ISO 27001:2022: dôkazy o školení pre NIS2 a DORA
Je utorok ráno vo februári 2026, 09:12. Finančný analytik v rýchlo rastúcej fintechovej spoločnosti dostane e-mail, ktorý zdanlivo prichádza od CFO a žiada urgentné preskúmanie súboru s platbou dodávateľovi. Príloha otvorí presvedčivú prihlasovaciu stránku Microsoft. Analytik zaváha, spomenie si na minulotýždňovú phishingovú simuláciu a modul o platobných podvodoch a namiesto zadania prihlasovacích údajov nahlási e-mail cez bezpečnostný portál.
Pre CISO je toto jedno rozhodnutie kontrolou, ktorá funguje v reálnej prevádzke.
Pre audítora však samotný príbeh nestačí.
O týždeň neskôr príde požiadavka na dôkazy: „Predložte dôkazy o komplexnom programe povedomia a školenia v oblasti informačnej bezpečnosti podľa rolí vrátane metrík účinnosti a záznamov preukazujúcich pokrytie všetkých pracovníkov vrátane manažmentu.“
Táto veta mení celú diskusiu. Tabuľkový prehľad, v ktorom je pri 97 percentách zamestnancov uvedené „Absolvované“, už nestačí. Audítor sa bude pýtať, kto analytika školil, kedy bolo školenie pridelené, či bolo povinné, či bolo prispôsobené jeho role, či financie dostali dodatočné školenie o platobných podvodoch, či boli zahrnutí noví zamestnanci a dodávatelia, či manažment program schválil, či sa školenie zmenilo po poslednej phishingovej kampani a či boli záznamy o absolvovaní riadne uchované.
V roku 2026 sú dôkazy o školení a zvyšovaní povedomia v oblasti informačnej bezpečnosti priesečníkom ISO/IEC 27001:2022, NIS2, DORA, GDPR a NIST CSF 2.0. Už nejde o každoročné HR cvičenie. Ide o správu a riadenie na úrovni riadiaceho orgánu, ošetrenie rizík, pripravenosť na incidenty, právnu zodpovednosť a auditné dôkazy.
Clarysec pristupuje k bezpečnostnému povedomiu ako k prevádzkovému systému dôkazov, nie ako k prezentácii. Zenith Blueprint: 30-krokový plán auditnej pripravenosti Zenith Blueprint, Zenith Controls: príručka krížového súladu Zenith Controls, Politika povedomia a školenia v oblasti informačnej bezpečnosti pre MSP Politika povedomia a školenia v oblasti informačnej bezpečnosti pre MSP a Politika povedomia a školenia v oblasti informačnej bezpečnosti Politika povedomia a školenia v oblasti informačnej bezpečnosti prepájajú školenie podľa rolí s ISMS, regulačnými povinnosťami, reakciou na incidenty, prístupom dodávateľov a preskúmaním manažmentom.
Prečo generické školenie bezpečnostného povedomia v roku 2026 zlyháva
Regulačný posun je zrejmý. NIS2 robí z kybernetickej bezpečnosti zodpovednosť manažmentu základných a dôležitých subjektov. Article 20 vyžaduje, aby riadiace orgány schvaľovali opatrenia riadenia kybernetických rizík, dohliadali na ich implementáciu a absolvovali školenie. Article 21 zahŕňa základnú kybernetickú hygienu a školenie v oblasti kybernetickej bezpečnosti ako súčasť požadovaného základného súboru opatrení riadenia rizík. Pre poskytovateľov cloudových služieb, poskytovateľov dátových centier, poskytovateľov riadených služieb, poskytovateľov riadených bezpečnostných služieb, poskytovateľov DNS, registre TLD, online trhoviská a vyhľadávače sa školenie stalo témou na úrovni riadiaceho orgánu.
DORA zvyšuje latku pre finančné subjekty a poskytovateľov IKT služieb pre finančný sektor. Uplatňuje sa od 17. januára 2025 a vyžaduje, aby finančné subjekty udržiavali interný rámec správy, riadenia a kontroly na riadenie rizík IKT. Riadiace orgány musia dohliadať na riziká IKT, rozpočty, audity, nastavenie vzťahov s tretími stranami, kontinuitu činností, plány reakcie a obnovy a digitálnu prevádzkovú odolnosť. DORA Articles 17 to 19 zároveň vyžadujú, aby sa incidenty súvisiace s IKT detegovali, klasifikovali, eskalovali, komunikovali a oznamovali. Práve školenie zabezpečuje, že tieto postupy sú vykonateľné pod tlakom.
ISO/IEC 27001:2022 poskytuje organizáciám kostru systému manažérstva. Kapitoly 4 až 10 pokrývajú kontext, zainteresované strany, vedenie, posúdenie rizík, ošetrenie rizík, kompetentnosť, povedomie, zdokumentované informácie, hodnotenie výkonnosti a zlepšovanie. Norma je škálovateľná naprieč sektormi a veľkosťami organizácií, preto ju Clarysec používa ako prevádzkový model pre integrované zosúladenie ISO, NIS2, DORA, GDPR a NIST ISO/IEC 27001:2022.
GDPR pridáva vrstvu preukázateľnej zodpovednosti. Organizácie musia preukázať, že osobné údaje sa spracúvajú zákonne, spravodlivo, bezpečne a s primeranými technickými a organizačnými opatreniami. Zamestnanci, ktorí nakladajú s osobnými údajmi, spravujú systémy, vyvíjajú softvér, podporujú zákazníkov alebo vyšetrujú incidenty, potrebujú školenie o ochrane súkromia a eskalácii porušenia ochrany osobných údajov.
NIST CSF 2.0 posilňuje rovnaký smer. Funkcia GOVERN prepája právne, regulačné, zmluvné požiadavky, požiadavky na ochranu súkromia a požiadavky zainteresovaných strán s rolami, zodpovednosťami, politikami, zdrojmi, dohľadom a podnikovým riadením rizík. Profily NIST CSF zároveň pomáhajú premietnuť povinnosti v oblasti školenia do plánov zlepšovania aktuálneho a cieľového stavu.
Výsledok je jednoduchý: školenie bezpečnostného povedomia pripravené na audit musí preukázať, že ľudia poznajú svoje zodpovednosti, že školenie je prispôsobené role a riziku a že dôkazy sú dostatočne úplné pre audítorov, regulátorov, zákazníkov aj manažment.
Auditný problém: „vyškolili sme všetkých“ nie je dôkaz
Mnohé organizácie nezlyhávajú v auditoch preto, že by školenie nerobili, ale preto, že nevedia preukázať, že školenie bolo navrhnuté, pridelené, absolvované, preskúmané a zlepšované.
Slabý balík dôkazov zvyčajne obsahuje jeden ročný PDF dokument, tabuľku absolvovania bez dátumov, žiadne dôkazy o onboardingu, žiadne pokrytie dodávateľov, žiadne školenie privilegovaných používateľov, žiadne školenie manažmentu, žiadne moduly podľa rolí pre vývojárov alebo financie, žiadnu väzbu na posúdenie rizík a žiadny dôkaz, že školenie bolo aktualizované po incidentoch alebo regulačnej zmene.
Audítori nechcú motivačný plagát. Chcú reťazec dôkazov.
Politika pre MSP od Clarysec túto požiadavku uvádza explicitne. Politika povedomia a školenia v oblasti informačnej bezpečnosti pre MSP, Ciele, bod 3.3, vyžaduje, aby organizácie:
„Zaviedli zdokumentované záznamy o absolvovaní na preukázanie súladu s právnymi, zmluvnými a auditnými požiadavkami.“
Tá istá politika pre MSP mení školenie na uchovávané zdokumentované informácie. Požiadavky na implementáciu politiky, bod 6.3.2, uvádzajú:
„Tieto záznamy musí uchovávať centrálny tabuľkový prehľad alebo informačný systém ľudských zdrojov najmenej tri roky.“
Pre podnikové prostredia stanovuje Politika povedomia a školenia v oblasti informačnej bezpečnosti, Účel, bod 1.2, štruktúrovanejšie očakávanie:
„Táto politika podporuje ISO/IEC 27001 Clause 7.3 a Annex A Control 6.3 tým, že vyžaduje štruktúrovaný, rizikovo orientovaný rámec povedomia a školení prispôsobený organizačným rolám a vyvíjajúcim sa hrozbám.“
Na tejto formulácii záleží: štruktúrované, rizikovo orientované, prispôsobené rolám a zohľadňujúce hrozby. Je to rozdiel medzi formálnym predstieraním povedomia a obhájiteľnou kompetentnosťou.
Začnite rolami, nie kurzmi
Najčastejšou chybou je nákup obsahu pred definovaním zodpovedností. V integrovanom programe súladu nie je správnou prvou otázkou „Akú školiacu platformu máme použiť?“ Správna otázka znie: „Ktoré roly vytvárajú, spravujú, schvaľujú, spracúvajú, zabezpečujú alebo obnovujú informačné aktíva?“
ISO/IEC 27001:2022 kapitola 5.3 vyžaduje priradenie a komunikovanie zodpovedností a právomocí pre roly v oblasti informačnej bezpečnosti. Kapitola 7.2 vyžaduje kompetentnosť osôb vykonávajúcich prácu pod kontrolou organizácie na základe vzdelania, školenia alebo skúseností. Kapitola 7.3 vyžaduje povedomie o Politike informačnej bezpečnosti, prínose k účinnosti ISMS a dôsledkoch nezhody.
V Zenith Blueprint, ISMS Foundation & Leadership, krok 5: komunikácia, povedomie a kompetentnosť, Clarysec premieta túto požiadavku do implementačného jazyka:
„Identifikujte požadované kompetencie: určte, aké znalosti a zručnosti sú potrebné pre jednotlivé roly vo vašom ISMS.“
Blueprint uvádza praktické príklady: pracovníci IT môžu potrebovať bezpečnú konfiguráciu serverov, vývojári potrebujú bezpečné programovanie, HR potrebuje bezpečné nakladanie s osobnými údajmi a bežní zamestnanci potrebujú povedomie o phishingu. Zároveň zdôrazňuje záznamy:
„Uchovávajte záznamy o kompetentnosti: kapitola 7.2 očakáva, že budete uchovávať zdokumentované informácie ako dôkaz kompetentnosti.“
To znamená, že školiaci program má začať maticou rola–riziko.
| Skupina rolí | Zameranie školenia | Dôkazy na uchovanie | Hodnota pre súlad |
|---|---|---|---|
| Všetci zamestnanci | Phishing, hygiena hesiel, MFA, prijateľné používanie, bezpečnosť zariadení, nahlasovanie incidentov | Správa o absolvovaní, skóre testu, potvrdenie oboznámenia sa s politikou, verzia obsahu | ISO/IEC 27001:2022 Clause 7.3, ISO/IEC 27002:2022 kontrola 6.3, NIS2 Article 21 |
| Vrcholový manažment a riadiaci orgán | Správa kybernetických rizík, povinnosti podľa NIS2 Article 20, dohľad podľa DORA, apetít na riziko, krízové rozhodnutia | Záznam o účasti, podklady pre riadiaci orgán, zápisnice, schválenie programu | NIS2 Article 20, DORA Article 5, dôkazy o vedení podľa ISO/IEC 27001:2022 |
| Vývojári | Bezpečné programovanie, OWASP Top 10, bezpečný SDLC, bezpečnosť API, riešenie zraniteľností, nástroje na správu tajomstiev | Absolvovanie modulu, výsledky praktických cvičení, kontrolný zoznam bezpečného kódovania, dôkazy o náprave | ISO/IEC 27002:2022 kontroly 8.25 a 8.28, očakávania DORA v oblasti rizík IKT |
| IT a správcovia systémov | Privilegovaný prístup, logovanie, riadenie zraniteľností, obnova zo záloh, riadenie zmien, hardening | Záznam o absolvovaní, väzba na revíziu prístupových práv, účasť na stolovom cvičení | ISO/IEC 27002:2022 kontroly 8.8 a 8.13, pripravenosť odolnosti podľa DORA |
| HR | Dôvernosť, onboarding a offboarding, disciplinárny proces, nakladanie s osobitnými kategóriami údajov | Záznam o školení HR, kontrolný zoznam nástupu, potvrdenie oboznámenia sa s politikou | Preukázateľná zodpovednosť podľa GDPR, personálne opatrenia podľa ISO/IEC 27002:2022 |
| Financie | Platobné podvody, vydávanie sa za dodávateľa, oddelenie povinností, eskalácia podozrivých požiadaviek | Absolvovanie cieleného modulu, výsledky phishingovej simulácie | Zníženie rizika podvodu, pripravenosť na incidenty podľa NIS2 a DORA |
| Zákaznícka podpora | Overenie identity, bezpečné spracovanie servisných požiadaviek, ochrana osobných údajov, eskalačné postupy | Absolvovanie rolového modulu, vzorka preskúmania servisných požiadaviek, potvrdenie oboznámenia sa s ochranou súkromia | Zodpovednosť sprostredkovateľa podľa GDPR, uistenie zákazníkov |
| Pracovníci reakcie na incidenty | Klasifikácia, eskalácia, uchovanie dôkazov, regulačné notifikačné lehoty, poučenia | Záznam o cvičení, správa zo scenára, priradenie rolí, sledovač opatrení | NIS2 Article 23, DORA Articles 17 to 19, kontroly incidentov podľa ISO/IEC 27002:2022 |
| Dodávatelia so systémovým prístupom | Prijateľné používanie, kanál na hlásenie, nakladanie s údajmi, podmienky prístupu | Potvrdenie dodávateľa, záznam z onboardingu, väzba na schválenie prístupu | Uistenie dodávateľov, správa prístupov, dodržiavanie zmluvných podmienok |
Táto matica nie je len harmonogram školení. Je to mapa súladu, ktorá ukazuje, prečo rôzne skupiny dostávajú rozdielne školenie.
Prepojte školenie s reťazcom kontrol
V Zenith Controls je ISO/IEC 27002:2022 kontrola 6.3, povedomie, vzdelávanie a školenie v oblasti informačnej bezpečnosti, kategorizovaná ako preventívna kontrola podporujúca dôvernosť, integritu a dostupnosť. Jej koncept kybernetickej bezpečnosti je Protect, jej prevádzkovou schopnosťou je bezpečnosť ľudských zdrojov a jej bezpečnostnými doménami sú Governance a Ecosystem.
Interpretácia krížového súladu v Zenith Controls je priama:
„Kontrola 6.3 rieši mandát NIS2 na bezpečnostné školenie a povedomie implementáciou štruktúrovaného programu povedomia pokrývajúceho kybernetickú hygienu, nové hrozby a zodpovednosti personálu.“
Rovnaké mapovanie prepája ISO/IEC 27002:2022 kontrolu 6.3 s očakávaniami GDPR pre zamestnancov nakladajúcich s osobnými údajmi, školením bezpečnosti IKT podľa rolí podľa DORA a NIST SP 800-53 Rev.5 AT-2, AT-3 a AT-4 pre základné školenie povedomia, školenie podľa rolí a záznamy o školeniach.
Kľúčové je, že kontrola 6.3 nestojí samostatne. Zenith Controls ju prepája s ISO/IEC 27002:2022 kontrolou 5.2, Roly a zodpovednosti v oblasti informačnej bezpečnosti, pretože roly určujú, kto potrebuje aké školenie. Prepája ju s kontrolou 6.8, Nahlasovanie udalostí informačnej bezpečnosti, pretože zamestnanci nemôžu nahlásiť to, čo nevedia rozpoznať. Prepája ju aj s kontrolou 5.36, Súlad s politikami, pravidlami a normami informačnej bezpečnosti, pretože súlad závisí od toho, či ľudia poznajú pravidlá.
Vzniká tak praktický reťazec kontrol:
- Definovať zodpovednosti.
- Prideliť základné školenie a školenie podľa rolí.
- Preukázať absolvovanie.
- Overiť porozumenie.
- Monitorovať súlad.
- Odstrániť medzery.
- Premietnuť poznatky do ošetrenia rizík a preskúmania manažmentom.
Pre NIS2 je to dôležité preto, že Article 21 vyžaduje analýzu rizík, politiky, riešenie incidentov, kontinuitu činností, bezpečnosť dodávateľského reťazca, bezpečné obstaranie a údržbu, posúdenie účinnosti kontrol, kybernetickú hygienu a školenie, kryptografiu, bezpečnosť HR, riadenie prístupu, správu aktív a MFA alebo bezpečnú autentifikáciu tam, kde je to vhodné.
Pre DORA je to dôležité preto, že správa a riadenie, riadenie incidentov, reakcia a obnova, riziká tretích strán a testovanie odolnosti fungujú len vtedy, keď ľudia vedia, čo majú urobiť ešte pred vznikom incidentu.
Vybudujte balík dôkazov pripravený na audit
Zrelý balík dôkazov obsahuje viac než záznamy o účasti. Ukazuje správu a riadenie, návrh, realizáciu, absolvovanie, účinnosť a zlepšovanie. Clarysec odporúča štruktúru šiestich priečinkov.
| Priečinok dôkazov | Čo obsahuje | Prečo je dôležitý |
|---|---|---|
| 01 Správa a riadenie | Schválená politika, ciele školenia, schválenie manažmentom, rozpočet, ročný plán | Preukazuje záväzok vedenia a dohľad |
| 02 Mapovanie rolí | Evidencia rolí, matica kompetencií, pravidlá priraďovania školení, rozsah dodávateľov | Preukazuje návrh založený na riziku a rolách |
| 03 Obsah školení | Prezentácie kurzov, moduly LMS, phishingové šablóny, bezpečnostné bulletiny, evidencia verzií | Ukazuje, čo sa ľudia skutočne učili |
| 04 Záznamy o absolvovaní | Exporty z LMS, záznamy HRIS, záznamy o účasti, výsledky testov, potvrdenia | Preukazuje účasť a uchovávané zdokumentované informácie |
| 05 Dôkazy o účinnosti | Metriky phishingových simulácií, výsledky rozhovorov, trendy nahlasovania incidentov, výstupy stolových cvičení | Ukazuje, či školenie zmenilo správanie |
| 06 Zlepšovanie | Nápravné opatrenia, aktualizované moduly, poučenia, vstupy do preskúmania manažmentom | Preukazuje neustále zlepšovanie |
Podniková politika Clarysec vyžaduje onboarding, ročné opakovacie školenie a moduly podľa rolí. Politika povedomia a školenia v oblasti informačnej bezpečnosti, Požiadavky na správu a riadenie, bod 5.1.1.2, uvádza:
„Zahrnúť onboarding, ročné opakovacie školenie a školiace moduly podľa rolí“
Tá istá politika priraďuje vlastníctvo dôkazov. Požiadavky na správu a riadenie, body 5.3.1 a 5.3.1.1, uvádzajú:
„CISO alebo delegovaná osoba musí udržiavať:“
„Záznamy o absolvovaní pre každého používateľa“
Pre MSP pridáva politika pre MSP praktickú periodicitu. Politika povedomia a školenia v oblasti informačnej bezpečnosti pre MSP, Požiadavky na implementáciu politiky, bod 6.1.1, uvádza:
„Materiály musia byť praktické, primerané role a každoročne aktualizované.“
Pokrýva aj školenie vyvolané zmenou. Bod 6.5.1 uvádza:
„Pri zmene pracovných rolí alebo zavedení systémov môže byť potrebné cielené školenie povedomia (napr. bezpečné zdieľanie súborov, nové požiadavky na ochranu údajov a minimalizáciu údajov).“
Tento bod je v roku 2026 obzvlášť dôležitý, pretože migrácia do cloudu, nástroje AI, nové platobné integrácie, noví sprostredkovatelia spracúvania údajov a zmeny regulačného oznamovania môžu meniť riziko rýchlejšie než ročný cyklus.
Týždňový záchranný plán pred auditom
Predstavte si poskytovateľa SaaS alebo fintechovú spoločnosť so 180 ľuďmi, ktorá sa pripravuje na dozorný audit ISO/IEC 27001:2022, zákaznícke preverovanie podľa DORA, preskúmanie preukázateľnej zodpovednosti podľa GDPR a otázky zákazníkov vyvolané NIS2. CISO má jeden týždeň na to, aby z generických záznamov o absolvovaní vytvoril obhájiteľný balík dôkazov.
Deň 1: Potvrďte rozsah a povinnosti
Použite ISO/IEC 27001:2022 kapitoly 4.1 až 4.4 na potvrdenie kontextu, zainteresovaných strán a rozsahu ISMS. Zachyťte zmluvné záväzky voči zákazníkom, povinnosti prevádzkovateľa alebo sprostredkovateľa podľa GDPR, očakávania NIS2 od kritických zákazníkov a požiadavky preverovania dodávateľov IKT súvisiace s DORA.
Následne premietnite tieto povinnosti do potrieb školenia. GDPR vyžaduje, aby personál nakladajúci s osobnými údajmi rozumel dôvernosti, minimalizácii, uchovávaniu a eskalácii porušenia ochrany osobných údajov. NIS2 vyžaduje kybernetickú hygienu, školenie zamestnancov a dohľad manažmentu. Zákazníci riadení DORA budú očakávať dôkazy, že tímy podporujúce kritické služby rozumejú eskalácii incidentov, odolnosti, riadeniu prístupu, zálohovaniu a obnove a koordinácii s tretími stranami.
Deň 2: Vytvorte maticu podľa rolí
Použite usmernenia v Zenith Blueprint a mapovania v Zenith Controls pre ISO/IEC 27002:2022 kontroly 5.2 a 6.3. Zahrňte zamestnancov, dodávateľov, privilegovaných používateľov, vývojárov, tímy podpory, HR, financie, vrcholový manažment a pracovníkov reakcie na incidenty.
Prepojte každú rolu so systémami a rizikami. Vývojári absolvujú bezpečné programovanie a riešenie zraniteľností. Tímy podpory absolvujú overenie identity a bezpečné spracovanie servisných požiadaviek. Financie absolvujú školenie o platobných podvodoch a overovaní zmien dodávateľov. Vrcholový manažment absolvuje školenie o správe a riadení, právnej zodpovednosti, apetíte na riziko a krízovom rozhodovaní.
Deň 3: Zosúlaďte politiku a priradenia
Prijmite alebo aktualizujte príslušnú politiku Clarysec. Použite politiku pre MSP ako ľahší prevádzkový model alebo podnikovú politiku pre silnejšiu správu a riadenie a vlastníctvo dôkazov. Potvrďte, že politika obsahuje onboarding, ročné opakovacie školenie, moduly podľa rolí, uchovávanie dôkazov, pokrytie dodávateľov a školenie vyvolané zmenou.
Zverejnite politiku, zozbierajte potvrdenia a prepojte školiace moduly s pracovnými skupinami v HRIS alebo LMS.
Deň 4: Realizujte cielené školenie
Neškoľte všetkých zo všetkého. Vyškoľte všetkých v základných kontrolách a následne priraďte moduly špecifické pre jednotlivé roly.
Základný modul má pokrývať phishing a sociálne inžinierstvo, hygienu hesiel a MFA, prijateľné používanie, bezpečné nakladanie s informáciami, kanály nahlasovania incidentov, hlásenie strateného zariadenia a základy ochrany údajov.
Moduly špecifické pre roly majú pokrývať bezpečný SDLC pre vývojárov, privilegovaný prístup a obnovu zo záloh pre IT, údaje zamestnancov pre HR, platobné podvody pre financie, klasifikáciu incidentov pre pracovníkov reakcie a správu a riadenie podľa NIS2 a DORA pre vrcholový manažment.
Deň 5: Exportujte a overte dôkazy
Vytvorte šesťpriečinkový balík dôkazov. Exportujte správy o absolvovaní, skóre testov, čísla verzií kurzov, potvrdenia oboznámenia sa s politikou a harmonogramy školení. Identifikujte neabsolvované školenia a otvorte nápravné opatrenia.
Následne overte porozumenie prostredníctvom rozhovorov. Pýtajte sa zamestnancov z rôznych oddelení:
- Aké bezpečnostné školenie ste absolvovali?
- Ako nahlásite podozrivý e-mail?
- Čo by ste urobili, keby ste stratili notebook?
- Kde nájdete Politiku informačnej bezpečnosti?
- S akými osobnými údajmi vo svojej role pracujete?
Zaznamenajte výsledky ako vzorku vnútorného auditu. Audítori často používajú rozhovory na overenie, či bolo povedomie osvojené, nielen doručené.
Deň 6: Prepojte školenie s reakciou na incidenty
Použite školenie nahlasovania incidentov ako most k ISO/IEC 27002:2022 kontrole 6.8, NIS2 Article 23 a DORA Articles 17 to 19.
NIS2 Article 23 vyžaduje stupňované oznamovanie významných incidentov vrátane včasného varovania do 24 hodín od zistenia, oznámenia do 72 hodín a záverečnej správy do jedného mesiaca. DORA vyžaduje, aby sa závažné incidenty súvisiace s IKT klasifikovali, eskalovali, komunikovali a oznamovali v požadovanom životnom cykle oznamovania.
Zamestnanci si nemusia pamätať právne lehoty, ale musia nahlasovať podozrivé incidenty dostatočne rýchlo na to, aby ich organizácia dokázala splniť.
V Zenith Blueprint, Controls in Action, krok 16: People Controls II, Clarysec uvádza:
„Účinný systém reakcie na incidenty nezačína nástrojmi, ale ľuďmi.“
To nie je mäkké odporúčanie. Je to prevádzková odolnosť.
Deň 7: Pripravte auditný príbeh
Záverečný auditný príbeh má byť krátky a podložený dôkazmi:
„Potreby školenia sme identifikovali na základe rolí ISMS, právnych a zmluvných povinností, výsledkov posúdenia rizík a systémového prístupu. Prostredníctvom LMS sme pridelili základné moduly a moduly podľa rolí. Uchovali sme záznamy o absolvovaní, skóre testov, verzie obsahu a potvrdenia. Účinnosť sme overili phishingovými simuláciami, rozhovormi a metrikami nahlasovania incidentov. Neabsolvovanie sa sleduje ako nápravné opatrenie. Manažment program preskúmava ročne a po významných zmenách.“
Ak je tento príbeh podložený dôkazmi, obstojí pri otázkach auditu ISO/IEC 27001:2022, dohľade nad správou a riadením podľa NIS2, zákazníckom preverovaní podľa DORA, preskúmaní preukázateľnej zodpovednosti podľa GDPR aj pri posúdení kontrol v štýle NIST.
Mapovanie krížového súladu pre školenie bezpečnostného povedomia
Bezpečnostné povedomie sa často nesprávne klasifikuje ako HR úloha. V praxi ide o kontrolu krížového súladu, ktorá sa dotýka správy a riadenia, riadenia rizík, ochrany súkromia, reakcie na incidenty, uistenia dodávateľov a odolnosti.
| Rámec alebo predpis | Relevantnosť školenia | Implementačný bod Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetentnosť, povedomie, vedenie, priradenie rolí, zdokumentované informácie, monitorovanie, vnútorný audit a zlepšovanie | Zenith Blueprint krok 5 a krok 15, ustanovenia politiky o onboardingu, ročných opakovacích školeniach, školení podľa rolí a dôkazoch |
| ISO/IEC 27002:2022 | Kontrola 6.3 povedomie, vzdelávanie a školenie, prepojená s 5.2 roly, 6.8 nahlasovanie udalostí a 5.36 monitorovanie súladu | Zenith Controls mapuje atribúty, súvisiace kontroly, auditné očakávania a zosúladenie naprieč rámcami |
| NIS2 | Školenie manažmentu, školenie zamestnancov v oblasti kybernetickej bezpečnosti, kybernetická hygiena, pripravenosť na incidenty a zodpovednosť za správu a riadenie | Modul pre riadiaci orgán, základný modul pre zamestnancov, modul nahlasovania incidentov, dôkaz o schválení manažmentom |
| DORA | Správa a riadenie IKT, dohľad manažmentu, učenie sa a zlepšovanie, eskalácia incidentov, testovanie odolnosti a očakávania voči tretím stranám | Školenie vrcholového manažmentu, moduly pre roly IKT, školenie pracovníkov reakcie na incidenty, balík dôkazov pre dodávateľské vzťahy |
| GDPR | Preukázateľná zodpovednosť, bezpečné spracúvanie, povedomie rolí v oblasti ochrany súkromia, rozpoznanie porušenia ochrany osobných údajov a nakladanie s osobnými údajmi | Školenie ochrany súkromia pre HR, podporu, predaj, vývojové tímy a incidentné tímy |
| NIST CSF 2.0 | Funkcia GOVERN, roly, politiky, zákonné povinnosti, dohľad, profily a plánovanie zlepšovania | Aktuálny a cieľový profil školení, register medzier a prioritizovaný akčný plán |
| NIST SP 800-53 Rev.5 | Školenie povedomia, školenie podľa rolí a záznamy o školeniach | Mapovanie na AT-2, AT-3 a AT-4 prostredníctvom Zenith Controls |
| Uistenie podľa COBIT 2019 | Ciele správy a riadenia, zodpovednosť za konanie, spôsobilosť, metriky výkonnosti a reporting manažmentu | KPI školení, vlastníctvo rolí, preskúmanie manažmentom a uzatváranie nápravných opatrení |
NIST CSF 2.0 je obzvlášť užitočný pre organizácie, ktoré potrebujú vysvetliť zrelosť zainteresovaným stranám mimo ISO. Jeho metóda organizačných profilov podporuje plánovanie aktuálneho a cieľového stavu. Napríklad Current Profile môže uvádzať, že základné povedomie existuje, ale školenie bezpečného programovania pre vývojárov je neúplné. Target Profile môže vyžadovať, aby všetci vývojári do Q3 absolvovali bezpečné programovanie, zverejňovanie zraniteľností a školenie správy tajomstiev.
Ako audítori a regulátori testujú dôkazy o školení
Rôzni preskúmavatelia kladú rôzne otázky, ale všetci testujú tú istú skutočnosť: vie organizácia, čo majú ľudia robiť, a vie preukázať, že sú pripravení to urobiť?
Audítor ISO/IEC 27001:2022 prepojí dôkazy o školení s kapitolami 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 a 10.2, ako aj s kontrolami Annex A. Očakávajte otázky o tom, ako boli určené požiadavky na kompetentnosť, ako zamestnanci poznajú Politiku informačnej bezpečnosti, ako sú školení noví zamestnanci a dodávatelia, ako sa rieši neabsolvovanie, ako školenie podľa rolí nadväzuje na posúdenie rizík a Vyhlásenie o aplikovateľnosti a ako sa hodnotí účinnosť.
Zenith Controls uvádza, že audítori používajúci ISO/IEC 19011:2018 budú preskúmavať osnovy, harmonogramy, materiály, záznamy o účasti, certifikáty o absolvovaní a kompetentnosť školiteľov. Zároveň uvádza, že audítori podľa ISO/IEC 27007:2020 môžu použiť rozhovory na zistenie, či zamestnanci vedia, ako nahlasovať incidenty, a či si pamätajú kľúčové posolstvá školenia.
Preskúmanie zamerané na NIS2 pôjde nad rámec miery absolvovania. Bude sa pýtať, či riadiaci orgán schválil opatrenia riadenia kybernetických rizík a dohliadal na ne, či manažment absolvoval školenie, či je školenie kybernetickej hygieny personálu pravidelné a či je nahlasovanie incidentov pochopené. Article 21 zároveň vyžaduje postupy na posúdenie účinnosti opatrení riadenia kybernetických rizík, preto sa phishingové metriky, trendy nahlasovania incidentov a auditné zistenia stávajú dôkazmi účinnosti kontrol.
Preskúmanie podľa DORA, najmä zo strany finančného zákazníka hodnotiaceho poskytovateľa IKT, sa zameria na prevádzkovú odolnosť. Očakávajte otázky o personáli podporujúcom kritické finančné služby, záznamoch o školení tímov spravujúcich platobné systémy, školení manažmentu o riziku IKT tretích strán, klasifikácii incidentov podľa DORA Article 18 a školení dodávateľov pre prístup do zákazníckeho prostredia.
Preskúmanie podľa GDPR sa zameria na preukázateľnú zodpovednosť. Organizácia musí ukázať, že personál nakladajúci s osobnými údajmi rozumie zákonnému spracúvaniu, dôvernosti, minimalizácii, uchovávaniu, bezpečnému nakladaniu a eskalácii porušenia ochrany osobných údajov. Pre poskytovateľov SaaS, fintechové spoločnosti a poskytovateľov riadených služieb sú dôkazy o školení súčasťou preukázania, že požiadavky ochrany súkromia sú zabudované do prevádzkového správania.
Metriky, ktoré preukazujú účinnosť kontroly
Absolvovanie je nevyhnutné, ale nestačí. Silnejší prehľad metrík v roku 2026 ukazuje, či školenie zlepšilo správanie.
| Metrika | Čo ukazuje | Auditná interpretácia |
|---|---|---|
| Absolvovanie podľa roly | Či priradené skupiny absolvovali požadované moduly | Základný súlad a pokrytie |
| Absolvovanie nových zamestnancov v cieľovej lehote | Či fungujú kontroly onboardingu | Zrelosť HR a správy prístupov |
| Absolvovanie školenia privilegovaných používateľov | Či sú používatelia s vysokým rizikom pripravení | Prioritizácia založená na riziku |
| Miera kliknutí a hlásení pri phishingovej simulácii | Či sa správanie zlepšuje | Účinnosť povedomia |
| Hlásenia incidentov od zamestnancov | Či ľudia rozpoznávajú a nahlasujú udalosti | Väzba na pripravenosť na incidenty |
| Čas od podozrivého e-mailu po nahlásenie | Či hlásenie podporuje regulačné lehoty | Pripravenosť na NIS2 a DORA |
| Opakované neabsolvovanie | Či funguje vynucovanie a eskalácia | Monitorovanie súladu |
| Aktualizácie školení po incidentoch alebo zmenách | Či poučenia vedú k zlepšovaniu | Neustále zlepšovanie |
Tieto metriky podporujú ISO/IEC 27001:2022 kapitolu 9.1 pre monitorovanie a meranie, kapitolu 9.2 pre vnútorný audit, kapitolu 10.1 pre neustále zlepšovanie a kapitolu 10.2 pre nezhodu a nápravné opatrenie. ISO/IEC 27002:2022 kontrola 5.36 posilňuje požiadavku, že súlad s politikami, pravidlami a normami sa musí monitorovať, hodnotiť a napravovať.
Bežné zistenia, ktoré Clarysec vidí v auditoch
Tie isté slabiny sa opakujú.
Organizácie školia zamestnancov, ale zabúdajú na vrcholový manažment. Pod NIS2 a DORA je školenie manažmentu súčasťou správy a riadenia, nie bonusom zrelosti.
Organizácie realizujú ročné školenie, ale ignorujú zmeny rolí. Inžinier podpory prechádzajúci do DevOps potrebuje školenie o privilegovanom prístupe, logovaní, zálohovaní a eskalácii incidentov.
Organizácie zahŕňajú zamestnancov, ale zabúdajú na dodávateľov. Zenith Blueprint krok 15 odporúča rozšíriť školenie na dodávateľov alebo tretie strany, ktoré majú prístup k systémom alebo údajom.
Organizácie učia nahlasovanie incidentov, ale vytvárajú strach. Ak personál verí, že bude potrestaný za kliknutie na phishingový odkaz, môže zostať ticho. Zenith Blueprint krok 16 zdôrazňuje jednoduché kanály nahlasovania, nahlasovanie podporené povedomím a kultúru bez obviňovania.
Organizácie nevedia preukázať verziovanie obsahu. Ak sa audítor opýta, čo zamestnanci absolvovali v marci, aktuálna prezentácia na SharePointe nestačí. Uchovajte verziu, ktorá bola doručená.
Organizácie neprepájajú školenie s ošetrením rizík. Ak sú ransomvér, platobné podvody, chybné konfigurácie cloudu alebo úniky údajov medzi hlavnými rizikami, plán školenia má ukázať cielené ošetrenie pre relevantné roly.
Kde zapadá Clarysec
Clarysec pomáha organizáciám vybudovať jeden obhájiteľný program namiesto piatich oddelených línií súladu.
Politika povedomia a školenia v oblasti informačnej bezpečnosti pre MSP poskytuje menším organizáciám praktický základ: očakávania podľa rolí, zdokumentované záznamy, ročné aktualizácie, školenie vyvolané zmenou a uchovávanie najmenej tri roky.
Podniková Politika povedomia a školenia v oblasti informačnej bezpečnosti poskytuje väčším organizáciám silnejšiu správu a riadenie: štruktúrované rizikovo orientované povedomie, onboarding, ročné opakovacie školenie, moduly podľa rolí, vlastníctvo záznamov zo strany CISO a pripravenosť na regulačné kontroly podľa GDPR, DORA a NIS2.
Zenith Blueprint hovorí implementačným tímom, čo majú robiť a v akom poradí. Krok 5 zabuduje kompetentnosť a povedomie do základov ISMS. Krok 15 operacionalizuje ISO/IEC 27002:2022 kontrolu 6.3 prostredníctvom ročného školenia, modulov špecifických pre roly, onboardingu, phishingových simulácií, dôkazov o účasti, cielených bulletinov, školenia dodávateľov a posilňovania správania. Krok 16 prepája povedomie s nahlasovaním incidentov zo strany personálu.
Zenith Controls poskytuje tímom súladu mapovanie. Prepája ISO/IEC 27002:2022 kontrolu 6.3 s rolami, nahlasovaním udalostí, monitorovaním súladu, rizikami ľudského faktora podľa ISO/IEC 27005:2024, očakávaniami GDPR v oblasti školenia, NIS2 Article 21, školením IKT podľa DORA, kontrolami povedomia podľa NIST a auditnými metodikami. Zároveň prepája kontrolu 5.2 so zodpovednosťami v oblasti správy a riadenia a kontrolu 5.36 s monitorovaním súladu a nápravnými opatreniami.
Tieto zdroje spolu umožňujú CISO vysvetliť nielen to, aké školenie prebehlo, ale aj prečo prebehlo, kto ho vyžadoval, aké riziko ošetrovalo, ako bolo preukázané a ako sa zlepšuje.
Pripravte dôkazy o bezpečnostnom školení na audit už teraz
Ak sú vaše aktuálne dôkazy tabuľkový prehľad, prezentácia a nádej, že si zamestnanci zapamätajú e-mail na hlásenie, teraz je čas zvýšiť zrelosť.
Začnite tento týždeň štyrmi krokmi:
- Vytvorte maticu školení podľa rolí prepojenú so zodpovednosťami ISMS, systémovým prístupom a regulačnými povinnosťami.
- Prijmite alebo aktualizujte svoju politiku povedomia Clarysec pomocou Politika povedomia a školenia v oblasti informačnej bezpečnosti pre MSP alebo Politika povedomia a školenia v oblasti informačnej bezpečnosti.
- Vybudujte šesťpriečinkový balík dôkazov pre správu a riadenie, mapovanie rolí, obsah, absolvovanie, účinnosť a zlepšovanie.
- Použite Zenith Blueprint a Zenith Controls na mapovanie dôkazov o školení na auditné očakávania ISO/IEC 27001:2022, NIS2, DORA, GDPR a NIST.
Bezpečnostné povedomie má hodnotu, keď mení správanie. Dôkazy súladu majú hodnotu, keď toto správanie konzistentne preukazujú.
Clarysec vám pomáha vybudovať oboje.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
