarea managementului | Guvernanță de recuperare aprobată |
| 3 | Actualizarea contextului, obligațiilor, părților interesate și ipotezelor privind domeniul de aplicare | Context și hartă de conformitate actualizate |
| 4 | Reconcilierea evaluării riscurilor și a Planului de tratare a riscurilor | Registru de riscuri și plan de tratare actualizate |
| 5 | Corectarea SoA cu justificări, excluderi, dovezi și responsabili | SoA pregătită pentru audit |
| 6 | Executarea analizei cauzei principale pentru toate constatările | Jurnal al cauzei principale |
| 7 | Construirea planului CAPA cu date-țintă și cerințe privind dovezile | Registru CAPA |
| 8 | Colectarea și testarea dovezilor pentru controalele prioritare | Pachet de dovezi |
| 9 | Derularea analizei efectuate de management și aprobarea riscurilor reziduale | Proces-verbal al analizei efectuate de management |
| 10 | Rularea auditului simulat și pregătirea răspunsului către organismul de certificare | Pachet de pregătire pentru reauditare |
Nu transmiteți răspunsul până când nu spune o poveste coerentă. Auditorul trebuie să poată urmări lanțul de la constatare la cauza principală, de la cauza principală la acțiunea corectivă, de la acțiunea corectivă la dovezi și de la dovezi la analiza efectuată de management.
Fluxul de recuperare Clarysec
Când Clarysec sprijină o tranziție ISO 27001:2022 ratată sau eșuată, organizăm activitatea într-un flux de recuperare concentrat.
| Faza de recuperare | Activ Clarysec | Rezultat |
|---|---|---|
| Triaj audit | Zenith Blueprint pașii 24, 27, 29, 30 | Clasificarea constatărilor, harta dovezilor, plan de închidere a auditului |
| Resetarea guvernanței | Politica de securitate a informației, Politica de audit și monitorizare a conformității | Responsabilități aprobate, implicarea managementului, dosar centralizat de dovezi |
| Actualizarea riscurilor | Politica de management al riscurilor, metoda ISO/IEC 27005:2022 | Context, criterii, Registru de riscuri, plan de tratare actualizate |
| Corectarea SoA | Zenith Blueprint Pasul 24, Politica de management al riscurilor | SoA trasabilă cu risc, obligație, responsabil, dovezi, stare |
| Maparea conformității transversale | Zenith Controls | Aliniere a asigurării pentru NIS2, DORA, GDPR, abordări de tip NIST și COBIT 2019 |
| Execuția CAPA | Zenith Blueprint Pasul 29, politici de audit | Cauză principală, acțiune corectivă, responsabil, termen-limită, verificare a eficacității |
| Audit simulat | Zenith Blueprint Pasul 30 | Pachet de pregătire pentru reauditare și pachet de asigurare pentru client |
Nu este vorba despre producerea de documente de formă. Este vorba despre restabilirea încrederii că SMSI este guvernat, bazat pe risc, susținut prin dovezi și aflat în proces de îmbunătățire.
Sfat final: tratați tranziția eșuată ca pe un test de rezistență
Un termen de tranziție ISO 27001:2022 ratat sau un audit de tranziție eșuat se simte ca o criză, dar este și o oportunitate de diagnosticare. Arată dacă SMSI poate absorbi schimbarea, integra obligații legale, gestiona furnizori, dovedi funcționarea controalelor și învăța din eșec.
Organizațiile care recuperează cel mai repede fac bine trei lucruri:
- Centralizează dovezile și opresc haosul.
- Reconstruiesc trasabilitatea dintre risc, SoA, controale, politici și obligații.
- Gestionează constatările de audit prin CAPA disciplinată și analiza efectuată de management.
Organizațiile care întâmpină dificultăți încearcă să rezolve problema prin editarea documentelor, fără a corecta responsabilitatea, monitorizarea, dovezile sau cauza principală.
Dacă ați ratat termenul sau ați eșuat auditul de tranziție, următorul pas nu este panica. Este recuperarea structurată.
Clarysec vă poate ajuta să derulați triajul auditului de tranziție, să reconstruiți SoA, să mapați așteptările NIS2, DORA, GDPR, cele de tip NIST și COBIT 2019 prin Zenith Controls, să executați acțiuni corective cu Zenith Blueprint și să aliniați dovezile politicilor folosind Politica de securitate a informației, Politica de audit și monitorizare a conformității, Politica de management al riscurilor și Politica de conformitate juridică și de reglementare.
Problema certificatului dvs. poate fi remediată. SMSI poate deveni mai puternic decât era înainte de audit. Dacă auditul de tranziție este nerezolvat, începeți acum evaluarea de recuperare, consolidați dovezile și pregătiți un pachet de reauditare care demonstrează că SMSI nu este doar documentat, ci funcționează.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
