Dokazila o usposabljanju po ISO 27001:2022 za NIS2 in DORA
Ob torkovem jutru februarja 2026 je ura 09:12. Finančni analitik v hitro rastočem fintech podjetju prejme e-poštno sporočilo, ki je videti, kot da prihaja od finančnega direktorja, in zahteva nujen pregled datoteke za plačilo dobavitelju. Priponka odpre prepričljivo Microsoftovo prijavno stran. Analitik okleva, se spomni simulacije spletnega ribarjenja in modula o plačilnih prevarah iz prejšnjega meseca ter sporočilo namesto vnosa poverilnic prijavi prek varnostnega portala.
Za CISO je ta posamezna odločitev kontrola, ki deluje v praksi.
Za presojevalca zgodba ni dovolj.
Zahteva za dokazila prispe teden dni pozneje: »Predložite dokazila o celovitem programu ozaveščanja in usposabljanja za informacijsko varnost, prilagojenem vlogam, vključno s kazalniki učinkovitosti in evidencami, ki dokazujejo pokritost vsega osebja, vključno z vodstvom.«
Ta stavek spremeni razpravo. Preglednica, ki pri 97 odstotkih zaposlenih prikazuje »Opravljeno«, ne zadošča več. Presojevalec bo vprašal, kdo je usposobil analitika, kdaj je bilo usposabljanje dodeljeno, ali je bilo obvezno, ali je bilo zasnovano glede na vloge, ali je finančni oddelek prejel dodatno ozaveščanje o plačilnih prevarah, ali so bili vključeni novi zaposleni in pogodbeni izvajalci, ali je vodstvo program odobrilo, ali se je usposabljanje po zadnji kampanji spletnega ribarjenja spremenilo in ali so bile evidence o opravljenem usposabljanju hranjene.
V letu 2026 so dokazila o usposabljanju za ozaveščanje o informacijski varnosti na presečišču ISO/IEC 27001:2022, NIS2, DORA, GDPR in NIST CSF 2.0. To ni več letna kadrovska vaja. Je upravljanje na ravni organa vodenja, obravnava tveganj, pripravljenost na incidente, pravna odgovornost in dokazila za presojo.
Clarysec obravnava ozaveščanje o informacijski varnosti kot operativni sistem dokazil, ne kot zbirko prosojnic. Zenith Blueprint: 30-koračni časovni načrt za presojevalca Zenith Blueprint, Zenith Controls: vodnik za skladnost med okviri Zenith Controls, Politika ozaveščanja in usposabljanja za informacijsko varnost - MSP Politika ozaveščanja in usposabljanja za informacijsko varnost - MSP in Politika ozaveščanja in usposabljanja za informacijsko varnost Politika ozaveščanja in usposabljanja za informacijsko varnost povezujejo usposabljanje po vlogah z ISMS, regulativnimi obveznostmi, odzivom na incidente, dostopom dobaviteljev in vodstvenim pregledom.
Zakaj generično usposabljanje za ozaveščanje o informacijski varnosti v letu 2026 odpove
Regulativni premik je jasen. NIS2 določa kibernetsko varnost kot odgovornost vodstva za bistvene in pomembne subjekte. Article 20 zahteva, da organi vodenja odobrijo ukrepe za upravljanje tveganj kibernetske varnosti, nadzorujejo njihovo izvajanje in se o njih usposabljajo. Article 21 vključuje osnovno kibernetsko higieno in usposabljanje za kibernetsko varnost kot del zahtevane osnovne ravni obvladovanja tveganj. Za ponudnike storitev v oblaku, ponudnike podatkovnih centrov, ponudnike upravljanih storitev, ponudnike upravljanih varnostnih storitev, ponudnike DNS, registre vrhnjih domen, spletne tržnice in iskalnike je usposabljanje postalo vprašanje na ravni organa vodenja.
DORA zvišuje zahteve za finančne subjekte in ponudnike IKT, ki podpirajo finančni sektor. Uporablja se od 17. januarja 2025 in od finančnih subjektov zahteva vzdrževanje notranjega okvira upravljanja in kontrol za upravljanje IKT-tveganj. Organi vodenja morajo nadzorovati IKT-tveganja, proračune, presoje, dogovore s tretjimi osebami, neprekinjeno poslovanje, načrte odziva in obnove ter digitalno operativno odpornost. DORA Articles 17 to 19 zahtevajo tudi, da se incidenti, povezani z IKT, zaznajo, razvrstijo, stopnjujejo, komunicirajo in poročajo. Usposabljanje omogoča, da se ti postopki pod pritiskom tudi dejansko izvajajo.
ISO/IEC 27001:2022 organizacijam zagotavlja hrbtenico sistema upravljanja. Klavzule 4 do 10 obravnavajo kontekst, zainteresirane strani, vodenje, oceno tveganja, obravnavo tveganja, kompetentnost, ozaveščenost, dokumentirane informacije, vrednotenje uspešnosti in izboljševanje. Standard je prilagodljiv glede na sektorje in velikost organizacije, zato ga Clarysec uporablja kot operativni model za integrirano uskladitev z ISO, NIS2, DORA, GDPR in NIST ISO/IEC 27001:2022.
GDPR dodaja plast odgovornosti. Organizacije morajo dokazati, da se osebni podatki obdelujejo zakonito, pošteno, varno ter z ustreznimi tehničnimi in organizacijskimi ukrepi. Zaposleni, ki ravnajo z osebnimi podatki, upravljajo sisteme, razvijajo programsko opremo, podpirajo stranke ali preiskujejo incidente, potrebujejo usposabljanje o zasebnosti in eskalaciji kršitev.
NIST CSF 2.0 krepi isto usmeritev. Njegova funkcija GOVERN povezuje zakonske, regulativne, pogodbene, zasebnostne zahteve in zahteve zainteresiranih strani z vlogami, odgovornostmi, politikami, viri, nadzorom in upravljanjem tveganj na ravni podjetja. Profili NIST CSF pomagajo tudi prevesti obveznosti usposabljanja v načrte izboljšav za trenutno in ciljno stanje.
Rezultat je preprost: usposabljanje za ozaveščanje o informacijski varnosti, pripravljeno za presojo, mora dokazati, da ljudje poznajo svoje odgovornosti, da je usposabljanje prilagojeno vlogi in tveganju ter da so dokazila dovolj popolna za presojevalce, regulatorje, stranke in vodstvo.
Problem pri presoji: »usposobili smo vse« ni dokazilo
Številne organizacije pri presojah ne odpovejo zato, ker usposabljanja niso izvedle, temveč zato, ker ne morejo dokazati, da je bilo usposabljanje zasnovano, dodeljeno, opravljeno, pregledano in izboljšano.
Šibek paket dokazil običajno vključuje en letni PDF, preglednico opravljenih usposabljanj brez datumov, brez dokazil o uvajanju, brez pokritosti pogodbenih izvajalcev, brez usposabljanja privilegiranih uporabnikov, brez usposabljanja vodstva, brez modulov po vlogah za razvijalce ali finance, brez povezave z oceno tveganja in brez dokazila, da je bilo usposabljanje posodobljeno po incidentih ali regulativnih spremembah.
Presojevalci ne želijo motivacijskega plakata. Želijo verigo dokazil.
Clarysecova politika za MSP to pričakovanje izrecno določa. Politika ozaveščanja in usposabljanja za informacijsko varnost - MSP, cilji, klavzula 3.3, od organizacij zahteva, da:
»Vzpostavijo dokumentirane zapise o opravljenem usposabljanju za dokazovanje skladnosti z zakonskimi, pogodbenimi in presojevalskimi zahtevami.«
Ista politika za MSP usposabljanje spremeni v hranjene dokumentirane informacije. Zahteve za izvajanje politike, klavzula 6.3.2, določajo:
»Centralna preglednica ali kadrovski informacijski sistem mora te evidence hraniti najmanj tri leta.«
Za podjetniška okolja Politika ozaveščanja in usposabljanja za informacijsko varnost, namen, klavzula 1.2, postavlja bolj strukturirano pričakovanje:
»Ta politika podpira ISO/IEC 27001 Klavzulo 7.3 in Kontrolo 6.3 iz Priloge A z zahtevo po strukturiranem, na tveganjih temelječem okviru ozaveščanja in usposabljanja, prilagojenem organizacijskim vlogam in spreminjajočim se grožnjam.«
Ta formulacija je pomembna: strukturirano, na tveganjih temelječe, prilagojeno vlogam in usmerjeno v grožnje. To je razlika med navideznim ozaveščanjem in dokazljivo kompetentnostjo.
Začnite z vlogami, ne s tečaji
Najpogostejša napaka je nakup vsebin pred opredelitvijo odgovornosti. V integriranem programu skladnosti pravo prvo vprašanje ni »Katero platformo za usposabljanje naj uporabimo?«. Pravo vprašanje je »Katere vloge ustvarjajo, upravljajo, odobravajo, obdelujejo, varujejo ali obnavljajo informacijska sredstva?«
ISO/IEC 27001:2022 Klavzula 5.3 zahteva dodelitev in komuniciranje odgovornosti ter pooblastil za vloge informacijske varnosti. Klavzula 7.2 zahteva kompetentnost oseb, ki opravljajo delo pod nadzorom organizacije, na podlagi izobrazbe, usposabljanja ali izkušenj. Klavzula 7.3 zahteva ozaveščenost o politiki informacijske varnosti, prispevku k učinkovitosti ISMS in posledicah neskladnosti.
V Zenith Blueprint, ISMS Foundation & Leadership, Step 5: Communication, Awareness, and Competence, Clarysec to prevede v izvedbeni jezik:
»Opredelite zahtevane kompetence: določite, katera znanja in veščine so potrebni za različne vloge v vašem ISMS.«
Blueprint podaja praktične primere: osebje IT lahko potrebuje varno konfiguracijo strežnikov, razvijalci potrebujejo varno kodiranje, HR potrebuje varno ravnanje z osebnimi podatki, splošno osebje pa ozaveščenost o phishingu. Poudari tudi evidence:
»Hranite evidence kompetentnosti: Klavzula 7.2 pričakuje, da hranite dokumentirane informacije kot dokazilo o kompetentnosti.«
To pomeni, da se mora program usposabljanja začeti z matriko vlog in tveganj.
| Skupina vlog | Fokus usposabljanja | Dokazila za hrambo | Vrednost za skladnost |
|---|---|---|---|
| Vsi zaposleni | Phishing, higiena gesel, MFA, sprejemljiva uporaba, varnost naprav, poročanje o incidentih | Poročilo o opravljenem usposabljanju, rezultat kviza, potrditev seznanitve s politiko, različica vsebine | ISO/IEC 27001:2022 Klavzula 7.3, ISO/IEC 27002:2022 kontrola 6.3, NIS2 Article 21 |
| Izvršno vodstvo in organ upravljanja | Upravljanje kibernetskih tveganj, obveznosti po NIS2 Article 20, nadzor po DORA, apetit po tveganju, krizne odločitve | Evidenca udeležbe, gradivo za organ upravljanja, zapisniki, odobritev programa | NIS2 Article 20, DORA Article 5, dokazila o vodenju po ISO/IEC 27001:2022 |
| Razvijalci | Varno kodiranje, OWASP Top 10, varen SDLC, varnost API, obravnava ranljivosti, orodja za upravljanje skrivnosti | Zaključen modul, rezultati laboratorijskih vaj, kontrolni seznam varnega razvoja kode, dokazila o odpravi | ISO/IEC 27002:2022 kontroli 8.25 in 8.28, pričakovanja DORA glede IKT-tveganj |
| IT in sistemski administratorji | Privilegirani dostop, beleženje, upravljanje ranljivosti, obnovitev varnostnih kopij, nadzor sprememb, varnostno utrjevanje | Evidenca opravljenega usposabljanja, povezava s pregledi pravic dostopa, udeležba na namizni vaji | ISO/IEC 27002:2022 kontroli 8.8 in 8.13, pripravljenost na odpornost po DORA |
| HR | Zaupnost, uvajanje in postopek izstopa, disciplinski postopki, ravnanje s posebnimi vrstami podatkov | Evidenca kadrovskega usposabljanja, kontrolni seznam za uvajanje, potrditev seznanitve s politiko | Odgovornost po GDPR, kontrole, povezane z ljudmi, po ISO/IEC 27002:2022 |
| Finance | Plačilne prevare, lažno predstavljanje dobaviteljev, ločevanje dolžnosti, eskalacija sumljivih zahtev | Zaključen ciljni modul, rezultati simulacij spletnega ribarjenja | Zmanjšanje tveganja goljufij, pripravljenost na incidente po NIS2 in DORA |
| Podpora strankam | Preverjanje identitete, varno obravnavanje zahtevkov, varstvo osebnih podatkov, eskalacijske poti | Zaključen modul za vlogo, vzorec pregleda zahtevkov, potrditev seznanitve z zasebnostjo | Odgovornost obdelovalca po GDPR, zagotavljanje zaupanja naročnikov |
| Odzivne ekipe za incidente | Razvrščanje, eskalacija, ohranjanje dokazil, regulativni roki za obveščanje, pridobljene izkušnje | Evidenca vaje, poročilo o scenariju, dodelitev vlog, sledilnik ukrepov | NIS2 Article 23, DORA Articles 17 to 19, kontrole incidentov po ISO/IEC 27002:2022 |
| Pogodbeni izvajalci z dostopom do sistemov | Sprejemljiva uporaba, kanal za poročanje, ravnanje s podatki, pogoji dostopa | Potrditev pogodbenega izvajalca, evidenca uvajanja, povezava z odobritvijo dostopa | Zagotavljanje zaupanja dobaviteljev, upravljanje pravic dostopa, pogodbena skladnost |
Ta matrika ni samo urnik usposabljanja. Je zemljevid skladnosti, ki prikazuje, zakaj različne skupine prejmejo različno usposabljanje.
Povežite usposabljanje z verigo kontrol
V Zenith Controls je ISO/IEC 27002:2022 kontrola 6.3, Ozaveščanje, izobraževanje in usposabljanje o informacijski varnosti, razvrščena kot preventivna kontrola, ki podpira zaupnost, celovitost in razpoložljivost. Njen koncept kibernetske varnosti je Protect, operativna zmogljivost je varnost človeških virov, varnostni področji pa sta upravljanje in ekosistem.
Razlaga skladnosti med okviri v Zenith Controls je neposredna:
»Kontrola 6.3 obravnava zahtevo NIS2 po varnostnem usposabljanju in ozaveščanju z uvedbo strukturiranega programa ozaveščanja, ki zajema kibernetsko higieno, nastajajoče grožnje in odgovornosti osebja.«
Ista preslikava povezuje ISO/IEC 27002:2022 kontrolo 6.3 s pričakovanji GDPR za zaposlene, ki ravnajo z osebnimi podatki, vlogam prilagojenim usposabljanjem za varnost IKT po DORA ter NIST SP 800-53 Rev.5 AT-2, AT-3 in AT-4 za ozaveščanje in usposabljanje o pismenosti, usposabljanje po vlogah in evidence usposabljanj.
Ključno je, da kontrola 6.3 ne stoji sama. Zenith Controls jo povezuje z ISO/IEC 27002:2022 kontrolo 5.2, Vloge in odgovornosti informacijske varnosti, ker vloge določajo, kdo potrebuje katero usposabljanje. Povezuje jo s kontrolo 6.8, Poročanje o dogodkih informacijske varnosti, ker zaposleni ne morejo poročati o nečem, česar ne znajo prepoznati. Povezuje jo tudi s kontrolo 5.36, Skladnost s politikami, pravili in standardi informacijske varnosti, ker je skladnost odvisna od tega, ali ljudje poznajo pravila.
To ustvari praktično verigo kontrol:
- Opredelite odgovornosti.
- Dodelite osnovno in vlogam prilagojeno usposabljanje.
- Dokažite opravljeno usposabljanje.
- Preverite razumevanje.
- Spremljajte skladnost.
- Odpravite vrzeli.
- Vključite pridobljene izkušnje v obravnavo tveganj in vodstveni pregled.
To je pomembno za NIS2, ker Article 21 zahteva analizo tveganj, politike, obravnavanje incidentov, neprekinjeno poslovanje, varnost dobavne verige, varno nabavo in vzdrževanje, presojo učinkovitosti kontrol, kibernetsko higieno in usposabljanje, kriptografijo, kadrovsko varnost, nadzor dostopa, upravljanje sredstev ter MFA ali varno avtentikacijo, kjer je to ustrezno.
Pomembno je tudi za DORA, ker upravljanje, upravljanje incidentov, odziv in obnova, tveganje tretjih oseb ter testiranje odpornosti delujejo le, če ljudje vedo, kaj morajo storiti, preden pride do incidenta.
Vzpostavite paket dokazil, pripravljen za presojo
Zrel paket dokazil vsebuje več kot dnevnike udeležbe. Prikazuje upravljanje, zasnovo, izvedbo, opravljeno usposabljanje, učinkovitost in izboljševanje. Clarysec priporoča strukturo šestih map.
| Mapa z dokazili | Kaj vsebuje | Zakaj je pomembna |
|---|---|---|
| 01 Upravljanje | Odobrena politika, cilji usposabljanja, odobritev vodstva, proračun, letni načrt | Prikazuje zavezanost vodstva in nadzor |
| 02 Preslikava vlog | Popis vlog, matrika kompetenc, pravila dodeljevanja usposabljanj, obseg pogodbenih izvajalcev | Dokazuje zasnovo glede na tveganja in vloge |
| 03 Vsebina usposabljanja | Gradiva tečajev, moduli LMS, predloge za phishing, varnostni bilteni, evidenca različic | Prikazuje, kaj je bilo osebju dejansko posredovano |
| 04 Evidence o opravljenem usposabljanju | Izvozi iz LMS, evidence HRIS, dnevniki udeležbe, rezultati kvizov, potrditve | Dokazuje udeležbo in hranjene dokumentirane informacije |
| 05 Dokazila o učinkovitosti | Kazalniki simulacij spletnega ribarjenja, rezultati intervjujev, trendi poročanja o incidentih, rezultati namiznih vaj | Prikazuje, ali je usposabljanje spremenilo vedenje |
| 06 Izboljševanje | Korektivni ukrepi, posodobljeni moduli, pridobljene izkušnje, vhodni podatki za vodstveni pregled | Prikazuje nenehno izboljševanje |
Podjetniška politika Clarysec zahteva uvajanje, letno obnovitveno usposabljanje in module po vlogah. Politika ozaveščanja in usposabljanja za informacijsko varnost, zahteve upravljanja, klavzula 5.1.1.2, določa:
»Vključite uvajanje, letno obnovitveno usposabljanje in module usposabljanja po vlogah«
Ista politika določa lastništvo dokazil. Zahteve upravljanja, klavzuli 5.3.1 in 5.3.1.1, določata:
»CISO ali pooblaščeni namestnik mora vzdrževati:«
»Evidence o opravljenem usposabljanju za vsakega uporabnika«
Za MSP politika za MSP dodaja pragmatičen ritem. Politika ozaveščanja in usposabljanja za informacijsko varnost - MSP, zahteve za izvajanje politike, klavzula 6.1.1, določa:
»Gradiva morajo biti praktična, primerna vlogi in posodobljena letno.«
Obravnava tudi usposabljanje, sproženo s spremembami. Klavzula 6.5.1 določa:
»Kadar se delovne vloge spremenijo ali se uvedejo sistemi, se lahko zahteva ciljno usposabljanje za ozaveščanje (npr. varna skupna raba datotek, nove zahteve glede varstva podatkov in minimizacije podatkov).«
Ta klavzula je v letu 2026 posebej pomembna, ker lahko migracija v oblak, orodja umetne inteligence, nove plačilne integracije, novi obdelovalci in spremembe regulativnega poročanja spremenijo tveganje hitreje kot letni cikel.
Enotedenski reševalni načrt pred presojo
Predstavljajte si ponudnika SaaS ali fintech podjetje s 180 zaposlenimi, ki se pripravlja na nadzorno presojo ISO/IEC 27001:2022, skrbni pregled strank po DORA, pregled odgovornosti po GDPR in vprašanja strank, ki izhajajo iz NIS2. CISO ima en teden, da generične evidence o opravljenem usposabljanju spremeni v zagovorljiv paket dokazil.
1. dan: Potrdite obseg in obveznosti
Uporabite ISO/IEC 27001:2022 Klavzule 4.1 do 4.4 za potrditev konteksta, zainteresiranih strani in obsega ISMS. Zajemite pogodbene zaveze do strank, obveznosti upravljavca ali obdelovalca po GDPR, pričakovanja kritičnih strank po NIS2 in zahteve za skrbni pregled dobaviteljev IKT, povezane z DORA.
Nato te obveznosti prevedite v potrebe po usposabljanju. GDPR zahteva, da osebje, ki ravna z osebnimi podatki, razume zaupnost, minimizacijo, hrambo in eskalacijo kršitev. NIS2 zahteva kibernetsko higieno, usposabljanje zaposlenih in nadzor vodstva. Stranke, ki jih vodi DORA, bodo pričakovale dokazila, da ekipe, ki podpirajo kritične storitve, razumejo eskalacijo incidentov, odpornost, nadzor dostopa, varnostno kopiranje in obnovitev ter koordinacijo s tretjimi osebami.
2. dan: Vzpostavite matriko po vlogah
Uporabite smernice v Zenith Blueprint in preslikave v Zenith Controls za ISO/IEC 27002:2022 kontroli 5.2 in 6.3. Vključite zaposlene, pogodbene izvajalce, privilegirane uporabnike, razvijalce, podporne ekipe, HR, finance, izvršno vodstvo in odzivne ekipe za incidente.
Vsako vlogo povežite s sistemi in tveganji. Razvijalci prejmejo usposabljanje za varno kodiranje in obravnavo ranljivosti. Podporne ekipe prejmejo usposabljanje za preverjanje identitete in varno obravnavanje zahtevkov. Finance prejmejo usposabljanje za plačilne prevare in preverjanje sprememb pri dobaviteljih. Izvršno vodstvo prejme usposabljanje za upravljanje, pravno odgovornost, apetit po tveganju in krizno odločanje.
3. dan: Uskladite politiko in dodelitve
Sprejmite ali posodobite ustrezno politiko Clarysec. Uporabite politiko za MSP za lahek operativni model ali podjetniško politiko za močnejše upravljanje in lastništvo dokazil. Potrdite, da politika vključuje uvajanje, letna obnovitvena usposabljanja, module po vlogah, hrambo dokazil, pokritost pogodbenih izvajalcev in usposabljanje, sproženo s spremembami.
Objavite politiko, zberite potrditve seznanitve in povežite module usposabljanja z družinami delovnih mest v HRIS ali LMS.
4. dan: Izvedite ciljno usposabljanje
Ne usposabljajte vseh o vsem. Vse usposobite za osnovne kontrole, nato dodelite module, specifične za posamezne vloge.
Osnovni modul mora zajemati phishing in socialni inženiring, higieno gesel in MFA, sprejemljivo uporabo, varno ravnanje z informacijami, kanale za poročanje o incidentih, poročanje o izgubljenih napravah in osnove varstva podatkov.
Moduli, specifični za vloge, morajo zajemati varen SDLC za razvijalce, privilegirani dostop in obnovitev varnostnih kopij za IT, podatke o zaposlenih za HR, plačilne prevare za finance, razvrščanje incidentov za odzivne ekipe ter upravljanje po NIS2 in DORA za izvršno vodstvo.
5. dan: Izvozite in preverite dokazila
Ustvarite paket dokazil s šestimi mapami. Izvozite poročila o opravljenem usposabljanju, rezultate kvizov, številke različic tečajev, potrditve seznanitve s politiko in urnike usposabljanj. Opredelite neopravljena usposabljanja in odprite korektivne ukrepe.
Nato z intervjuji preverite razumevanje. Zaposlene iz različnih oddelkov vprašajte:
- Katero varnostno usposabljanje ste opravili?
- Kako prijavite sumljivo e-poštno sporočilo?
- Kaj bi storili, če bi izgubili prenosnik?
- Kje najdete politiko informacijske varnosti?
- Katere osebne podatke obdelujete v svoji vlogi?
Rezultate zabeležite kot vzorec notranje presoje. Presojevalci pogosto uporabijo intervjuje, da preverijo, ali je bila ozaveščenost ponotranjena, ne le dostavljena.
6. dan: Povežite usposabljanje z odzivom na incidente
Usposabljanje za poročanje o incidentih uporabite kot povezavo z ISO/IEC 27002:2022 kontrolo 6.8, NIS2 Article 23 in DORA Articles 17 to 19.
NIS2 Article 23 zahteva postopno poročanje o pomembnih incidentih, vključno z zgodnjim opozorilom v 24 urah od seznanitve, obvestilom v 72 urah in končnim poročilom v enem mesecu. DORA zahteva, da se večji incidenti, povezani z IKT, razvrstijo, stopnjujejo, komunicirajo in poročajo skozi zahtevani življenjski cikel poročanja.
Zaposlenim ni treba na pamet poznati zakonskih rokov, morajo pa dovolj hitro prijaviti sumljive incidente, da jih organizacija lahko izpolni.
V Zenith Blueprint, Controls in Action, Step 16: People Controls II, Clarysec navaja:
»Učinkovit sistem odzivanja na incidente se ne začne z orodji, temveč z ljudmi.«
To ni mehko priporočilo. To je operativna odpornost.
7. dan: Pripravite pojasnilo za presojo
Končno pojasnilo za presojo mora biti kratko in podprto z dokazili:
»Potrebe po usposabljanju smo opredelili na podlagi vlog v ISMS, zakonskih in pogodbenih obveznosti, rezultatov ocene tveganja in dostopa do sistemov. Osnovne in vlogam prilagojene module smo dodelili prek LMS. Hranimo evidence o opravljenem usposabljanju, rezultate kvizov, različice vsebin in potrditve seznanitve. Učinkovitost smo preverili s simulacijami spletnega ribarjenja, intervjuji in kazalniki poročanja o incidentih. Neopravljena usposabljanja se spremljajo kot korektivni ukrepi. Vodstvo program pregleda letno in po pomembnih spremembah.«
Podprto z dokazili lahko takšno pojasnilo zdrži vprašanja pri presoji ISO/IEC 27001:2022, preverjanje upravljanja po NIS2, skrbni pregled strank po DORA, pregled odgovornosti po GDPR in presojo kontrol po pristopu NIST.
Preslikava skladnosti med okviri za usposabljanje za ozaveščanje o informacijski varnosti
Ozaveščanje o informacijski varnosti je pogosto napačno razvrščeno kot kadrovska naloga. V praksi je to kontrola skladnosti med okviri, ki se dotika upravljanja, upravljanja tveganj, zasebnosti, odziva na incidente, zagotavljanja zaupanja dobaviteljev in odpornosti.
| Okvir ali predpis | Pomen za usposabljanje | Izvedbena točka Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetentnost, ozaveščenost, vodenje, dodelitev vlog, dokumentirane informacije, spremljanje, notranja presoja in izboljševanje | Zenith Blueprint Step 5 in Step 15, klavzule politike o uvajanju, letnih obnovitvenih usposabljanjih, usposabljanju po vlogah in dokazilih |
| ISO/IEC 27002:2022 | Kontrola 6.3 ozaveščanje, izobraževanje in usposabljanje, povezano s 5.2 vlogami, 6.8 poročanjem o dogodkih in 5.36 spremljanjem skladnosti | Zenith Controls preslika atribute, povezane kontrole, pričakovanja presoje in uskladitev med okviri |
| NIS2 | Usposabljanje vodstva, usposabljanje zaposlenih za kibernetsko varnost, kibernetska higiena, pripravljenost na incidente in odgovornost upravljanja | Modul za organ upravljanja, osnovni modul za zaposlene, modul poročanja o incidentih, dokazilo o odobritvi vodstva |
| DORA | Upravljanje IKT, nadzor vodstva, učenje in razvoj, eskalacija incidentov, testiranje odpornosti in pričakovanja tretjih oseb | Usposabljanje izvršnega vodstva, moduli za vloge IKT, usposabljanje odzivnih ekip za incidente, paket dokazil za dobavitelje |
| GDPR | Odgovornost, varna obdelava, ozaveščenost o zasebnostnih vlogah, prepoznavanje kršitev in ravnanje z osebnimi podatki | Usposabljanje o zasebnosti za HR, podporo, prodajo, inženiring in odzivne ekipe za incidente |
| NIST CSF 2.0 | Funkcija GOVERN, vloge, politike, zakonske obveznosti, nadzor, profili in načrtovanje izboljšav | Trenutni in ciljni profil usposabljanja, register vrzeli in prednostni akcijski načrt |
| NIST SP 800-53 Rev.5 | Usposabljanje za ozaveščanje, usposabljanje po vlogah in evidence usposabljanj | Preslikava na AT-2, AT-3 in AT-4 prek Zenith Controls |
| Zagotavljanje zaupanja po COBIT 2019 | Cilji upravljanja, odgovornost, zmožnost, kazalniki uspešnosti in poročanje vodstvu | KPI usposabljanja, lastništvo vlog, vodstveni pregled in zapiranje korektivnih ukrepov |
NIST CSF 2.0 je posebej uporaben za organizacije, ki morajo zrelost pojasniti deležnikom zunaj sveta ISO. Njegova metoda organizacijskih profilov podpira načrtovanje trenutnega in ciljnega stanja. Trenutni profil lahko na primer navede, da osnovno ozaveščanje obstaja, vendar usposabljanje razvijalcev za varno kodiranje ni zaključeno. Ciljni profil lahko zahteva, da vsi razvijalci do Q3 opravijo usposabljanje za varno kodiranje, razkritje ranljivosti in upravljanje skrivnosti.
Kako presojevalci in regulatorji preverjajo dokazila o usposabljanju
Različni pregledovalci postavljajo različna vprašanja, vendar vsi preverjajo isto dejstvo: ali organizacija ve, kaj morajo ljudje storiti, in ali lahko dokaže, da so za to pripravljeni?
Presojevalec ISO/IEC 27001:2022 bo dokazila o usposabljanju povezal s klavzulami 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 in 10.2 ter kontrolami Priloge A. Pričakujte vprašanja o tem, kako so bile določene zahteve glede kompetentnosti, kako zaposleni poznajo politiko informacijske varnosti, kako se usposabljajo novi zaposleni in pogodbeni izvajalci, kako se obravnava neopravljeno usposabljanje, kako se usposabljanje po vlogah povezuje z oceno tveganja in Izjavo o uporabnosti ter kako se vrednoti učinkovitost.
Zenith Controls navaja, da bodo presojevalci, ki uporabljajo ISO/IEC 19011:2018, pregledali učni načrt, urnike, gradiva, evidence udeležbe, potrdila o zaključku in kompetentnost izvajalcev usposabljanja. Navaja tudi, da lahko presojevalci po ISO/IEC 27007:2020 uporabijo intervjuje, da ugotovijo, ali zaposleni vedo, kako prijaviti incidente, in ali se spomnijo ključnih sporočil usposabljanja.
Pregled, osredotočen na NIS2, bo presegel stopnje opravljenega usposabljanja. Vprašal bo, ali je organ vodenja odobril in nadzoroval ukrepe za upravljanje tveganj kibernetske varnosti, ali je vodstvo prejelo usposabljanje, ali je usposabljanje osebja o kibernetski higieni redno in ali je poročanje o incidentih razumljeno. Article 21 zahteva tudi postopke za oceno učinkovitosti ukrepov za upravljanje tveganj kibernetske varnosti, zato kazalniki phishinga, trendi poročanja o incidentih in ugotovitve presoje postanejo dokazila o učinkovitosti kontrol.
Pregled po DORA, zlasti kadar finančna stranka presoja ponudnika IKT, se bo osredotočil na operativno odpornost. Pričakujte vprašanja o osebju, ki podpira kritične finančne storitve, evidencah usposabljanj za ekipe, ki upravljajo plačilne sisteme, usposabljanju vodstva o tveganju tretjih oseb na področju IKT, razvrščanju incidentov po DORA Article 18 in usposabljanju pogodbenih izvajalcev za dostop do okolij strank.
Pregled po GDPR se bo osredotočil na odgovornost. Organizacija mora dokazati, da osebje, ki ravna z osebnimi podatki, razume zakonito obdelavo, zaupnost, minimizacijo, hrambo, varno ravnanje in eskalacijo kršitev. Za ponudnike SaaS, fintech podjetja in ponudnike upravljanih storitev so dokazila o usposabljanju del dokazovanja, da so zahteve zasebnosti vgrajene v operativno vedenje.
Kazalniki, ki dokazujejo učinkovitost kontrol
Opravljeno usposabljanje je potrebno, vendar ni dovolj. Močnejša nadzorna plošča za leto 2026 pokaže, ali je usposabljanje izboljšalo vedenje.
| Kazalnik | Kaj prikazuje | Razlaga za presojo |
|---|---|---|
| Opravljeno usposabljanje po vlogah | Ali so dodeljene skupine opravile zahtevane module | Osnovna skladnost in pokritost |
| Opravljeno usposabljanje pri novih zaposlenih v ciljnem roku | Ali kontrole uvajanja delujejo | Zrelost kadrovskih procesov in upravljanja pravic dostopa |
| Opravljeno usposabljanje privilegiranih uporabnikov | Ali so uporabniki z visokim tveganjem pripravljeni | Prednostna obravnava glede na tveganje |
| Stopnja klikov in prijav pri simulacijah spletnega ribarjenja | Ali se vedenje izboljšuje | Učinkovitost ozaveščanja |
| Prijave incidentov s strani zaposlenih | Ali ljudje prepoznajo dogodke in o njih poročajo | Povezava s pripravljenostjo na incidente |
| Čas od sumljivega e-poštnega sporočila do prijave | Ali poročanje podpira regulativne časovne roke | Pripravljenost na NIS2 in DORA |
| Ponavljajoče se neopravljanje usposabljanja | Ali uveljavljanje in eskalacija delujeta | Spremljanje skladnosti |
| Posodobitve usposabljanja po incidentih ali spremembah | Ali pridobljene izkušnje vodijo izboljšave | Nenehno izboljševanje |
Ti kazalniki podpirajo ISO/IEC 27001:2022 Klavzulo 9.1 za spremljanje in merjenje, Klavzulo 9.2 za notranjo presojo, Klavzulo 10.1 za nenehno izboljševanje in Klavzulo 10.2 za neskladnost in korektivne ukrepe. ISO/IEC 27002:2022 kontrola 5.36 krepi zahtevo, da se skladnost s politikami, pravili in standardi spremlja, vrednoti in odpravlja.
Pogoste ugotovitve, ki jih Clarysec vidi pri presojah
Iste slabosti se pojavljajo znova in znova.
Organizacije usposobijo zaposlene, pozabijo pa na izvršno vodstvo. Po NIS2 in DORA je usposabljanje vodstva del upravljanja, ne dodatek k zrelosti.
Organizacije izvajajo letno usposabljanje, vendar prezrejo spremembe vlog. Inženir podpore, ki preide v DevOps, potrebuje usposabljanje o privilegiranem dostopu, beleženju, varnostnem kopiranju in eskalaciji incidentov.
Organizacije vključijo zaposlene, pozabijo pa na pogodbene izvajalce. Zenith Blueprint Step 15 svetuje razširitev usposabljanja na pogodbene izvajalce ali tretje osebe, ki imajo dostop do sistemov ali podatkov.
Organizacije učijo poročanje o incidentih, vendar ustvarijo strah. Če osebje verjame, da bo kaznovano zaradi klika na phishing povezavo, lahko molči. Zenith Blueprint Step 16 poudarja preproste kanale za poročanje, poročanje, podprto z ozaveščanjem, in kulturo brez pripisovanja krivde.
Organizacije ne morejo dokazati verzioniranja vsebin. Če presojevalec vpraša, kaj so zaposleni opravili marca, trenutna predstavitev na SharePointu ni dovolj. Hranite dostavljeno različico.
Organizacije ne povežejo usposabljanja z obravnavo tveganj. Če so izsiljevalska programska oprema, plačilne prevare, napačna varnostna konfiguracija v oblaku ali uhajanje podatkov med najpomembnejšimi tveganji, mora načrt usposabljanja prikazati ciljno obravnavo za relevantne vloge.
Kje se vključi Clarysec
Clarysec organizacijam pomaga vzpostaviti en zagovorljiv program namesto petih nepovezanih poti skladnosti.
Politika ozaveščanja in usposabljanja za informacijsko varnost - MSP manjšim organizacijam zagotavlja praktično osnovo: pričakovanja glede na vloge, dokumentirane zapise, letne posodobitve, usposabljanje, sproženo s spremembami, in hrambo najmanj tri leta.
Podjetniška Politika ozaveščanja in usposabljanja za informacijsko varnost večjim organizacijam zagotavlja močnejše upravljanje: strukturirano, na tveganjih temelječe ozaveščanje, uvajanje, letna obnovitvena usposabljanja, module po vlogah, lastništvo CISO nad evidencami in pripravljenost na regulativne preglede po GDPR, DORA in NIS2.
Zenith Blueprint izvedbenim ekipam pove, kaj morajo storiti po zaporedju. Step 5 vgradi kompetentnost in ozaveščenost v temelje ISMS. Step 15 operacionalizira ISO/IEC 27002:2022 kontrolo 6.3 z letnim usposabljanjem, moduli za posamezne vloge, uvajanjem, simulacijami spletnega ribarjenja, dokazili o udeležbi, ciljnimi bilteni, usposabljanjem pogodbenih izvajalcev in utrjevanjem vedenja. Step 16 poveže ozaveščanje s poročanjem o incidentih, ki ga izvajajo ljudje.
Zenith Controls ekipam za skladnost daje preslikavo. Povezuje ISO/IEC 27002:2022 kontrolo 6.3 z vlogami, poročanjem o dogodkih, spremljanjem skladnosti, tveganji človeškega dejavnika po ISO/IEC 27005:2024, pričakovanji GDPR glede usposabljanja, NIS2 Article 21, usposabljanjem IKT po DORA, kontrolami ozaveščanja po NIST in metodologijami presoje. Povezuje tudi kontrolo 5.2 z odgovornostmi upravljanja in kontrolo 5.36 s spremljanjem skladnosti in korektivnimi ukrepi.
Skupaj ti viri omogočajo CISO, da pojasni ne le, katero usposabljanje je bilo izvedeno, temveč zakaj je bilo izvedeno, kdo ga je zahteval, katero tveganje je obravnavalo, kako je bilo dokazano in kako se izboljšuje.
Naj bodo dokazila o varnostnem usposabljanju pripravljena za presojo zdaj
Če so vaša trenutna dokazila preglednica, zbirka prosojnic in upanje, da se zaposleni spomnijo e-naslova za poročanje, je zdaj čas za zrelostni preskok.
Ta teden začnite s štirimi ukrepi:
- Ustvarite matriko usposabljanja po vlogah, povezano z odgovornostmi v ISMS, dostopom do sistemov in regulativnimi obveznostmi.
- Sprejmite ali posodobite svojo politiko ozaveščanja Clarysec z uporabo Politike ozaveščanja in usposabljanja za informacijsko varnost - MSP ali Politike ozaveščanja in usposabljanja za informacijsko varnost.
- Vzpostavite paket dokazil s šestimi mapami za upravljanje, preslikavo vlog, vsebino, opravljeno usposabljanje, učinkovitost in izboljševanje.
- Uporabite Zenith Blueprint in Zenith Controls za preslikavo dokazil o usposabljanju na pričakovanja presoje po ISO/IEC 27001:2022, NIS2, DORA, GDPR in NIST.
Ozaveščanje o informacijski varnosti ima vrednost, ko spreminja vedenje. Dokazila o skladnosti imajo vrednost, ko to vedenje dosledno dokazujejo.
Clarysec vam pomaga vzpostaviti oboje.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
