С кои рамки е съгласуван Контролите Zenith?

Съпоставен е с ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 и други.

Кои области на сигурността са обхванати?

Контролите обхващат управление, операции, контрол на достъпа, персонал, физически, доставчици/външно възложени услуги, облак, технологични и управление на инциденти.

Включват ли контролите насоки за одит?

Да, всеки контрол включва съответната одитна методология, изисквания за одиторско доказателство и връзки към сертификационни клаузи.

Как Контролите Zenith адресира риска от трети страни?

Описва сигурността по жизнения цикъл на доставчиците, договорни задължения, обработване на инциденти и клаузи за право на одит със съпоставяне на контроли.

Има ли раздели с насоки за регулаторно съпоставяне?

Да. Всеки контрол включва съпоставяне за кръстосано съответствие, показващо връзки на одиторско доказателство към регулации и стандарти на ЕС, САЩ и международни.

Контролите Zenith

Преглед

Контролите Zenith е подробен референтен набор от контроли за информационна сигурност, съгласуван с основни глобални рамки, обхващащ области на управление, физически, за персонала, технологични, доставчици и разработка, със съпоставена одитна методология и насоки за съответствие в подкрепа на ефективно управление, внедряване и сертификация.

Изчерпателна библиотека от контроли

Обхваща контроли за управление, технологични, за персонала и физически контроли за цялостна защита на информацията.

Съпоставени с регулаторни стандарти

Съпоставени с ISO/IEC 27001 и 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR и COBIT 2019 за доказано покритие на съответствието.

Насоки за оперативно внедряване

Съдържа подробни връзки към други контроли, бележки за внедряване и препратки към практически рискови сценарии.

Сигурност на трети страни и веригата на доставки

Обхваща договори с доставчици, облак и външно възложена разработка с примерни одитни критерии и клаузи за сигурност.

Управление на риска от край до край

Свързва идентифициране на риска, третиране на риска, реагиране при инциденти и постоянно подобряване в единна рамка за сигурност.

Съпоставяне на контроли, готово за одит

Всеки контрол включва изисквания за одиторско доказателство, съпоставяне по ISO/NIST и очаквания за методология за сертификационни одити.

Интегрирана защита на личните данни и сигурност

Включва боравене с PII, маскиране на данни, минимизиране и изтриване за регулации за защита на личните данни и най-добри практики за сигурност.

Прочетете пълния преглед

Контролите Zenith предоставя изчерпателен, структуриран набор от контроли за информационна сигурност, съгласуван с международно признати стандарти за ефективно управление, управление на риска и съответствие. Обхващайки области на управление, технологични, физически и за персонала, ръководството описва отделни контроли, включително управление на политики, дефиниране на роли, надзор на доставчици, регистър на активите, управление на достъпа, управление на уязвимостите, сигурна разработка и реагиране при инциденти, с задълбочени препратки към глобални рамки като ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, Директива EU NIS2, EU DORA, EU GDPR и COBIT 2019. Всеки контрол в набора е описан детайлно, като показва оперативни атрибути, цели по риска, свойства на информационната сигурност, които се адресират, и взаимоотношения с други контроли. Контролите не се разглеждат изолирано, а са съпоставени в взаимосвързани сценарии за управление, технологии, доставчици и разработка. Практически бележки за внедряване съпътстват всеки контрол, подкрепени от обобщени очаквания за одитна методология, които отразяват текущите най-добри практики, включително интервюиране, преглед на документация, извадково тестване и тестове със сценарии на живо. Контролите Zenith адресира пълния жизнен цикъл на сигурността: от създаване на политики за сигурност и управленски отговорности, през управление на достъпа и управление на идентичността и достъпа (IAM) (включително привилегии, ограничаване на информацията и механизми за автентикация), до сигурно изпълнение на проекти, управление на промените и контроли за доставчици (включително облак и външно възложена разработка). Отделя се детайлно внимание на технически области като управление на уязвимостите, мрежова сегментация, базови набори от контроли за конфигурация, сигурна системна архитектура и жизнени цикли на разработка на системи, както и планиране на резервни копия и излишък, регистриране, мониторинг, обработване на инциденти и постоянно подобряване. Защита на данните и пресечната точка между защита на личните данни и сигурност са повтаряща се тема. Ръководството интегрира практики за защита на личните данни по замисъл/по подразбиране, минимизиране на данните, маскиране, контрол на тестова информация, своевременно изтриване и сигурно унищожаване на носители за съхранение. Където е приложимо, контролите са свързани с кръстосано регулаторно съответствие за лични данни, включително ясни съпоставяния към изискванията на GDPR и ISO/IEC 27701/27018, със специален фокус върху одитни следи, упражняване на права на потребителите и боравене с PII в отношения с доставчици и облачни услуги. Сигурността на трети страни и веригата на доставки също е разгледана изчерпателно. Контролите описват надлежна проверка, договорни клаузи, права на одит, изисквания за уведомяване при инциденти и практики за сигурна разработка за външни взаимоотношения. Предоставени са насоки за управление на пълния жизнен цикъл на трети страни, включително обмен на данни, отговорности в облака и гарантиране, че среди, управлявани от доставчици, са съгласувани с нуждите на организацията по риск и съответствие. Във всички контроли Контролите Zenith предоставя примерни таблици за съпоставяне към регулаторни клаузи, предлага одиторско доказателство и ключови показатели за изпълнение (KPI) за оперативна и одитна готовност и съгласува практиките с актуални рамки и тенденции в индустрията, което го прави незаменим ресурс за организации, които искат да операционализират най-добри практики за сигурност, да отговорят на нуждите за съответствие в различни юрисдикции и да предоставят увереност на заинтересованите страни относно своята рискова позиция.

Съдържание

Пълен списък на контролите 5.x–8.x (управление, за персонала, физически, технологични)

Подробни кръстосани препратки: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Одитна методология и критерии за одиторско доказателство по контрол

Изисквания за тестване и приемане за DevOps, доставчици и облачни среди

Практики за защита на данните, защита на личните данни и изтриване

Интеграция на постоянно подобряване и реагиране при инциденти

Рамка	Обхванати клаузи / Контроли
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Рамка

Обхванати клаузи / Контроли

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Свързани политики

Политика за информационна сигурност

Установява организационни политики за информационна сигурност като основа за управление.

Политика за роли и отговорности по управление

Дефинира отчетност за разработване, одобряване и прилагане на контроли за информационна сигурност.

Политика за отговорности на ръководството

Възлага задължението на висшето ръководство за надзор на Система за управление на информационната сигурност (СУИС), внедряване на политики и уверение за контролите.

Политика за контакт с органи

Гарантира, че организациите поддържат взаимоотношения и протоколи за своевременно взаимодействие с външни органи.

Политика за контакт със специализирани групи

Насърчава участие в общности по сигурността за ползи от споделени знания, бенчмаркинг и разузнаване за заплахи.

Относно политиките на Clarysec - Контролите Zenith

Тази книга е практическо ръководство, проверено в реални условия, за одитори, директори по информационна сигурност (CISO) и ръководители по съответствието, които искат оперативен контрол, а не теоретични контролни списъци. Всеки контрол е разбит за директно съпоставяне към ISO 27001:2022, NIS2, DORA, GDPR и NIST, като показва точно какво ще очакват одиторите и какво одиторско доказателство действително има значение. Получавате приложими кръстосани препратки, разпределение на отговорности по роли и разбивки на ниво клауза, предназначени за практическо внедряване на Система за управление на информационната сигурност (СУИС), подготовка за одит и постоянно подобряване. Без излишно съдържание и без двусмислие — само съществените насоки и инструменти, от които се нуждаете, за да затворите пропуските в съответствието и да защитите бизнеса си.

Богати насоки за одит и одиторско доказателство

Предоставя изрична одитна методология и примерни одиторски доказателства за всеки контрол, в подкрепа на вътрешни, външни и сертификационни одити.

Подробни взаимовръзки между контролите

Съпоставя практическите взаимоотношения между контролите, като позволява на организациите да разбират зависимостите по сигурността в управлението, технологиите и операциите.

Актуални регулаторни съпоставяния

Предлага най-новото съпоставяне за кръстосано съответствие към всички основни рамки, улеснявайки сертификация, самооценка и регулаторно докладване.

Покритие на сигурността при доставчици и външно възложени услуги

Изчерпателно адресира договорни, мониторинг и одитни изисквания за управление на риска по сигурността при доставчици и външно възложени услуги.

Често задавани въпроси

Създадено за лидери, от лидери

Тази политика е разработена от ръководител по сигурността с над 25 години опит в внедряването и одитирането на ISMS рамки в глобални организации. Тя е създадена не само като документ, а като защитима рамка, която издържа на одиторски преглед.

Разработено от експерт със следните квалификации:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Обхват и теми

🏢 Целеви отдели

ИТ Сигурност Съответствие Одит Управление

🏷️ Тематично покритие

Контрол на достъпа Управление на идентичности Управление на удостоверяването Управление на привилегирован достъп