Na které rámce jsou Kontroly Zenith sladěny?

Jsou mapovány na ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 a další.

Jaké oblasti bezpečnosti jsou pokryty?

Kontroly pokrývají správu a řízení, provoz, řízení přístupu, personální, fyzické, dodavatelské/outsourcingové, cloudové, technologické oblasti a řízení incidentů.

Obsahují kontroly pokyny k auditu?

Ano, každá kontrola obsahuje odpovídající auditní metodiku, požadavky na auditní důkazy a odkazy na certifikační doložky.

Jak Kontroly Zenith řeší dodavatelské riziko?

Detailně popisují bezpečnost životního cyklu dodavatelů, smluvní požadavky, zvládání incidentů a práva na audit s mapováním kontrol.

Jsou k dispozici části s pokyny pro regulační mapování?

Ano. Každá kontrola obsahuje mapování křížového souladu, které ukazuje vazby auditních důkazů na předpisy a normy EU, USA a mezinárodní.

Kontroly Zenith - Clarysec

Přehled

Kontroly Zenith jsou detailní referenční sada bezpečnostních opatření informační bezpečnosti sladěná s hlavními globálními rámci. Pokrývá domény správy a řízení, fyzické, personální, technologické, dodavatelské a vývojové oblasti, s mapovanou auditní metodikou a pokyny k souladu pro podporu efektivního řízení, implementace a certifikace.

Komplexní knihovna kontrol

Pokrývá správu a řízení, technická opatření, personální opatření a fyzická bezpečnostní opatření pro komplexní ochranu informací.

Mapováno na regulační standardy

Mapováno na ISO/IEC 27001 & 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR a COBIT 2019 pro prokazatelné pokrytí souladu.

Pokyny k provozní implementaci

Obsahuje detailní vazby na další kontroly, poznámky k implementaci a křížové odkazy na praktické scénáře rizik.

Bezpečnost třetích stran a dodavatelského řetězce

Řeší dodavatelské smlouvy, cloud a outsourcovaný vývoj se vzorovými auditními kritérii a bezpečnostními doložkami.

Řízení rizik end-to-end

Propojuje identifikaci rizik, ošetření rizik, reakce na incidenty a neustálé zlepšování v jednotném bezpečnostním rámci.

Mapování kontrol připravené na audit

Každá kontrola obsahuje požadavky na auditní důkazy, mapování ISO/NIST a očekávání metodiky pro certifikační audity.

Integrovaná ochrana soukromí a bezpečnost

Zahrnuje nakládání s PII, maskování dat, minimalizaci a výmaz pro předpisy na ochranu soukromí a osvědčené postupy bezpečnosti.

Přečíst celý přehled

Kontroly Zenith poskytují komplexní, strukturovanou sadu bezpečnostních opatření informační bezpečnosti sladěnou s mezinárodně uznávanými normami pro efektivní správu a řízení, řízení rizik a soulad. Průvodce pokrývá domény správy a řízení, technologické, fyzické a personální oblasti a detailně popisuje jednotlivé kontroly, včetně řízení politik, definice rolí, dohledu nad dodavateli, inventáře aktiv, řízení přístupu, řízení zranitelností, bezpečného vývoje a reakce na incidenty, s podrobnými křížovými odkazy na globální rámce jako ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, směrnice EU NIS2, EU DORA, EU GDPR a COBIT 2019. Každá kontrola v sadě je pečlivě popsána a uvádí provozní atributy, cíle rizik, řešené vlastnosti bezpečnosti informací a vztahy s dalšími kontrolami. Kontroly nejsou posuzovány izolovaně, ale mapovány napříč propojenými scénáři správy a řízení, technologií, dodavatelů a vývoje. Každou kontrolu doprovázejí praktické poznámky k implementaci, podpořené shrnutými očekáváními auditní metodiky, která odráží aktuální osvědčené postupy, včetně rozhovorů, přezkumu dokumentace, výběru vzorků a testů živých scénářů. Kontroly Zenith se zaměřují na celý bezpečnostní životní cyklus: od tvorby a řízení politiky bezpečnosti informací a odpovědností za řízení, přes řízení přístupu a řízení identit a přístupů (IAM) (napříč oprávněními, omezením informací a autentizací), až po bezpečné dodání projektů, řízení změn a kontroly dodavatelů (včetně cloudu a outsourcovaného vývoje). Podrobná pozornost je věnována technickým doménám, jako je řízení zranitelností, segmentace sítě, Control Baseline, přezkum bezpečnostní architektury a životní cykly vývoje systémů, až po plánování záloh a redundance, auditní protokolování, monitorování a zvládání incidentů a neustálé zlepšování. Ochrana údajů a průnik ochrany soukromí s bezpečností jsou opakujícím se tématem. Průvodce integruje postupy pro privacy by design/default, minimalizaci dat, maskování, kontrolu testovacích informací, včasný výmaz a bezpečnou likvidaci úložných médií. Tam, kde je to relevantní, jsou kontroly propojeny s křížovým regulačním souladem pro osobní údaje, včetně jasných mapování na požadavky GDPR a ISO/IEC 27701/27018, se zvláštním důrazem na auditní stopu, uplatňování práv uživatelů a nakládání s PII ve vztazích s dodavateli a v cloudu. Bezpečnost třetích stran a dodavatelského řetězce je rovněž řešena komplexně. Kontroly detailně popisují prověrku dodavatelů, smluvní doložky, práva na audit, požadavky na oznamování incidentů a postupy bezpečného vývoje pro externí vztahy. Jsou uvedeny pokyny pro řízení celého životního cyklu třetích stran, včetně výměny dat, odpovědností v cloudu a zajištění, že prostředí spravovaná dodavateli jsou sladěna s potřebami organizace v oblasti rizik a souladu. Napříč všemi kontrolami poskytují Kontroly Zenith vzorové mapovací tabulky na regulační doložky, navrhují auditní důkazy a klíčové ukazatele výkonnosti (KPI) pro provozní připravenost a připravenost na audit a slaďují postupy se současnými rámci a trendy v odvětví. Jde o nezbytný zdroj pro organizace, které chtějí operacionalizovat osvědčené postupy bezpečnosti, splnit požadavky na soulad napříč jurisdikcemi a poskytnout zainteresovaným stranám ujištění o svém postoji k riziku.

Obsah

Úplný seznam kontrol 5.x–8.x (správa a řízení, personální, fyzické, technologické)

Detailní křížové odkazy: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Auditní metodika a kritéria auditních důkazů specifická pro jednotlivé kontroly

Požadavky na testování a akceptaci pro prostředí DevOps, dodavatelů a cloudu

Ochrana údajů, ochrana soukromí a postupy výmazu

Integrace neustálého zlepšování a reakce na incidenty

Rámec	Pokryté doložky / Kontroly
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Rámec

Pokryté doložky / Kontroly

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Související zásady

Politika informační bezpečnosti

Zavádí organizační politiku bezpečnosti informací jako základ pro správu a řízení.

Politika rolí a odpovědností správy a řízení

Definuje pravomoc a odpovědnost za vývoj, schvalování a vynucování bezpečnostních opatření informační bezpečnosti.

Politika odpovědnosti vedení

Přiřazuje vrcholovému vedení povinnost dohledu nad ISMS, implementace politik a zajištění souladu.

Politika kontaktu s orgány

Zajišťuje, že organizace udržují vztahy a protokoly pro včasné zapojení externích orgánů.

Politika účasti ve specializovaných skupinách

Podporuje účast v bezpečnostních komunitách pro sdílené znalosti, benchmarking a informace o hrozbách.

O politikách Clarysec - Kontroly Zenith

Tato kniha je v praxi ověřený playbook pro auditory, ředitele informační bezpečnosti (CISO) a vedoucí souladu, kteří chtějí provozní kontrolu, nikoli teoretické kontrolní seznamy. Každá kontrola je rozpracována pro přímé mapování na ISO 27001:2022, NIS2, DORA, GDPR a NIST a ukazuje, co budou auditoři očekávat a jaké auditní důkazy jsou skutečně podstatné. Získáte použitelné křížové odkazy, přiřazení podle rolí a rozpad na úrovni doložek navržený pro praktickou implementaci rámce ISMS, přípravu na audit a neustálé zlepšování. Bez výplně a bez nejasností – jen nezbytné pokyny a nástroje, které potřebujete k uzavření mezer v souladu a obraně vašeho podnikání.

Bohaté pokyny k auditu a auditní důkazy

Poskytuje explicitní auditní metodiku a vzorové auditní důkazy pro každou kontrolu a podporuje interní, externí i certifikační audity.

Detailní vzájemné vztahy kontrol

Mapuje praktické vztahy mezi kontrolami a umožňuje organizacím porozumět bezpečnostním závislostem napříč správou a řízením, technologií a provozem.

Aktuální regulační mapování

Nabízí nejnovější mapování křížového souladu na všechny hlavní rámce, což usnadňuje certifikaci, sebehodnocení a regulační vykazování.

Pokrytí bezpečnosti dodavatelů a outsourcingu

Komplexně řeší smluvní, monitorovací a auditní požadavky pro řízení bezpečnostních rizik dodavatelů a outsourcingu.

Nejčastější dotazy

Vytvořeno pro lídry, lídry

Tato politika byla vypracována bezpečnostním lídrem s více než 25 lety zkušeností s implementací a auditem rámců ISMS v globálních organizacích. Není navržena pouze jako dokument, ale jako obhajitelný rámec, který obstojí při auditu.

Vypracováno odborníkem s následujícími kvalifikacemi:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrytí a témata

🏢 Cílová oddělení

IT Bezpečnost Soulad Audit a dodržování předpisů správa

🏷️ Tematické pokrytí

řízení přístupu Správa identit Správa autentizace Správa privilegovaných přístupů (PAM)

Kontroly Zenith