ISO 27001 kot dokazilni okvir za NIS2 in DORA
Ponedeljkovo jutranje trčenje zahtev skladnosti
V ponedeljek ob 08:12 Maria, vodja informacijske varnosti pri evropskem ponudniku obdelave plačil, prejme tri sporočila, ki na prvi pogled niso povezana.
Vodja notranje revizije zahteva dokazila, da je Izjava o uporabnosti po ISO 27001:2022 posodobljena. Pravna služba posreduje vprašalnik bančnega partnerja o upravljanju IKT-tveganj tretjih oseb po DORA. Direktor operacij vpraša, ali lahko isti priročnik za odzivanje na incidente podpira zahteve obveščanja po NIS2 za novo pridobljeno poslovno enoto v EU.
Do 09:00 je bela tabla v Mariini pisarni polna kratic: ISO 27001, NIS2, DORA, GDPR, NIST, COBIT 2019. Njena organizacija ima kontrole. Ima upravljanje pravic dostopa, varnostne kopije, vprašalnike za dobavitelje, šifriranje, odziv na incidente, odobritve politik, vodstvene preglede in zapise o opravljenih usposabljanjih. Nima pa enotnega dokazilnega okvira, pripravljenega na revizijo, ki bi pojasnil, zakaj te kontrole obstajajo, katera tveganja obravnavajo, katere predpise podpirajo, kdo je njihov lastnik in kje so shranjena dokazila.
Ta težava postaja po Evropi vse pogostejša. NIS2 spodbuja upravljanje tveganj kibernetske varnosti, upravljanje, obravnavanje incidentov in odpornost dobavne verige. DORA dodaja podrobno upravljanje IKT-tveganj, testiranje odpornosti, poročanje o incidentih in upravljanje IKT-tveganj tretjih oseb za finančne subjekte. GDPR še naprej zahteva odgovornost, varnost obdelave, upravljanje obdelovalcev in oceno kršitev varnosti osebnih podatkov.
Napačen odziv je vzpostavitev treh vzporednih programov skladnosti. To ustvarja podvojene kontrole, neskladna dokazila in preobremenjene ekipe.
Boljši odziv je uporaba ISO 27001:2022 kot osrednjega okvira kontrol. Ne kot certifikat na steni, temveč kot operativni sistem za tveganja, politike, upravljanje dobaviteljev, odzivanje na incidente, preslikavo skladnosti in revizijska dokazila.
Praktični model Clarysec je preprost: uporabite ISMS po ISO 27001:2022 kot organizacijski sistem, Izjavo o uporabnosti kot povezovalni dokument, politike kot izvršljiva operativna pravila in Zenith Controls: vodnik za navzkrižno skladnost kot kompas za navzkrižno skladnost. Vzpostavite enkrat, natančno preslikajte in dokazujte stalno.
Zakaj ISO 27001:2022 deluje kot okvir skladnosti
NIS2 in DORA imata različen obseg, pravne mehanizme in nadzorne modele. NIS2 se uporablja za bistvene in pomembne subjekte v različnih sektorjih. DORA se uporablja za finančne subjekte in uvaja podrobne zahteve za digitalno operativno odpornost. GDPR se osredotoča na obdelavo osebnih podatkov in odgovornost.
Kljub temu se operativna vprašanja za temi okviri prekrivajo:
- Ali je kibernetska varnost urejena s politikami, ki jih je odobrilo vodstvo?
- Ali so tveganja informacijske varnosti in IKT prepoznana, ocenjena in obravnavana?
- Ali so kontrole izbrane na podlagi tveganja, poslovnega konteksta in zakonskih obveznosti?
- Ali se dobavitelji upravljajo s skrbnim pregledom, pogodbami, spremljanjem in kontrolami izstopa?
- Ali zna osebje zgodaj prepoznati in prijaviti varnostne dogodke?
- Ali je mogoče incidente začetno razvrstiti, eskalirati, preiskati in oceniti za regulativno obveščanje?
- Ali lahko organizacija med revizijo, pregledom stranke ali poizvedbo nadzornega organa hitro pridobi dokazila?
ISO 27001:2022 vodstvu zagotavlja sistem upravljanja za dosledno odgovarjanje na ta vprašanja. ISO/IEC 27007:2022 obravnava Izjavo o uporabnosti kot preverljiv seznam izbranih kontrol informacijske varnosti, vključno s kontrolami iz Priloge A ISO 27001:2022, drugih standardov ali organizaciji prilagojenih ukrepov, z dokumentirano utemeljitvijo za vključitev ali izključitev. ISO/IEC 27006-1:2024 dodatno potrjuje, da SoA in povezana dokumentacija ISMS tvorita ključno dokazilno podlago za prikaz, katere kontrole so potrebne, kako so odgovornosti dodeljene ter kako se politike izvajajo in komunicirajo.
Zato je SoA veliko več kot preglednica. Postane dogovor o kontrolah med upravljanjem tveganj, skladnostjo, operacijami, pravno službo, nabavo, revizijo in upravnim odborom.
Clarysecova [P01] Politika informacijske varnosti utrjuje to zahtevo upravljanja:
Organizacija mora vzpostaviti in vzdrževati sistem upravljanja informacijske varnosti (ISMS) v skladu s klavzulami 4 do 10 standarda ISO/IEC 27001:2022.
Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.1.1.
To je pomembno, ker zahteve po dokazilih za NIS2 in DORA redko pridejo v jeziku ISO. Regulator, stranka ali odbor upravnega odbora lahko zahteva dokazila o upravljanju tveganj kibernetske varnosti, upravljanju IKT, nadzoru odvisnosti od tretjih oseb, eskalaciji incidentov ali testiranju operativne odpornosti. ISMS po ISO 27001:2022 tem odgovorom daje strukturo.
SoA je povezovalni dokument, ne administrativna vaja
V Zenith Blueprint: revizorjev 30-koračni časovni načrt, v fazi Upravljanje tveganj, korak 13, Clarysec opredeljuje SoA kot ključni mehanizem sledljivosti med obravnavo tveganj in uvedenimi kontrolami:
SoA je dejansko povezovalni dokument: povezuje vašo oceno/obravnavo tveganj z dejanskimi kontrolami, ki jih imate.
Ta poved je jedro navzkrižne skladnosti. Kontrola brez sledljivosti postane nepovezan artefakt. Kontrola, povezana s tveganjem, zakonsko obveznostjo, politiko, lastnikom, zapisom dokazila in rezultatom testiranja, postane pripravljena na revizijo.
Korak 13 priporoča tudi dodajanje sklicev na kontrole k scenarijem tveganj, na primer povezavo scenarija kršitve podatkovne baze strank z nadzorom dostopa, kriptografijo, upravljanjem ranljivosti, odzivom na incidente in kontrolami dobaviteljev. Priporoča tudi navedbo, kdaj kontrole podpirajo zunanje zahteve, kot so GDPR, NIS2 ali DORA.
Clarysecova [P06] Politika upravljanja tveganj to operativno pravilo določa izrecno:
Odločitve o kontrolah, ki izhajajo iz procesa obravnave tveganj, morajo biti odražene v SoA.
Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.5.1.
Za manjše organizacije Politika upravljanja tveganj za MSP uporablja isto logiko:
Zagotavlja, da je upravljanje tveganj aktivna sestavina načrtovanja, izvedbe projektov, izbire dobaviteljev in odziva na incidente, v skladu z ISO 27001, ISO 31000 in veljavnimi regulativnimi zahtevami.
Iz razdelka »Namen«, klavzula politike 1.2.
Če obravnava tveganj tretjih oseb po DORA, ukrep obravnavanja incidentov po NIS2 ali varnostna zahteva za obdelovalca po GDPR ni odražena v SoA ali povezani evidenci skladnosti, organizacija delo morda še vedno izvaja. Vendar bo težko dokazala, da ga izvaja usklajeno.
Praktična navzkrižna tabela ISO 27001:2022 za NIS2 in DORA
Naslednja navzkrižna tabela ni pravni nasvet. Je praktičen dokazilni model za vodje informacijske varnosti, vodje skladnosti, notranje revizorje in lastnike poslovnih procesov, ki morajo dokazila ISO 27001:2022 uskladiti s pričakovanji NIS2 in DORA.
ENISA je v sodelovanju z Evropsko komisijo in skupino za sodelovanje NIS pripravila svetovalne smernice za navzkrižne sklice, ki pomagajo uskladiti zahteve EU za kibernetsko varnost z mednarodnimi in nacionalnimi standardi, vključno z ISO 27001. Te smernice niso pravno zavezujoče in jih je treba dopolniti z navodili nacionalnih organov, sektorskimi pravili in pravnim pregledom. Kljub temu podpirajo zagovorljiv pristop k preslikavi.
| Vprašanje skladnosti | Dokazila okvira ISO 27001:2022 | Pomen za NIS2 | Pomen za DORA | Dokazilni artefakt Clarysec |
|---|---|---|---|---|
| Ali je kibernetska varnost urejena s politikami, ki jih je odobrilo vodstvo? | Politika informacijske varnosti, obseg ISMS, vloge, zapisi vodstvenih pregledov, SoA | Pričakovanja glede upravljanja tveganj kibernetske varnosti in upravljanja | Upravljanje IKT in okvir upravljanja IKT-tveganj | Politika informacijske varnosti, SoA, paket za vodstveni pregled |
| Ali so tveganja ocenjena in obravnavana? | Register tveganj, načrt obravnavanja tveganj, utemeljitve SoA, odobritve preostalega tveganja | Ukrepi kibernetske varnosti na podlagi tveganj po Article 21 | Identifikacija, zaščita, preprečevanje, zaznavanje, odziv in obnovitev pri IKT-tveganjih | Register tveganj, načrt obravnavanja tveganj, SoA_Builder.xlsx |
| Ali so dobavitelji nadzorovani? | Politika dobaviteljev, evidence skrbnega pregleda, pogodbe, pravice do revizije, klavzule o obveščanju o kršitvah | Kibernetska varnost dobavne verige po Article 21(2)(d) | Upravljanje IKT-tveganj tretjih oseb po Articles 28 to 30 | Politika varnosti tretjih oseb in dobaviteljev, evidenca dobaviteljev |
| Ali se incidenti zaznajo, eskalirajo in prijavijo? | Načrt odzivanja na incidente, kanal za poročanje, zapisi začetne razvrstitve, namizne vaje, pridobljene izkušnje | Obravnava in poročanje o pomembnih incidentih po Article 23 | Upravljanje in poročanje o incidentih, povezanih z IKT, po Articles 17 to 19 | Politika odzivanja na incidente, zapisi o incidentih, poročilo o vaji |
| Ali so dokazila centralizirana in preverljiva? | Program notranje revizije, repozitorij dokazil, evidenca skladnosti, korektivni ukrepi | Pripravljenost dokazil za nadzor | Pripravljenost na regulativne in nadzorne preglede | Politika spremljanja presoje in skladnosti, centralizirana revizijska mapa |
Navzkrižna tabela deluje, ker ne ustvarja podvojenih kontrol za vsak predpis. ISO 27001:2022 uporablja kot osrednji okvir kontrol ter dodaja regulativne oznake, lastništvo in pričakovanja glede dokazil.
Tri kontrole ISO 27001:2022, ki omogočijo delovanje okvira
Za NIS2 in DORA je pomembnih več kontrol, vendar tri kontrole ISO/IEC 27002:2022 pogosto postanejo hrbtenica dokazilnega modela: 5.1, 5.19 in 5.24. Četrta kontrola, 6.8, pogosto določa, ali poročanje o incidentih deluje tudi v praksi.
| Kontrola ISO/IEC 27002:2022 | Zakaj je pomembna | Vrednost za navzkrižno skladnost |
|---|---|---|
| 5.1 Politike informacijske varnosti | Vzpostavlja varnostno usmeritev in odgovornost, ki ju odobri vodstvo | Podpira upravljanje po NIS2, upravljanje IKT po DORA, odgovornost po GDPR in dokazila o politikah po ISO 27001 |
| 5.19 Informacijska varnost v odnosih z dobavitelji | Določa varnostna pričakovanja do dobaviteljev v okviru uvedbe, spremljanja in upravljanja odnosov | Podpira kibernetsko varnost dobavne verige po NIS2, IKT-tveganja tretjih oseb po DORA in nadzor obdelovalcev po GDPR |
| 5.24 Načrtovanje in priprava upravljanja incidentov informacijske varnosti | Ustvarja okvir upravljanja incidentov, vloge, eskalacijske poti in dejavnosti pripravljenosti | Podpira obravnavo incidentov po NIS2, poročanje o incidentih, povezanih z IKT, po DORA in oceno kršitev po GDPR |
| 6.8 Poročanje o dogodkih informacijske varnosti | Zagotavlja, da lahko osebje hitro poroča o sumljivih dogodkih po jasnih kanalih | Podpira zgodnje zaznavanje, eskalacijo, oceno obveznosti obveščanja in kakovost dokazil o incidentih |
V Zenith Controls je kontrola ISO/IEC 27002:2022 5.1, Politike informacijske varnosti, opredeljena kot preventivna kontrola, ki podpira zaupnost, celovitost in razpoložljivost, pri čemer sta upravljanje in upravljanje politik ključni operativni zmožnosti. Navzkrižna preslikava pojasnjuje, da GDPR Articles 5(2), 24 in 32 zahtevajo odgovornost, dodelitev odgovornosti in varnost obdelave. Isto kontrolo preslika tudi na pričakovanja NIS2 glede upravljanja tveganj kibernetske varnosti in upravljanja ter na zahteve DORA glede upravljanja IKT in okvira upravljanja tveganj.
Zato politika informacijske varnosti ni zgolj še ena politika. Presojevalec za NIS2 jo lahko bere kot dokazilo upravljanja. Nadzornik za DORA jo lahko bere kot dokazilo okvira IKT-tveganj. Pregledovalec za GDPR jo lahko bere kot dokazilo odgovornosti. Presojevalec ISO 27001:2022 jo lahko bere kot del strukture politik ISMS.
Kontrola 5.19, Informacijska varnost v odnosih z dobavitelji, je točka, kjer se srečajo nabava, pravo, varnost, zasebnost in odpornost. Zenith Controls jo preslika na obveznosti obdelovalcev po GDPR, kibernetsko varnost dobavne verige po NIS2 in upravljanje IKT-tveganj tretjih oseb po DORA. Za DORA postanejo ta dokazila še močnejša, ko jih podpirajo kontrole 5.20, Obravnavanje informacijske varnosti v sporazumih z dobavitelji, 5.21, Upravljanje informacijske varnosti v dobavni verigi IKT, in 5.23, Informacijska varnost pri uporabi storitev v oblaku.
Kontrola 5.24, Načrtovanje in priprava upravljanja incidentov informacijske varnosti, je operativni mehanizem pripravljenosti na incidente. Zenith Controls jo preslika na obravnavo incidentov in obveščanje po NIS2, obveščanje o kršitvah varnosti osebnih podatkov po GDPR ter upravljanje in poročanje o incidentih, povezanih z IKT, po DORA. Njena dokazila niso samo politika odzivanja na incidente. Vključujejo kanale za poročanje, merila začetne razvrstitve, zapise eskalacij, pravne ocene obveznosti obveščanja, namizne vaje, zapise o incidentih in pridobljene izkušnje.
Kontrola 6.8, Poročanje o dogodkih informacijske varnosti, zapira vrzel med pisnim načrtom in ravnanjem ljudi. Če osebje ne ve, kako prijaviti sumljivo spletno ribarjenje, uhajanje podatkov, izpade dobaviteljev ali sumljivo sistemsko dejavnost, lahko organizacija izgubi kritičen čas, še preden se začnejo pravne ali regulativne presoje poročanja.
En incident pri dobavitelju, ena usklajena veriga dokazil
Predstavljajte si, da ponudnik analitike v oblaku, ki ga uporablja Mariin ponudnik obdelave plačil, zazna nepooblaščen dostop do portala za podporo. Ponudnik gosti psevdonimizirane podatke o uporabi strank in podpira poslovno kritični delovni tok poročanja. Incident lahko vpliva na osebne podatke, regulirano odpornost IKT in razpoložljivost storitve.
Razdrobljen program skladnosti odpre tri ločene delovne tokove: oceno kršitve po GDPR, pregled IKT-incidenta po DORA in dobaviteljsko prijavo po ISO 27001. Vsaka ekipa zahteva podobna dokazila v drugačni obliki. Nabava išče pogodbo. Pravna služba preverja, ali je ponudnik obdelovalec. Varnost preverja, ali incident dosega pragove za poročanje. Skladnost začne novo preglednico.
Zrel model ISO 27001:2022 odpre eno usklajeno verigo dokazil.
Najprej se dogodek zabeleži v okviru procesa odziva na incidente. Prijavitelj uporabi določen kanal, varnostna ekipa opravi začetno razvrstitev dogodka, pravna služba pa oceni obveznosti obveščanja. Clarysecova [P30] Politika odzivanja na incidente zahteva, da incidente z reguliranimi podatki ocenita pravna služba in DPO:
Če incident povzroči potrjeno ali verjetno izpostavitev osebnih podatkov ali drugih reguliranih podatkov, morata pravna služba in DPO oceniti uporabnost:
Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.4.1.
Za manjše organizacije Politika odzivanja na incidente za MSP določa isto praktično odločitveno točko:
Kadar so vključeni podatki strank, mora generalni direktor oceniti zakonske obveznosti obveščanja glede na uporabnost GDPR, NIS2 ali DORA.
Iz razdelka »Obravnava tveganja in izjeme«, klavzula politike 7.4.1.
Drugič, pregleda se odnos z dobaviteljem. Ali je bil ponudnik razvrščen kot kritičen? Ali je pogodba vključevala obveznosti obveščanja o kršitvah, pravice do revizije, odgovornosti varstva podatkov, pričakovanja glede neprekinjenega izvajanja storitev in določila o izstopu? Clarysecova Politika varnosti tretjih oseb in dobaviteljev določa to pričakovanje:
V vse pogodbe z dobavitelji vključite standardizirane varnostne zahteve, vključno z obveznostmi obveščanja o kršitvah, pravicami do revizije in odgovornostmi varstva podatkov.
Iz razdelka »Cilji«, klavzula politike 3.2.
Za MSP Politika varnosti tretjih oseb in dobaviteljev za MSP izrecno določa namen navzkrižne skladnosti:
Podpreti skladnost z obveznostmi ISO/IEC 27001:2022, GDPR, NIS2 in DORA, povezanimi z upravljanjem dobaviteljev.
Iz razdelka »Cilji«, klavzula politike 3.6.
Tretjič, register tveganj, načrt obravnavanja tveganj in SoA se posodobijo, če incident razkrije vrzel. Morda pogodba z dobaviteljem nima določenega regulativnega roka za obveščanje. Morda je pogostost spremljanja dobaviteljev prenizka za kritičnega ponudnika IKT. Morda načrt odzivanja na incidente ne razlikuje jasno med merili za kršitev varnosti osebnih podatkov in merili za motnjo IKT-storitve.
Cilj ni ustvariti novega sveta skladnosti. Cilj je posodobiti eno integrirano verigo dokazil, tako da lahko isti zapisi odgovorijo na več revizijskih vprašanj.
Pretvorba SoA v dokazilni zemljevid za NIS2 in DORA
Standardna SoA pogosto dobro odgovarja na vprašanja ISO: katere kontrole so uporabne, zakaj so izbrane in ali so uvedene. Da postane praktičen dokazilni zemljevid za NIS2 in DORA, jo obogatite z regulativnimi in operativnimi polji dokazil.
Odprite SoA_Builder.xlsx iz Audit Ready Toolkit, navedenega v Zenith Blueprint, faza Revizija, pregled in izboljšave, korak 24. Korak 24 pojasnjuje, da bodo presojevalci pogosto vzorčili kontrolo iz SoA in vprašali, zakaj je bila uvedena. Stolpec utemeljitve in povezano tveganje ali zahteva morata odgovoriti na to vprašanje.
Dodajte te stolpce:
| Nov stolpec SoA | Namen | Primer vnosa |
|---|---|---|
| Regulativna podlaga | Prikaže, ali kontrola podpira NIS2, DORA, GDPR, pogodbe s strankami ali odpornost | NIS2, DORA, GDPR |
| ID preslikanega tveganja | Poveže kontrolo z registrom tveganj | R-017 Izpad dobavitelja, ki vpliva na regulirano poročanje |
| Lastnik dokazil | Določa, kdo vzdržuje dokazila | Vodja varnostnih operacij |
| Primarno dokazilo | Določa artefakt, ki naj ga presojevalci najprej pregledajo | Načrt odzivanja na incidente in dnevnik zapisov o incidentih |
| Operativno dokazilo | Prikaže, da kontrola deluje skozi čas | Poročilo namizne vaje, test obveščanja dobavitelja o kršitvi |
| Status presoje | Spremlja pripravljenost | Testirano, odprta vrzel, korektivni ukrep zapade |
Zdaj to uporabite za osrednji nabor kontrol.
| Kontrola ISO/IEC 27002:2022 | Regulativna podlaga | Primarno dokazilo | Operativno dokazilo | Sklep presojevalca |
|---|---|---|---|---|
| 5.1 Politike informacijske varnosti | NIS2, DORA, GDPR | Odobrena politika informacijske varnosti, obseg ISMS, dodelitve vlog | Zapis pregleda politike, potrditev usposabljanja, zapisnik vodstvenega pregleda | Upravljanje obstaja, vodstvo je odobrilo usmeritev, odgovornost je dokumentirana |
| 5.19 Informacijska varnost v odnosih z dobavitelji | NIS2, DORA, GDPR | Politika dobaviteljev, evidenca dobaviteljev, razvrstitev dobaviteljev | Pregledi skrbnega pregleda, ocene kritičnosti, pregledi pogodb, dokazila o pravici do revizije | Tveganja tretjih oseb se upravljajo skozi uvedbo, sklepanje pogodb, spremljanje in izstop |
| 5.20 Obravnavanje informacijske varnosti v sporazumih z dobavitelji | NIS2, DORA, GDPR | Standardne pogodbene klavzule, varnostna priloga, pogoji obdelave podatkov | Vzorčenje pogodb, odobritve izjem od klavzul, zapisi pravnega pregleda | Varnostne zahteve so vključene v sporazume z dobavitelji |
| 5.23 Informacijska varnost pri uporabi storitev v oblaku | DORA, NIS2, GDPR | Standard varnosti v oblaku, ocena tveganja storitev v oblaku, odobritev arhitekture | Pregled ponudnika storitev v oblaku, pregled tveganja koncentracije, test incidenta v oblaku | Tveganje storitev v oblaku je prepoznano, upravljano, spremljano in testirano |
| 5.24 Načrtovanje in priprava upravljanja incidentov informacijske varnosti | NIS2, DORA, GDPR | Politika odzivanja na incidente, matrika eskalacije, odločitveno drevo za obveščanje | Zapisi o incidentih, poročila namiznih vaj, pridobljene izkušnje, ocene obveznosti obveščanja | Incidenti se lahko zaznajo, začetno razvrstijo, eskalirajo in ocenijo za regulativno poročanje |
| 6.8 Poročanje o dogodkih informacijske varnosti | NIS2, DORA, GDPR | Kanal za poročanje, gradivo ozaveščanja, postopek poročanja o dogodkih | Poročila o spletnem ribarjenju, dnevniki telefonske številke za nujne primere, zapisi simulacij, intervjuji z zaposlenimi | Osebje ve, kako hitro prijaviti sumljive varnostne dogodke |
Nato izvedite vzorčno sled. Izberite en incident pri dobavitelju iz zadnjega leta in mu sledite od zapisa o incidentu do pogodbe z dobaviteljem, od razvrstitve dobavitelja do registra tveganj, od obravnave tveganja do SoA in od SoA do vodstvenega pregleda.
Če se veriga prekine, to ni neuspeh. To je natančen korektivni ukrep, preden vrzel odkrije presojevalec, stranka, regulator ali odbor upravnega odbora.
Centralizirana dokazila so spregledani pospeševalnik
Veliko organizacij ima ustrezne kontrole, vendar šibko pridobivanje dokazil. Dokazila so razpršena po e-pošti, sistemih za upravljanje zahtevkov, mapah SharePoint, repozitorijih pogodb, kadrovskih platformah, orodjih GRC in portalih dobaviteljev. V času revizij ekipa za skladnost porabi tedne za zbiranje posnetkov zaslona.
To ni pripravljenost na revizijo. To je reševanje revizije.
Clarysecova [P33S] Politika spremljanja presoje in skladnosti za MSP določa:
Vsa dokazila morajo biti shranjena v centralizirani revizijski mapi.
Iz razdelka »Zahteve za izvajanje politike«, klavzula politike 6.2.1.
Centralizirana revizijska mapa ne pomeni nenadzorovanega odlagališča. Pomeni strukturiran repozitorij, usklajen z ISMS, SoA, registrom tveganj, načrtom presoj in evidenco skladnosti.
| Mapa | Vsebina | Uporaba za navzkrižno skladnost |
|---|---|---|
| 01 Upravljanje | Obseg ISMS, politika informacijske varnosti, dodelitve vlog, zapisniki vodstvenih pregledov | Upravljanje po NIS2, upravljanje IKT po DORA, odgovornost po GDPR |
| 02 Tveganja in SoA | Register tveganj, načrt obravnavanja tveganj, SoA, odobritve preostalega tveganja | Upravljanje tveganj po NIS2, upravljanje IKT-tveganj po DORA |
| 03 Dobavitelji | Evidenca dobaviteljev, skrbni pregled, pogodbe, ocene kritičnosti, zapisi pregledov | Dobavna veriga po NIS2, IKT-tveganja tretjih oseb po DORA, obdelovalci po GDPR |
| 04 Incidenti | Zapisi o incidentih, ocene kršitev, odločitve o obveščanju, namizne vaje | Poročanje po NIS2, upravljanje incidentov po DORA, obveščanje o kršitvah po GDPR |
| 05 Revizija in izboljšave | Poročila notranje revizije, korektivni ukrepi, vzorčenje dokazil, spremljanje vodstva | Pripravljenost na revizijo ISO 27001:2022, pripravljenost na nadzor |
Clarysecova Politika pravne in regulativne skladnosti za MSP neposredno obravnava problem preslikave:
Kadar se predpis uporablja na več področjih (npr. GDPR se uporablja za hrambo, varnost in zasebnost), mora biti to jasno mapirano v evidenci skladnosti in gradivih za usposabljanje.
Iz razdelka »Zahteve upravljanja«, klavzula politike 5.2.2.
Tako ISO 27001:2022 postane okvir kontrol za NIS2 in DORA. Ne zanašate se na ustno znanje. Predpise preslikate čez procese, politike, kontrole, dokazila in usposabljanje.
Poročanje o incidentih se začne pri ljudeh, ne portalih
Pogosta revizijska slabost se pokaže, ko je načrt odzivanja na incidente videti dober, zaposleni pa ne vedo, kdaj ali kako poročati. To je nevarno za NIS2, DORA in GDPR, ker so roki za regulativno presojo odvisni od zaznave, eskalacije in razvrstitve.
V Zenith Blueprint, faza Kontrole v praksi, korak 16, Clarysec poudarja poročanje o incidentih, ki ga sproži osebje, po kontroli ISO/IEC 27002:2022 6.8. Smernice določajo, da se odziv na incidente začne pri ljudeh. Organizacije morajo vzpostaviti jasen, preprost in dostopen kanal za poročanje, kot so nadzorovan e-poštni naslov, interni portal, telefonska številka za nujne primere ali kategorija v sistemu za upravljanje zahtevkov. Priporočajo tudi usposabljanje za ozaveščanje, kulturo poročanja brez pripisovanja krivde, zaupnost, poročanje pri nizkem pragu suma in periodične simulacije.
Vpliv na navzkrižno skladnost je neposreden. Zenith Blueprint to zmožnost poročanja s strani osebja povezuje z GDPR Article 33, NIS2 Article 23 in DORA Article 17. Če zaposleni oklevajo pri prijavi sumljive dejavnosti, lahko organizacija izgubi kritičen čas, preden pravne, varnostne ali regulativne ekipe ocenijo obveznosti obveščanja.
Praktičen test kontrole je preprost:
- Vprašajte pet zaposlenih, kako prijaviti sumljivo e-pošto z namenom spletnega ribarjenja.
- Preverite, ali se kanal za poročanje spremlja.
- Potrdite, ali ima sistem za upravljanje zahtevkov kategorijo varnostnega incidenta.
- Preglejte zadnjo simulacijo ali namizno vajo.
- Preverite, ali so bile pridobljene izkušnje obravnavane v vodstvenem pregledu.
Če je kateri koli odgovor nejasen, posodobite navodila za incidente, gradivo za usposabljanje, kanal za poročanje in sklic na dokazila v SoA.
Kako različni presojevalci preverjajo isti okvir
Dokazila za navzkrižno skladnost morajo zdržati različne revizijske poglede. Ista kontrola se lahko testira različno glede na mandat pregledovalca.
| Pogled presojevalca | Verjetno vprašanje | Pričakovana dokazila | Pogosta pomanjkljivost |
|---|---|---|---|
| Presojevalec ISO 27001:2022 | Zakaj je ta kontrola uporabna in ali deluje, kot je opisano? | Utemeljitev SoA, povezava z obravnavo tveganja, politika, operativni zapisi, rezultati notranje revizije | Kontrola obstaja, vendar je utemeljitev SoA nejasna ali zastarela |
| Presojevalec, usmerjen v NIS2 | Ali lahko dokažete ukrepe kibernetske varnosti na podlagi tveganj in koordinacijo incidentov? | Register tveganj, politika upravljanja, načrt incidentov, delovni tok poročanja, dokazila o tveganjih dobaviteljev | Preslikava NIS2 obstaja v predstavitvi, ne pa v operativnih dokazilih |
| Nadzornik, usmerjen v DORA | Ali lahko dokažete upravljanje IKT-tveganj, razvrščanje incidentov, testiranje in nadzor tretjih oseb? | Register IKT-tveganj, kritičnost dobaviteljev, razvrstitev incidentov, testi odpornosti, pogodbene klavzule | Evidence dobaviteljev ne razlikujejo kritičnih ponudnikov IKT od običajnih dobaviteljev |
| Pregledovalec, usmerjen v GDPR | Ali lahko dokažete odgovornost, varnost obdelave, kontrole obdelovalcev in oceno kršitev? | Preslikava varstva podatkov, klavzule obdelovalcev, zapisi ocen kršitev, dokazila o dostopu in šifriranju | Varnostne kontrole so uvedene, vendar niso povezane s tveganji za osebne podatke |
| Revizor, usmerjen v NIST | Ali lahko prikažete upravljanje, identifikacijo tveganj, zaščito, zaznavanje, odziv in obnovitev? | Upravljanje politik, zapisi sredstev in tveganj, dnevniki zaznavanja, dokazila incidentov in obnovitve | Tehnična dokazila obstajajo, vendar je lastništvo upravljanja šibko |
| Revizor v slogu COBIT 2019 ali ISACA | Ali so opredeljeni cilji upravljanja, odgovornosti, spremljanje uspešnosti in dejavnosti zagotavljanja? | RACI, lastništvo kontrol, poročanje vodstvu, načrt presoj, metrike, korektivni ukrepi | Kontrole so tehnične, vendar niso upravljane prek merljive odgovornosti |
Tu Zenith Controls prinaša vrednost, ki presega preprosto tabelo preslikave. Pomaga prevesti kontrole ISO/IEC 27002:2022 v revizijsko relevantne poglede, vključno z atributi kontrol, regulativnimi povezavami in pričakovanji glede dokazil. Pri kontroli 5.1 atributi podpirajo upravljanje, upravljanje politik, odgovornost in varnostne cilje. Pri kontroli 5.24 atributi podpirajo koncepte odziva in obnovitve, pripravljenost na incidente ter korektivne ukrepe. Pri kontroli 5.19 atributi odnosov z dobavitelji povezujejo upravljanje, tveganje ekosistema, zaščito in nadzor tretjih oseb.
Kaj mora videti upravni odbor
Upravni odbor ne potrebuje vsake postavke SoA. Potrebuje pa zgodbo, ki jo SoA pripoveduje.
Močan paket za upravni odbor glede uskladitve ISO 27001:2022, NIS2 in DORA mora vključevati:
- obseg ISMS in vključene poslovne storitve;
- najpomembnejša tveganja informacijske varnosti in IKT;
- povzetek uporabnih kontrol po področjih;
- status preslikave NIS2, DORA in GDPR;
- kritične dobavitelje in tveganja koncentracije;
- metrike poročanja o incidentih in rezultate namiznih vaj;
- odprte korektivne ukrepe in zapadle obravnave tveganj;
- odločitve, potrebne glede sprejema tveganja, proračuna, lastništva in virov.
To skladnost pretvori v dokazilo upravljanja. Usklajeno je tudi z namenom kontrole 5.1 v Zenith Controls, kjer politike informacijske varnosti podpirajo usmeritev na ravni izvršnega vodstva, odgovornost in varnostne cilje.
Pogoste napake, ki se jim je treba izogniti
Prva napaka je predpostavka, da certifikacija ISO 27001:2022 samodejno dokazuje skladnost z NIS2 ali DORA. Ne dokazuje. ISO 27001:2022 zagotavlja močan sistem upravljanja in okvir kontrol, vendar še vedno potrebujete regulativno določitev obsega, pravno analizo, sektorsko specifično razlago, delovne tokove obveščanja in poznavanje pričakovanj nacionalnih organov.
Druga napaka je obravnavanje SoA kot statičnega dokumenta. SoA se mora razvijati, ko se pojavijo novi dobavitelji, sistemi, incidenti, predpisi, storitve ali tveganja. Zenith Blueprint, korak 24, priporoča navzkrižno preverjanje SoA z registrom tveganj in načrtom obravnavanja tveganj ter zagotavljanje, da ima vsaka izbrana kontrola utemeljitev na podlagi preslikanega tveganja, pravne zahteve ali poslovne potrebe.
Tretja napaka je preslikava na previsoki ravni. Prosojnica z navedbo »ISO 27001 se preslika na DORA« ni revizijsko dokazilo. Konkretna postavka SoA, ki povezuje varnost odnosov z dobavitelji s tveganjem kritičnega dobavitelja IKT, pogodbeno klavzulo, zapisom pregleda dobavitelja in pričakovanjem DORA glede nadzora tretjih oseb, je veliko močnejša.
Četrta napaka je necentralizirano upravljanje dokazil. Če vodja skladnosti pred vsako revizijo dva tedna zbira posnetke zaslona, ima organizacija težavo s pridobivanjem dokazil.
Peta napaka je zanemarjanje kontrol, povezanih z ljudmi. Poročanje o incidentih, uvedba dobaviteljev, pregledi pravic dostopa, potrditev seznanitve s politiko in eskalacija so odvisni od vedenja ljudi. Dodelan proces, ki ga nihče ne upošteva, se bo pod revizijskim vzorčenjem sesul.
Operativni model Clarysec za navzkrižno skladnost
Metoda Clarysec poveže zgodbo skladnosti od strategije do dokazil:
- V Zenith Blueprint, faza Upravljanje tveganj, korak 13, preslikate kontrole na tveganja in zgradite SoA kot povezovalni dokument.
- V Zenith Blueprint, faza Upravljanje tveganj, korak 14, navzkrižno sklicujete zahteve GDPR, NIS2 in DORA na politike in kontrole.
- V Zenith Blueprint, faza Kontrole v praksi, korak 16, operativno uredite poročanje o incidentih, ki ga sprožijo ljudje, da se eskalacija začne zgodaj.
- V Zenith Blueprint, faza Revizija, pregled in izboljšave, korak 24, dokončate in testirate SoA, jo navzkrižno preverite z načrtom obravnavanja tveganj in pripravite kot enega prvih dokumentov, ki jih bo zahteval presojevalec.
To metodo podpirajo politike Clarysec, ki načela pretvorijo v operativna pravila: upravljanje informacijske varnosti, obravnava tveganja, varnost dobaviteljev, odziv na incidente, pravno in regulativno preslikovanje ter hramba dokazil.
Rezultat ni samo pripravljenost na ISO 27001:2022. Je ponovno uporaben dokazilni sistem skladnosti za NIS2, DORA, GDPR, zagotavljanje zaupanja naročnikov, notranjo revizijo in nadzor upravnega odbora.
Naslednji koraki: vzpostavite enkrat, dokažite večkrat
Če se vaša organizacija sooča z NIS2, DORA, GDPR, revizijami strank ali pritiskom certifikacije ISO 27001:2022, začnite z okvirom.
- Preglejte svojo SoA in dodajte stolpce z regulativnimi podlagami za NIS2, DORA in GDPR.
- Navzkrižno preverite SoA z registrom tveganj in načrtom obravnavanja tveganj.
- Kritične dobavitelje preslikajte na kontrole varnosti dobaviteljev, pogodbene klavzule in dokazila spremljanja.
- Testirajte delovni tok poročanja o incidentih z namizno vajo.
- Centralizirajte revizijska dokazila po kontroli, predpisu, lastniku in statusu testiranja.
- Uporabite Zenith Controls za prevod kontrol ISO/IEC 27002:2022 v dokazila za navzkrižno skladnost.
- Uporabite Zenith Blueprint za prehod od obravnave tveganja do validacije SoA, pripravljene na revizijo.
- Uvedite nabor politik Clarysec, vključno s Politiko informacijske varnosti, Politiko upravljanja tveganj, Politiko varnosti tretjih oseb in dobaviteljev in Politiko odzivanja na incidente, da pospešite implementacijo.
Najhitrejša pot niso dodatni nepovezani kontrolni seznami. To je en integriran ISMS, ena sledljiva SoA, en centraliziran dokazilni model in en operativni ritem navzkrižne skladnosti.
Clarysec vam lahko pomaga pretvoriti ISO 27001:2022 iz certifikacijskega projekta v praktičen okvir kontrol za NIS2 in DORA. Prenesite Zenith Blueprint, raziščite Zenith Controls ali rezervirajte presojo Clarysec, da vzpostavite dokazilni model, pripravljen na revizijo, preden naslednji regulator, stranka ali odbor upravnega odbora zahteva dokazila.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
