Rozsah ISMS podľa ISO 27001 pre NIS2, DORA a GDPR

Maria, riaditeľka informačnej bezpečnosti (CISO) v rýchlo rastúcej európskej fintech spoločnosti, predpokladala, že dozorný audit ISO 27001 je pod kontrolou.

Certifikát bol čerstvý. Vyhlásenie o uplatniteľnosti pôsobilo zrelo. Vyhlásenie o rozsahu pokrývalo „systém manažérstva informačnej bezpečnosti spoločnosti podporujúci prevádzku SaaS platformy“. Produkčné cloudové prostredie bolo zdokumentované. Postup reakcie na incidenty existoval. Register rizík obsahoval vlastníkov, termíny a hodnotenia reziduálneho rizika.

Potom audítor položil jednu jednoduchú otázku:

„Ktoré časti tejto SaaS platformy sú zároveň v rozsahu registrácie podľa NIS2, ktoré outsourcované služby podporujú kritické alebo dôležité funkcie podľa DORA pre vašich finančných zákazníkov a kde presne sa spracúvajú osobné údaje podľa GDPR?“

V miestnosti nastalo ticho.

Právne oddelenie otvorilo tabuľku regulačných povinností. Produktový tím otvoril diagram architektúry. Zodpovedná osoba (DPO) otvorila záznamy o spracovateľských činnostiach. Obstarávanie otvorilo zoznam dodávateľov. Prevádzka otvorila plán obnovy po havárii. Nič z toho sa navzájom nezhodovalo.

Rozsah ISMS hovoril „SaaS platforma“. Posúdenie NIS2 identifikovalo služby digitálnej infraštruktúry vo viacerých členských štátoch. Zákaznícke zmluvy opisovali platformu ako podporu regulovaných finančných operácií. Záznamy podľa GDPR zahŕňali údaje identity, telemetriu, IP adresy, platobné metadáta, tikety podpory a analytiku zabezpečovanú subdodávateľmi. Plán obnovy po havárii pokrýval produkčné prostredie, ale nie platformu zákazníckej podpory používanú na komunikáciu o porušení ochrany osobných údajov. Previerka dodávateľov pokrývala poskytovateľa hostingu, ale nie službu riadenej detekcie a reakcie (MDR) pripojenú k produkčným logom.

Toto je problém určovania rozsahu ISMS v roku 2026. Certifikácia ISO 27001 má stále hodnotu, ale úzky „minimálny životaschopný rozsah“ sa môže stať rizikom zodpovednosti, keď orgány dohľadu, zákazníci a audítori očakávajú, že ten istý systém manažérstva vysvetlí základné služby podľa NIS2, kritické alebo dôležité funkcie podľa DORA a hranice spracúvania podľa GDPR.

Pre ISO/IEC 27001:2022, NIS2, DORA a GDPR nie je slabý rozsah administratívnou chybou. Je to prvé domino. Ak je rozsah nesprávny, posúdenie rizík je neúplné, SoA je zavádzajúce, dodávateľské kontroly míňajú kritických poskytovateľov, lehoty nahlasovania incidentov sú neisté a zodpovednosť za ochranu súkromia sa triešti medzi tímami.

Prečo je rozsah ISMS podľa ISO 27001 dnes regulačnou hranicou

ISO/IEC 27001:2022 kapitola 4.3 vyžaduje, aby organizácia určila hranice a uplatniteľnosť ISMS s prihliadnutím na interné a externé otázky, požiadavky zainteresovaných strán a rozhrania a závislosti od iných organizácií ISO/IEC 27001:2022.

Toto znenie má v roku 2026 väčší význam než v predchádzajúcich certifikačných cykloch. NIS2, DORA, GDPR, cloudový outsourcing, zákaznícke zmluvy, skupinové technologické služby a poskytovatelia riadených služieb nie sú okrajové poznámky. Sú vstupmi do určenia hranice ISMS.

NIS2 zvyšuje nároky na správu a riadenie základných a dôležitých subjektov. Vyžaduje, aby riadiace orgány schvaľovali opatrenia riadenia kybernetických rizík, dohliadali na ich implementáciu a absolvovali školenie. NIS2 Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia vrátane analýzy rizík, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, bezpečného obstarávania a vývoja, posudzovania účinnosti, kybernetickej hygieny, kryptografie, bezpečnosti ľudských zdrojov, riadenia prístupu, správy aktív a viacfaktorovej autentifikácie tam, kde je to vhodné.

DORA mení diskusiu o rozsahu pre finančné subjekty. Uplatňuje sa od 17. januára 2025 a zavádza jednotné požiadavky na riadenie rizík IKT, nahlasovanie incidentov súvisiacich s IKT, testovanie digitálnej prevádzkovej odolnosti, výmenu informácií a riadenie rizík tretích strán v oblasti IKT. DORA Article 6 vyžaduje zdokumentovaný rámec riadenia rizík IKT. DORA Article 8 vyžaduje identifikáciu, klasifikáciu a dokumentáciu obchodných funkcií podporovaných IKT, informačných aktív a aktív IKT vrátane závislostí. DORA Article 28 vyžaduje riadenie rizika tretích strán v oblasti IKT.

GDPR pridáva os osobných údajov. Vzťahuje sa na automatizované alebo štruktúrované spracúvanie osobných údajov vrátane spracúvania prevádzkami v EÚ a niektorými mimoeurópskymi prevádzkovateľmi alebo sprostredkovateľmi, ktorí ponúkajú tovar alebo služby osobám v Únii alebo monitorujú ich správanie. GDPR Article 30 vyžaduje záznamy o spracovateľských činnostiach, Article 32 vyžaduje bezpečnosť spracúvania a Article 33 stanovuje očakávania týkajúce sa oznámenia porušenia ochrany osobných údajov.

Obhájiteľný rozsah ISMS preto nie je napísaný okolo oddelení. Je napísaný okolo regulovaných služieb, kritických alebo dôležitých funkcií, spracúvania osobných údajov, podporných aktív a závislostí od tretích strán.

Chyba: zaobchádzať s ISO 27001, NIS2, DORA a GDPR ako so samostatnými programami

V mnohých organizáciách sa objavuje bežný vzorec:

• Bezpečnostný tím navrhuje rozsah ISO 27001.
• Právne oddelenie posudzuje uplatniteľnosť NIS2.
• Rizikový tím alebo funkcia súladu riadi povinnosti podľa DORA.
• Tím ochrany súkromia udržiava záznamy o spracovateľských činnostiach podľa GDPR.
• Obstarávanie vlastní zoznam dodávateľov.
• Prevádzka vlastní kontinuitu činností a obnovu po havárii.

Každý tím môže odvádzať primeranú prácu. Problém je, že regulovaná realita prechádza naprieč všetkými týmito oblasťami.

Zákaznícka služba identity prevádzkovaná v cloudovom prostredí môže súčasne podporovať poskytovanie služby podľa NIS2, regulované zákaznícke operácie podľa DORA a spracúvanie osobných údajov podľa GDPR. Poskytovateľ riadenej detekcie a reakcie (MDR) môže byť bezpečnostným dodávateľom, závislosťou reakcie na incidenty, sprostredkovateľom alebo ďalším sprostredkovateľom logovacích údajov a kľúčovým vstupom do rozhodnutí o regulačných oznámeniach. Platforma podpory môže byť považovaná za „neprodukčnú“, hoci spracúva komunikáciu o porušení ochrany osobných údajov a požiadavky zákazníkov na dôkazy.

ISMS je najvhodnejšie miesto na integráciu týchto povinností, pretože ISO 27001 vynucuje jednu disciplinovanú otázku: čo je vo vnútri hranice, čo je mimo nej a prečo?

Zenith Blueprint: An Auditor’s 30-Step Roadmap od Clarysec Zenith Blueprint sa tým zaoberá vo fáze ISMS Foundation & Leadership, krok 2: Stakeholder Needs and ISMS Scope:

„Keď je kontext pochopený a požiadavky zainteresovaných strán identifikované, kapitola 4.3 vyžaduje určiť hranice a uplatniteľnosť ISMS na stanovenie jeho rozsahu. Rozsah ISMS je kľúčová definícia, ktorá určuje, čo je zahrnuté do vášho programu riadenia bezpečnosti a čo nie.“

Zenith Blueprint zároveň zdôrazňuje bod, ktorý mnohým vyhláseniam o rozsahu stále uniká:

„Ak outsourcujete svoju IT infraštruktúru poskytovateľovi cloudu, nevylučuje ju to z rozsahu; naopak, do rozsahu zahrniete riadenie tohto vzťahu a cloudové aktíva.“

Outsourcing presúva výkon činností. Neodstraňuje zodpovednosť za ich riadenie.

Model štyroch hraníc pre rozsah ISO 27001 v roku 2026

Pre organizácie, na ktoré sa vzťahujú NIS2, DORA a GDPR, Clarysec odporúča definovať rozsah ISMS podľa ISO 27001 prostredníctvom štyroch prepojených hraníc.

Slabé vyhlásenie o rozsahu hovorí len „SaaS platforma“. Silnejšie vyhlásenie uvádza, ktoré služby organizácie, systémy, prostredia, lokality, činnosti spracúvania údajov, skupiny pracovníkov, dodávateľské vzťahy a riadiace procesy sú zahrnuté.

Obhájiteľnejšia verzia môže znieť takto:

„ISMS pokrýva správu a riadenie, riadenie rizík, prevádzku a neustále zlepšovanie informačnej bezpečnosti pre platobno-analytickú SaaS platformu spoločnosti v EÚ vrátane produkčných a neprodukčných cloudových prostredí, zákazníckych služieb identity, administrátorských rozhraní, prevádzky podpory, platforiem logovania a monitorovania, reakcie na incidenty, kontinuity činností, riadenia dodávateľov a všetkých činností spracúvania osobných údajov podporujúcich službu. ISMS zahŕňa riadenie outsourcovaného cloudového hostingu, riadenej detekcie a reakcie (MDR) a nástrojov zákazníckej podpory používaných na poskytovanie služby, odolnosť, bezpečnostné monitorovanie alebo komunikáciu súvisiacu s GDPR.“

Takýto rozsah nie je iba dlhší. Je vhodnejší na audit, pretože prepája služby, aktíva, spracúvanie a závislosti.

Ako politiky Clarysec menia rozsah na jazyk správy a riadenia

Rozsah nemá zostať v samostatnom dokumente. Musí byť zosúladený s politikou informačnej bezpečnosti, právnym a regulačným súladom, riadením rizík, ochranou súkromia, správou a riadením dodávateľov, auditnými kritériami a plánovaním kontinuity.

Enterprise Politika informačnej bezpečnosti Politika informačnej bezpečnosti predchádza nejasnostiam pri vylúčeniach:

„Akékoľvek vylúčenia alebo obmedzenia tohto rozsahu musia byť zdokumentované vo Vyhlásení o rozsahu ISMS a odôvodnené formálnym schválením vrcholového manažmentu.“

Toto ustanovenie je dôležité, keď obchodná jednotka tvrdí, že zákaznícka podpora je mimo platformy, hoci pracovníci podpory pristupujú k identifikátorom zákazníkov a riešia komunikáciu o porušení ochrany osobných údajov. Vylúčenie je možné len vtedy, ak je zdokumentované, odôvodnené a schválené.

Enterprise Politika právneho a regulačného súladu Politika právneho a regulačného súladu prevádza právne mapovanie do prevádzky:

„Všetky právne a regulačné povinnosti musia byť mapované na konkrétne politiky, kontroly a vlastníkov v rámci systému manažérstva informačnej bezpečnosti (ISMS).“

Toto je prepojenie medzi právnou uplatniteľnosťou a Vyhlásením o uplatniteľnosti. NIS2 Article 21 nemá zostať v právnom memorande. Povinnosti DORA týkajúce sa tretích strán v oblasti IKT nemajú zostať iba v usmerneniach obstarávania. Povinnosti GDPR Article 30 a Article 32 nemajú byť len v registri ochrany súkromia. Potrebujú namapovaných vlastníkov, kontroly a dôkazy.

Enterprise Politika riadenia rizík Politika riadenia rizík rozširuje rozsah na tretie strany:

„Táto politika sa vzťahuje na všetky organizačné jednotky, obchodné procesy, systémy, personál a spolupráce s tretími stranami zapojené do nakladania, vývoja, uchovávania alebo správy informačných aktív.“

Toto znenie je zosúladené s bezpečnosťou dodávateľského reťazca podľa NIS2, rizikom tretích strán v oblasti IKT podľa DORA a zodpovednosťou prevádzkovateľa alebo sprostredkovateľa podľa GDPR.

Enterprise Politika ochrany údajov a súkromia Politika ochrany údajov a súkromia viaže rozsah ochrany súkromia na spracúvanie:

„Táto politika sa vzťahuje na všetky organizačné jednotky, personál a systémy zapojené do spracúvania osobných informácií (PII), vrátane:“

Zásada je rozhodujúca. Ak systém spracúva PII, nemôže byť pre ISMS neviditeľný len preto, že je „iba podporný“, „neprodukčný“ alebo „vlastnený marketingom“.

Enterprise Politika kontinuity činností a obnovy po havárii Politika kontinuity činností a obnovy po havárii prepája rozsah s výsledkami BIA:

„Táto politika sa vzťahuje na všetky organizačné jednotky, informačné systémy, obchodné procesy, personál a služby tretích strán klasifikované ako kritické alebo základné na základe výsledkov analýzy vplyvu na podnikanie (BIA).“

Toto ustanovenie prirodzene zodpovedá kritickým alebo dôležitým funkciám podľa DORA a kontinuite služieb podľa NIS2.

Pre menšie organizácie zachovávajú politiky Clarysec pre MSP stručné znenie pri zachovaní rovnakej logiky. MSP Politika monitorovania auditu a súladu Politika monitorovania auditu a súladu - MSP definuje pokrytie auditu ako:

„Všetky kontroly a systémy v rozsahu systému manažérstva informačnej bezpečnosti (ISMS)“

MSP Politika ochrany údajov a súkromia Politika ochrany údajov a súkromia - MSP definuje rozsah ochrany súkromia ako:

„Akýkoľvek systém, aplikácia alebo miesto, kde sa osobné údaje uchovávajú alebo prenášajú“

MSP Politika riadenia rizík Politika riadenia rizík - MSP udržiava outsourcované služby viditeľné:

„Všetky informácie, služby a aktíva spravované interne alebo prostredníctvom tretích strán“

Takéto krátke ustanovenia sú účinné, pretože bránia tomu, aby certifikačná hranica vylúčila regulované údaje, cloudové služby alebo aktíva spravované dodávateľom.

Inventarizácia aktív je miesto, kde sa rozsah stáva skutočným

Vyhlásenie o rozsahu je dôveryhodné iba vtedy, ak ho možno vysledovať k aktívam, vlastníkom, dodávateľom, tokom údajov a dôkazom.

Zenith Blueprint vo fáze riadenia rizík, krok 9: Identifying Assets, Threats, and Vulnerabilities, usmerňuje organizácie, aby uviedli aktíva v rozsahu ISMS a zachytili vlastníka, umiestnenie a klasifikáciu. Uvádza praktický príklad:

„Zákaznícka databáza – vlastnená IT oddelením – hostovaná na AWS – obsahuje osobné a finančné údaje (vysoká citlivosť).“

Ten istý krok pridáva pripomienku k rozsahu, ktorá priamo súvisí s NIS2 a GDPR:

„Zabezpečte, aby boli aktíva s osobnými údajmi označené (pre relevantnosť GDPR) a aby boli zaznamenané aktíva kritických služieb (pre možnú uplatniteľnosť NIS2, ak pôsobíte v regulovanom sektore).“

Zenith Controls: The Cross-Compliance Guide od Clarysec Zenith Controls považuje kontrolu ISO/IEC 27002:2022 5.9, Inventarizácia informácií a iných pridružených aktív, za základnú kontrolu pre viacnásobný súlad. Jej atribúty klasifikujú kontrolu ako preventívnu, podporujúcu dôvernosť, integritu a dostupnosť, zosúladenú s konceptom identifikácie v kybernetickej bezpečnosti, prevádzkovou schopnosťou správy aktív a doménami správy a riadenia, ekosystému a ochrany.

Zenith Controls vysvetľuje relevantnosť pre GDPR a NIS2 priamo:

„Bez presnej a aktuálnej evidencie aktív organizácie nemôžu posúdiť ani implementovať primerané ochranné opatrenia.“

Pre NIS2 podporuje inventarizácia aktív identifikáciu kritických systémov a komponentov, ktoré podopierajú základné alebo dôležité služby. Pre DORA robí DORA Article 8 z identifikácie aktív IKT a informačných aktív jadro prevádzkovej odolnosti. Pre GDPR podporuje evidencia aktív mapovanie tokov údajov, kvalitu RoPA a reakciu na porušenie ochrany osobných údajov.

Podporné ISO normy posilňujú rovnakú logiku. ISO/IEC 27005:2024 posilňuje identifikáciu aktív v posúdení rizík informačnej bezpečnosti. ISO 22301:2019 podporuje identifikáciu zdrojov potrebných pre kontinuitu činností. ISO/IEC 19770-1:2017 podporuje zrelosť správy IT aktív. ISO/IEC 27017:2015 a ISO/IEC 27018:2019 podporujú cloudovo špecifické kontroly a ochranu PII vo verejných cloudoch. ISO/IEC 27701:2019 rozširuje riadenie informácií o súkromí. ISO/IEC 29100:2011 prispieva zásadami ochrany súkromia, ako sú transparentnosť, minimalizácia a bezpečnostné opatrenia.

Praktické cvičenie určovania rozsahu pre SaaS a fintech tímy

Začnite jednou regulovanou službou, nie celou spoločnosťou. Napríklad: „EÚ SaaS platobná analytika pre finančné inštitúcie.“

Potom vytvorte mapu služba–aktívum–spracúvanie.

Podrobnejšia vzorka aktív môže vyzerať takto.

Následne použite Zenith Blueprint krok 13: Risk Treatment Planning and Statement of Applicability. Sprievodca usmerňuje používateľov, aby vytvorili SoA pomocou šablóny, ktorá uvádza všetky kontroly prílohy A, a rozhodli o uplatniteľnosti na základe ošetrenia rizík, právnych alebo zmluvných požiadaviek, relevantnosti rozsahu a organizačného kontextu. Uvádza:

„Pri každej kontrole (riadku) v hárku SoA rozhodnite, či je uplatniteľná na váš ISMS.“

Pre uvedený príklad by SoA malo zohľadniť kontroly pre bezpečnosť dodávateľov, cloudové služby, riadenie incidentov, kontinuitu, právne a regulačné požiadavky, ochranu súkromia, riadenie zraniteľností, zálohy, logovanie, monitorovanie, kryptografiu, bezpečný vývoj, bezpečnostné testovanie a riadenie zmien.

Praktický pracovný postup je:

1. Vytvorte kartu „Mapovanie rozsahu ISMS“ v registri rizík a nástroji SoA Builder.
2. Pridajte jeden riadok pre každú regulovanú službu alebo produktové portfólio.
3. Prepojte každú službu s aktívami, typmi údajov, dodávateľmi, lokalitami a vlastníkmi v organizácii.
4. Označte relevantnosť NIS2, relevantnosť DORA a relevantnosť spracúvania podľa GDPR.
5. Pridajte rizikové scenáre pre nedostupnosť služby, porušenie ochrany osobných údajov, zlyhanie dodávateľa, chybnú konfiguráciu cloudu, kritickú zraniteľnosť a zlyhanie nahlasovania incidentu.
6. Vyberte kontroly SoA na základe týchto rizík a povinností.
7. Zdokumentujte vylúčenia, kompenzačné kontroly a akceptáciu rizika.
8. Získajte schválenie vrcholového manažmentu pre konečné hranice a vylúčenia.
9. Premietnite konečnú hranicu do interného auditu, preskúmania manažmentom a monitorovania dodávateľov.

Výstupom nie je len lepšie vyhlásenie o rozsahu. Je to obhájiteľný reťazec od regulovanej služby k aktívu, dodávateľovi, údajom, kontrole, vlastníkovi a dôkazom.

Mapovanie viacnásobného súladu: jeden rozsah, mnoho povinností

Dobre vymedzený ISMS podľa ISO 27001 sa stáva prevádzkovou vrstvou, v ktorej možno zosúladiť očakávania NIS2, DORA, GDPR, NIST CSF a COBIT.

Pre kontrolu ISO/IEC 27002:2022 5.31, Právne, zákonné, regulačné a zmluvné požiadavky, Zenith Controls prepája povinnosti súladu s ochranou súkromia, ochranou PII, uchovávaním záznamov, nezávislým preskúmaním a dodržiavaním interných politík. Prirodzene sa mapuje na preukázateľnú zodpovednosť podľa GDPR, súlad dodávateľského reťazca podľa NIS2, riadenie rizík IKT a súlad podľa DORA, správu a riadenie NIST CSF a monitorovanie externého súladu podľa COBIT 2019.

Pre kontrolu ISO/IEC 27002:2022 5.34, Ochrana súkromia a ochrana PII, Zenith Controls prepája ochranu súkromia s inventarizáciou aktív, cloudovými službami, klasifikáciou, prenosom informácií, riadením prístupu, správou identít a preskúmaniami projektových zmien. Jej mapovanie na GDPR pokrýva bezpečnosť spracúvania a ochranu údajov už od návrhu. Jej mapovanie na DORA podporuje integritu, bezpečnosť a dôvernosť údajov vrátane osobných údajov spracúvaných v službách IKT.

Zásada je jednoduchá: nevytvárajte štyri odpojené programy súladu. Vytvorte jeden ISMS s jasným rozsahom, ktorý dokáže vysvetliť, ako sú povinnosti splnené, doložené a auditované.

Rozsah nahlasovania incidentov: kde hranice ovplyvňujú regulačné lehoty

Nesprávny rozsah sa počas incidentov prejaví bolestivo viditeľne.

NIS2 Article 23 vyžaduje postupné nahlasovanie významných incidentov vrátane včasného varovania do 24 hodín, oznámenia incidentu do 72 hodín, priebežných správ na požiadanie a záverečnej správy do jedného mesiaca. Môže sa vyžadovať aj komunikácia dotknutým príjemcom.

DORA vyžaduje, aby finančné subjekty zisťovali, riadili, klasifikovali a nahlasovali závažné incidenty súvisiace s IKT podľa kritérií, ako sú dotknutí klienti alebo protistrany, trvanie, výpadok, geografické rozšírenie, straty údajov, kritickosť dotknutých služieb a hospodársky vplyv. Klienti musia byť bez zbytočného odkladu informovaní, ak závažný incident IKT ovplyvňuje ich finančné záujmy.

Oznámenie porušenia ochrany osobných údajov podľa GDPR závisí od toho, či porušenie vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému sprístupneniu osobných údajov alebo neoprávnenému prístupu k nim.

Ak je platforma podpory, logovacie prostredie, služba identity, zákaznícky notifikačný kanál alebo poskytovateľ riadenej detekcie a reakcie (MDR) mimo rozsahu ISMS, tímy riešenia incidentov nemusia vedieť, či udalosť spúšťa NIS2, DORA, GDPR, zmluvné hlásenie zákazníkovi alebo všetky tieto povinnosti. Táto neistota spotrebúva čas určený na nahlasovanie.

Zrelý rozsah zahŕňa závislosti relevantné pre incidenty: detekčné nástroje, úložiská logov, forenzné repozitáre, zákaznícke komunikačné kanály, nástroje podpory, zálohovacie prostredia, komunikačné mosty k incidentom a dodávateľov zapojených do triáže alebo obnovy.

Ako audítori a orgány dohľadu otestujú váš rozsah ISMS

Silný rozsah obstojí pri vzorkovaní. Slabý rozsah sa zrúti, keď audítori porovnajú dokumenty s realitou.

Zenith Controls poskytuje užitočné auditné očakávania pre kontrolu ISO/IEC 27002:2022 5.9. Audítori v štýle ISO/IEC 19011 si vyžiadajú inventár včas, aby určili rozsah ďalších hodnotení a namátkovo overili fyzické, softvérové a cloudové aktíva. Audítori v štýle ISO/IEC 27007 sa pýtajú, ako a kedy sa inventár aktualizuje, a hľadajú väzby na obstarávanie, riadenie zmien a vyradenie. Audítori v štýle NIST SP 800-53A overujú, či podrobnosti inventára zahŕňajú typ aktíva, vlastníka, umiestnenie, sieťovú adresu, kde je to uplatniteľné, a stav, a či sú zahrnuté cloudové, virtuálne a mobilné aktíva.

Pre kontrolu 5.31 Zenith Controls uvádza, že certifikační audítori očakávajú register súladu alebo zoznam zákonov a zmlúv, na ktoré sa odkazuje v SoA a plánoch ošetrenia rizík. Audítori COBIT hľadajú vlastníkov súladu, posúdenia a výkazníctvo pre vrcholový manažment. Audítori ISACA ITAF vzorkujú dôkazy, aby potvrdili, že organizácia svoje povinnosti nielen pozná, ale aktívne zabezpečuje ich plnenie.

Pre kontrolu 5.34 audítori preskúmavajú politiky ochrany súkromia, inventáre údajov, DPIA, záznamy o školeniach, dôkazy šifrovania, riadenie prístupu, vzorky DSAR, dôkazy ochrany súkromia už od návrhu a záznamy incidentov zahŕňajúcich PII. Vyhlásenie o rozsahu, ktoré vylučuje systém spracúvajúci osobné údaje, bude rýchlo spochybnené.

Otázka pre predstavenstvo: čo nemožno vylúčiť?

Vrcholový manažment sa často pýta, či obchodná jednotka, lokalita, dodávateľ alebo systém môžu zostať mimo rozsahu ISMS. Niekedy je odpoveď áno. Nie však vtedy, ak vylúčenie bráni organizácii splniť právne, regulačné, zmluvné alebo bezpečnostné povinnosti súvisiace so službou.

Pred schválením akéhokoľvek obmedzenia hranice použite tento test vylúčenia:

• Podporuje jednotka, systém alebo dodávateľ službu regulovanú podľa NIS2?
• Podporuje kritickú alebo dôležitú funkciu podľa DORA pre organizáciu alebo jej regulovaných zákazníkov?
• Zhromažďuje, uchováva, prenáša, loguje, podporuje alebo vymazáva osobné údaje?
• Poskytuje bezpečnostné monitorovanie, identitu, zálohovanie, reakciu na incidenty alebo obnovu pre službu v rozsahu?
• Poskytuje dôkazy potrebné na klasifikáciu incidentu alebo regulačné oznámenie?
• Vyžaduje zákaznícka zmluva, aby bol pokrytý ISMS?
• Ovplyvnila by jeho kompromitácia dôvernosť, integritu, dostupnosť, právny súlad alebo kontinuitu služby v uvedenom rozsahu?

Ak je odpoveď áno, vylúčenie si vyžaduje silné dôkazy, kompenzačnú správu a riadenie, akceptáciu rizika a formálne schválenie vrcholovým manažmentom. V mnohých prípadoch by nemalo byť vylúčené.

Moderný rozsah ISMS podľa ISO 27001 má zahŕňať:

1. Pokryté služby organizácie a produktové portfóliá.
2. Pokryté právne subjekty, organizačné jednotky a lokality.
3. Segmenty zákazníkov a jurisdikcie, ktoré vytvárajú povinnosti.
4. Kritické alebo dôležité funkcie a základné služby založené na BIA.
5. Informačné aktíva, aktíva IKT a cloudové prostredia.
6. Činnosti spracúvania osobných údajov a úložiská PII.
7. Procesy vývoja, testovania, podpory, monitorovania a incidentov.
8. Dodávateľov a outsourcované služby podporujúce služby v rozsahu.
9. Rozhrania a závislosti so skupinovými spoločnosťami alebo externými poskytovateľmi.
10. Výslovné vylúčenia s odôvodnením, akceptáciou rizika a schválením vrcholovým manažmentom.

Takto sa rozsah ISO 27001 stáva pozíciou správy a riadenia na úrovni predstavenstva, nie skratkou k certifikácii.

Pripravte svoj rozsah ISMS na audit skôr, než ho za vás definuje audítor

Najhorší čas na odhalenie problému s rozsahom je počas certifikácie, dozorného auditu, zákazníckej previerky alebo živého incidentu.

Úzky certifikát môže splniť zaškrtávacie políčko v obstarávaní, ale neobstojí pri vážnom preskúmaní, ak vylučuje služby, funkcie IKT, dodávateľov a spracúvanie osobných údajov, ktoré vytvárajú regulačnú expozíciu. V roku 2026 prejdú auditmi s istotou tie organizácie, ktoré dokážu ukázať jednu koherentnú mapu od regulovanej služby k aktívu, dodávateľovi, osobným údajom, kontrole, vlastníkovi a dôkazom.

Začnite tromi konkrétnymi krokmi:

1. Použite Zenith Blueprint Zenith Blueprint fázu: ISMS Foundation & Leadership, krok 2, na prepracovanie rozsahu ISMS okolo služieb, funkcií, spracúvania a závislostí.
2. Použite Zenith Controls Zenith Controls na mapovanie inventarizácie aktív, právnych povinností a ochrany PII naprieč auditnými očakávaniami ISO 27001, NIS2, DORA, GDPR, NIST a COBIT 2019.
3. Zosúlaďte rozsah politík pomocou Politiky informačnej bezpečnosti od Clarysec Politika informačnej bezpečnosti, Politiky právneho a regulačného súladu Politika právneho a regulačného súladu, Politiky riadenia rizík Politika riadenia rizík, Politiky ochrany údajov a súkromia Politika ochrany údajov a súkromia a Politiky kontinuity činností a obnovy po havárii Politika kontinuity činností a obnova po havárii.

Ak váš aktuálny rozsah ISMS stále znie ako označenie oddelenia, prebudujte ho na hranicu súladu. Stiahnite si nástroje Clarysec, zmapujte jednu regulovanú službu od začiatku do konca a premeňte rozsah ISO 27001 na dôkazy pripravené na audit pre NIS2, DORA a GDPR.