Dovezi privind instruirea ISO 27001:2022 pentru NIS2 și DORA
Este ora 09:12 într-o dimineață de marți din februarie 2026. Un analist financiar dintr-o companie FinTech aflată în creștere rapidă primește un e-mail care pare să vină de la CFO și prin care i se solicită revizuirea urgentă a unui fișier de plată către un furnizor. Atașamentul deschide o pagină de autentificare Microsoft foarte convingătoare. Analistul ezită, își amintește de simularea de phishing și de modulul privind frauda la plăți din luna precedentă și raportează e-mailul prin portalul de securitate, în loc să introducă datele de autentificare.
Pentru CISO, acea decizie punctuală este un control care funcționează în condiții reale.
Pentru auditor, povestea nu este suficientă.
Solicitarea de dovezi ajunge o săptămână mai târziu: „Furnizați dovezi privind un program cuprinzător de conștientizare și instruire în domeniul securității informației, bazat pe roluri, inclusiv metrici de eficacitate și înregistrări care demonstrează acoperirea întregului personal, inclusiv a conducerii.”
Această frază schimbă discuția. Un tabel care arată „Finalizat” în dreptul a 97% dintre angajați nu mai este suficient. Auditorul va întreba cine l-a instruit pe analist, când a fost atribuită instruirea, dacă era obligatorie, dacă era bazată pe roluri, dacă departamentul financiar a primit instruire suplimentară privind frauda la plăți, dacă angajații noi și contractorii au fost incluși, dacă managementul a aprobat programul, dacă instruirea a fost modificată după ultima campanie de phishing și dacă înregistrările de finalizare au fost păstrate.
În 2026, dovezile privind conștientizarea și instruirea în domeniul securității informației se află la intersecția dintre ISO/IEC 27001:2022, NIS2, DORA, GDPR și NIST CSF 2.0. Nu mai este un exercițiu anual de resurse umane. Este guvernanță la nivelul consiliului de administrație, tratamentul riscului, pregătire pentru incidente, responsabilitate juridică și dovadă de audit.
Clarysec tratează conștientizarea securității ca pe un sistem operațional de dovezi, nu ca pe un set de diapozitive. Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului Zenith Blueprint, Zenith Controls: ghidul de conformitate transversală Zenith Controls, Politica privind conștientizarea și instruirea în domeniul securității informației - IMM Politica privind conștientizarea și instruirea în domeniul securității informației - IMM și Politica privind conștientizarea și instruirea în domeniul securității informației Politica privind conștientizarea și instruirea în domeniul securității informației conectează instruirea bazată pe roluri la SMSI, obligații de reglementare, răspuns la incidente, accesul furnizorilor și revizuirea efectuată de management.
De ce instruirea generică de conștientizare a securității eșuează în 2026
Schimbarea reglementară este clară. NIS2 transformă securitatea cibernetică într-o responsabilitate a conducerii pentru entitățile esențiale și importante. Article 20 impune organelor de conducere să aprobe măsurile de management al riscurilor de securitate cibernetică, să supravegheze implementarea și să beneficieze de instruire. Article 21 include igiena cibernetică de bază și instruirea în securitate cibernetică în baza obligatorie de management al riscurilor. Pentru furnizorii cloud, furnizorii de centre de date, furnizorii de servicii administrate, furnizorii de servicii de securitate administrate, furnizorii DNS, registrele TLD, piețele online și motoarele de căutare, instruirea a devenit un subiect la nivelul consiliului de administrație.
DORA ridică nivelul de exigență pentru entitățile financiare și furnizorii TIC care deservesc sectorul financiar. Se aplică de la 17 ianuarie 2025 și impune entităților financiare să mențină un cadru intern de guvernanță și control pentru managementul riscurilor TIC. Organele de conducere trebuie să supravegheze riscul TIC, bugetele, auditurile, relațiile cu terții, continuitatea activității, planurile de răspuns și recuperare și reziliența operațională digitală. DORA Articles 17 to 19 impun, de asemenea, ca incidentele legate de TIC să fie detectate, clasificate, escaladate, comunicate și raportate. Instruirea este cea care face ca aceste proceduri să poată fi executate sub presiune.
ISO/IEC 27001:2022 oferă organizațiilor coloana vertebrală a sistemului de management. Clauzele 4 până la 10 acoperă contextul, părțile interesate, leadershipul, evaluarea riscurilor, tratamentul riscului, competența, conștientizarea, informațiile documentate, evaluarea performanței și îmbunătățirea. Standardul este scalabil pentru toate sectoarele și dimensiunile organizațiilor, motiv pentru care Clarysec îl utilizează ca model operațional pentru alinierea integrată ISO, NIS2, DORA, GDPR și NIST ISO/IEC 27001:2022.
GDPR adaugă stratul de responsabilizare. Organizațiile trebuie să demonstreze că datele cu caracter personal sunt prelucrate legal, echitabil, securizat și cu măsuri tehnice și organizatorice adecvate. Angajații care gestionează date cu caracter personal, administrează sisteme, dezvoltă software, oferă suport clienților sau investighează incidente au nevoie de instruire privind confidențialitatea și escaladarea încălcărilor.
NIST CSF 2.0 consolidează aceeași direcție. Funcția GOVERN conectează cerințele legale, de reglementare, contractuale, de confidențialitate și ale părților interesate cu roluri, responsabilități, politici, resurse, supraveghere și managementul riscurilor la nivel de organizație. Profilurile NIST CSF ajută, de asemenea, la transformarea obligațiilor de instruire în planuri de îmbunătățire pentru starea curentă și starea țintă.
Concluzia este simplă: conștientizarea și instruirea în domeniul securității informației, pregătite pentru audit, trebuie să dovedească faptul că oamenii își cunosc responsabilitățile, că instruirea este adaptată rolului și riscului și că dovezile sunt suficient de complete pentru auditori, autorități de reglementare, clienți și conducere.
Problema de audit: „am instruit pe toată lumea” nu este dovadă
Multe organizații eșuează la audit nu pentru că nu au făcut instruire, ci pentru că nu pot dovedi că instruirea a fost proiectată, atribuită, finalizată, revizuită și îmbunătățită.
Un pachet de dovezi slab include, de regulă, un singur PDF anual, un tabel de finalizare fără date calendaristice, fără dovezi de atribuire, fără acoperirea contractorilor, fără instruire pentru utilizatori privilegiați, fără instruire pentru conducere, fără module bazate pe roluri pentru dezvoltatori sau financiar, fără legătură cu evaluarea riscurilor și fără dovada că instruirea a fost actualizată după incidente sau modificări de reglementare.
Auditorii nu vor un afiș motivațional. Vor un lanț de dovezi.
Politica Clarysec pentru IMM-uri exprimă explicit această așteptare. Politica privind conștientizarea și instruirea în domeniul securității informației - IMM, Obiective, clauza 3.3, impune organizațiilor să:
„Stabilească înregistrări documentate privind finalizarea pentru a demonstra conformitatea cu cerințele legale, contractuale și de audit.”
Aceeași politică pentru IMM-uri transformă instruirea în informații documentate păstrate. Cerințe de implementare a politicii, clauza 6.3.2, prevede:
„Un tabel central sau un sistem informatic de resurse umane trebuie să mențină aceste înregistrări pentru o perioadă minimă de trei ani.”
Pentru mediile enterprise, Politica privind conștientizarea și instruirea în domeniul securității informației, Scop, clauza 1.2, stabilește o așteptare mai structurată:
„Această politică susține ISO/IEC 27001 Clause 7.3 și Annex A Control 6.3 prin impunerea unui cadru structurat de conștientizare și instruire, bazat pe risc, adaptat rolurilor organizaționale și amenințărilor în evoluție.”
Această formulare contează: structurat, bazat pe risc, adaptat rolului și orientat la amenințări. Este diferența dintre teatru de conștientizare și competență defensabilă.
Începeți cu rolurile, nu cu cursurile
Cea mai frecventă greșeală este achiziționarea de conținut înainte de definirea responsabilităților. Într-un program integrat de conformitate, prima întrebare corectă nu este „Ce platformă de instruire ar trebui să folosim?” Întrebarea corectă este „Ce roluri creează, gestionează, aprobă, prelucrează, securizează sau recuperează active informaționale?”
ISO/IEC 27001:2022 Clause 5.3 impune atribuirea și comunicarea responsabilităților și autorităților pentru rolurile de securitate a informației. Clause 7.2 impune competența persoanelor care lucrează sub controlul organizației, pe baza educației, instruirii sau experienței. Clause 7.3 impune conștientizarea politicii de securitate a informației, a contribuției la eficacitatea SMSI și a implicațiilor neconformității.
În Zenith Blueprint, Fundația și leadershipul SMSI, Step 5: Comunicare, conștientizare și competență, Clarysec transpune acest aspect în limbaj de implementare:
„Identificați competențele necesare: determinați ce cunoștințe și abilități sunt necesare pentru diferite roluri din SMSI.”
Blueprint oferă exemple practice: personalul IT poate avea nevoie de configurare securizată a serverelor, dezvoltatorii au nevoie de programare securizată, HR are nevoie de gestionarea securizată a datelor cu caracter personal, iar personalul general are nevoie de conștientizare privind phishing-ul. De asemenea, subliniază importanța înregistrărilor:
„Mențineți înregistrări ale competenței: Clause 7.2 se așteaptă să păstrați informații documentate ca dovadă a competenței.”
Aceasta înseamnă că programul de instruire trebuie să înceapă cu o matrice rol-risc.
| Grup de roluri | Obiectivul instruirii | Dovezi de păstrat | Valoare pentru conformitate |
|---|---|---|---|
| Toți angajații | Phishing, igiena parolelor, MFA, utilizare acceptabilă, securitatea dispozitivelor, raportarea incidentelor | Raport de finalizare, scor la testul de evaluare, confirmare de luare la cunoștință a politicii, versiunea conținutului | ISO/IEC 27001:2022 Clause 7.3, ISO/IEC 27002:2022 control 6.3, NIS2 Article 21 |
| Executivi și consiliul de administrație | Guvernanța riscului cibernetic, obligațiile din NIS2 Article 20, supraveghere DORA, apetitul la risc, decizii de criză | Înregistrare de participare, pachet pentru consiliu, procese-verbale, aprobare program | NIS2 Article 20, DORA Article 5, dovezi de leadership ISO/IEC 27001:2022 |
| Dezvoltatori | Programare securizată, OWASP Top 10, SDLC securizat, securitatea API, gestionarea vulnerabilităților, instrumente de gestionare a secretelor | Finalizare modul, rezultate de laborator, listă de verificare pentru programare securizată, dovezi de remediere | ISO/IEC 27002:2022 controls 8.25 and 8.28, așteptări DORA privind riscul TIC |
| IT și administratori de sistem | Gestionarea accesului privilegiat (PAM), jurnalizare, managementul vulnerabilităților, restaurare din backup, controlul schimbărilor, hardening | Înregistrare de finalizare, legătură cu revizuirea drepturilor de acces, participare la exercițiu tabletop | ISO/IEC 27002:2022 controls 8.8 and 8.13, pregătire pentru reziliență DORA |
| HR | Confidențialitate, integrare și încetarea colaborării, proces disciplinar, gestionarea categoriilor speciale de date | Înregistrare de instruire HR, listă de verificare pentru integrare, confirmare de luare la cunoștință a politicii | Responsabilitate GDPR, controale privind personalul ISO/IEC 27002:2022 |
| Financiar | Fraudă la plăți, uzurparea identității furnizorilor, separarea atribuțiilor, escaladarea solicitărilor suspecte | Finalizare modul țintit, rezultate ale simulărilor de phishing | Reducerea riscului de fraudă, pregătire pentru incidente NIS2 și DORA |
| Suport clienți | Verificarea identității digitale, gestionarea securizată a tichetelor, protecția datelor cu caracter personal, căi de escaladare | Finalizare modul specific rolului, eșantion de revizuire a tichetelor, confirmare privind confidențialitatea | Responsabilitatea persoanei împuternicite conform GDPR, asigurare pentru clienți |
| Responsabili cu răspunsul la incidente | Clasificare, escaladare, păstrarea dovezilor, termene de notificare reglementară, lecții învățate | Înregistrare a exercițiului, raport de scenariu, atribuirea rolurilor, instrument de urmărire a acțiunilor | NIS2 Article 23, DORA Articles 17 to 19, controale de incidente ISO/IEC 27002:2022 |
| Contractori cu acces la sistem | Utilizare acceptabilă, canal de raportare, gestionarea datelor, condiții de acces | Confirmare contractor, înregistrare de atribuire, legătură cu aprobarea accesului | Asigurarea furnizorilor, guvernanța accesului, conformitate contractuală |
Această matrice nu este doar un calendar de instruire. Este o hartă de conformitate care arată de ce populații diferite primesc instruiri diferite.
Conectați instruirea la lanțul de controale
În Zenith Controls, ISO/IEC 27002:2022 control 6.3, Conștientizare, educație și instruire în domeniul securității informației, este încadrat ca un control preventiv care susține confidențialitatea, integritatea și disponibilitatea. Conceptul său de securitate cibernetică este Protect, capabilitatea operațională este securitatea resurselor umane, iar domeniile sale de securitate sunt guvernanța și ecosistemul.
Interpretarea de conformitate transversală din Zenith Controls este directă:
„Control 6.3 răspunde mandatului NIS2 privind instruirea și conștientizarea în securitate prin implementarea unui program structurat de conștientizare care acoperă igiena cibernetică, riscurile emergente și responsabilitățile personalului.”
Aceeași mapare conectează ISO/IEC 27002:2022 control 6.3 la așteptările GDPR pentru angajații care gestionează date cu caracter personal, la instruirea de securitate TIC DORA adaptată pe roluri și la NIST SP 800-53 Rev.5 AT-2, AT-3 și AT-4 pentru instruire de alfabetizare și conștientizare, instruire bazată pe roluri și înregistrări de instruire.
Ideea esențială este că control 6.3 nu funcționează izolat. Zenith Controls îl conectează la ISO/IEC 27002:2022 control 5.2, Roluri și responsabilități privind securitatea informației, deoarece rolurile definesc cine are nevoie de ce instruire. Îl conectează la control 6.8, Raportarea evenimentelor de securitate a informației, deoarece angajații nu pot raporta ceea ce nu pot recunoaște. De asemenea, îl conectează la control 5.36, Conformitatea cu politicile, regulile și standardele pentru securitatea informației, deoarece conformitatea depinde de cunoașterea regulilor de către oameni.
Aceasta creează un lanț practic de controale:
- Definiți responsabilitățile.
- Atribuiți instruirea de bază și instruirea bazată pe roluri.
- Dovediți finalizarea.
- Testați înțelegerea.
- Monitorizați conformitatea.
- Corectați lacunele.
- Integrați lecțiile în tratamentul riscului și în revizuirea efectuată de management.
Acest lucru contează pentru NIS2 deoarece Article 21 impune analiza riscurilor, politici, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, achiziția și mentenanța securizată, evaluarea eficacității controalelor, igiena cibernetică și instruirea, criptografia, securitatea HR, controlul accesului, managementul activelor și MFA sau autentificare securizată, după caz.
Contează pentru DORA deoarece guvernanța, gestionarea incidentelor, răspunsul și recuperarea, riscul asociat terților și testarea rezilienței funcționează numai dacă oamenii știu ce trebuie să facă înainte ca incidentul să apară.
Construiți pachetul de dovezi pregătit pentru audit
Un pachet matur de dovezi conține mai mult decât jurnale de prezență. El arată guvernanță, proiectare, livrare, finalizare, eficacitate și îmbunătățire. Clarysec recomandă o structură în șase foldere.
| Folder de dovezi | Ce conține | De ce contează |
|---|---|---|
| 01 Guvernanță | Politică aprobată, obiective de instruire, aprobare de management, buget, plan anual | Demonstrează angajamentul și supravegherea conducerii |
| 02 Maparea rolurilor | Inventar de roluri, matrice de competențe, reguli de atribuire a instruirii, domeniul contractorilor | Dovedește proiectarea bazată pe risc și pe roluri |
| 03 Conținut de instruire | Seturi de diapozitive ale cursurilor, module LMS, șabloane de phishing, buletine de securitate, istoric al versiunilor | Arată ce li s-a predat efectiv oamenilor |
| 04 Înregistrări de finalizare | Exporturi LMS, înregistrări HRIS, jurnale de prezență, rezultate ale testelor de evaluare, confirmări | Demonstrează participarea și informațiile documentate păstrate |
| 05 Dovezi de eficacitate | Metrici ale simulărilor de phishing, rezultate ale interviurilor, tendințe de raportare a incidentelor, rezultate ale exercițiilor tabletop | Arată dacă instruirea a schimbat comportamentul |
| 06 Îmbunătățire | Acțiuni corective, module actualizate, lecții învățate, inputuri pentru revizuirea efectuată de management | Demonstrează îmbunătățirea continuă |
Politica enterprise Clarysec impune integrarea, instruirea anuală de reîmprospătare și module bazate pe roluri. Politica privind conștientizarea și instruirea în domeniul securității informației, Cerințe de guvernanță, clauza 5.1.1.2, prevede:
„Includeți integrarea, instruirea anuală de reîmprospătare și modulele de instruire bazate pe roluri”
Aceeași politică atribuie proprietatea asupra dovezilor. Cerințe de guvernanță, clauzele 5.3.1 și 5.3.1.1, prevăd:
„CISO sau delegatul trebuie să mențină:”
„Înregistrări de finalizare pentru fiecare utilizator”
Pentru IMM-uri, politica dedicată adaugă o cadență pragmatică. Politica privind conștientizarea și instruirea în domeniul securității informației - IMM, Cerințe de implementare a politicii, clauza 6.1.1, prevede:
„Materialele trebuie să fie practice, adecvate rolului și actualizate anual.”
Aceasta acoperă și instruirea declanșată de schimbări. Clauza 6.5.1 prevede:
„Atunci când rolurile se schimbă sau sunt introduse sisteme, poate fi necesară instruire de conștientizare specifică (de exemplu, partajare securizată de fișiere, noi cerințe privind protecția datelor și minimizarea datelor).”
Această clauză este deosebit de importantă în 2026, deoarece migrările către cloud, instrumentele IA, noile integrări de plăți, noile persoane împuternicite și modificările de raportare reglementară pot schimba riscul mai rapid decât un ciclu anual.
Un plan de recuperare într-o săptămână înainte de audit
Luați în considerare un furnizor SaaS sau FinTech cu 180 de persoane, care se pregătește pentru supraveghere ISO/IEC 27001:2022, verificare prealabilă DORA din partea clienților, revizuire a responsabilității GDPR și întrebări ale clienților determinate de NIS2. CISO are o săptămână pentru a transforma înregistrările generice de finalizare într-un pachet de dovezi defensabil.
Ziua 1: Confirmați domeniul de aplicare și obligațiile
Utilizați ISO/IEC 27001:2022 Clauses 4.1 to 4.4 pentru a confirma contextul, părțile interesate și domeniul de aplicare al SMSI. Capturați angajamentele contractuale față de clienți, obligațiile de operator de date sau persoană împuternicită conform GDPR, așteptările NIS2 ale clienților critici și solicitările de verificare prealabilă a furnizorilor TIC legate de DORA.
Apoi transformați aceste obligații în nevoi de instruire. GDPR impune personalului care gestionează date cu caracter personal să înțeleagă confidențialitatea, minimizarea, păstrarea și escaladarea încălcărilor. NIS2 impune igienă cibernetică, instruirea angajaților și supraveghere de management. Clienții influențați de DORA se vor aștepta la dovezi că echipele care susțin servicii critice înțeleg escaladarea incidentelor, reziliența, controlul accesului, backup-ul și recuperarea, precum și coordonarea cu terții.
Ziua 2: Construiți matricea bazată pe roluri
Utilizați îndrumările din Zenith Blueprint și mapările din Zenith Controls pentru ISO/IEC 27002:2022 controls 5.2 and 6.3. Includeți angajați, contractori, utilizatori privilegiați, dezvoltatori, echipe de suport, HR, financiar, executivi și responsabili cu răspunsul la incidente.
Legați fiecare rol de sisteme și riscuri. Dezvoltatorii primesc instruire privind programarea securizată și gestionarea vulnerabilităților. Echipele de suport primesc instruire privind verificarea identității și gestionarea securizată a tichetelor. Financiarul primește instruire privind frauda la plăți și verificarea schimbărilor la furnizori. Executivii primesc instruire privind guvernanța, responsabilitatea juridică, apetitul la risc și deciziile în situații de criză.
Ziua 3: Aliniați politica și atribuirea instruirilor
Adoptați sau actualizați politica Clarysec adecvată. Utilizați politica pentru IMM-uri pentru un model operațional ușor sau politica enterprise pentru guvernanță mai solidă și proprietate clară asupra dovezilor. Confirmați că politica include integrarea, instruirile anuale de reîmprospătare, modulele bazate pe roluri, păstrarea dovezilor, acoperirea contractorilor și instruirea declanșată de schimbări.
Publicați politica, colectați confirmările și legați modulele de instruire de familiile de posturi din HRIS sau LMS.
Ziua 4: Livrați instruire țintită
Nu instruiți pe toată lumea despre orice. Instruiți pe toată lumea privind controalele de bază, apoi atribuiți module specifice rolului.
Modulul de bază trebuie să acopere phishing și inginerie socială, igiena parolelor și MFA, utilizare acceptabilă, gestionarea securizată a informațiilor, canale de raportare a incidentelor, raportarea dispozitivelor pierdute și elementele de bază ale protecției datelor.
Modulele specifice rolului trebuie să acopere SDLC securizat pentru dezvoltatori, acces privilegiat și restaurare din backup pentru IT, datele angajaților pentru HR, frauda la plăți pentru financiar, clasificarea incidentelor pentru responsabilii de răspuns și guvernanța NIS2 și DORA pentru executivi.
Ziua 5: Exportați și validați dovezile
Creați pachetul de dovezi în șase foldere. Exportați rapoartele de finalizare, scorurile la testele de evaluare, numerele de versiune ale cursurilor, confirmările de luare la cunoștință a politicii și calendarele de instruire. Identificați nefinalizările și deschideți acțiuni corective.
Apoi testați înțelegerea prin interviuri. Întrebați angajați din departamente diferite:
- Ce instruire de securitate ați finalizat?
- Cum raportați un e-mail suspect?
- Ce ați face dacă ați pierde un laptop?
- Unde puteți găsi politica de securitate a informației?
- Ce date cu caracter personal gestionați în rolul dumneavoastră?
Înregistrați rezultatele ca eșantion de audit intern. Auditorii folosesc frecvent interviuri pentru a verifica dacă nivelul de conștientizare a fost asimilat, nu doar livrat.
Ziua 6: Conectați instruirea la răspunsul la incidente
Utilizați instruirea privind raportarea incidentelor ca punte către ISO/IEC 27002:2022 control 6.8, NIS2 Article 23 și DORA Articles 17 to 19.
NIS2 Article 23 impune raportare etapizată pentru incidente semnificative, inclusiv avertizare timpurie în termen de 24 de ore de la luarea la cunoștință, notificare în termen de 72 de ore și raport final în termen de o lună. DORA impune ca incidentele majore legate de TIC să fie clasificate, escaladate, comunicate și raportate prin ciclul de raportare obligatoriu.
Angajații nu trebuie să memoreze termene juridice, dar trebuie să raporteze incidentele suspectate suficient de rapid pentru ca organizația să le poată respecta.
În Zenith Blueprint, Controale în acțiune, Step 16: Controale privind personalul II, Clarysec afirmă:
„Un sistem eficace de răspuns la incidente începe nu cu instrumente, ci cu oamenii.”
Aceasta nu este o recomandare generală. Este reziliență operațională.
Ziua 7: Pregătiți narațiunea de audit
Narațiunea finală de audit trebuie să fie scurtă și susținută de dovezi:
„Am identificat nevoile de instruire pe baza rolurilor SMSI, a obligațiilor legale și contractuale, a rezultatelor evaluării riscurilor și a accesului la sisteme. Am atribuit module de bază și module bazate pe roluri prin LMS. Am păstrat înregistrări de finalizare, scoruri la testele de evaluare, versiuni ale conținutului și confirmări. Am testat eficacitatea prin simulări de phishing, interviuri și metrici de raportare a incidentelor. Nefinalizarea este urmărită ca acțiune corectivă. Managementul revizuiește programul anual și după schimbări semnificative.”
Susținută de dovezi, această narațiune poate rezista întrebărilor de audit ISO/IEC 27001:2022, examinării guvernanței NIS2, verificării prealabile DORA din partea clienților, revizuirii responsabilității GDPR și evaluării controalelor în stil NIST.
Mapare de conformitate transversală pentru conștientizarea și instruirea în domeniul securității informației
Conștientizarea securității este adesea clasificată greșit ca sarcină HR. În practică, este un control de conformitate transversală care atinge guvernanța, managementul riscurilor, confidențialitatea, răspunsul la incidente, asigurarea furnizorilor și reziliența.
| Cadru sau reglementare | Relevanța instruirii | Punct de implementare Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Competență, conștientizare, leadership, atribuirea rolurilor, informații documentate, monitorizare, audit intern și îmbunătățire | Zenith Blueprint Step 5 și Step 15, clauze de politică privind integrarea, instruiri anuale de reîmprospătare, instruire bazată pe roluri și dovezi |
| ISO/IEC 27002:2022 | Control 6.3 conștientizare, educație și instruire, legat de 5.2 roluri, 6.8 raportarea evenimentelor și 5.36 monitorizarea conformității | Zenith Controls mapează atributele, controalele conexe, așteptările de audit și alinierea între cadre |
| NIS2 | Instruirea managementului, instruirea angajaților în securitate cibernetică, igiena cibernetică, pregătirea pentru incidente și responsabilitatea de guvernanță | Modul pentru consiliu, bază pentru angajați, modul de raportare a incidentelor, dovadă de aprobare din partea managementului |
| DORA | Guvernanță TIC, supraveghere de management, învățare și evoluție, escaladarea incidentelor, testarea rezilienței și așteptări privind terții | Instruire pentru executivi, module pe roluri TIC, instruire pentru responsabilii de răspuns la incidente, pachet de dovezi destinat furnizorilor |
| GDPR | Responsabilitate, securitatea prelucrării, conștientizarea rolurilor privind confidențialitatea, recunoașterea încălcărilor și gestionarea datelor cu caracter personal | Instruire de confidențialitate pentru HR, suport, vânzări, inginerie și echipe de incidente |
| NIST CSF 2.0 | Funcția GOVERN, roluri, politici, obligații legale, supraveghere, profiluri și planificarea îmbunătățirii | Profil curent și țintă de instruire, registru de lacune și plan de acțiune prioritizat |
| NIST SP 800-53 Rev.5 | Instruire de conștientizare, instruire bazată pe roluri și înregistrări de instruire | Mapare la AT-2, AT-3 și AT-4 prin Zenith Controls |
| Asigurare informată de COBIT 2019 | Obiective de guvernanță, responsabilitate, capabilitate, indicatori de performanță și raportare către management | KPI de instruire, proprietatea rolurilor, revizuire de management și închiderea acțiunilor corective |
NIST CSF 2.0 este deosebit de util pentru organizațiile care trebuie să explice maturitatea către părți interesate non-ISO. Metoda sa de Profiluri organizaționale susține planificarea stării curente și a stării țintă. De exemplu, un Profil curent poate indica faptul că există conștientizare de bază, dar instruirea dezvoltatorilor privind programarea securizată este incompletă. Un Profil țintă poate impune ca toți dezvoltatorii să finalizeze instruirea privind programarea securizată, divulgarea vulnerabilităților și instrumentele de gestionare a secretelor până în Q3.
Cum testează auditorii și autoritățile de reglementare dovezile de instruire
Revizori diferiți pun întrebări diferite, dar toți testează aceeași realitate: știe organizația ce trebuie să facă oamenii și poate dovedi că oamenii sunt pregătiți să facă acest lucru?
Un auditor ISO/IEC 27001:2022 va conecta dovezile de instruire la Clauses 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 și 10.2, plus controalele din Anexa A. Așteptați-vă la întrebări despre modul în care au fost determinate cerințele de competență, cum cunosc angajații politica de securitate a informației, cum sunt instruiți angajații noi și contractorii, cum este gestionată nefinalizarea, cum se conectează instruirea bazată pe roluri la evaluarea riscurilor și la Declarația de aplicabilitate și cum este evaluată eficacitatea.
Zenith Controls notează că auditorii care folosesc ISO/IEC 19011:2018 vor revizui curriculumul, programele, materialele, înregistrările de participare, certificatele de finalizare și competența formatorului. De asemenea, notează că auditorii ISO/IEC 27007:2020 pot folosi interviuri pentru a determina dacă angajații știu cum să raporteze incidente și dacă își amintesc mesajele-cheie ale instruirii.
O revizuire axată pe NIS2 va privi dincolo de ratele de finalizare. Va întreba dacă organul de conducere a aprobat și a supravegheat măsurile de management al riscurilor de securitate cibernetică, dacă managementul a primit instruire, dacă instruirea personalului privind igiena cibernetică este regulată și dacă raportarea incidentelor este înțeleasă. Article 21 impune, de asemenea, proceduri pentru evaluarea eficacității măsurilor de management al riscurilor de securitate cibernetică, astfel încât metricile de phishing, tendințele de raportare a incidentelor și constatările de audit devin dovezi ale eficacității controalelor.
O revizuire DORA, mai ales din partea unui client financiar care evaluează un furnizor TIC, se va concentra pe reziliența operațională. Așteptați-vă la întrebări despre personalul care susține servicii financiare critice, înregistrările de instruire pentru echipele care gestionează sistemele de plăți, instruirea managementului privind riscul asociat terților TIC, clasificarea incidentelor conform DORA Article 18 și instruirea contractorilor pentru accesul la mediile clienților.
O revizuire GDPR se va concentra pe responsabilitate. Organizația trebuie să arate că personalul care gestionează date cu caracter personal înțelege prelucrarea legală, confidențialitatea, minimizarea, păstrarea, gestionarea securizată și escaladarea încălcărilor. Pentru furnizorii SaaS, FinTech și furnizorii de servicii administrate, dovezile de instruire fac parte din demonstrarea faptului că cerințele de confidențialitate sunt integrate în comportamentul operațional.
Metrici care dovedesc eficacitatea controalelor
Finalizarea este necesară, dar nu suficientă. Un tablou de bord mai puternic în 2026 arată dacă instruirea a îmbunătățit comportamentul.
| Metrică | Ce arată | Interpretare de audit |
|---|---|---|
| Finalizare pe rol | Dacă populațiile atribuite au finalizat modulele obligatorii | Conformitate și acoperire de bază |
| Finalizarea de către angajații noi în termenul țintă | Dacă funcționează controalele de integrare | Maturitatea HR și a guvernanței accesului |
| Finalizarea instruirii pentru utilizatori privilegiați | Dacă utilizatorii cu risc ridicat sunt pregătiți | Prioritizare bazată pe risc |
| Rata de clic și de raportare în simulările de phishing | Dacă se îmbunătățește comportamentul | Eficacitatea conștientizării |
| Rapoarte de incidente din partea angajaților | Dacă oamenii recunosc și raportează evenimente | Legătură cu pregătirea pentru incidente |
| Timpul de la e-mailul suspect până la raportare | Dacă raportarea susține termenele reglementare | Pregătire NIS2 și DORA |
| Nefinalizare repetată | Dacă aplicarea și escaladarea funcționează | Monitorizarea conformității |
| Actualizări ale instruirii după incidente sau schimbări | Dacă lecțiile învățate determină îmbunătățirea | Îmbunătățire continuă |
Aceste metrici susțin ISO/IEC 27001:2022 Clause 9.1 pentru monitorizare și măsurare, Clause 9.2 pentru audit intern, Clause 10.1 pentru îmbunătățire continuă și Clause 10.2 pentru neconformitate și acțiune corectivă. ISO/IEC 27002:2022 control 5.36 consolidează faptul că respectarea politicilor, regulilor și standardelor trebuie monitorizată, evaluată și remediată.
Constatări frecvente pe care Clarysec le vede în audituri
Aceleași puncte slabe apar în mod repetat.
Organizațiile instruiesc angajații, dar uită executivii. În temeiul NIS2 și DORA, instruirea managementului este parte a guvernanței, nu un bonus de maturitate.
Organizațiile livrează instruire anuală, dar ignoră schimbările de rol. Un inginer de suport care trece în DevOps are nevoie de instruire privind accesul privilegiat, jurnalizarea, backup-ul și escaladarea incidentelor.
Organizațiile includ angajații, dar uită contractorii. Zenith Blueprint Step 15 recomandă extinderea instruirii la contractori sau terți care au acces la sisteme sau date.
Organizațiile predau raportarea incidentelor, dar creează teamă. Dacă personalul crede că va fi sancționat pentru că a făcut clic pe un link de phishing, poate rămâne tăcut. Zenith Blueprint Step 16 subliniază canalele simple de raportare, raportarea susținută de conștientizare și o cultură fără culpabilizare.
Organizațiile nu pot dovedi versionarea conținutului. Dacă un auditor întreabă ce au finalizat angajații în martie, setul curent de diapozitive de pe SharePoint nu este suficient. Păstrați versiunea livrată.
Organizațiile nu reușesc să conecteze instruirea la tratamentul riscului. Dacă ransomware, frauda la plăți, configurarea greșită a cloud-ului sau scurgerea de date reprezintă un risc major, planul de instruire trebuie să arate tratamentul țintit pentru rolurile relevante.
Unde se încadrează Clarysec
Clarysec ajută organizațiile să construiască un singur program defensabil, nu cinci trasee de conformitate deconectate.
Politica privind conștientizarea și instruirea în domeniul securității informației - IMM oferă organizațiilor mai mici o bază practică: așteptări bazate pe roluri, înregistrări documentate, actualizări anuale, instruire declanșată de schimbări și păstrare timp de cel puțin trei ani.
Politica privind conștientizarea și instruirea în domeniul securității informației pentru mediul enterprise oferă organizațiilor mai mari o guvernanță mai solidă: conștientizare structurată și bazată pe risc, integrare, instruiri anuale de reîmprospătare, module bazate pe roluri, proprietatea înregistrărilor de către CISO și pregătire pentru inspecții de reglementare în temeiul GDPR, DORA și NIS2.
Zenith Blueprint indică echipelor de implementare ce trebuie să facă, în ordine. Step 5 integrează competența și conștientizarea în fundația SMSI. Step 15 operaționalizează ISO/IEC 27002:2022 control 6.3 prin instruire anuală, module specifice rolului, integrare, simulări de phishing, dovezi de participare, buletine țintite, instruirea contractorilor și consolidarea comportamentală. Step 16 conectează conștientizarea la raportarea incidentelor determinată de personal.
Zenith Controls oferă echipelor de conformitate tabelul de corespondență. Conectează ISO/IEC 27002:2022 control 6.3 la roluri, raportarea evenimentelor, monitorizarea conformității, riscurile privind factorul uman din ISO/IEC 27005:2024, așteptările GDPR privind instruirea, NIS2 Article 21, instruirea TIC DORA, controalele NIST de conștientizare și metodologiile de audit. De asemenea, conectează control 5.2 la responsabilitățile de guvernanță și control 5.36 la monitorizarea conformității și acțiunea corectivă.
Împreună, aceste resurse permit unui CISO să explice nu doar ce instruire a avut loc, ci de ce a avut loc, cine a solicitat-o, ce risc a tratat, cum a fost dovedită și cum se îmbunătățește.
Faceți acum dovezile privind instruirea de securitate pregătite pentru audit
Dacă dovezile dumneavoastră actuale sunt un tabel, un set de diapozitive și speranța că angajații își amintesc adresa de e-mail pentru raportare, acum este momentul să le maturizați.
Începeți săptămâna aceasta cu patru acțiuni:
- Creați o matrice de instruire bazată pe roluri, conectată la responsabilitățile SMSI, accesul la sistem și obligațiile de reglementare.
- Adoptați sau actualizați politica de conștientizare Clarysec folosind Politica privind conștientizarea și instruirea în domeniul securității informației - IMM sau Politica privind conștientizarea și instruirea în domeniul securității informației.
- Construiți pachetul de dovezi în șase foldere pentru guvernanță, maparea rolurilor, conținut, finalizare, eficacitate și îmbunătățire.
- Utilizați Zenith Blueprint și Zenith Controls pentru a mapa dovezile de instruire la așteptările de audit ISO/IEC 27001:2022, NIS2, DORA, GDPR și NIST.
Conștientizarea securității este valoroasă atunci când schimbă comportamentul. Dovezile de conformitate sunt valoroase atunci când dovedesc că acel comportament este consecvent.
Clarysec vă ajută să le construiți pe ambele.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
