NIST CSF 2.0 Govern pentru IMM-uri și ISO 27001
Sarah, numită recent în funcția de director de securitate a informațiilor (CISO) într-un IMM FinTech aflat în creștere rapidă, avea o tablă plină de cadre de lucru și un termen-limită imposibil de mutat. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Riscul aferent furnizorilor. Responsabilitatea consiliului de administrație. Verificare prealabilă din partea unui client enterprise.
Declanșatorul era familiar: o foaie de calcul primită de la un client important din servicii financiare. Departamentul de achiziții solicita dovezi privind un model de guvernanță a securității cibernetice, apetitul la risc, un program de securitate a furnizorilor, maparea obligațiilor legale și de reglementare, procesul de escaladare a incidentelor și alinierea la ISO 27001:2022.
CEO-ul nu dorea o lecție despre conformitate. Dorea un răspuns simplu la o întrebare dificilă: „Cum demonstrăm consiliului de administrație, clienților și autorităților de reglementare că avem control asupra riscului cibernetic?”
Aceasta este problema de guvernanță cu care se confruntă multe IMM-uri. Un chestionar de client este rareori doar un chestionar de client. De cele mai multe ori, este echivalentul a cinci discuții de conformitate comprimate într-o singură solicitare. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, așteptările privind furnizorii determinate de DORA, reziliența cloud, supravegherea de către consiliul de administrație și angajamentele contractuale sunt toate incluse implicit în aceeași solicitare de dovezi.
Multe IMM-uri răspund prin crearea unor artefacte separate: o foaie de calcul NIST, un folder pentru certificarea ISO, un registru de urmărire GDPR, un Registru al riscurilor aferente furnizorilor și un Plan de răspuns la incidente care nu sunt corelate. Șase luni mai târziu, nimeni nu mai știe care document este sursa autorizată.
Abordarea Clarysec este diferită. Utilizați funcția NIST CSF 2.0 Govern ca strat de guvernanță executivă, apoi mapați-o la politicile ISO 27001:2022, tratarea riscurilor, Declarația de aplicabilitate, supravegherea furnizorilor, analiza efectuată de management și dovezile de audit. Rezultatul nu înseamnă mai multă muncă de conformitate. Este un singur model operațional care poate răspunde auditorilor, clienților, autorităților de reglementare și conducerii cu același set de dovezi.
De ce contează funcția NIST CSF 2.0 Govern pentru IMM-uri
NIST CSF 2.0 ridică guvernanța la nivelul unei funcții distincte, alături de Identify, Protect, Detect, Respond și Recover. Această schimbare este importantă deoarece majoritatea eșecurilor de securitate din IMM-uri nu sunt cauzate de lipsa încă unui instrument. Ele sunt cauzate de responsabilități neclare, decizii slabe privind riscul, excepții nedocumentate, supraveghere inconsistentă a furnizorilor și politici aprobate o singură dată, dar niciodată operaționalizate.
Funcția NIST CSF 2.0 Govern schimbă întrebarea din „ce controale avem?” în „cine răspunde, ce obligații se aplică, cum sunt prioritizate riscurile și cum este revizuită performanța?”
Pentru IMM-uri, rezultatele Govern oferă un mandat practic:
- Înțelegerea și gestionarea obligațiilor legale, de reglementare, contractuale, de confidențialitate și privind libertățile civile.
- Stabilirea apetitului la risc, toleranței la risc, scorării riscurilor, prioritizării și opțiunilor de răspuns la risc.
- Definirea rolurilor, responsabilităților, autorităților, căilor de escaladare și resurselor pentru securitatea cibernetică.
- Stabilirea, comunicarea, aplicarea, revizuirea și actualizarea politicilor de securitate cibernetică.
- Revizuirea strategiei de securitate cibernetică, a performanței și a responsabilității managementului.
- Guvernanța riscului de securitate cibernetică aferent furnizorilor și terților, de la verificarea prealabilă până la încetarea colaborării.
Acesta este motivul pentru care NIST CSF 2.0 Govern este o poartă de intrare atât de solidă pentru ISO 27001:2022. NIST oferă limbajul de guvernanță pentru executivi. ISO 27001:2022 oferă sistemul de management care poate fi auditat.
Clauzele ISO 27001:2022 de la 4 la 10 cer organizațiilor să înțeleagă contextul, să definească părțile interesate, să stabilească domeniul de aplicare al SMSI, să demonstreze leadership, să planifice evaluarea riscurilor și tratarea riscurilor, să susțină informațiile documentate, să opereze controale, să evalueze performanța, să desfășoare audituri interne și analize efectuate de management și să îmbunătățească în mod continuu. Anexa A oferă apoi setul de referință al controalelor, inclusiv politici, responsabilități ale managementului, obligații legale, confidențialitate, relații cu furnizorii, servicii cloud, managementul incidentelor și pregătirea TIC pentru continuitatea activității.
Politica Enterprise Clarysec Politica de securitate a informației Politica de securitate a informației prevede:
Organizația trebuie să mențină un model formal de guvernanță pentru supravegherea SMSI, aliniat la clauzele 5.1 și 9.3 din ISO/IEC 27001.
Această cerință, din clauza 5.1 a Politicii de securitate a informației, este puntea practică dintre responsabilitatea NIST GV și așteptările ISO 27001:2022 privind leadershipul. Guvernanța nu este o prezentare anuală. Este un model formal care conectează deciziile, politicile, rolurile, riscurile, controalele, dovezile și revizuirea.
Maparea de bază: NIST CSF 2.0 Govern la dovezi ISO 27001:2022
Cea mai rapidă modalitate de a face NIST CSF 2.0 util este transformarea rezultatelor Govern în deținere a politicilor și dovezi de audit. Tabelul de mai jos este structura pe care Clarysec o utilizează cu IMM-urile care se pregătesc pentru certificarea ISO 27001:2022, verificarea prealabilă din partea clienților enterprise, pregătirea pentru NIS2, asigurarea solicitată de clienți în context DORA și responsabilitatea conform GDPR.
| Zona NIST CSF 2.0 Govern | Întrebarea de guvernanță pentru IMM | Aliniere ISO 27001:2022 | Ancoră de politică Clarysec | Dovezi așteptate de auditori și clienți |
|---|---|---|---|---|
| GV.OC, context organizațional | Cunoaștem obligațiile noastre legale, de reglementare, contractuale, de confidențialitate și operaționale? | Clauzele 4.1-4.4, Anexa A 5.31 și 5.34 | Politica de conformitate juridică și de reglementare | Registrul de conformitate, domeniul de aplicare al SMSI, registrul părților interesate, maparea obligațiilor clienților, registrul de confidențialitate |
| GV.RM, strategia de management al riscurilor | Cum definim, scorăm, prioritizăm, acceptăm și tratăm riscurile cibernetice? | Clauzele 6.1.1-6.1.3, 8.2 și 8.3 | Politica de management al riscurilor | Metodologia de risc, Registrul de riscuri, Planul de tratare a riscurilor, aprobările proprietarilor de risc, maparea SoA |
| GV.RR, roluri și responsabilități | Cine deține deciziile, excepțiile, resursele și raportarea în domeniul securității cibernetice? | Clauzele 5.1-5.3, Anexa A 5.2 și 5.4 | Politica privind rolurile și responsabilitățile de guvernanță pentru IMM-uri | RACI, descrieri de rol, procese-verbale de ședință, aprobări ale excepțiilor, înregistrări privind instruirea |
| GV.PO, politică | Politicile sunt aprobate, comunicate, aplicate, revizuite și actualizate? | Clauzele 5.2, 7.5 și 9.3, Anexa A 5.1 | Politica de securitate a informației | Registrul politicilor, înregistrări ale aprobărilor, istoric al versiunilor, confirmări ale angajaților, procese-verbale ale revizuirilor de politici |
| GV.OV, supraveghere | Strategia și performanța de securitate cibernetică sunt revizuite și ajustate? | Clauzele 9.1, 9.2, 9.3, 10.1 și 10.2 | Politica de audit și monitorizare a conformității | Tablou de bord KPI, plan de audit intern, rezultate ale analizei efectuate de management, acțiuni corective |
| GV.SC, risc din lanțul de aprovizionare | Furnizorii sunt cunoscuți, prioritizați, evaluați, contractați, monitorizați și dezangajați controlat? | Anexa A 5.19-5.23 și 5.30 | Politica de securitate privind terții și furnizorii pentru IMM-uri | Inventarul furnizorilor, înregistrări de verificare prealabilă, clauze contractuale, jurnale de revizuire, planuri de ieșire, contacte pentru incidente |
Această mapare este intenționat orientată către dovezi. Nu cere IMM-ului să creeze 40 de documente. Adresează cinci întrebări operaționale:
- Ce decizie se ia?
- Cine o deține?
- Ce politică o guvernează?
- Ce clauză ISO 27001:2022 sau control din Anexa A o susține?
- Ce dovadă demonstrează că s-a întâmplat?
Politica privind rolurile și responsabilitățile de guvernanță pentru IMM-uri Politica privind rolurile și responsabilitățile de guvernanță pentru IMM-uri face explicită această trasabilitate:
Toate deciziile, excepțiile și escaladările semnificative privind securitatea trebuie înregistrate și trasabile.
Acest citat provine din clauza 5.5 a Politicii privind rolurile și responsabilitățile de guvernanță pentru IMM-uri. El transformă NIST GV.RR dintr-un principiu de guvernanță într-o regulă operațională care poate fi auditată.
Începeți cu un profil CSF Govern, nu cu o foaie de calcul pentru controale
Profilurile organizaționale NIST CSF 2.0 ajută organizațiile să descrie rezultatele curente și țintă în materie de securitate cibernetică. Pentru IMM-uri, profilul este locul în care guvernanța devine gestionabilă.
Un atelier practic pentru profilul Govern trebuie să răspundă la cinci întrebări:
- Ce intră în domeniul de aplicare: întreaga companie, o platformă SaaS, un produs reglementat sau un mediu al clientului?
- Ce obligații determină profilul: contracte cu clienții, GDPR, expunere NIS2, așteptări ale clienților determinate de DORA, certificare ISO 27001:2022 sau verificare prealabilă din partea investitorilor?
- Ce demonstrează dovezile curente, nu ce cred oamenii că există?
- Ce stare țintă este realistă pentru următoarele 90 de zile și pentru următoarele 12 luni?
- Ce riscuri, politici, furnizori și intrări SoA trebuie schimbate?
Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint susține acest demers în faza ISMS Foundation & Leadership, pasul 6, „Documented Information and Building the ISMS Library”. Acesta recomandă pregătirea timpurie a SoA și utilizarea acesteia ca bibliotecă de controale:
✓ Controale suplimentare: Există controale în afara Anexei A pe care le-ați putea include? ISO 27001 permite adăugarea altor controale în SoA. De exemplu, poate doriți să includeți conformitatea cu NIST CSF sau controale specifice de confidențialitate din ISO 27701. În general, Anexa A este cuprinzătoare, dar puteți adăuga orice controale unice pe care le planificați
✓ Utilizați o foaie de calcul (SoA Builder): O abordare practică este să pregătiți acum foaia de calcul SoA. Am pregătit un șablon SoA_Builder.xlsx care listează toate controalele din Anexa A cu coloane pentru aplicabilitate, stadiul implementării și note.
Pentru un IMM, acest lucru contează. Nu trebuie să forțați NIST CSF 2.0 în ISO Annex A ca și cum cele două ar fi identice. Puteți include rezultatele CSF Govern ca cerințe suplimentare de guvernanță în biblioteca SoA, le puteți mapa la clauzele ISO 27001:2022 și la controalele din Anexa A și le puteți utiliza pentru a îmbunătăți analiza efectuată de management, guvernanța furnizorilor, raportarea riscurilor și monitorizarea conformității.
Construiți un registru de dovezi Govern
Un registru de dovezi Govern este instrumentul practic care transformă cadrele de lucru în dovezi. Acesta trebuie să conecteze fiecare rezultat NIST la o referință ISO, proprietarul politicii, elementul de dovadă, cadența de revizuire, lacună și acțiune.
| Câmp | Exemplu de intrare |
|---|---|
| Rezultat CSF | GV.OC-03 |
| Întrebare de guvernanță | Sunt înțelese și gestionate obligațiile legale, de reglementare, contractuale, de confidențialitate și privind libertățile civile? |
| Referință ISO 27001:2022 | Clauzele 4.2, 4.3 și 6.1.3, Anexa A 5.31 și 5.34 |
| Politică Clarysec | Politica de conformitate juridică și de reglementare |
| Proprietar al dovezii | Manager de conformitate |
| Dovadă | Registrul de conformitate v1.4, maparea obligațiilor clienților, registrul de prelucrare GDPR |
| Cadență de revizuire | Trimestrial și atunci când apar modificări privind piața, clienții sau produsele |
| Lacună | Cerințele DORA transferate contractual de clienți nu sunt mapate la contractele cu furnizorii |
| Acțiune | Actualizarea modelului de contract cu furnizorii și a notelor SoA |
| Termen-limită | 30 de zile |
Politica Enterprise Clarysec Politica de conformitate juridică și de reglementare Politica de conformitate juridică și de reglementare stabilește cerința de guvernanță:
Toate obligațiile legale și de reglementare trebuie mapate la politici, controale și proprietari specifici în cadrul Sistemului de management al securității informației (SMSI).
Aceasta este clauza 6.2.1 a Politicii de conformitate juridică și de reglementare. Pentru IMM-uri, Politica de conformitate juridică și de reglementare pentru IMM-uri Politica de conformitate juridică și de reglementare pentru IMM-uri adaugă o cerință practică de mapare transversală:
Atunci când o reglementare se aplică în mai multe arii (de exemplu, GDPR se aplică retenției, securității și confidențialității), acest lucru trebuie mapat clar în Registrul de conformitate și în materialele de instruire.
Acest citat provine din clauza 5.2.2 a Politicii de conformitate juridică și de reglementare pentru IMM-uri. Împreună, aceste clauze transformă GV.OC-03 într-un proces gestionat, revizuibil și pregătit pentru audit.
Conectați scorarea riscurilor la tratarea riscurilor și la SoA
NIST GV.RM cere obiective de risc, apetit la risc, toleranță la risc, calcul standardizat al riscului, opțiuni de răspuns și linii de comunicare. ISO 27001:2022 operaționalizează acest lucru prin evaluarea riscurilor, tratarea riscurilor, aprobarea de către proprietarul de risc, acceptarea riscului rezidual și Declarația de aplicabilitate.
Politica de management al riscurilor pentru IMM-uri Politica de management al riscurilor pentru IMM-uri este intenționat concretă:
Fiecare intrare de risc trebuie să includă: descriere, probabilitate, impact, scor, proprietar și plan de tratare.
Aceasta provine din clauza 5.1.2 a Politicii de management al riscurilor pentru IMM-uri. Politica Enterprise Politica de management al riscurilor Politica de management al riscurilor consolidează conexiunea cu SoA:
O Declarație de aplicabilitate (SoA) trebuie să reflecte toate deciziile de tratare și trebuie actualizată ori de câte ori acoperirea controalelor este modificată.
Aceasta este clauza 5.4 a Politicii de management al riscurilor.
Luați în considerare un risc real pentru IMM-uri: acces neautorizat la datele de producție ale clienților din cauza aplicării inconsistente a autentificării multifactor pentru conturile de administrare cloud.
O mapare Govern solidă ar include:
- NIST GV.RM pentru documentarea și prioritizarea standardizată a riscurilor.
- NIST GV.RR pentru deținerea rolurilor și autoritatea de a aplica controlul accesului.
- NIST GV.PO pentru aplicarea și revizuirea politicilor.
- Clauzele ISO 27001:2022 6.1.2, 6.1.3, 8.2 și 8.3.
- Controale din Anexa A pentru controlul accesului, managementul identității, informații de autentificare, jurnalizare, monitorizare, configurare și servicii cloud.
- Dovezi precum o intrare în Registrul de riscuri, exportul configurației MFA, aprobarea excepției, revizuirea IAM cloud, decizia din analiza efectuată de management și nota SoA actualizată.
Zenith Blueprint, faza Risk Management, pasul 13, „Risk Treatment Planning and Statement of Applicability”, explică legătura:
✓ Asigurați alinierea cu Registrul de riscuri: fiecare control de atenuare pe care l-ați scris în Planul de tratare a riscurilor trebuie să corespundă unui control din Anexa A marcat „Aplicabil”. Invers, dacă un control este marcat aplicabil, trebuie să existe fie un risc, fie o cerință care îl determină.
Aceasta este diferența dintre a spune „folosim MFA” și a demonstra „avem un motiv guvernat, bazat pe risc și aliniat la ISO 27001:2022 pentru MFA, cu dovezi, proprietar și cadență de revizuire.”
Guvernați riscul aferent furnizorilor fără a supradimensiona programul
NIST GV.SC este una dintre cele mai utile părți ale funcției Govern pentru IMM-uri, deoarece IMM-urile moderne depind în mare măsură de furnizori: furnizori cloud, procesatori de plăți, platforme HR, sisteme helpdesk, depozite de cod, instrumente CI/CD, instrumente de monitorizare și servicii de securitate administrate.
Anexa A ISO 27001:2022 susține acest lucru prin controale privind furnizorii și cloud-ul, inclusiv 5.19 Securitatea informației în relațiile cu furnizorii, 5.20 Abordarea securității informației în acordurile cu furnizorii, 5.21 Gestionarea securității informației în lanțul de aprovizionare TIC, 5.22 Monitorizarea, revizuirea și managementul schimbărilor pentru serviciile furnizorilor, 5.23 Securitatea informației pentru utilizarea serviciilor cloud și 5.30 Pregătirea TIC pentru continuitatea activității.
Politica de securitate privind terții și furnizorii pentru IMM-uri Politica de securitate privind terții și furnizorii pentru IMM-uri clarifică cerința privind dovezile:
Aceste revizuiri trebuie documentate și păstrate împreună cu înregistrarea furnizorului. Acțiunile ulterioare trebuie urmărite în mod clar.
Aceasta este clauza 6.3.2 a Politicii de securitate privind terții și furnizorii pentru IMM-uri.
Un model suplu de furnizori pentru IMM-uri poate utiliza trei niveluri:
| Nivel furnizor | Criterii | Dovezi minime | Cadență de revizuire |
|---|---|---|---|
| Critic | Susține producția, datele clienților, autentificarea, monitorizarea securității, fluxul de plăți sau livrarea de servicii reglementate | Chestionar de verificare prealabilă, clauze contractuale de securitate, SLA, contact pentru incidente, plan de ieșire, revizuire de risc | Anual și la modificări semnificative |
| Important | Susține activități operaționale ale organizației sau informații sensibile interne, dar nu livrarea directă a serviciilor critice | Rezumat de securitate, termeni de prelucrare a datelor, revizuirea drepturilor de acces, acceptarea riscului dacă există lacune | La fiecare 18 luni |
| Standard | Instrumente cu risc redus, fără date sensibile sau dependență critică | Aprobare de către proprietarul de business, verificare de bază a datelor și accesului | La integrare și reînnoire |
Acest model simplu susține NIST GV.SC, controalele ISO 27001:2022 privind furnizorii, verificarea prealabilă din partea clienților și așteptările contractuale determinate de DORA din partea clienților financiari.
Încetarea colaborării cu furnizorii merită atenție specială. NIST GV.SC așteaptă guvernanță pe întregul ciclu de viață al furnizorului, inclusiv la finalul relației. Dovezile trebuie să includă returnarea sau ștergerea datelor, eliminarea accesului, planificarea tranziției serviciului, păstrarea înregistrărilor contractuale și revizuirea riscului rezidual.
Utilizați Zenith Controls pentru conformitate transversală, nu ca set separat de controale
Zenith Controls: The Cross-Compliance Guide Zenith Controls de la Clarysec este un ghid de conformitate transversală pentru maparea temelor de control ISO/IEC 27002:2022 la mai multe cadre și perspective de audit. Acestea nu sunt „controale Zenith” separate. Sunt controale ISO/IEC 27002:2022 analizate în Zenith Controls pentru utilizare în conformitatea transversală.
Pentru NIST CSF 2.0 Govern, trei arii de control ISO/IEC 27002:2022 sunt deosebit de importante:
| Arie de control ISO/IEC 27002:2022 în Zenith Controls | Conexiune NIST CSF 2.0 Govern | Interpretare practică pentru IMM |
|---|---|---|
| 5.1 Politici pentru securitatea informației | GV.PO | Politicile trebuie aprobate, comunicate, aplicate, revizuite și actualizate atunci când se schimbă amenințările, tehnologia, legea sau obiectivele organizației |
| 5.4 Responsabilități ale managementului | GV.RR și GV.OV | Responsabilitățile de securitate trebuie atribuite la nivel de conducere și la nivel operațional, cu resurse, raportare și revizuire |
| 5.31 Cerințe legale, statutare, de reglementare și contractuale | GV.OC-03 | Obligațiile trebuie identificate, mapate la controale și proprietari, monitorizate pentru schimbări și susținute prin dovezi |
Zenith Blueprint, faza Controls in Action, pasul 22, „Organizational controls”, oferă modelul operațional:
Formalizați guvernanța securității informației
Asigurați-vă că politicile de securitate a informației (5.1) sunt finalizate, aprobate și supuse controlului versiunilor. Desemnați proprietari nominali pentru fiecare domeniu de politică (de exemplu, acces, criptare, backup) și documentați rolurile și responsabilitățile în cadrul SMSI (5.2). Revizuiți separarea atribuțiilor (5.3) în zonele cu risc ridicat, precum finanțele, administrarea sistemelor și controlul schimbărilor. Produceți o mapare simplă de guvernanță care arată cine aprobă, cine implementează și cine monitorizează politica de securitate.
Această mapare de guvernanță este unul dintre artefactele cu cea mai mare valoare pe care le poate crea un IMM. Ea răspunde la NIST GV.RR, cerințele ISO 27001:2022 privind leadershipul, așteptările NIS2 privind responsabilitatea managementului și întrebările clienților despre cine deține riscul cibernetic.
Un singur model de guvernanță pentru NIS2, DORA, GDPR, NIST și ISO
Funcția Govern devine cea mai valoroasă atunci când un IMM se confruntă cu cerințe suprapuse.
NIS2 cere entităților esențiale și importante aflate în domeniul de aplicare să adopte măsuri adecvate și proporționale de management al riscurilor de securitate cibernetică. De asemenea, plasează responsabilitatea asupra organelor de conducere pentru aprobarea măsurilor de management al riscurilor de securitate cibernetică, supravegherea implementării și urmarea instruirii. NIST GV.RR susține responsabilitatea managementului. GV.RM susține măsurile bazate pe risc. GV.SC susține securitatea lanțului de aprovizionare. GV.PO susține politicile. GV.OV susține revizuirea performanței.
Guvernanța incidentelor în NIS2 introduce și așteptări de raportare etapizată, inclusiv avertizare timpurie în termen de 24 de ore, notificarea incidentului în termen de 72 de ore și raport final în termen de o lună pentru incidente semnificative. Aceste termene trebuie reflectate în proceduri de răspuns la incidente, căi de escaladare, planuri de comunicare și raportare către management.
DORA se aplică de la 17 ianuarie 2025 entităților financiare din UE, dar multe IMM-uri îi simt impactul prin contractele cu clienții. Clienții financiari pot transfera cerințele DORA către furnizori TIC, furnizori de software, furnizori de servicii administrate și furnizori dependenți de cloud. DORA se concentrează pe managementul riscurilor TIC, responsabilitatea organului de conducere, raportarea incidentelor, testarea rezilienței, riscul TIC aferent terților, cerințele contractuale și supraveghere.
GDPR adaugă responsabilitate pentru prelucrarea datelor cu caracter personal. IMM-urile trebuie să înțeleagă dacă sunt operatori de date, persoane împuternicite sau ambele, ce date cu caracter personal prelucrează, ce sisteme și furnizori sunt implicați, ce temeiuri juridice se aplică și ce scenarii de incident ar putea deveni încălcări ale securității datelor cu caracter personal.
Zenith Blueprint, faza Risk Management, pasul 14, recomandă referențierea încrucișată a cerințelor DORA, NIS2 și GDPR în setul de controale ISO 27001:2022:
Pentru fiecare reglementare, dacă este aplicabilă, puteți crea un tabel simplu de mapare (de exemplu, o anexă într-un raport) care listează cerințele-cheie de securitate ale reglementării și controalele/politicile corespunzătoare din SMSI. Acest lucru nu este obligatoriu în ISO 27001, dar este un exercițiu intern util pentru a vă asigura că nimic nu a fost omis.
O mapare practică de conformitate transversală poate arăta astfel:
| Cerință de guvernanță | NIST CSF 2.0 Govern | Ancoră ISO 27001:2022 | Relevanță NIS2, DORA, GDPR | Dovadă principală |
|---|---|---|---|---|
| Responsabilitatea managementului | GV.RR și GV.OV | Clauzele 5.1, 5.3 și 9.3, Anexa A 5.4 | Supravegherea organului de conducere în NIS2, responsabilitatea organului de conducere în DORA | Mapare de guvernanță, RACI, procese-verbale ale analizelor efectuate de management |
| Obligații legale și contractuale | GV.OC-03 | Clauzele 4.2, 4.3 și 6.1.3, Anexa A 5.31 și 5.34 | Responsabilitate GDPR, domeniu legal NIS2, cerințe contractuale transferate DORA | Registrul de conformitate, maparea obligațiilor clienților, registrul de confidențialitate |
| Măsuri de securitate bazate pe risc | GV.RM | Clauzele 6.1.2, 6.1.3, 8.2 și 8.3 | Măsuri de risc NIS2, cadru de management al riscurilor TIC DORA, securitatea prelucrării GDPR | Registrul de riscuri, Planul de tratare a riscurilor, SoA |
| Guvernanța furnizorilor | GV.SC | Anexa A 5.19-5.23 și 5.30 | Securitatea lanțului de aprovizionare NIS2, risc TIC aferent terților DORA, persoane împuternicite GDPR | Inventarul furnizorilor, verificare prealabilă, contracte, jurnale de revizuire |
| Guvernanța politicilor | GV.PO | Clauza 5.2 și Anexa A 5.1 | Toate cadrele așteaptă reguli documentate, aprobate și comunicate | Registrul politicilor, istoric al versiunilor, confirmări |
| Audit și îmbunătățire | GV.OV | Clauzele 9.1, 9.2, 9.3, 10.1 și 10.2 | Testare și remediere DORA, eficacitate NIS2, responsabilitate GDPR | Rapoarte de audit intern, KPI, acțiuni corective |
Valoarea constă în eficiență. Un SMSI ISO 27001:2022 bine operat, ghidat de NIST CSF 2.0 Govern, poate genera dovezi reutilizabile pentru mai multe cadre simultan.
Perspectiva auditorului: demonstrarea faptului că guvernanța este reală
O politică aflată pe un raft nu înseamnă guvernanță. Auditorii și evaluatorii caută un fir logic: politică la nivel înalt, proces definit, înregistrare operațională, analiză efectuată de management și acțiune de îmbunătățire.
Diferiți revizori vor testa acest fir în mod diferit.
| Perspectiva auditorului | Pe ce se vor concentra | Dovezi care funcționează bine |
|---|---|---|
| Auditor ISO 27001:2022 | Dacă guvernanța este integrată în SMSI, tratarea riscurilor este trasabilă, deciziile SoA sunt justificate, iar informațiile documentate sunt controlate | Domeniul de aplicare al SMSI, registrul politicilor, Registrul de riscuri, SoA, procese-verbale ale analizelor efectuate de management, rapoarte de audit intern, acțiuni corective |
| Evaluator NIST CSF 2.0 | Dacă există profiluri curente și țintă, lacunele sunt prioritizate, iar rezultatele Govern sunt legate de riscul operațional și de supraveghere | Profil CSF, analiză a lacunelor, POA&M, declarație privind apetitul la risc, tablou de bord pentru conducere, profil țintă pentru furnizori |
| Auditor COBIT 2019 sau de tip ISACA | Dacă obiectivele de guvernanță, drepturile decizionale, indicatorii de performanță, deținerea controalelor și activitățile de asigurare sunt definite | Mapare de guvernanță, RACI, tablou de bord KPI și KRI, atestări ale proprietarilor de control, plan de audit, urmărirea problemelor |
| Revizor GDPR | Dacă obligațiile de confidențialitate sunt identificate, prelucrarea este mapată, măsurile de securitate sunt adecvate și există dovezi de responsabilitate | Registru de prelucrare, maparea temeiurilor juridice, DPIA unde este necesar, proces de răspuns la încălcări, termeni de prelucrare a datelor cu furnizorii |
| Evaluator de securitate al clientului | Dacă IMM-ul poate demonstra fără întârzieri excesive securitate operațională, control asupra furnizorilor, pregătire pentru incidente și responsabilitate executivă | Pachet de dovezi, politici, revizuiri ale furnizorilor, rezultate ale exercițiilor tabletop pentru incidente, revizuirea drepturilor de acces, teste de backup, foaie de parcurs de securitate |
Politica Enterprise Clarysec Politica privind rolurile și responsabilitățile de guvernanță Politica privind rolurile și responsabilitățile de guvernanță prevede:
Guvernanța trebuie să susțină integrarea cu alte discipline (de exemplu, risc, juridic, IT, HR), iar deciziile SMSI trebuie să fie trasabile până la sursa lor (de exemplu, înregistrări de audit, jurnale de revizuire, procese-verbale de ședință).
Aceasta este clauza 5.5 a Politicii privind rolurile și responsabilitățile de guvernanță. Ea surprinde esența conformității transversale: deciziile de guvernanță trebuie să fie trasabile.
Politica de audit și monitorizare a conformității pentru IMM-uri Politica de audit și monitorizare a conformității pentru IMM-uri adaugă o disciplină critică privind dovezile:
Metadatele (de exemplu, cine le-a colectat, când și din ce sistem) trebuie documentate.
Acest citat provine din clauza 6.2.3 a Politicii de audit și monitorizare a conformității pentru IMM-uri. Metadatele dovezilor sunt adesea elementul care separă un folder de capturi de ecran de dovezile la standard de audit.
Politica Enterprise Politica de audit și monitorizare a conformității Politica de audit și monitorizare a conformității adaugă cerința la nivel de program:
Organizația trebuie să mențină un Program structurat de audit și monitorizare a conformității, integrat în SMSI, care acoperă:
Aceasta este clauza 5.1 a Politicii de audit și monitorizare a conformității. Implicația de guvernanță este directă: auditul nu este o cursă de ultim moment o dată pe an. Face parte din operațiunile SMSI.
Greșeli frecvente ale IMM-urilor la maparea NIST Govern la ISO 27001:2022
Prima greșeală este documentarea excesivă fără deținere. Un IMM redactează politici, dar nu desemnează proprietari pentru tratarea riscurilor, revizuirile furnizorilor, aprobările excepțiilor sau raportarea către management.
A doua greșeală este tratarea obligațiilor legale ca fiind separate de SMSI. NIST GV.OC-03 cere ca obligațiile să fie înțelese și gestionate. ISO 27001:2022 cere ca cerințele relevante ale părților interesate și obligațiile legale, de reglementare și contractuale să fie luate în considerare în SMSI.
A treia greșeală este raționamentul slab al SoA. SoA nu este doar o listă de controale aplicabile. Este fișierul logic care explică de ce controalele sunt incluse, excluse sau implementate.
A patra greșeală este lipsa dovezilor privind ciclul de viață al furnizorilor. Guvernanța furnizorilor include integrarea, contractele, monitorizarea, incidentele, schimbările și încetarea colaborării.
A cincea greșeală este neactualizarea profilului țintă. Un profil CSF trebuie să se schimbe atunci când organizația intră într-o nouă geografie, semnează un client major, adoptă un furnizor critic, lansează un produs reglementat, schimbă arhitectura cloud sau suferă un incident.
O foaie de parcurs NIST CSF 2.0 Govern de 30 de zile pentru IMM-uri
Dacă un IMM trebuie să avanseze rapid, începeți cu un plan de implementare concentrat pe 30 de zile.
| Zile | Activitate | Rezultat |
|---|---|---|
| 1-3 | Definiți domeniul de aplicare CSF Govern și colectați politicile, contractele, înregistrările de risc, listele de furnizori și dovezile de audit existente | Notă privind domeniul de aplicare și inventar de dovezi |
| 4-7 | Construiți registrul de dovezi Govern pentru GV.OC, GV.RM, GV.RR, GV.PO, GV.OV și GV.SC | Profil curent și lacune inițiale |
| 8-12 | Mapați obligațiile la politicile ISO 27001:2022, ariile de control din Anexa A și proprietari | Registrul de conformitate și maparea deținerii politicilor |
| 13-17 | Actualizați Registrul de riscuri și Planul de tratare a riscurilor, apoi aliniați intrările SoA | Registrul de riscuri, Plan de tratare, actualizări SoA |
| 18-22 | Prioritizați guvernanța furnizorilor, inclusiv clasificarea furnizorilor critici, lacune contractuale și dovezi de revizuire | Registrul riscurilor aferente furnizorilor și registru de urmărire a acțiunilor |
| 23-26 | Pregătiți pachetul de dovezi de audit cu metadate, aprobări, jurnale de revizuire și decizii de management | Pachet de dovezi și index de audit |
| 27-30 | Desfășurați analiza efectuată de management și aprobați foaia de parcurs a profilului țintă | Procese-verbale ale analizei efectuate de management, decizii, foaie de parcurs |
Acest plan creează suficiente dovezi de guvernanță pentru a răspunde întrebărilor serioase ale clienților și auditorilor, construind în același timp fundația pentru certificarea ISO 27001:2022, pregătirea pentru NIS2, asigurarea solicitată de clienți în context DORA și responsabilitatea GDPR.
Rezultatul practic: o singură poveste de guvernanță, multe utilizări de conformitate
Când Sarah revine în fața consiliului de administrație, nu mai are cinci fluxuri de lucru de conformitate neconectate. Are o singură poveste de guvernanță.
Rezultatele NIST CSF 2.0 Govern sunt mapate la politici ISO 27001:2022, proprietari, riscuri, controale și dovezi. Domeniul de aplicare al SMSI include dependențe față de clienți, furnizori, cloud, aspecte legale, de reglementare, de confidențialitate și contractuale. Registrul de riscuri determină deciziile de tratare și aplicabilitatea SoA. Politicile sunt aprobate, supuse controlului versiunilor, deținute, comunicate și revizuite. Riscurile furnizorilor sunt încadrate pe niveluri, contractate, monitorizate și urmărite. Obligațiile de prelucrare GDPR, așteptările NIS2 privind responsabilitatea și cerințele DORA transferate contractual de clienți sunt referențiate încrucișat acolo unde este aplicabil. Dovezile de audit includ metadate, înregistrări ale deciziilor și rezultate ale analizelor efectuate de management.
Așa arată guvernanța atunci când este operațională.
Pasul următor: construiți pachetul de dovezi Govern pentru IMM cu Clarysec
Dacă vă pregătiți pentru ISO 27001:2022, răspundeți la verificarea prealabilă a clienților enterprise, mapați rezultatele NIST CSF 2.0 Govern sau încercați să aliniați NIS2, DORA și GDPR fără a construi programe separate, începeți cu stratul de guvernanță.
Clarysec vă poate ajuta să construiți:
- Un profil curent și țintă NIST CSF 2.0 Govern.
- O mapare a politicilor ISO 27001:2022 și a SoA.
- Un registru transversal al obligațiilor de conformitate utilizând Zenith Controls Zenith Controls.
- O foaie de parcurs în 30 de pași pentru implementarea SMSI utilizând Zenith Blueprint Zenith Blueprint.
- Dovezi de politică pregătite pentru IMM-uri utilizând setul de politici Clarysec, inclusiv Politica privind rolurile și responsabilitățile de guvernanță pentru IMM-uri Politica privind rolurile și responsabilitățile de guvernanță pentru IMM-uri, Politica de management al riscurilor pentru IMM-uri Politica de management al riscurilor pentru IMM-uri, Politica de conformitate juridică și de reglementare pentru IMM-uri Politica de conformitate juridică și de reglementare pentru IMM-uri, Politica de securitate privind terții și furnizorii pentru IMM-uri Politica de securitate privind terții și furnizorii pentru IMM-uri și Politica de audit și monitorizare a conformității pentru IMM-uri Politica de audit și monitorizare a conformității pentru IMM-uri.
Cea mai rapidă cale nu este încă o foaie de calcul. Este un SMSI guvernat, bazat pe risc și pregătit cu dovezi, care permite IMM-ului dumneavoastră să răspundă cu încredere la o întrebare:
Puteți demonstra că securitatea cibernetică este gestionată, deținută, revizuită și îmbunătățită continuu?
Cu Clarysec, răspunsul devine da.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
