ISO 27001:2022: načrt okrevanja po neuspešni presoji

E-pošta, ki je ni želel prejeti nihče

E-poštno sporočilo prispe pozno v petek z zadevo, ki zveni nedolžno: »Izid prehodne presoje.«

Vsebina ni nedolžna. Certifikacijski organ je ugotovil večjo neskladnost. Certifikat ISO/IEC 27001 je suspendiran ali odločitve o prehodu ni mogoče zaključiti. Opomba presojevalca je neposredna: Izjava o uporabnosti ne utemeljuje izključenih kontrol, ocena tveganja ne odraža trenutnega konteksta, dokazila, da so bile upoštevane nove regulativne obveznosti, pa niso zadostna.

V eni uri zadeva ni več samo vprašanje skladnosti. Prodaja sprašuje, ali je javni razpis zdaj ogrožen. Pravna služba pregleduje pogodbena določila s strankami. Vodja informacijske varnosti pojasnjuje, zakaj SoA ni usklajena z načrtom obravnave tveganj. Generalni direktor zastavi edino vprašanje, ki šteje: »Kako hitro lahko to popravimo?«

Pri številnih organizacijah iztek roka za prehod na ISO 27001:2022 ni ustvaril teoretične vrzeli. Ustvaril je dejansko vprašanje neprekinjenega poslovanja. Zamujena ali neuspešna prehodna presoja ISO 27001:2022 lahko vpliva na upravičenost za razpise, uvajanje dobaviteljev, kibernetsko zavarovanje, zunanja zagotovila za stranke, pripravljenost na NIS2, pričakovanja DORA, odgovornost po GDPR in zaupanje organov vodenja.

Dobra novica je, da je okrevanje mogoče. Slaba novica je, da kozmetični popravki dokumentov ne bodo delovali. Okrevanje je treba obravnavati kot discipliniran program korektivnih ukrepov ISMS, ne kot hiter prepis politike.

Pri Clarysec to okrevanje organiziramo okoli treh povezanih sredstev:

1. Zenith Blueprint: 30-koračni načrt za presojevalca, zlasti faze Presoja, pregled in izboljševanje.
2. Knjižnica politik Clarysec za podjetja ter mala in srednja podjetja, ki ugotovitve presoje pretvori v upravljane obveznosti.
3. Zenith Controls: vodnik za navzkrižno skladnost, ki pomaga povezati pričakovanja kontrol ISO/IEC 27002:2022 z NIS2, DORA, GDPR, pristopom zagotavljanja zaupanja po NIST in vidiki upravljanja COBIT 2019.

To je praktičen načrt okrevanja za vodje informacijske varnosti, vodje skladnosti, presojevalce, ustanovitelje in lastnike podjetij, ki so zamudili rok za prehod na ISO 27001:2022 ali niso uspešno opravili prehodne presoje.

Najprej diagnosticirajte vrsto neuspeha

Pred urejanjem ene same politike razvrstite situacijo. Vsak neuspešen ali zamujen prehod nima enakega poslovnega vpliva ali enake poti okrevanja. V prvih 24 urah se osredotočite na pridobitev poročila o presoji, odločitve certifikacijskega organa, besedila neskladnosti, zahtev za dokazila, rokov in trenutnega statusa certifikata.

Načrt okrevanja je odvisen od vrste neuspeha. Blokirana odločitev o certifikaciji zahteva ciljno odpravo pomanjkljivosti. Suspendiran certifikat zahteva nujno ureditev upravljanja in dokazil. Odvzeti ali potekli certifikat lahko zahteva širšo pot ponovne certifikacije.

V vsakem primeru preslikajte vsako težavo na ustrezno klavzulo ISMS, kontrolo iz Priloge A, zapis tveganja, lastnika politike, zakonsko ali pogodbeno obveznost in vir dokazil.

Tu je ISO/IEC 27001:2022 pomemben kot sistem upravljanja, ne zgolj kot katalog kontrol. Klavzule 4 do 10 zahtevajo, da ISMS razume kontekst, zainteresirane strani, področje uporabe, vodenje, načrtovanje tveganj, podporo, delovanje, vrednotenje uspešnosti in nenehno izboljševanje. Če je prehod neuspešen, je običajno prekinjena ena od teh povezav v sistemu upravljanja.

Zakaj prehodne presoje ISO 27001:2022 niso uspešne

Neuspešne prehodne presoje se običajno združujejo okoli ponavljajočih se vzorcev. Veliko jih ni izrazito tehničnih. Gre za neuspehe upravljanja, sledljivosti, lastništva in dokazil.

Neuspešna presoja je signal, da se ISMS ni dovolj hitro prilagodil dejanskemu operativnemu okolju organizacije.

ISO/IEC 27005:2022 je pri okrevanju koristen, ker poudarja pomen vzpostavitve konteksta z uporabo zakonskih, regulativnih, sektorskih, pogodbenih, internih in obstoječih kontrolnih zahtev. Podpira tudi merila tveganja, ki upoštevajo zakonske obveznosti, dobavitelje, zasebnost, človeške dejavnike, poslovne cilje in apetit po tveganju, ki ga je odobrilo vodstvo.

V praksi se okrevanje po prehodu začne z osveženim kontekstom in merili tveganja, ne z novo številko različice na starem dokumentu.

1. korak: Zamrznite presojevalno sled in vzpostavite operativno središče za okrevanje

Prva operativna napaka po neuspešni presoji je kaos z dokazili. Ekipe začnejo iskati po nabiralnikih, skupnih diskih, sistemih za upravljanje zahtevkov, klepetih, osebnih mapah in starih paketih za presojo. Presojevalci to razumejo kot znak, da ISMS ni nadzorovan.

Clarysecova politika za MSP Politika spremljanja presoje in skladnosti - MSP je glede nadzora dokazil izrecna:

»Vsa dokazila morajo biti shranjena v centralizirani mapi dokazil za presojo.«

Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.2.1.

Ta centralizirana mapa dokazil za presojo postane kontrolna točka okrevanja. Vključevati mora:

• Poročilo in korespondenco certifikacijskega organa.
• Potrditev statusa certifikata.
• Register neskladnosti.
• Evidenco CAPA.
• Posodobljeno oceno tveganja.
• Posodobljen načrt obravnave tveganja.
• Posodobljeno Izjavo o uporabnosti.
• Poročilo notranje presoje.
• Zapisnik pregleda vodstva.
• Zapise o odobritvi politik.
• Dokazila za vsako uporabno kontrolo iz Priloge A.
• Paket zunanjih zagotovil za stranke, če so prizadete komercialne zaveze.

Za podjetniška okolja Clarysecova Politika spremljanja presoje in skladnosti določa enako pričakovanje upravljanja:

»Vse ugotovitve morajo povzročiti dokumentirano CAPA, ki vključuje:«

Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.2.1.

Besedilo uvaja strukturirano pričakovanje glede korektivnih ukrepov. Bistvo je preprosto: vsaka ugotovitev presoje mora postati upravljana postavka CAPA, ne neformalna naloga v zvezku posameznika.

Za MSP je enako pomembna vključenost vodstva:

»Generalni direktor mora odobriti načrt korektivnih ukrepov in spremljati njegovo izvedbo.«

Iz Politike spremljanja presoje in skladnosti - MSP, razdelek »Zahteve upravljanja«, klavzula politike 5.4.2.

To je pomembno, ker ISO 27001:2022 vodenja ne obravnava simbolično. Najvišje vodstvo mora določiti politiko, uskladiti cilje s poslovno strategijo, zagotoviti vire, komunicirati pomen informacijske varnosti, dodeliti odgovornosti in spodbujati nenehno izboljševanje.

Če se neuspešen prehod obravnava kot »težava osebe za skladnost«, bo naslednja presoja ponovno razkrila šibko odgovornost vodstva.

2. korak: Ponovno vzpostavite kontekst, obveznosti in tveganje

Neuspešna prehodna presoja pogosto pomeni, da kontekst ISMS ne odraža več realnosti organizacije. Podjetje se je morda preselilo na oblačne platforme, dodalo nove dobavitelje, vstopilo na regulirane trge, obdeluje več osebnih podatkov ali je postalo relevantno za stranke po NIS2 ali DORA. Če te spremembe manjkajo v ISMS, bosta ocena tveganja in SoA nepopolni.

Clarysecova Politika pravne in regulativne skladnosti določa izhodišče:

»Vse zakonske in regulativne obveznosti morajo biti preslikane na konkretne politike, kontrole in lastnike znotraj sistema upravljanja informacijske varnosti (ISMS).«

Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.2.1.

Ta klavzula je po neuspelem prehodu ključna. Klavzule ISO 27001:2022 4.1 do 4.3 zahtevajo, da organizacije upoštevajo notranja in zunanja vprašanja, zainteresirane strani, zahteve, vmesnike, odvisnosti in področje uporabe. Zakonske, regulativne in pogodbene obveznosti niso stranske opombe. Oblikujejo ISMS.

NIS2 Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe, vključno z analizo tveganja, politikami, obravnavanjem incidentov, varnostnim kopiranjem, obnovitvijo po nesreči, kriznim upravljanjem, varnostjo dobavne verige, varnim razvojem, obravnavo ranljivosti, ocenami učinkovitosti, kibernetsko higieno, usposabljanjem, kriptografijo, kadrovsko varnostjo, nadzorom dostopa, upravljanjem sredstev in varnimi komunikacijami. Article 20 postavlja odgovornost na raven organov vodenja. Article 23 določa fazno poročanje o pomembnih incidentih, vključno z zgodnjim opozorilom, obvestilom o incidentu, posodobitvami in končnim poročilom.

DORA se od 17. januarja 2025 neposredno uporablja za finančne subjekte in zajema upravljanje tveganj IKT, poročanje o večjih incidentih, testiranje odpornosti, tveganja tretjih oseb na področju IKT, pogodbene zahteve in nadzor nad kritičnimi tretjimi ponudniki storitev IKT. Za finančne subjekte v področju uporabe DORA postane osrednji gonilnik upravljanja IKT, nadzora dobaviteljev, testiranja, razvrščanja incidentov in odgovornosti vodstva.

GDPR dodaja odgovornost za osebne podatke. Article 5 zahteva zakonito, pošteno, pregledno, omejeno, točno, časovno omejeno in varno obdelavo z dokazljivo skladnostjo. Article 4 opredeljuje kršitev varnosti osebnih podatkov na način, ki neposredno vpliva na razvrščanje incidentov. Article 6 zahteva preslikavo pravnih podlag, Article 9 pa dodaja strožje zahteve za posebne vrste podatkov.

To ne pomeni ustvarjanja ločenih svetov skladnosti. Pomeni uporabo ISO 27001:2022 kot integriranega sistema upravljanja in preslikavo obveznosti v enotno arhitekturo tveganj in kontrol.

Clarysecova Politika upravljanja tveganj neposredno povezuje obravnavo tveganja z izbiro kontrol:

»Odločitve o kontrolah, ki izhajajo iz procesa obravnave tveganja, morajo biti odražene v SoA.«

Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.5.1.

Neuspešna presoja je tudi razlog za pregled samega procesa upravljanja tveganj. Clarysecova MSP Politika upravljanja tveganj - MSP opredeljuje ta sprožilec:

»Večji incident ali ugotovitev presoje razkrije vrzeli v upravljanju tveganj«

Iz razdelka »Zahteve za pregled in posodobitev«, klavzula politike 9.2.1.1.

V načinu okrevanja to pomeni, da je treba register tveganj, merila tveganja, načrt obravnave in SoA ponovno vzpostaviti skupaj.

3. korak: Popravite SoA kot hrbtenico sledljivosti

Pri večini neuspešnih prehodov je Izjava o uporabnosti prvi dokument za pregled. Je tudi eden prvih dokumentov, ki jih presojevalci vzorčijo. Šibka SoA presojevalcu sporoča, da izbira kontrol ni utemeljena na tveganjih.

Zenith Blueprint v fazi Presoja, pregled in izboljševanje, 24. korak, Presoja, pregled in izboljševanje, podaja praktično navodilo:

»Vaša SoA mora biti skladna z registrom tveganj in načrtom obravnave tveganja. Dvakrat preverite, da je vsaka kontrola, ki ste jo izbrali kot obravnavo tveganja, v SoA označena kot ‘uporabna’. Nasprotno pa morate imeti za vsako kontrolo, ki je v SoA označena kot ‘uporabna’, utemeljitev zanjo - običajno preslikano tveganje, zakonsko/regulativno zahtevo ali poslovno potrebo.«

Iz Zenith Blueprint: 30-koračni načrt za presojevalca, faza Presoja, pregled in izboljševanje, 24. korak.

To je načelo okrevanja. SoA ni formalnost. Je hrbtenica sledljivosti med tveganji, obveznostmi, kontrolami, dokazili implementacije in zaključki presoje.

Praktična vaja popravila SoA naj sledi temu zaporedju:

1. Izvozite trenutno SoA.
2. Dodajte stolpce za ID tveganja, regulativno obveznost, poslovno zahtevo, sklic na politiko, lokacijo dokazil, lastnika, status implementacije in datum zadnjega testiranja.
3. Za vsako uporabno kontrolo preslikajte vsaj eno zagovorljivo utemeljitev.
4. Za vsako izključeno kontrolo zapišite konkreten razlog za izključitev.
5. Uskladite SoA z načrtom obravnave tveganja.
6. Uskladite SoA z rezultati notranje presoje.
7. Zastavite težko vprašanje: če presojevalec vzorči to vrstico, ali jo lahko dokažemo v petih minutah?

Zagovorljiva vrstica SoA naj bo videti tako:

Ta vrstica pove zgodbo okrevanja. Kaže poslovni kontekst, logiko tveganja, regulativno relevantnost, lastništvo, implementacijo, testiranje in preostale ukrepe.

Za izključitve velja enaka disciplina. Če organizacija na primer ne izvaja lastnega razvoja programske opreme, je izključitev kontrole ISO/IEC 27002:2022 8.25 varen življenjski cikel razvoja in kontrole 8.28 varno kodiranje lahko zagovorljiva, vendar samo, če je to res, dokumentirano in podprto z dokazili, da je programska oprema komercialna standardna aplikacija ali v celoti zunanje izvajana z vzpostavljenimi kontrolami dobaviteljev.

4. korak: Izvedite analizo temeljnega vzroka, ne kozmetike dokumentov

Neuspešna prehodna presoja je redko posledica ene manjkajoče datoteke. Običajno je posledica prekinjenega procesa.

Zenith Blueprint, faza Presoja, pregled in izboljševanje, 27. korak, Ugotovitve presoje - analiza in temeljni vzrok, določa:

»Za vsako ugotovljeno neskladnost (večjo ali manjšo) razmislite, zakaj je nastala - to je ključno za učinkovito korekcijo.«

Iz Zenith Blueprint, faza Presoja, pregled in izboljševanje, 27. korak.

Če ugotovitev pravi »manjkajo utemeljitve SoA«, je korekcija lahko posodobitev SoA. Toda temeljni vzrok je lahko, da lastniki sredstev niso bili vključeni v oceno tveganja, da zakonske obveznosti niso bile preslikane ali da je ekipa za skladnost SoA vzdrževala izolirano.

Uporabna tabela okrevanja loči šibke korekcije od pravih korektivnih ukrepov:

Tu se vrača verodostojnost. Presojevalci ne pričakujejo popolnosti. Pričakujejo nadzorovan sistem, ki zaznava, popravlja, se uči in izboljšuje.

5. korak: Zgradite CAPA, ki ji presojevalec lahko zaupa

Korektivni in preventivni ukrepi so področje, kjer številne organizacije ponovno pridobijo nadzor. Register CAPA mora postati časovni načrt okrevanja in glavno dokazilo, da je bila neuspešna presoja obravnavana sistematično.

Zenith Blueprint, faza Presoja, pregled in izboljševanje, 29. korak, Nenehno izboljševanje, pojasnjuje strukturo:

»Poskrbite, da je vsak korektivni ukrep konkreten, dodeljiv in časovno omejen. V bistvu za vsako težavo ustvarjate mini projekt.«

Iz Zenith Blueprint, faza Presoja, pregled in izboljševanje, 29. korak.

Vaša evidenca CAPA mora vključevati:

• ID ugotovitve.
• Izvorno presojo.
• Sklic na klavzulo ali kontrolo.
• Resnost.
• Opis težave.
• Takojšnjo korekcijo.
• Temeljni vzrok.
• Korektivni ukrep.
• Preventivni ukrep, kjer je relevanten.
• Lastnika.
• Rok.
• Zahtevana dokazila.
• Status.
• Preverjanje učinkovitosti.
• Odobritev vodstva.

Clarysecova Politika spremljanja presoje in skladnosti - MSP prav tako opredeljuje večjo neskladnost kot sprožilec pregleda:

»Certifikacijska presoja ali nadzorna presoja povzroči večjo neskladnost«

Iz razdelka »Zahteve za pregled in posodobitev«, klavzula politike 9.2.2.

Če je prehodna presoja povzročila večjo neskladnost, preglejte tudi sam proces spremljanja presoje in skladnosti. Zakaj notranja presoja težave ni zaznala prva? Zakaj pregled vodstva tega ni eskaliral? Zakaj SoA ni razkrila vrzeli v dokazilih?

Tako neuspešna presoja postane močnejši ISMS.

6. korak: Uporabite Zenith Controls za povezavo dokazil ISO z navzkrižno skladnostjo

Ponovna presoja se ne zgodi v izolaciji. Stranke, regulatorji, zavarovalnice in notranje ekipe upravljanja lahko ista dokazila gledajo iz različnih zornih kotov. Tu je Zenith Controls dragocen kot vodnik za navzkrižno skladnost. Ekipam pomaga prenehati obravnavati ISO 27001, NIS2, DORA, GDPR, zagotavljanje zaupanja po NIST in upravljanje COBIT 2019 kot ločene kontrolne sezname.

Tri kontrole ISO/IEC 27002:2022 so posebej relevantne pri okrevanju po prehodu.

V Zenith Controls je kontrola ISO/IEC 27002:2022 5.31 neposredno povezana z zasebnostjo in osebnimi podatki:

»5.34 zajema skladnost z zakonodajo o varstvu podatkov (npr. GDPR), kar je ena kategorija zakonskih zahtev v okviru 5.31.«

Iz Zenith Controls, kontrola 5.31, povezave z drugimi kontrolami.

Za okrevanje to pomeni, da pravna evidenca ne sme stati zunaj ISMS. Usmerjati mora SoA, načrt obravnave tveganja, nabor politik, lastništvo kontrol in presojevalna dokazila.

Za kontrolo ISO/IEC 27002:2022 5.35 Zenith Controls poudarja, da neodvisni pregled pogosto poseže v operativna dokazila:

»Neodvisni pregledi po 5.35 pogosto ocenjujejo ustreznost dejavnosti beleženja in spremljanja.«

Iz Zenith Controls, kontrola 5.35, povezave z drugimi kontrolami.

To je praktično. Presojevalec lahko začne pri upravljanju in nato vzorči dnevnike, opozorila, zapise spremljanja, preglede pravic dostopa, zahtevke za incidente, teste varnostnih kopij, preglede dobaviteljev in odločitve vodstva.

Za kontrolo ISO/IEC 27002:2022 5.36 Zenith Controls pojasnjuje odnos z notranjim upravljanjem politik:

»Kontrola 5.36 deluje kot mehanizem uveljavljanja pravil, opredeljenih v 5.1.«

Iz Zenith Controls, kontrola 5.36, povezave z drugimi kontrolami.

Tu številni programi prehoda odpovejo. Politike obstajajo, vendar se njihovo upoštevanje ne spremlja. Postopki obstajajo, vendar izjeme niso zajete. Kontrole so deklarirane, vendar niso testirane.

7. korak: Pripravite se na različne presojevalske poglede

Močan paket za okrevanje mora prenesti več kot en presojevalski pogled. Presojevalci certifikacije ISO, nadzorniki DORA, pregledovalci NIS2, deležniki GDPR, ekipe za zunanja zagotovila strankam, ocenjevalci, usmerjeni v NIST, in pregledovalci upravljanja COBIT 2019 lahko o istih dokazilih zastavijo različna vprašanja.

Cilj ni podvajanje dokazil. Ena vrstica SoA za beleženje in spremljanje lahko podpira dokazila ISO, pričakovanja zaznavanja po NIST, obravnavanje incidentov po DORA, oceno učinkovitosti po NIS2 in zaznavanje kršitev po GDPR. Ena datoteka tveganj dobavitelja lahko podpira kontrole dobaviteljev ISO, tveganje tretjih oseb na področju IKT po DORA, varnost dobavne verige po NIS2 in odgovornost obdelovalcev po GDPR.

To je praktična vrednost navzkrižne skladnosti.

8. korak: Izvedite končni pregled dokumentacije in poskusno presojo

Pred vrnitvijo k certifikacijskemu organu izvedite strog notranji izziv. Zenith Blueprint, faza Presoja, pregled in izboljševanje, 30. korak, Priprava na certifikacijo - končni pregled in poskusna presoja, priporoča preverjanje klavzul ISO 27001:2022 4 do 10 eno za drugo in validacijo dokazil za vsako uporabno kontrolo iz Priloge A.

Svetuje:

»Preverite kontrole iz Priloge A: zagotovite, da imate za vsako kontrolo, ki ste jo v SoA označili kot ‘uporabno’, nekaj, kar lahko pokažete.«

Iz Zenith Blueprint, faza Presoja, pregled in izboljševanje, 30. korak.

Končni pregled mora biti neposreden:

• Ali je mogoče pojasniti vsako uporabno kontrolo?
• Ali je mogoče utemeljiti vsako izključeno kontrolo?
• Ali je mogoče pokazati sprejem preostalega tveganja?
• Ali je vodstvo pregledalo neuspeh prehoda, vire, cilje, rezultate presoje in korektivne ukrepe?
• Ali je notranja presoja testirala posodobljeno SoA in načrt obravnave tveganja?
• Ali so kontrole dobaviteljev, oblaka, neprekinjenega poslovanja, incidentov, zasebnosti, dostopa, ranljivosti, beleženja in spremljanja podprte z dokazili?
• Ali so politike odobrene, aktualne, komunicirane in upravljane z različicami?
• Ali so CAPA povezane s temeljnimi vzroki in preverjanji učinkovitosti?
• Ali je mogoče dokazila hitro najti v centralizirani mapi dokazil za presojo?

Clarysecova Politika informacijske varnosti zagotavlja osnovo upravljanja:

»Organizacija mora vzpostaviti in vzdrževati sistem upravljanja informacijske varnosti (ISMS) v skladu s klavzulami ISO/IEC 27001:2022 4 do 10.«

Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.1.1.

Za MSP mora pregled spremljati tudi zahteve certifikacije in regulativne spremembe. Clarysecova Politika informacijske varnosti - MSP določa:

»To politiko mora generalni direktor (GM) pregledati najmanj enkrat letno, da se zagotovi nadaljnja skladnost z zahtevami certifikacije ISO/IEC 27001, regulativnimi spremembami (kot so GDPR, NIS2 in DORA) ter razvijajočimi se poslovnimi potrebami.«

Iz razdelka »Zahteve za pregled in posodobitev«, klavzula politike 9.1.1.

Prav to so številni programi prehoda spregledali: ISO, regulativa in poslovne spremembe se premikajo skupaj.

Kaj povedati strankam med okrevanjem

Če neuspešen ali zamujen prehod vpliva na pogodbe s strankami, je molk nevaren. Ni vam treba razkriti vsake notranje presojevalne podrobnosti, vendar morate zagotoviti nadzorovano zagotovilo.

Komunikacijski paket za stranke mora vključevati:

• Trenutni status certifikacije, potrjen pri certifikacijskem organu.
• Status prehodne presoje in visokonivojski načrt odprave pomanjkljivosti.
• Potrditev, da je proces CAPA aktiven in odobren s strani vodstva.
• Ciljne datume za korektivne ukrepe in zaprtje presoje.
• Izjavo, da ISMS ostaja operativen.
• Kontaktno točko za varnostna zagotovila.
• Posodobljeno izjavo politike informacijske varnosti, če je ustrezno.
• Dokazila o kompenzacijskih kontrolah za katero koli visoko tvegano področje.

Izogibajte se nejasnim trditvam, kot je »v celoti smo skladni«, dokler presoja ni razrešena. Povejte, kar je res: ISMS deluje, korektivni ukrep je odobren, dokazila se konsolidirajo, pregled zaprtja ali ponovna presoja pa je načrtovana.

To je posebej pomembno, če se stranke na vas zanašajo kot na dobavitelja v sektorjih, relevantnih za NIS2, kot so digitalna infrastruktura, oblak, podatkovni centri, omrežja za dostavo vsebin, DNS, storitve zaupanja, javne elektronske komunikacije, upravljane storitve ali upravljane varnostne storitve. Če vaš status presoje vpliva na njihovo tveganje dobavne verige, potrebujejo verodostojno zagotovilo.

Praktičen 10-dnevni sprint okrevanja

Časovnice se razlikujejo glede na certifikacijski organ, resnost, obseg in zrelost dokazil. Zaporedje okrevanja pa je zanesljivo.

Odgovora ne oddajte, dokler ne pripoveduje skladne zgodbe. Presojevalec mora biti sposoben slediti verigi od ugotovitve do temeljnega vzroka, od temeljnega vzroka do korektivnega ukrepa, od korektivnega ukrepa do dokazil in od dokazil do pregleda vodstva.

Clarysecov potek dela za okrevanje

Ko Clarysec podpira zamujen ali neuspešen prehod ISO 27001:2022, delo organiziramo v osredotočen potek okrevanja.

Ne gre za proizvodnjo papirologije. Gre za obnovitev zaupanja, da je ISMS upravljan, utemeljen na tveganjih, podprt z dokazili in se izboljšuje.

Končni nasvet: neuspešen prehod obravnavajte kot obremenitveni test

Zamujen rok za prehod na ISO 27001:2022 ali neuspešna prehodna presoja deluje kot kriza, vendar je tudi diagnostična priložnost. Pokaže, ali lahko vaš ISMS absorbira spremembe, vključi zakonske obveznosti, upravlja dobavitelje, dokaže delovanje kontrol in se uči iz neuspeha.

Organizacije, ki okrevajo najhitreje, dobro naredijo tri stvari:

1. Centralizirajo dokazila in ustavijo kaos.
2. Ponovno vzpostavijo sledljivost med tveganjem, SoA, kontrolami, politikami in obveznostmi.
3. Ugotovitve presoje obravnavajo z disciplinirano CAPA in pregledom vodstva.

Organizacije, ki se težko poberejo, poskušajo problem rešiti z urejanjem dokumentov, ne da bi popravile lastništvo, spremljanje, dokazila ali temeljni vzrok.

Če ste zamudili rok ali niste uspešno opravili prehodne presoje, vaš naslednji korak ni panika. Je strukturirano okrevanje.

Clarysec vam lahko pomaga izvesti triažo prehodne presoje, ponovno vzpostaviti SoA, preslikati pričakovanja NIS2, DORA, GDPR, pristopa po NIST in COBIT 2019 prek Zenith Controls, izvesti korektivne ukrepe z Zenith Blueprint ter uskladiti dokazila politik z uporabo Politike informacijske varnosti, Politike spremljanja presoje in skladnosti, Politike upravljanja tveganj in Politike pravne in regulativne skladnosti.

Težavo s certifikatom je mogoče odpraviti. Vaš ISMS lahko postane močnejši, kot je bil pred presojo. Če vaša prehodna presoja še ni razrešena, začnite oceno okrevanja zdaj, konsolidirajte dokazila in pripravite paket za ponovno presojo, ki dokazuje, da vaš ISMS ni samo dokumentiran, temveč deluje.