Guvernanța ciclului de viață al politicilor pentru ISO 27001, NIS2 și DORA
E-mailul a ajuns în inboxul Mariei Petrova, CISO, cu un sunet discret, dar care s-a simțit ca o sirenă. Venea de la auditorul extern: o listă preliminară de solicitări pentru un audit de supraveghere ISO/IEC 27001:2022 combinat cu o evaluare a pregătirii pentru DORA. Primul punct părea simplu:
„Vă rugăm să furnizați Politica de securitate a informației în vigoare, istoricul complet al versiunilor, dovezile aprobării de către conducere pentru fiecare versiune și înregistrările comunicării acesteia către personalul relevant din ultimele 24 de luni.”
Compania Mariei, o platformă fintech de dimensiune medie, avea politici. Zeci. Avea o Politică de securitate a informației, un Plan de răspuns la incidente, un chestionar de securitate pentru furnizori, un Registru al riscurilor, o procedură de control al accesului, un plan de continuitate a activității și un folder plin cu dovezi de audit. Dar fișierele erau împrăștiate în site-uri SharePoint, spații Confluence moștenite, fire de e-mail, atașamente la tichete și unități partajate deținute de persoane care părăsiseră deja compania.
Problema reală a devenit clară când au sosit întrebările suplimentare ale auditorului.
Cine a aprobat procedura curentă pentru incidente? De ce politica de securitate a furnizorilor din SharePoint indică versiunea 2.1, în timp ce achizițiile utilizează versiunea 1.8? Ce politică este mapată la măsurile de management al riscurilor din NIS2 Article 21? Unde este înregistrarea care arată că personalul a fost informat despre ultima actualizare a politicii? De ce a fost acordată o excepție pentru acces privilegiat, cine a acceptat riscul rezidual și când expiră? Sunt documentele învechite eliminate din utilizarea operațională? Cât timp sunt păstrate rapoartele de audit? Poate compania să dovedească faptul că biblioteca de politici a fost revizuită după ultima schimbare majoră de sistem?
Maria avea controale, dar nu avea control asupra controalelor.
Aceasta este problema guvernanței ciclului de viață al politicilor în 2026. Organizațiile nu mai eșuează la audit doar pentru că o regulă de firewall este greșită sau pentru că lipsește un test de backup. Eșuează deoarece informațiile documentate sunt fragmentate, neverificabile, duplicate, învechite, necontrolate sau decuplate de obligațiile legale. În cadrul ISO/IEC 27001:2022, clauza 7.5, informațiile documentate nu sunt o activitate administrativă de arhivare. Ele reprezintă memoria operațională a SMSI. În cadrul NIS2, acestea susțin aprobarea și supravegherea de către organul de conducere. În cadrul DORA, devin parte a cadrului de management al riscurilor TIC și a pistei de dovezi privind reziliența. În cadrul GDPR, demonstrează responsabilitatea.
Perspectiva Clarysec este directă: o bibliotecă de politici nu este un depozit de documente. Este un sistem guvernat de dovezi.
De ce guvernanța ciclului de viață al politicilor este acum o problemă la nivelul consiliului de administrație
Guvernanța ciclului de viață al politicilor este disciplina de creare, aprobare, publicare, comunicare, revizuire, modificare, retragere, păstrare și evidențiere a politicilor și a înregistrărilor aferente. Ea răspunde întrebărilor pe care auditorii, autoritățile de reglementare, clienții și consiliile de administrație le adresează acum în mod obișnuit:
- Cine deține fiecare politică?
- Cine o aprobă?
- Ce cerințe legale, contractuale și de risc satisface?
- Ce controale și proceduri o implementează?
- Care este versiunea în vigoare?
- Cine a fost informat, instruit sau obligat să confirme luarea la cunoștință?
- Ce excepții sunt legate de aceasta?
- Ce înregistrări dovedesc că funcționează?
- Ce se întâmplă când devine învechită?
ISO/IEC 27001:2022 susține această disciplină prin clauza 7.5 privind informațiile documentate, clauza 5 privind leadershipul, clauza 6 privind planificarea și tratarea riscului, clauza 8 privind controlul operațional și controalele din Anexa A care acoperă politicile, înregistrările, cerințele legale, furnizorii, incidentele, continuitatea, confidențialitatea, jurnalizarea, monitorizarea și managementul schimbărilor.
Presiunea de reglementare este la fel de directă.
NIS2 Article 20 impune organelor de conducere să aprobe măsurile de management al riscurilor de securitate cibernetică, să supravegheze implementarea și să primească instruire adecvată. Article 21 impune măsuri tehnice, operaționale și organizaționale bazate pe risc, inclusiv politici de securitate, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, dezvoltarea securizată, evaluarea eficacității, igiena cibernetică, criptografia, securitatea resurselor umane, controlul accesului, managementul activelor și autentificarea. Un corpus de politici fără dovezi privind proprietatea, aprobarea și revizuirea slăbește capacitatea de a demonstra responsabilitatea conducerii.
DORA se aplică de la 17 ianuarie 2025 și stabilește un cadru uniform al UE pentru managementul riscurilor TIC, raportarea incidentelor, testarea rezilienței operaționale digitale, riscul TIC asociat terților și cerințele contractuale. Pentru entitățile financiare care sunt și entități esențiale sau importante în temeiul NIS2, DORA este tratat ca actul juridic sectorial specific al Uniunii pentru obligațiile corespunzătoare de securitate cibernetică. Article 5 impune responsabilitatea organului de conducere pentru cadrul de management al riscurilor TIC, politici, responsabilități, planuri de continuitate, audituri, politici TIC privind terții, canale de raportare și instruire. Article 6 impune un cadru de management al riscurilor TIC bine documentat, revizuit cel puțin anual pentru entitățile financiare care nu sunt microîntreprinderi și îmbunătățit pe baza lecțiilor învățate.
GDPR adaugă cerința de responsabilitate. Article 5 impune ca datele cu caracter personal să fie prelucrate în mod legal, echitabil și transparent, pentru scopuri determinate, cu minimizare, exactitate, limitarea păstrării și securitate. Article 5(2) face operatorul de date responsabil pentru demonstrarea conformității. Această demonstrație depinde de înregistrări controlate: decizii privind temeiul juridic, calendare de păstrare, DPIA-uri acolo unde este aplicabil, verificarea prealabilă a persoanelor împuternicite, înregistrări privind încălcările, revizuiri ale drepturilor de acces, registre de instruire și aprobări ale politicilor.
Elementul comun este dovada. Un auditor nu va întreba doar dacă există o politică. Va solicita certificatul ei de naștere, istoricul versiunilor, pista aprobărilor, înregistrarea comunicării, procedurile asociate și înregistrările operaționale care dovedesc că funcționează.
Coloana vertebrală a informațiilor documentate ISO/IEC 27001:2022
Coloana vertebrală a documentației defensabile este ISO/IEC 27001:2022, clauza 7.5, Informații documentate. Aceasta impune organizațiilor să creeze, să actualizeze și să controleze informațiile documentate necesare SMSI și cerute de standard.
O modalitate practică de a înțelege acest lucru este separarea informațiilor documentate în trei niveluri:
| Nivel | Exemple | Scop de guvernanță |
|---|---|---|
| Documente de guvernanță | Domeniul de aplicare al SMSI, Politica de securitate a informației, metodologia de risc, Declarația de aplicabilitate, Planul de tratare a riscurilor, obiective | Stabilesc direcția, autoritatea, cerințele și responsabilitatea |
| Documente operaționale | Proceduri, standarde, scenarii de răspuns, proceduri de execuție, liste de verificare, șabloane | Transformă politica în acțiuni repetabile |
| Înregistrări | Evaluări ale riscurilor, registre de instruire, rapoarte de incidente, rapoarte de audit, aprobări, procese-verbale ale analizei efectuate de management, revizuiri ale drepturilor de acces, înregistrări privind furnizorii, decizii privind excepțiile | Dovedesc că deciziile au fost luate și controalele au funcționat |
Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului de la Clarysec tratează explicit acest aspect în faza Fundația SMSI și leadership, Pasul 6: Informații documentate și construirea bibliotecii SMSI. Acesta explică faptul că clauza 7.5 acoperă documentația în general, crearea și actualizarea, precum și controlul informațiilor documentate.
Zenith Blueprint transformă acest lucru în îndrumări practice de implementare:
„Documentele trebuie să aibă o identificare adecvată (un titlu, eventual un număr de document sau un identificator unic, un autor), un format adecvat … și revizuire și aprobare privind adecvarea înainte de utilizare.”
De asemenea, oferă regula operațională pe care multe organizații o omit:
„Asigurați-vă că numai versiunea curentă este ușor de găsit (arhivați versiunile învechite sau marcați-le clar ca înlocuite).”
Aici se rup discret multe implementări SMSI. O politică poate să fi fost aprobată o dată, dar dacă versiunile vechi rămân disponibile, personalul utilizează proceduri depășite sau auditorii nu pot urmări schimbările, documentul nu mai este controlat în mod real.
Zenith Blueprint recomandă instituirea unei „biblioteci de documentație SMSI” cu foldere pentru politici și proceduri, evaluarea riscurilor și SoA, înregistrări de instruire, audit și analiză, înregistrări ale incidentelor, active și inventar, precum și o bibliotecă de controale din Anexa A. De asemenea, precizează că depozitul trebuie să fie „accesibil, dar securizat”, cu politici care pot fi citite de angajați, în timp ce folderele confidențiale, cum ar fi evaluarea riscurilor și înregistrările incidentelor, sunt restricționate.
Acesta nu este doar un model de arhivare. Este o arhitectură de guvernanță.
Modelul Clarysec pentru ciclul de viață al politicilor
Clarysec structurează guvernanța ciclului de viață al politicilor ISO 27001 în jurul unei bucle închise: cerință, proprietar, document, aprobare, publicare, comunicare, dovezi, revizuire, schimbare, păstrare și retragere. Această buclă previne eșecul clasic de audit în care o companie are documente, dar nu poate dovedi autoritatea, actualitatea sau controlul.
| Etapă a ciclului de viață | Întrebare de guvernanță | Dovezi așteptate de auditori | Ancoră de implementare Clarysec |
|---|---|---|---|
| Preluarea cerinței | Ce obligație sau risc impune această politică? | Registru juridic, cerință a clientului, intrare în Registrul riscurilor, mapare la control | Mapare juridică și de reglementare plus domeniul de aplicare al SMSI |
| Proprietate | Cine menține politica? | Câmp privind proprietarul politicii, RACI, atribuirea rolurilor | Politica privind rolurile și responsabilitățile de guvernanță |
| Aprobare | Cine a aprobat-o înainte de utilizare? | Înregistrare de aprobare, proces-verbal de ședință, aprobare electronică | Analiza efectuată de management sau autoritate delegată |
| Controlul versiunilor | Care este versiunea în vigoare? | Istoric al versiunilor, registrul schimbărilor, metadate ale documentului | Depozit SMSI controlat |
| Comunicare | Cine a fost informat? | Anunț, confirmare de luare la cunoștință, registru de instruire | Înregistrări de conștientizare și comunicare |
| Operare | Ce proceduri o implementează? | Proceduri operaționale standard, liste de verificare, tichete, înregistrări ale controalelor | Proceduri operaționale documentate |
| Excepții | Ce abateri sunt permise? | Registrul de excepții, acceptarea riscului, dată de expirare | Tratarea riscului și escaladarea de guvernanță |
| Revizuire | Când a fost revizuită și de ce? | Înregistrare de revizuire anuală, revizuire declanșată de evenimente | Calendar de revizuire și atestare din partea proprietarului politicii |
| Păstrare | Cât timp sunt păstrate înregistrările? | Calendar de păstrare, înregistrări arhivate | Audit și monitorizarea conformității |
| Retragere | Cum sunt controlate documentele învechite? | Arhivă a documentelor înlocuite, eliminare din biblioteca activă | Flux de lucru pentru controlul documentelor |
Acest ciclu de viață este mai puternic decât o aprobare unică, deoarece leagă documentele de controale, proprietari și dovezi. Susține, de asemenea, conformitatea transversală. O singură politică de răspuns la incidente poate fi mapată la controalele pentru incidente din Anexa A a ISO/IEC 27001:2022, pregătirea pentru notificare conform NIS2 Article 23, procesele DORA de clasificare și raportare a incidentelor, gestionarea încălcărilor de securitate a datelor cu caracter personal conform GDPR, rezultatele Respond din NIST CSF 2.0 și așteptările de guvernanță COBIT 2019.
Ce cer politicile Clarysec pentru revizuire, versionare și dovezi
Biblioteca de politici Clarysec este concepută astfel încât cerințele privind ciclul de viață al politicilor să nu fie lăsate la interpretare.
Pentru IMM-uri, Politica de securitate a informației pentru IMM-uri stabilește un declanșator clar de revizuire:
„Această politică trebuie revizuită de directorul general (GM) cel puțin anual pentru a asigura conformitatea continuă cu cerințele de certificare ISO/IEC 27001, schimbările de reglementare (cum ar fi GDPR, NIS2 și DORA) și nevoile organizației aflate în evoluție.”
De asemenea, impune înregistrări documentate ale schimbărilor:
„Toate revizuirile și modificările politicii trebuie documentate formal, indicând clar data, natura revizuirilor și aprobarea directorului general (GM).”
Și păstrează trasabilitatea istorică:
„O evidență istorică a versiunilor politicii trebuie menținută în siguranță pentru a demonstra evoluția politicii și conformitatea în timpul auditurilor.”
Aceste trei clauze rezolvă o problemă frecventă a IMM-urilor. Organizația poate să nu aibă un birou mare de guvernanță, dar tot are nevoie de dovezi privind revizuirea, aprobarea și istoricul versiunilor.
Politica pentru IMM-uri Politica privind rolurile și responsabilitățile de guvernanță adaugă cerința de trasabilitate pentru deciziile de guvernanță:
„Toate deciziile semnificative de securitate, excepțiile și escaladările trebuie înregistrate și trebuie să fie trasabile.”
Această clauză este critică pentru excepțiile de politică. O abatere temporară de la MFA, o revizuire întârziată a unui furnizor sau o schimbare de urgență a perioadei de păstrare a jurnalelor nu trebuie să existe doar în fire de e-mail. Trebuie legată de politica relevantă, control, proprietar de risc, decizia privind riscul rezidual și data de expirare.
Pentru centralizarea dovezilor, politica pentru IMM-uri Politica de audit și monitorizare a conformității prevede:
„Toate dovezile trebuie stocate într-un folder centralizat de audit.”
În mediile enterprise, Politica de securitate a informației de la Clarysec impune ca politicile să:
„Fie supuse controlului versiunilor și documentate”
și:
„Fie comunicate tuturor părților afectate prin canale oficiale de comunicare”
Politica enterprise Politica privind rolurile și responsabilitățile de guvernanță include conceptul de:
„Proprietar și aprobator al politicii”
Politica enterprise Politica de audit și monitorizare a conformității adaugă așteptări privind păstrarea:
„Rapoartele trebuie păstrate timp de cel puțin șase ani (sau mai mult, acolo unde legea impune), stocate în siguranță și supuse controlului versiunilor în temeiul Politicii de management al documentelor și înregistrărilor (P6).”
În final, politica enterprise Politica de conformitate juridică și de reglementare conectează obligațiile legale la SMSI:
„Toate obligațiile legale și de reglementare trebuie mapate la politici, controale și proprietari specifici în cadrul Sistemului de management al securității informației (SMSI).”
Această cerință este puntea dintre guvernanța ciclului de viață al politicilor și dovezile pentru NIS2, DORA și GDPR. Fără maparea obligațiilor, o companie poate avea documente, dar nu poate arăta că acele documente satisfac cerințe legale, contractuale sau de risc specifice.
Triunghiul de control: politici, înregistrări și proceduri operaționale
Zenith Controls: ghidul de conformitate transversală de la Clarysec oferă busola de conformitate transversală pentru acest subiect. Pentru controlul ISO/IEC 27002:2022 5.1, Politici pentru securitatea informației, Zenith Controls îl identifică drept un control preventiv care susține confidențialitatea, integritatea și disponibilitatea, aliniat la conceptele de guvernanță și identificare din securitatea cibernetică și conectat la capabilități operaționale de guvernanță și management al politicilor.
Acest lucru contează deoarece guvernanța politicilor nu este doar un artefact de conformitate. Este preventivă. O politică de control al accesului clar deținută și comunicată reduce riscul de acces neautorizat înainte ca incidentele să apară. O politică privind furnizorii aprobată corespunzător previne riscul de externalizare neadministrată. O procedură de incidente controlată îmbunătățește consecvența răspunsului înainte ca primul termen de notificare reglementară să înceapă să curgă.
Zenith Controls evidențiază și controlul ISO/IEC 27002:2022 5.33, Protecția înregistrărilor, ca preventiv și aliniat cu zona juridică și de conformitate, managementul activelor și protecția informațiilor. Acesta este central pentru dovezile de audit. Zenith Blueprint dezvoltă același concept în faza Controls in Action, Pasul 23:
„Înregistrările nu sunt doar relicve ale deciziilor trecute. Ele sunt dovezi: ale conformității, ale acțiunii, ale responsabilității.”
Continuă:
„Înregistrările sunt protejate adecvat împotriva pierderii, accesului neautorizat, alterării și distrugerii premature”
Controlul ISO/IEC 27002:2022 5.37, Proceduri operaționale documentate, este de asemenea relevant. Zenith Controls îl clasifică drept preventiv și corectiv, susținând protecția și recuperarea. Pentru DORA și NIS2, procedurile operaționale documentate sunt modul în care politica devine acțiune repetabilă: triajul incidentelor, restaurarea backup-urilor, integrarea furnizorilor, gestionarea vulnerabilităților, dezvoltarea securizată, managementul schimbărilor, colectarea dovezilor și comunicarea de criză.
Împreună, 5.1, 5.33 și 5.37 creează triunghiul de control al ciclului de viață al politicilor:
| Control ISO/IEC 27002:2022 | Rol în ciclul de viață | Ce dovedește |
|---|---|---|
| 5.1 Politici pentru securitatea informației | Direcție, aprobare, proprietate și comunicare | Conducerea a stabilit așteptări și a atribuit responsabilitatea |
| 5.33 Protecția înregistrărilor | Integritatea dovezilor, păstrare și acces securizat | Înregistrările de conformitate pot fi considerate de încredere |
| 5.37 Proceduri operaționale documentate | Executarea repetabilă a cerințelor politicii | Personalul știe cum să desfășoare activități controlate |
Un SMSI matur are nevoie de toate trei. Politicile fără înregistrări sunt declarații. Înregistrările fără proceduri sunt inconsistente. Procedurile fără direcția politicilor devin practici locale, nu controale guvernate.
Mapare de conformitate transversală pentru ISO 27001, NIS2, DORA, GDPR, NIST și COBIT
Gestionarea separată a politicilor pentru ISO 27001, NIS2, DORA și GDPR creează duplicare, contradicții și oboseală privind dovezile. Un model mai bun este menținerea unei singure biblioteci SMSI controlate, cu metadate de mapare. Aceasta permite unui singur corpus de dovezi să satisfacă mai multe categorii de părți care solicită asigurare.
| Familie de cerințe | Ce așteaptă autoritățile de reglementare sau auditorii | Dovezi privind ciclul de viață al politicilor |
|---|---|---|
| ISO/IEC 27001:2022 clauza 7.5 | Documentele sunt identificate, revizuite, aprobate, disponibile, protejate și controlate | Registrul documentelor, înregistrări de aprobare, istoric al versiunilor, permisiuni de acces, arhivă a documentelor învechite |
| ISO/IEC 27002:2022 5.1 | Politicile de securitate a informației sunt definite, aprobate, publicate, comunicate și revizuite | Suită de politici, flux de aprobare, înregistrări de comunicare, jurnal de revizuire |
| ISO/IEC 27002:2022 5.33 | Înregistrările sunt protejate împotriva pierderii, distrugerii, falsificării, accesului neautorizat și divulgării neautorizate | Calendar de păstrare, depozit securizat, controale de acces, dovezi de integritate |
| ISO/IEC 27002:2022 5.37 | Procedurile operaționale sunt documentate și disponibile personalului care are nevoie de ele | Proceduri operaționale standard, proceduri de execuție, scenarii de răspuns, dovezi ale revizuirii procedurilor |
| NIS2 Articles 20 and 21 | Aprobarea și supravegherea de către conducere a măsurilor de management al riscurilor de securitate cibernetică | Aprobări ale consiliului de administrație, mapări ale politicilor, înregistrări de instruire, procese-verbale de revizuire, dovezi privind eficacitatea controalelor |
| NIS2 Article 23 | Pregătire pentru notificarea incidentelor semnificative și dovezi de raportare | Politica privind incidentele, procedură de clasificare, jurnal de escaladare, dovezi ale fluxului de lucru la 24 de ore și 72 de ore, șablon de raport final |
| DORA Articles 5 and 6 | Cadru de risc TIC bine documentat, aprobat și supravegheat de conducere | Suită de politici TIC, strategie, cadru de risc, dovezi de revizuire anuală, rezultate ale auditului, lecții învățate |
| DORA Articles 17 to 19 | Proces de gestionare a incidentelor pentru detectare, clasificare, escaladare, comunicare și raportare | Registru al incidentelor, criterii de severitate, înregistrări de escaladare, șabloane de notificare a clienților, înregistrări privind analiza cauzei principale |
| DORA Articles 28 to 30 | Politică de risc TIC asociat terților, registru, contracte, verificare prealabilă și planificare a ieșirii | Politica privind furnizorii, registru de contracte, evaluări de risc, drepturi de audit, dovezi privind strategia de ieșire |
| GDPR Article 5(2) | Capacitatea de a demonstra conformitatea cu principiile privind protecția datelor | Politica de protecție a datelor, evidențe de prelucrare, calendar de păstrare, înregistrări privind încălcările, jurnale de acces, înregistrări DPIA acolo unde este aplicabil |
| GDPR Article 32 | Măsuri tehnice și organizatorice de securitate adecvate | Politici de securitate, proceduri de control al accesului, standarde de criptare, înregistrări de backup, dovezi de testare |
| NIST CSF 2.0 GOVERN | Sunt stabilite și actualizate politici, roluri, apetitul la risc, obligații legale și supraveghere | Profil de guvernanță, înregistrări ale revizuirii politicilor, Registrul riscurilor, roluri și responsabilități |
| COBIT 2019 perspectiva de asigurare | Obiective de guvernanță, proprietate, monitorizarea performanței și dovezi ale controalelor | RACI, aprobări ale conducerii, dovezi privind operarea controalelor, urmărirea remedierii problemelor |
NIST CSF 2.0 este deosebit de util ca strat de comunicare. Funcția sa GOVERN presupune ca obligațiile legale, de reglementare și contractuale să fie înțelese, obiectivele și responsabilitățile de management al riscurilor să fie definite, politicile să fie stabilite și actualizate, iar rezultatele să fie evaluate. Metoda sa de Profil organizațional oferă și un proces practic: definirea domeniului profilului, colectarea intrărilor precum politici, priorități de risc și cerințe, crearea profilurilor curent și țintă, analiza lacunelor și implementarea unui plan de acțiune prioritizat.
Acest lucru se aliniază strâns cu abordarea Clarysec: construiți un model operațional susținut de dovezi, apoi mapați-l către NIS2, DORA, GDPR, NIST și COBIT, în loc să mențineți silozuri separate de conformitate.
Un sprint de o săptămână pentru construirea unui pachet de control al dovezilor privind politicile
O transformare completă a guvernanței politicilor necesită timp, dar un sprint concentrat de o săptămână poate expune lacunele și poate crea o fundație defensabilă.
Ziua 1: Creați Registrul documentelor
Începeți cu o foaie de calcul, un sistem GRC sau o listă SharePoint structurată. Registrul documentelor este indexul care le permite auditorilor să navigheze în corpusul de dovezi.
| Câmp | Exemplu |
|---|---|
| ID document | P01 |
| Nume document | Politica de securitate a informației |
| Tip | Politică |
| Proprietar | CISO |
| Aprobator | CEO |
| Versiune curentă | 3.0 |
| Data intrării în vigoare | 2026-02-01 |
| Data următoarei revizuiri | 2027-02-01 |
| Revizuire bazată pe factori declanșatori | Incident major, schimbare de reglementare, fuziune, furnizor critic nou |
| Clasificarea confidențialității | Intern |
| Controale principale | ISO/IEC 27002:2022 5.1, 5.33, 5.37 |
| Mapare juridică | NIS2 Article 21, DORA Article 6, GDPR Article 5 |
| Locația dovezilor | ISMS Documentation/Policies/P01 |
| Locație pentru documente învechite | ISMS Documentation/Archive/P01 |
| Excepții asociate | EX-2026-004 |
| Înregistrare de comunicare | Campanie de conștientizare AC-2026-02 |
Nu complicați excesiv. Dacă registrul indică în mod fiabil proprietarul, aprobatorul, versiunea, data revizuirii, maparea și locația dovezilor, acesta rezolvă deja multe probleme de regăsire la audit.
Ziua 2: Stabiliți depozitul
Urmați structura din Zenith Blueprint Pasul 6: Politici și proceduri, Evaluarea riscurilor și SoA, Înregistrări de instruire și conștientizare, Audit și analiză, Înregistrări ale incidentelor, Active și inventar și Biblioteca de controale.
Aplicați reguli de acces. Politicile pot fi citite de toți angajații. Înregistrările privind evaluarea riscurilor ar trebui restricționate la echipa SMSI și conducere. Înregistrările incidentelor ar trebui să respecte principiul necesității de a cunoaște. Contractele cu furnizorii ar trebui limitate la achiziții, juridic, financiar și securitate. Documentele învechite ar trebui să fie inaccesibile pentru utilizarea curentă, dar păstrate pentru trasabilitate la audit.
Ziua 3: Standardizați antetele și jurnalele de schimbări
Fiecare politică ar trebui să includă numele documentului, proprietarul, aprobatorul, versiunea, data intrării în vigoare, data următoarei revizuiri, clasificarea, controalele asociate, obligațiile legale asociate și istoricul schimbărilor.
| Versiune | Dată | Rezumatul schimbării | Revizor | Aprobator |
|---|---|---|---|---|
| 2.0 | 2025-09-15 | Au fost adăugate referințe DORA privind riscul asociat terților | Head of Security | COO |
| 2.1 | 2025-11-20 | Au fost actualizate rolurile de escaladare a incidentelor | CISO | CEO |
| 3.0 | 2026-02-01 | Revizuire anuală și reîmprospătarea mapării NIS2 | CISO | CEO |
Aceasta susține controlul informațiilor documentate ISO/IEC 27001:2022, supravegherea de către conducere în NIS2, așteptările de revizuire DORA și responsabilitatea GDPR.
Ziua 4: Legați excepțiile de politici
Creați un Registru de excepții cu ID-ul excepției, politica afectată, controlul afectat, justificarea de business, controale compensatorii, proprietar de risc, aprobare, dată de expirare și stare a revizuirii.
De exemplu, un sistem moștenit nu poate suporta MFA timp de 60 de zile. Excepția se leagă de Politica de control al accesului, inventarul activelor, Registrul riscurilor și planul de remediere. Proprietarul de risc aprobă riscul rezidual, iar excepția expiră automat dacă nu este reînnoită. Acest lucru implementează cerința de guvernanță Clarysec pentru IMM-uri potrivit căreia deciziile semnificative, excepțiile și escaladările trebuie înregistrate și trasabile.
Ziua 5: Construiți pachetul de dovezi de audit
Pentru fiecare politică de nivel superior, creați un subfolder de dovezi care conține versiunea curentă aprobată, versiunea anterioară și registrul schimbărilor, dovezi de aprobare, dovezi de comunicare, înregistrarea instruirii sau a confirmării, procedura asociată, înregistrarea operațională asociată, excepții, ultima înregistrare de revizuire, data următoarei revizuiri și maparea la obligații legale și controale.
Pentru răspunsul la incidente, includeți înregistrări ale exercițiilor de simulare de tip tabletop, criterii de clasificare a incidentelor, liste de contacte, șabloane de analiză post-incident și înregistrări ale deciziilor de notificare. Acest lucru susține pregătirea pentru raportarea etapizată conform NIS2 Article 23, clasificarea incidentelor DORA și responsabilitatea GDPR privind încălcările.
Ziua 6: Testați regăsirea
Solicitați unui auditor intern sau unui manager de conformitate să regăsească dovezi pentru trei întrebări:
- Dovediți că Politica de securitate a informației a fost aprobată, comunicată și revizuită.
- Dovediți că obligațiile de securitate ale furnizorilor sunt mapate la cerințele DORA și NIS2.
- Dovediți că dovezile de responsabilitate GDPR sunt păstrate și protejate.
Dacă regăsirea durează mai mult de 30 de minute pentru fiecare întrebare, depozitul trebuie îmbunătățit.
Ziua 7: Prezentați conducerii
Rezumați starea ciclului de viață al politicilor în cadrul analizei efectuate de management:
- Politici curente, restante sau scadente în următoarele 90 de zile
- Excepții deschise și expirate
- Lacune privind dovezile
- Actualizări ale mapării de reglementare
- Constatări de audit
- Acțiuni corective
- Nevoi de resurse
Aceasta închide bucla cu așteptările de leadership ISO/IEC 27001:2022, responsabilitatea consiliului conform NIS2 și supravegherea de către organul de conducere conform DORA.
Cum vor examina auditorii ciclul de viață al politicilor
Auditorii diferiți privesc aceleași dovezi prin lentile diferite.
Un auditor ISO/IEC 27001:2022 începe cu controlul informațiilor documentate. Va verifica dacă documentele cerute există, dacă sunt aprobate înainte de utilizare, dacă versiunile sunt controlate, dacă documentele sunt disponibile acolo unde este necesar, dacă înregistrările confidențiale sunt protejate și dacă documentele învechite sunt împiedicate să fie utilizate neintenționat. Va conecta ciclul de viață al politicilor la leadership, tratarea riscului, controlul operațional, auditul intern și analiza efectuată de management.
Un revizor axat pe DORA va fi orientat spre reziliență. Va examina dacă cadrul de management al riscurilor TIC este bine documentat, aprobat de conducere, revizuit cel puțin anual acolo unde este aplicabil, auditat periodic, îmbunătățit pe baza lecțiilor învățate și conectat la raportarea incidentelor, testare, riscul asociat terților, continuitate și recuperare.
O autoritate de reglementare NIS2 va dori să vadă un lanț neîntrerupt de dovezi de la identificarea riscurilor, la măsurile de management al riscurilor de securitate cibernetică, la aprobarea de către organul de conducere, la implementare și monitorizare. Orice ruptură în acel lanț poate arăta ca o lipsă de diligență adecvată.
Un auditor GDPR sau un revizor de confidențialitate va întreba dacă înregistrările de guvernanță privind datele cu caracter personal demonstrează responsabilitatea: scopuri ale prelucrării, temei juridic, păstrare, măsuri tehnice și organizatorice, controale pentru persoanele împuternicite, înregistrări ale încălcărilor și dovezi ale aplicării politicii.
Un auditor COBIT 2019 sau de tip ISACA se va concentra pe componentele sistemului de guvernanță: procese, structuri organizaționale, fluxuri de informații, politici, roluri, cultură, competențe și servicii. Va întreba dacă proprietatea este definită, dacă managementul monitorizează performanța, dacă excepțiile sunt escalate și dacă dovezile susțin operarea controalelor și supravegherea de către conducere.
Același depozit de dovezi controlat îi poate satisface pe toți, dar numai dacă documentele sunt mapate, curente, protejate și trasabile.
Eșecuri frecvente ale ciclului de viață al politicilor care trebuie remediate înainte de sosirea auditorului
Majoritatea eșecurilor privind ciclul de viață al politicilor sunt slăbiciuni de guvernanță de bază, repetate în diverse medii:
- Politicile există, dar nu au un proprietar nominalizat.
- Aprobatorii sunt neclari, depășiți sau prea juniori pentru nivelul de risc.
- Politicile sunt aprobate, dar nu sunt comunicate.
- Datele de revizuire sunt ratate fără escaladare.
- Versiunile învechite rămân disponibile în foldere partajate.
- Procedurile intră în conflict cu politicile.
- Excepțiile sunt aprobate informal prin e-mail.
- Obligațiile legale sunt mapate la cadre, dar nu la controale sau proprietari reali.
- Dovezile de audit sunt răspândite pe unități personale, instrumente de gestionare a tichetelor și mesaje de chat.
- Perioadele de păstrare sunt nedefinite sau aplicate inconsistent.
- Înregistrările sunt păstrate, dar nu sunt protejate împotriva alterării neautorizate.
- Politicile privind furnizorii nu sunt legate de registre de contracte, verificare prealabilă sau planuri de ieșire.
- Procedurile de incident nu sunt aliniate la punctele decizionale de notificare NIS2, DORA sau GDPR.
Aceste probleme creează fricțiune la audit deoarece subminează încrederea. Dacă un auditor nu poate avea încredere în corpusul de politici, va investiga mai profund operarea controalelor.
Planul de remediere al Mariei nu a fost să scrie încă o politică. A fost să creeze o singură sursă de adevăr. Ea a desemnat o Bibliotecă oficială de documentație SMSI, a migrat politicile curente în aceasta, a arhivat locațiile necontrolate, a standardizat câmpurile de proprietar și aprobator, a construit fluxuri de aprobare, a mapat politicile la obligațiile NIS2 și DORA și a oferit auditorilor acces doar în citire la dovezi structurate. Ceea ce fusese o sursă de anxietate a devenit o demonstrație de control.
Calea Clarysec de urmat
Guvernanța ciclului de viață al politicilor nu este birocrație inutilă. Este disciplina operațională care face defensabile informațiile documentate ISO 27001, responsabilitatea conducerii conform NIS2, guvernanța riscurilor TIC conform DORA și responsabilitatea GDPR.
Utilizați Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului pentru a construi biblioteca SMSI în faza și secvența corecte, în special Pasul 6 pentru informațiile documentate și Pasul 22 pentru guvernanța politicilor. Utilizați politicile Clarysec pentru IMM-uri și enterprise pentru a defini cerințele de revizuire, aprobare, control al versiunilor, comunicare, trasabilitate, centralizare a dovezilor și păstrare. Utilizați Zenith Controls: ghidul de conformitate transversală pentru a mapa controalele ISO/IEC 27002:2022, cum ar fi 5.1, 5.33 și 5.37, la așteptările de conformitate transversală, atributele controalelor și perspectivele de audit.
Înainte de a cumpăra încă un instrument sau de a scrie încă o politică, răspundeți la o întrebare:
Puteți dovedi că fiecare politică importantă are proprietar, este aprobată, curentă, comunicată, mapată, susținută de dovezi, revizuită, protejată și retrasă corect?
Dacă răspunsul este încă nu, Clarysec vă poate ajuta să construiți biblioteca SMSI pregătită pentru dovezi, fluxul de lucru al ciclului de viață al politicilor și maparea de conformitate transversală pe care auditorii, consiliile de administrație și clienții le așteaptă în 2026. Descărcați Zenith Blueprint, explorați pachetele de politici Clarysec pentru IMM-uri și enterprise sau programați o evaluare a pregătirii pentru a transforma biblioteca de politici într-un activ de conformitate defensabil.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
