ISO 27001:2022: Plán obnovy po neúspešnom audite
E-mail, ktorý nikto nechcel dostať
E-mail príde neskoro v piatok so zdanlivo neškodným predmetom: „Výsledok prechodového auditu.“
Jeho obsah neškodný nie je. Certifikačný orgán vystavil závažnú nezhodu. Certifikát ISO/IEC 27001 je pozastavený alebo rozhodnutie o prechode nemožno uzavrieť. Poznámka audítora je jednoznačná: Vyhlásenie o uplatniteľnosti neodôvodňuje vylúčené kontroly, posúdenie rizík neodráža aktuálny kontext a neexistujú dostatočné dôkazy o posúdení nových regulačných povinností.
Do jednej hodiny už nejde iba o problém súladu. Obchodný tím sa pýta, či je ohrozená účasť vo verejnom obstarávaní. Právne oddelenie preveruje zmluvné ustanovenia zákazníkov. CISO vysvetľuje, prečo SoA nie je zosúladené s plánom ošetrenia rizík. CEO kladie jedinú otázku, na ktorej záleží: „Ako rýchlo to vieme opraviť?“
Pre mnohé organizácie neznamenalo uplynutie termínu prechodu na ISO 27001:2022 iba teoretickú medzeru. Vytvorilo reálny problém kontinuity podnikania. Zmeškaný alebo neúspešný prechodový audit ISO 27001:2022 môže ovplyvniť oprávnenosť zúčastniť sa tendrov, onboarding dodávateľa, kybernetické poistenie, uistenie zákazníkov, pripravenosť na NIS2, očakávania DORA, preukázateľnú zodpovednosť podľa GDPR a dôveru predstavenstva.
Dobrou správou je, že obnova je možná. Zlou správou je, že kozmetické úpravy dokumentov nebudú fungovať. Obnova sa musí riadiť ako disciplinovaný program nápravných opatrení v ISMS, nie ako narýchlo prepísané politiky.
V Clarysec túto obnovu organizujeme okolo troch prepojených aktív:
- Zenith Blueprint: 30-kroková cestovná mapa audítora, najmä fázy Audit, preskúmanie a zlepšovanie.
- Knižnica podnikových politík a politík pre MSP od Clarysec, ktorá premieňa auditné zistenia na riadené povinnosti.
- Zenith Controls: sprievodca súladom naprieč rámcami, ktorý pomáha prepojiť očakávania kontrol podľa ISO/IEC 27002:2022 s NIS2, DORA, GDPR, uisťovaním podľa prístupu NIST a pohľadom COBIT 2019 na správu a riadenie.
Toto je praktický plán obnovy pre CISO, manažérov súladu, audítorov, zakladateľov a vlastníkov organizácií, ktorí zmeškali termín prechodu na ISO 27001:2022 alebo neuspeli v prechodovom audite.
Najprv diagnostikujte typ zlyhania
Pred úpravou jedinej politiky klasifikujte situáciu. Nie každý neúspešný alebo zmeškaný prechod má rovnaký dopad na organizáciu ani rovnakú cestu obnovy. Prvých 24 hodín sa má sústrediť na získanie správy z auditu, rozhodnutia certifikačného orgánu, znenia nezhody, požiadaviek na dôkazy, lehôt a aktuálneho stavu certifikátu.
| Situácia | Dopad na organizáciu | Okamžitý postup |
|---|---|---|
| Prechodový audit zlyhal so závažnou nezhodou | Certifikačné rozhodnutie môže byť zablokované alebo certifikát môže byť pozastavený, kým sa problém neodstráni | Otvoriť CAPA, vykonať analýzu koreňovej príčiny, potvrdiť očakávania týkajúce sa dôkazov s certifikačným orgánom |
| Prechodový audit prešiel s menšími nezhodami | Certifikácia môže pokračovať, ak budú nápravné opatrenia prijaté | Rýchlo uzavrieť menšie CAPA a aktualizovať balík dôkazov ISMS |
| Prechod nebol dokončený pred termínom | Certifikát už nemusí byť platný alebo uznávaný | Potvrdiť stav s certifikačným orgánom a naplánovať postup prechodu alebo opätovnej certifikácie |
| Dozorný audit odhalil slabé dôkazy o prechode | Certifikácia môže byť ohrozená pri ďalšom rozhodovacom bode | Vykonať cvičný audit a aktualizovať SoA, ošetrenie rizík, preskúmanie manažmentom a záznamy z interného auditu |
| Zákazník odmietol váš certifikát alebo dôkazy o prechode | Obchodné riziko, riziko tendra a dopad na dôveru | Pripraviť balík uistenia pre zákazníka so stavom auditu, plánom CAPA, cieľovými dátumami a schválením správy a riadenia |
Plán obnovy závisí od typu zlyhania. Zablokované certifikačné rozhodnutie vyžaduje cielenú nápravu. Pozastavený certifikát vyžaduje urgentnú nápravu správy a riadenia a dôkazov. Odňatý alebo expirovaný certifikát môže vyžadovať širší postup opätovnej certifikácie.
V každom prípade namapujte každý problém na príslušnú kapitolu ISMS, kontrolu Prílohy A, záznam rizika, vlastníka politiky, zákonnú alebo zmluvnú povinnosť a zdroj dôkazov.
Práve tu je ISO/IEC 27001:2022 dôležitá ako systém manažérstva, nie iba ako katalóg kontrol. Kapitoly 4 až 10 vyžadujú, aby ISMS rozumel kontextu, zainteresovaným stranám, rozsahu, vedeniu, plánovaniu rizík, podpore, prevádzke, hodnoteniu výkonnosti a neustálemu zlepšovaniu. Ak prechod zlyhal, zvyčajne je prerušené jedno z týchto prepojení systému manažérstva.
Prečo prechodové audity ISO 27001:2022 zlyhávajú
Neúspešné prechodové audity sa zvyčajne zhlukujú okolo opakujúcich sa vzorcov. Mnohé z nich nie sú hlboko technické. Ide o zlyhania správy a riadenia, sledovateľnosti, vlastníctva a dôkazov.
| Vzorec zistenia | Čo vidí audítor | Čo to zvyčajne znamená |
|---|---|---|
| Vyhlásenie o uplatniteľnosti nie je aktualizované alebo odôvodnené | Kontroly sú označené ako uplatniteľné bez odôvodnenia alebo vylúčené bez dôkazov | Výber kontrol nie je sledovateľný k riziku, predpisu alebo potrebe organizácie |
| Posúdenie rizík neodráža aktuálne povinnosti | Chýbajú NIS2, DORA, GDPR, zmluvy so zákazníkmi, závislosti od cloudových služieb alebo dodávateľské riziko | Kontext a kritériá rizík neboli aktualizované |
| Preskúmanie manažmentom je povrchné | Zápisnice existujú, ale neriešia rozhodnutia, zdroje, ciele, výsledky auditu ani zmeny rizík | Zodpovednosť vedenia nefunguje |
| Interný audit netestoval rozsah prechodu | Auditný kontrolný zoznam je generický a nepokrýva aktualizované kontroly, dodávateľov, cloud, odolnosť ani zákonné povinnosti | Hodnotenie výkonnosti nie je dostatočné |
| Kontroly dodávateľov a cloudu sú slabé | Chýba náležitá starostlivosť, preskúmanie zmluvy, plánovanie ukončenia alebo priebežné monitorovanie | Prevádzková kontrola externe poskytovaných služieb je neúplná |
| Reakcia na incidenty nie je zosúladená s regulačným oznamovaním | Chýba logika eskalácie do 24 alebo 72 hodín, rozhodovací strom pre DORA alebo GDPR, dôkazy o cvičeniach | Riadenie incidentov nie je prepojené so zákonným oznamovaním |
| Proces CAPA je slabý | Zistenia sa uzatvárajú iba úpravami dokumentov | Koreňová príčina nebola odstránená |
Neúspešný audit je signálom, že ISMS sa neprispôsobil dostatočne rýchlo skutočnému prevádzkovému prostrediu organizácie.
ISO/IEC 27005:2022 je pri obnove užitočná, pretože posilňuje význam stanovenia kontextu na základe zákonných, regulačných, odvetvových, zmluvných, interných a existujúcich požiadaviek na kontroly. Podporuje aj kritériá rizík, ktoré zohľadňujú zákonné povinnosti, dodávateľov, ochranu súkromia, ľudský faktor, ciele organizácie a apetít na riziko schválený manažmentom.
V praxi sa obnova prechodu začína aktualizovaným kontextom a kritériami rizík, nie novým číslom verzie na starom dokumente.
Krok 1: Zastavte zmeny v auditných záznamoch a vytvorte riadiace centrum obnovy
Prvou prevádzkovou chybou po neúspešnom audite je chaos v dôkazoch. Tímy začnú prehľadávať e-mailové schránky, zdieľané úložiská, tiketovacie systémy, chatové správy, osobné priečinky a staré auditné balíky. Audítori to vnímajú ako znak, že ISMS nie je riadený.
Clarysec politika pre MSP Politika monitorovania auditov a súladu - MSP je v oblasti riadenia dôkazov jednoznačná:
„Všetky dôkazy musia byť uložené v centralizovanom auditnom priečinku.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.1.
Tento centralizovaný auditný priečinok sa stáva riadiacim miestom obnovy. Má obsahovať:
- Správu certifikačného orgánu a korešpondenciu.
- Potvrdenie stavu certifikátu.
- Register nezhôd.
- Register CAPA.
- Aktualizované posúdenie rizík.
- Aktualizovaný plán ošetrenia rizík.
- Aktualizované Vyhlásenie o uplatniteľnosti.
- Správu z interného auditu.
- Zápisnice z preskúmania manažmentom.
- Záznamy o schválení politík.
- Dôkazy pre každú uplatniteľnú kontrolu Prílohy A.
- Balík uistenia pre zákazníka, ak sú ovplyvnené obchodné záväzky.
Pre podnikové prostredia stanovuje Clarysec Politika monitorovania auditov a súladu rovnaké očakávanie v oblasti správy a riadenia:
„Všetky zistenia musia viesť k zdokumentovanému CAPA, ktorý obsahuje:“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.1.
Toto znenie zavádza očakávanie štruktúrovaného nápravného opatrenia. Podstata je jednoduchá: každé auditné zistenie sa musí stať riadenou položkou CAPA, nie neformálnou úlohou v poznámkach.
Pre MSP je rovnako dôležité zapojenie vedenia:
„Generálny manažér (GM) musí schváliť plán nápravných opatrení a sledovať jeho implementáciu.“
Z Politika monitorovania auditov a súladu - MSP, sekcia „Požiadavky na správu a riadenie“, ustanovenie politiky 5.4.2.
Je to dôležité, pretože ISO 27001:2022 nepovažuje vedenie za symbolickú funkciu. Vrcholový manažment musí ustanoviť politiku, zosúladiť ciele so stratégiou organizácie, poskytnúť zdroje, komunikovať význam informačnej bezpečnosti, prideliť zodpovednosti a podporovať neustále zlepšovanie.
Ak sa neúspešný prechod bude riešiť ako „problém osoby zodpovednej za súlad“, ďalší audit opäť odhalí slabú zodpovednosť vedenia.
Krok 2: Prepracujte kontext, povinnosti a riziká
Neúspešný prechodový audit často znamená, že kontext ISMS už neodráža realitu organizácie. Organizácia mohla prejsť na cloudové platformy, pridať nových dodávateľov, vstúpiť na regulované trhy, spracúvať viac osobných údajov alebo sa stať relevantnou pre zákazníkov podľa NIS2 alebo DORA. Ak tieto zmeny v ISMS chýbajú, posúdenie rizík a SoA budú neúplné.
Clarysec Politika právneho a regulačného súladu stanovuje základnú požiadavku:
„Všetky zákonné a regulačné povinnosti musia byť v rámci systému manažérstva informačnej bezpečnosti (ISMS) namapované na konkrétne politiky, kontroly a vlastníkov.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.1.
Toto ustanovenie je po zlyhaní prechodu kritické. Kapitoly 4.1 až 4.3 ISO 27001:2022 vyžadujú, aby organizácie zohľadnili interné a externé otázky, zainteresované strany, požiadavky, rozhrania, závislosti a rozsah. Zákonné, regulačné a zmluvné povinnosti nie sú poznámkami pod čiarou. Formujú ISMS.
NIS2 Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia vrátane analýzy rizík, politík, riešenia incidentov, zálohovania, obnovy po havárii, krízového riadenia, bezpečnosti dodávateľského reťazca, bezpečného vývoja, riadenia zraniteľností, posúdení účinnosti, kybernetickej hygieny, školení, kryptografie, bezpečnosti HR, riadenia prístupu, správy aktív a bezpečnej komunikácie. Article 20 presúva zodpovednosť na úroveň riadiaceho orgánu. Article 23 vytvára postupné oznamovanie významných incidentov vrátane včasného varovania, oznámenia incidentu, aktualizácií a záverečnej správy.
DORA sa priamo uplatňuje na finančné subjekty od 17. januára 2025 a pokrýva riadenie rizík IKT, oznamovanie závažných incidentov, testovanie odolnosti, riziká IKT tretích strán, zmluvné požiadavky a dohľad nad kritickými externými poskytovateľmi IKT. Pre finančné subjekty v rozsahu pôsobnosti sa DORA stáva hlavným faktorom správy a riadenia IKT, kontroly dodávateľov, testovania, klasifikácie incidentov a zodpovednosti manažmentu.
GDPR pridáva preukázateľnú zodpovednosť za osobné údaje. Article 5 vyžaduje zákonné, spravodlivé, transparentné, účelovo obmedzené, presné spracúvanie so zohľadnením obmedzenia uchovávania a bezpečnosti, s preukázateľným súladom. Article 4 definuje porušenie ochrany osobných údajov spôsobom, ktorý priamo ovplyvňuje klasifikáciu incidentov. Article 6 vyžaduje mapovanie právnych základov a Article 9 pridáva zvýšené požiadavky na osobitné kategórie údajov.
To neznamená vytvárať oddelené svety súladu. Znamená to použiť ISO 27001:2022 ako integrovaný systém manažérstva a mapovať povinnosti do jednej architektúry rizík a kontrol.
Clarysec Politika riadenia rizík prepája ošetrenie rizík priamo s výberom kontrol:
„Rozhodnutia o kontrolách vyplývajúce z procesu ošetrenia rizík sa musia premietnuť do SoA.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.5.1.
Neúspešný audit je tiež dôvodom na preskúmanie samotného procesu riadenia rizík. Clarysec politika pre MSP Politika riadenia rizík - MSP identifikuje tento spúšťač:
„Závažný incident alebo auditné zistenie odhalí medzery v riadení rizík“
Zo sekcie „Požiadavky na preskúmanie a aktualizáciu“, ustanovenie politiky 9.2.1.1.
V režime obnovy to znamená, že register rizík, kritériá rizík, plán ošetrenia a SoA sa musia prepracovať spoločne.
Krok 3: Opravte SoA ako chrbticu sledovateľnosti
Pri väčšine neúspešných prechodov je Vyhlásenie o uplatniteľnosti prvým dokumentom na kontrolu. Je tiež jedným z prvých dokumentov, z ktorých audítori vyberajú vzorku. Slabé SoA audítorovi naznačuje, že výber kontrol nie je založený na riziku.
Zenith Blueprint dáva praktický pokyn vo fáze Audit, preskúmanie a zlepšovanie, krok 24, Audit, preskúmanie a zlepšovanie:
„Vaše SoA by malo byť konzistentné s registrom rizík a plánom ošetrenia rizík. Dôkladne skontrolujte, že každá kontrola, ktorú ste zvolili ako ošetrenie rizika, je v SoA označená ako „Uplatniteľná“. Naopak, ak je kontrola v SoA označená ako „Uplatniteľná“, mali by ste mať jej odôvodnenie - zvyčajne namapované riziko, zákonnú/regulačnú požiadavku alebo potrebu organizácie.“
Z Zenith Blueprint: 30-kroková cestovná mapa audítora, fáza Audit, preskúmanie a zlepšovanie, krok 24.
Toto je princíp obnovy. SoA nie je formalita. Je to chrbtica sledovateľnosti medzi rizikami, povinnosťami, kontrolami, dôkazmi o implementácii a auditnými závermi.
Praktická oprava SoA má postupovať v tomto poradí:
- Exportujte aktuálne SoA.
- Pridajte stĺpce pre identifikátor rizika, regulačnú povinnosť, požiadavku organizácie, odkaz na politiku, umiestnenie dôkazov, vlastníka, stav implementácie a dátum posledného testovania.
- Pre každú uplatniteľnú kontrolu namapujte aspoň jedno obhájiteľné odôvodnenie.
- Pre každú vylúčenú kontrolu napíšte konkrétny dôvod vylúčenia.
- Zosúlaďte SoA s plánom ošetrenia rizík.
- Zosúlaďte SoA s výsledkami interného auditu.
- Položte si náročnú otázku: ak audítor vyberie tento riadok ako vzorku, vieme ho do piatich minút preukázať?
Obhájiteľný riadok SoA má vyzerať takto:
| Pole SoA | Príklad záznamu pri obnove |
|---|---|
| Odôvodnenie kontroly | Uplatniteľné z dôvodu cloudového hostingu, platobného sprostredkovateľa, outsourcovanej podpory a zmluvných bezpečnostných záväzkov voči zákazníkom |
| Väzba na riziko | R-014 prerušenie služby tretej strany, R-021 sprístupnenie údajov u dodávateľa, R-027 regulačné porušenie spôsobené zlyhaním sprostredkovateľa |
| Väzba na povinnosť | NIS2 bezpečnosť dodávateľského reťazca, DORA riziko IKT tretích strán, kde je uplatniteľné, GDPR preukázateľná zodpovednosť sprostredkovateľa |
| Väzba na politiku | Politika bezpečnosti tretích strán a dodávateľov, postup preskúmania zmluvy, kontrolný zoznam hodnotenia dodávateľa |
| Dôkazy | Register dodávateľov, hodnotenia rizík, dotazník náležitej starostlivosti, podpísaná zmluva o spracúvaní osobných údajov, preskúmanie správy SOC, plán ukončenia, záznam ročného preskúmania |
| Vlastník | Manažér dodávateľov, CISO, právne oddelenie |
| Testovanie | Vzorka interného auditu piatich najkritickejších dodávateľov dokončená, výnimky zaznamenané v CAPA |
| Stav | Implementované, s dvoma otvorenými nápravnými opatreniami na aktualizáciu zmlúv |
Tento riadok rozpráva príbeh obnovy. Ukazuje kontext organizácie, logiku rizika, regulačnú relevantnosť, vlastníctvo, implementáciu, testovanie a zostávajúce opatrenia.
Pri vylúčeniach platí rovnaká disciplína. Napríklad, ak organizácia nevykonáva interný vývoj softvéru, vylúčenie kontroly ISO/IEC 27002:2022 8.25 Životný cyklus bezpečného vývoja a kontroly 8.28 Bezpečné programovanie môže byť obhájiteľné, ale iba vtedy, ak je pravdivé, zdokumentované a podporené dôkazmi, že softvér je komerčný hotový produkt alebo plne outsourcovaný s kontrolami dodávateľov.
Krok 4: Vykonajte analýzu koreňovej príčiny, nie kozmetiku dokumentov
Neúspešný prechodový audit je zriedka spôsobený jedným chýbajúcim súborom. Zvyčajne je spôsobený nefunkčným procesom.
Zenith Blueprint, fáza Audit, preskúmanie a zlepšovanie, krok 27, Auditné zistenia - analýza a koreňová príčina, uvádza:
„Pri každej identifikovanej nezhode (závažnej alebo menšej) premýšľajte, prečo nastala - je to kritické pre účinnú nápravu.“
Zo Zenith Blueprint, fáza Audit, preskúmanie a zlepšovanie, krok 27.
Ak zistenie hovorí „chýbajú odôvodnenia SoA“, korekciou môže byť aktualizácia SoA. Koreňovou príčinou však môže byť, že vlastníci aktív neboli zapojení do posúdenia rizík, zákonné povinnosti neboli namapované alebo tím pre súlad spravoval SoA izolovane.
Užitočná tabuľka obnovy oddeľuje slabé korekcie od skutočných nápravných opatrení:
| Auditné zistenie | Slabá korekcia | Správna otázka ku koreňovej príčine | Lepšie nápravné opatrenie |
|---|---|---|---|
| SoA nie je zosúladené s ošetrením rizík | Aktualizovať formuláciu SoA | Prečo SoA nebolo zosúladené s ošetrením rizík? | Zaviesť štvrťročné zosúladenie SoA a rizík vo vlastníctve manažéra ISMS |
| Chýbajú hodnotenia dodávateľov | Nahrať jeden dotazník | Prečo dodávatelia neboli preskúmaní? | Priradiť vlastníka dodávateľa, definovať úrovne rizika, dokončiť preskúmania, monitorovať ročne |
| Preskúmanie manažmentom je neúplné | Dodatočne pridať bod programu | Prečo preskúmanie manažmentom nepokrývalo stav prechodu? | Aktualizovať šablónu preskúmania manažmentom a naplánovať štvrťročné preskúmanie správy a riadenia |
| Oznamovanie incidentov nebolo testované | Upraviť postup pre incidenty | Prečo sa oznamovanie necvičilo? | Vykonať stolové cvičenie s rozhodovacími bodmi NIS2, DORA a GDPR a uchovať dôkazy |
| Interný audit bol príliš úzky | Rozšíriť kontrolný zoznam | Prečo plánovanie auditu minulo rozsah prechodu? | Schváliť plán auditov založený na riziku, ktorý pokrýva predpisy, dodávateľov, cloud a odolnosť |
Tu sa vracia dôveryhodnosť. Audítori neočakávajú dokonalosť. Očakávajú riadený systém, ktorý zistí, opraví, poučí sa a zlepší.
Krok 5: Vybudujte CAPA, ktorému audítor môže dôverovať
Nápravné a preventívne opatrenia sú miestom, kde mnohé organizácie znovu získajú kontrolu. Register CAPA má byť cestovnou mapou obnovy a primárnym dôkazom, že neúspešný audit bol riešený systematicky.
Zenith Blueprint, fáza Audit, preskúmanie a zlepšovanie, krok 29, Neustále zlepšovanie, vysvetľuje štruktúru:
„Uistite sa, že každé nápravné opatrenie je konkrétne, priraditeľné a časovo ohraničené. V podstate vytvárate mini projekt pre každý problém.“
Zo Zenith Blueprint, fáza Audit, preskúmanie a zlepšovanie, krok 29.
Váš register CAPA má obsahovať:
- Identifikátor zistenia.
- Zdrojový audit.
- Odkaz na kapitolu alebo kontrolu.
- Závažnosť.
- Opis problému.
- Okamžitú korekciu.
- Koreňovú príčinu.
- Nápravné opatrenie.
- Preventívne opatrenie, ak je relevantné.
- Vlastníka.
- Lehotu plnenia.
- Požadované dôkazy.
- Stav.
- Kontrolu účinnosti.
- Schválenie manažmentom.
Clarysec Politika monitorovania auditov a súladu - MSP tiež identifikuje závažnú nezhodu ako spúšťač preskúmania:
„Certifikačný audit alebo dozorný audit vyústi do závažnej nezhody“
Zo sekcie „Požiadavky na preskúmanie a aktualizáciu“, ustanovenie politiky 9.2.2.
Ak prechodový audit priniesol závažnú nezhodu, preskúmajte samotný proces monitorovania auditov a súladu. Prečo interný audit nezistil problém ako prvý? Prečo ho preskúmanie manažmentom neeskalovalo? Prečo SoA neodhalilo medzeru v dôkazoch?
Takto sa neúspešný audit stáva silnejším ISMS.
Krok 6: Použite Zenith Controls na prepojenie dôkazov ISO s požiadavkami naprieč rámcami
Opätovný audit neprebieha izolovane. Zákazníci, regulátori, poisťovne a interné tímy správy a riadenia môžu na tie isté dôkazy pozerať z rôznych uhlov. Práve tu má Zenith Controls hodnotu ako sprievodca súladom naprieč rámcami. Pomáha tímom prestať vnímať ISO 27001, NIS2, DORA, GDPR, uistenie podľa prístupu NIST a správu a riadenie podľa COBIT 2019 ako samostatné kontrolné zoznamy.
Tri kontroly ISO/IEC 27002:2022 sú pri obnove prechodu osobitne relevantné.
| Kontrola ISO/IEC 27002:2022 | Význam pre obnovu | Dôkazy na prípravu |
|---|---|---|
| 5.31 Zákonné, štatutárne, regulačné a zmluvné požiadavky | Potvrdzuje, že povinnosti sú identifikované, zdokumentované a prepojené do ISMS | Právny register, zmluvné povinnosti, regulačná mapa, matica vlastníkov politík, odôvodnenie SoA |
| 5.35 Nezávislé preskúmanie informačnej bezpečnosti | Potvrdzuje, že preskúmanie je objektívne, má definovaný rozsah, je kompetentné a vedie k opatreniam | Plán interného auditu, správa z nezávislého preskúmania, kompetencia audítora, záznamy CAPA, reporting manažmentu |
| 5.36 Súlad s politikami, pravidlami a normami informačnej bezpečnosti | Potvrdzuje, že politiky nie sú iba zverejnené, ale sú monitorované a presadzované | Potvrdenie politiky, evidencia výnimiek, monitorovacie správy, disciplinárny pracovný postup, testovanie súladu |
V Zenith Controls je kontrola ISO/IEC 27002:2022 5.31 priamo prepojená s ochranou súkromia a PII:
„5.34 pokrýva súlad so zákonmi o ochrane údajov (napr. GDPR), čo je jedna kategória zákonných požiadaviek podľa 5.31.“
Zo Zenith Controls, kontrola 5.31, väzby na iné kontroly.
Pre obnovu to znamená, že právny register nesmie stáť mimo ISMS. Musí riadiť SoA, plán ošetrenia rizík, súbor politík, vlastníctvo kontrol a auditné dôkazy.
Pri kontrole ISO/IEC 27002:2022 5.35 Zenith Controls zdôrazňuje, že nezávislé preskúmanie často siaha až do prevádzkových dôkazov:
„Nezávislé preskúmania podľa 5.35 často posudzujú primeranosť logovania a monitorovacích činností.“
Zo Zenith Controls, kontrola 5.35, väzby na iné kontroly.
Je to praktické. Audítor môže začať pri správe a riadení a následne odobrať vzorku logov, upozornení, monitorovacích záznamov, revízií prístupových práv, incidentných ticketov, testov záloh, preskúmaní dodávateľov a rozhodnutí manažmentu.
Pri kontrole ISO/IEC 27002:2022 5.36 Zenith Controls vysvetľuje vzťah s internou správou politík:
„Kontrola 5.36 slúži ako mechanizmus uplatňovania pravidiel definovaných podľa 5.1.“
Zo Zenith Controls, kontrola 5.36, väzby na iné kontroly.
Tu zlyháva mnoho prechodových programov. Politiky existujú, ale ich dodržiavanie sa nemonitoruje. Postupy existujú, ale výnimky sa nezachytávajú. Kontroly sú deklarované, ale netestované.
Krok 7: Pripravte sa na rôzne audítorské pohľady
Silný balík obnovy má obstáť pri viac ako jednom audítorskom pohľade. Certifikační audítori ISO, dohľadové orgány DORA, posudzovatelia NIS2, zainteresované strany GDPR, tímy zákazníckeho uistenia, posudzovatelia orientovaní na NIST a hodnotitelia správy a riadenia podľa COBIT 2019 sa môžu na tie isté dôkazy pýtať rozdielne.
| Pohľad audítora | Pravdepodobná otázka | Pomáhajúce dôkazy |
|---|---|---|
| Audítor ISO 27001:2022 | Je ISMS účinný, založený na riziku, správne vymedzený, preskúmavaný vedením a neustále zlepšovaný? | Rozsah, kontext, zainteresované strany, posúdenie rizík, SoA, plán ošetrenia, interný audit, preskúmanie manažmentom, CAPA |
| Posudzovateľ orientovaný na NIST | Fungujú činnosti správy a riadenia, identifikácie rizík, ochrany, detekcie, reakcie a obnovy koherentne? | Inventár aktív, register rizík, riadenie prístupu, logovanie, monitorovanie, playbooky incidentov, testy obnovy |
| Audítor podľa COBIT 2019 alebo štýlu ISACA | Sú ciele správy a riadenia, vlastníctvo, monitorovanie výkonnosti, riadenie rizík a uistenie o súlade zakotvené v praxi? | RACI, schválené ciele, metriky, plán auditov, reporting manažmentu, vlastníctvo kontrol, evidencia problémov |
| Posudzovateľ súladu s NIS2 | Schválil manažment primerané opatrenia kybernetického rizika a pracovné postupy oznamovania incidentov a vykonáva nad nimi dohľad? | Zápisnice predstavenstva, opatrenia na zmiernenie rizík, kontroly dodávateľov, eskalácia incidentov, školenia, dôkazy kontinuity a krízového riadenia |
| Posudzovateľ DORA | Je riadenie rizík IKT zdokumentované, testované, zohľadňuje dodávateľov a je integrované do správy a riadenia? | Rámec rizík IKT, testy odolnosti, klasifikácia incidentov, register zmlúv IKT, plány ukončenia, práva na audit |
| Posudzovateľ GDPR | Vie organizácia preukázať zodpovednosť za ochranu osobných údajov a reakciu na porušenie ochrany osobných údajov? | RoPA, mapovanie právnych základov, DPIA podľa potreby, zmluvy so sprostredkovateľmi, evidencia porušení, technické a organizačné opatrenia |
Cieľom nie je duplikovať dôkazy. Jeden riadok SoA pre logovanie a monitorovanie môže podporiť dôkazy ISO, očakávania detekcie podľa prístupu NIST, riešenie incidentov podľa DORA, posúdenie účinnosti podľa NIS2 a detekciu porušenia ochrany osobných údajov podľa GDPR. Jeden súbor dodávateľského rizika môže podporiť dodávateľské kontroly ISO, riziko IKT tretích strán podľa DORA, bezpečnosť dodávateľského reťazca podľa NIS2 a zodpovednosť sprostredkovateľa podľa GDPR.
Toto je praktická hodnota súladu naprieč rámcami.
Krok 8: Vykonajte záverečné preskúmanie dokumentácie a cvičný audit
Pred návratom k certifikačnému orgánu vykonajte prísnu internú výzvu. Zenith Blueprint, fáza Audit, preskúmanie a zlepšovanie, krok 30, Príprava na certifikáciu - záverečné preskúmanie a cvičný audit, odporúča postupne skontrolovať kapitoly 4 až 10 ISO 27001:2022 a overiť dôkazy pre každú uplatniteľnú kontrolu Prílohy A.
Odporúča:
„Skontrolujte kontroly Annex A: uistite sa, že pri každej kontrole, ktorú ste v SoA označili ako „Uplatniteľnú“, máte čo predložiť.“
Zo Zenith Blueprint, fáza Audit, preskúmanie a zlepšovanie, krok 30.
Záverečné preskúmanie má byť priame:
- Dá sa každá uplatniteľná kontrola vysvetliť?
- Dá sa každá vylúčená kontrola odôvodniť?
- Dá sa preukázať akceptácia zvyškového rizika?
- Preskúmal manažment zlyhanie prechodu, zdroje, ciele, výsledky auditu a nápravné opatrenia?
- Testoval interný audit aktualizované SoA a plán ošetrenia rizík?
- Sú kontroly dodávateľov, cloudu, kontinuity, incidentov, ochrany súkromia, prístupu, zraniteľností, logovania a monitorovania podložené dôkazmi?
- Sú politiky schválené, aktuálne, komunikované a pod riadením verzií?
- Sú CAPA prepojené s koreňovými príčinami a kontrolami účinnosti?
- Dajú sa dôkazy rýchlo nájsť v centralizovanom auditnom priečinku?
Clarysec Politika informačnej bezpečnosti poskytuje základ správy a riadenia:
„Organizácia musí implementovať a udržiavať systém manažérstva informačnej bezpečnosti (ISMS) v súlade s kapitolami 4 až 10 ISO/IEC 27001:2022.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.
Pre MSP musí preskúmanie sledovať aj certifikačné požiadavky a regulačné zmeny. Clarysec Politika informačnej bezpečnosti - MSP uvádza:
„Túto politiku musí generálny manažér (GM) preskúmať aspoň raz ročne, aby zabezpečil trvalý súlad s požiadavkami certifikácie ISO/IEC 27001, regulačnými zmenami (napríklad GDPR, NIS2 a DORA) a vyvíjajúcimi sa potrebami organizácie.“
Zo sekcie „Požiadavky na preskúmanie a aktualizáciu“, ustanovenie politiky 9.1.1.
Presne toto mnohým prechodovým programom chýbalo: ISO, regulácia a zmena organizácie sa pohybujú spoločne.
Čo povedať zákazníkom počas obnovy
Ak neúspešný alebo zmeškaný prechod ovplyvňuje zákaznícke zmluvy, mlčanie je nebezpečné. Nemusíte zverejniť každý detail interného auditu, ale mali by ste poskytnúť riadené uistenie.
Balík komunikácie so zákazníkom má obsahovať:
- Aktuálny stav certifikácie potvrdený certifikačným orgánom.
- Stav prechodového auditu a plán nápravy na vysokej úrovni.
- Potvrdenie, že proces CAPA je aktívny a schválený manažmentom.
- Cieľové dátumy nápravných opatrení a uzavretia auditu.
- Vyhlásenie, že ISMS zostáva v prevádzke.
- Kontaktné miesto pre bezpečnostné uistenie.
- Aktualizované vyhlásenie bezpečnostnej politiky, ak je vhodné.
- Dôkazy kompenzačných kontrol pre akúkoľvek vysoko rizikovú oblasť.
Vyhnite sa vágnym tvrdeniam typu „sme plne v súlade“, kým audit nie je vyriešený. Povedzte to, čo je pravdivé: ISMS funguje, nápravné opatrenia sú schválené, dôkazy sa konsolidujú a je naplánované záverečné preskúmanie alebo opätovný audit.
Je to osobitne dôležité, ak sa na vás zákazníci spoliehajú ako na dodávateľa v sektoroch relevantných pre NIS2, ako sú digitálna infraštruktúra, cloud, dátové centrá, siete na doručovanie obsahu, DNS, dôveryhodné služby, verejné elektronické komunikácie, spravované služby alebo spravované bezpečnostné služby. Ak váš stav auditu ovplyvňuje ich riziko dodávateľského reťazca, potrebujú dôveryhodné uistenie.
Praktický 10-dňový obnovovací šprint
Časové harmonogramy sa líšia podľa certifikačného orgánu, závažnosti, rozsahu a zrelosti dôkazov. Poradie obnovy je však spoľahlivé.
| Deň | Činnosť | Výstup |
|---|---|---|
| 1 | Zhromaždiť auditnú správu, potvrdiť stav certifikátu, otvoriť centralizovaný auditný priečinok | Riadiace centrum obnovy |
| 2 | Klasifikovať zistenia, priradiť vlastníkov, informovať manažment | Schválená správa a riadenie obnovy |
| 3 | Aktualizovať kontext, povinnosti, zainteresované strany a predpoklady rozsahu | Aktualizovaný kontext a mapa súladu |
| 4 | Zosúladiť posúdenie rizík a plán ošetrenia rizík | Aktualizovaný register rizík a plán ošetrenia |
| 5 | Opraviť SoA s odôvodnením, vylúčeniami, dôkazmi a vlastníkmi | SoA pripravené na audit |
| 6 | Vykonať analýzu koreňovej príčiny pre všetky zistenia | Register koreňových príčin |
| 7 | Vytvoriť plán CAPA s cieľovými dátumami a požiadavkami na dôkazy | Register CAPA |
| 8 | Zhromaždiť a otestovať dôkazy pre prioritné kontroly | Balík dôkazov |
| 9 | Vykonať preskúmanie manažmentom a schváliť zvyškové riziká | Zápisnica z preskúmania manažmentom |
| 10 | Vykonať cvičný audit a pripraviť odpoveď certifikačnému orgánu | Balík pripravenosti na opätovný audit |
Odpoveď neodosielajte, kým nehovorí koherentný príbeh. Audítor má vedieť sledovať reťazec od zistenia ku koreňovej príčine, od koreňovej príčiny k nápravnému opatreniu, od nápravného opatrenia k dôkazom a od dôkazov k preskúmaniu manažmentom.
Pracovný tok obnovy Clarysec
Keď Clarysec podporuje zmeškaný alebo neúspešný prechod na ISO 27001:2022, organizujeme prácu do sústredeného pracovného toku obnovy.
| Fáza obnovy | Aktívum Clarysec | Výstup |
|---|---|---|
| Triáž auditu | Zenith Blueprint kroky 24, 27, 29, 30 | Klasifikácia zistení, mapa dôkazov, plán uzavretia auditu |
| Reset správy a riadenia | Politika informačnej bezpečnosti, Politika monitorovania auditov a súladu | Schválené zodpovednosti, zapojenie manažmentu, centralizovaný priečinok dôkazov |
| Aktualizácia rizík | Politika riadenia rizík, metóda ISO/IEC 27005:2022 | Aktualizovaný kontext, kritériá, register rizík, plán ošetrenia |
| Oprava SoA | Zenith Blueprint krok 24, Politika riadenia rizík | Sledovateľné SoA s rizikom, povinnosťou, vlastníkom, dôkazmi a stavom |
| Mapovanie naprieč rámcami | Zenith Controls | Zosúladenie uistenia podľa NIS2, DORA, GDPR, prístupu NIST a COBIT 2019 |
| Realizácia CAPA | Zenith Blueprint krok 29, auditné politiky | Koreňová príčina, nápravné opatrenie, vlastník, termín, kontrola účinnosti |
| Cvičný audit | Zenith Blueprint krok 30 | Balík pripravenosti na opätovný audit a balík uistenia pre zákazníka |
Nejde o vyrábanie papierov. Ide o obnovenie dôvery, že ISMS je riadený, založený na riziku, podložený dôkazmi a zlepšuje sa.
Záverečné odporúčanie: berte neúspešný prechod ako záťažový test
Zmeškaný termín prechodu na ISO 27001:2022 alebo neúspešný prechodový audit pôsobí ako kríza, ale je to aj diagnostická príležitosť. Ukazuje, či váš ISMS dokáže absorbovať zmenu, integrovať zákonné povinnosti, riadiť dodávateľov, preukázať fungovanie kontrol a poučiť sa zo zlyhania.
Organizácie, ktoré sa zotavia najrýchlejšie, robia dobre tri veci:
- Centralizujú dôkazy a zastavia chaos.
- Obnovia sledovateľnosť medzi rizikom, SoA, kontrolami, politikami a povinnosťami.
- Riešia auditné zistenia prostredníctvom disciplinovaného CAPA a preskúmania manažmentom.
Organizácie, ktoré zápasia, sa snažia problém vyriešiť úpravou dokumentov bez opravy vlastníctva, monitorovania, dôkazov alebo koreňovej príčiny.
Ak ste zmeškali termín alebo neuspeli v prechodovom audite, ďalším krokom nie je panika. Je ním štruktúrovaná obnova.
Clarysec vám môže pomôcť vykonať triáž prechodového auditu, prepracovať SoA, namapovať očakávania NIS2, DORA, GDPR, prístupu NIST a COBIT 2019 prostredníctvom Zenith Controls, realizovať nápravné opatrenia so Zenith Blueprint a zosúladiť dôkazy politík pomocou Politiky informačnej bezpečnosti, Politiky monitorovania auditov a súladu, Politiky riadenia rizík a Politiky právneho a regulačného súladu.
Problém s vaším certifikátom sa dá napraviť. Váš ISMS môže byť silnejší než pred auditom. Ak váš prechodový audit nie je vyriešený, začnite posúdenie obnovy teraz, skonsolidujte dôkazy a pripravte balík na opätovný audit, ktorý preukáže, že váš ISMS nie je iba zdokumentovaný, ale funguje.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
