Milliste raamistikega on Zenithi kontrollimeetmed kooskõlas?

See on kaardistatud standarditele ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EL NIS2, EL DORA, GDPR, COBIT 2019 ja muudele.

Milliseid turbevaldkondi see hõlmab?

Kontrollimeetmed hõlmavad juhtimist, operatsioone, juurdepääsu, inimressursse, füüsilist turvet, tarnijaid/allhanget, pilve, tehnoloogiat ja intsidentihaldust.

Kas kontrollimeetmed sisaldavad auditi juhiseid?

Jah, iga kontrollimeede sisaldab vastavat auditi metoodikat, audititõenduse nõudeid ja seoseid sertifitseerimissätetega.

Kuidas käsitlevad Zenithi kontrollimeetmed kolmandate osapoolte riski?

See kirjeldab tarnija elutsükli turvalisust, lepingulisi kohustusi, intsidentide käsitlemist ja auditeerimisõiguse tingimusi koos kontrollimeetmete kaardistusega.

Kas on olemas juhised regulatiivseks kaardistamiseks?

Jah. Iga kontrollimeede sisaldab ristvastavuse kaardistust, mis näitab audititõenduse seoseid EL-i, USA ja rahvusvaheliste õigusaktide ning standarditega.

Zenithi kontrollimeetmed

Ülevaade

Zenithi kontrollimeetmed on üksikasjalik teabekogum infoturbe kontrollimeetmetest, mis on kooskõlastatud peamiste ülemaailmsete raamistikega ning hõlmab juhtimise, füüsilise turbe, inimressursside, tehnoloogia, tarnijate ja arenduse valdkondi, koos kaardistatud auditi metoodika ja vastavusjuhistega, et toetada tõhusat juhtimist, rakendamist ja sertifitseerimist.

Põhjalik kontrollimeetmete kogu

Hõlmab juhtimise, tehnoloogia, inimressursside ja füüsilise turbe kontrollimeetmeid teabe kaitsmiseks algusest lõpuni.

Kaardistatud regulatiivsetele standarditele

Kaardistatud standarditele ISO/IEC 27001 ja 27002, NIST SP 800-53 Rev. 5, EL NIS2, DORA, GDPR ja COBIT 2019, et tagada tõendatud vastavuse katvus.

Operatiivse rakendamise juhised

Sisaldab üksikasjalikke seoseid teiste kontrollimeetmetega, rakendusmärkusi ja ristviiteid praktilistele riskistsenaariumidele.

Kolmandate osapoolte ja tarneahela turvalisus

Käsitleb tarnijalepinguid, pilve ja sisseostetud arendust koos näidisauditi kriteeriumide ja turbeklauslitega.

Riskijuhtimine algusest lõpuni

Seob riskide tuvastamise, riski käsitlemise, intsidentidele reageerimise ja pideva täiustamise ühtseks turberaamistikuks.

Auditivalmis kontrollimeetmete kaardistus

Iga kontrollimeede sisaldab audititõenduse nõudeid, ISO/NIST kaardistust ja metoodika ootusi sertifitseerimisauditite jaoks.

Integreeritud privaatsus ja turvalisus

Sisaldab isikuandmete käitlemist, andmete maskeerimist, andmete minimeerimist ja kustutamist privaatsusnõuete ning turbe parimate tavade jaoks.

Loe täielikku ülevaadet

Zenithi kontrollimeetmed pakuvad terviklikku, struktureeritud infoturbe kontrollimeetmete kogumit, mis on kooskõlastatud rahvusvaheliselt tunnustatud standarditega, et tagada tõhus juhtimine, riskijuhtimine ja vastavus. Hõlmates juhtimise, tehnoloogia, füüsilise turbe ja inimressursside valdkondi, kirjeldab juhend üksikuid kontrollimeetmeid, sh poliitikate haldus, rollide määratlemine, tarnijate järelevalve, varade register, kasutajate juurdepääsuhaldus, haavatavuste haldus, turvaline arendamine ja intsidentidele reageerimine, koos põhjalike ristviidetega ülemaailmsetele raamistikele nagu ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EL NIS2 direktiiv, EL DORA, EL GDPR ja COBIT 2019. Iga kogumi kontrollimeede on detailselt kirjeldatud, tuues välja operatiivsed omadused, riskieesmärgid, käsitletavad infoturbe omadused ning seosed teiste kontrollimeetmetega. Kontrollimeetmeid ei käsitleta eraldiseisvalt, vaid need on kaardistatud omavahel seotud juhtimise, tehnoloogia, tarnija ja arenduse stsenaariumide lõikes. Iga kontrollimeetmega kaasnevad praktilised rakendusmärkused, mida toetavad kokkuvõtlikud auditi metoodika ootused, mis kajastavad tänapäevaseid parimaid tavasid, sh intervjuud, dokumentatsiooni läbivaatamine, valimipõhine kontroll ja reaalajas stsenaariumitestid. Zenithi kontrollimeetmed käsitlevad kogu turbe elutsüklit: alates infoturbepoliitika loomisest ja juhtimisvastutustest, läbi identiteedi- ja juurdepääsuhalduse (juurdepääsuõigused, teabe piiramine ja autentimine), kuni turvalise projektiteostuse, muudatuste juhtimise ning tarnija (sh pilv ja sisseostetud arendus) kontrollimeetmeteni. Üksikasjalikult käsitletakse tehnilisi valdkondi nagu haavatavuste haldus, võrgu segmenteerimine ja isoleerimine, kontrollimeetmete baastase, turvaline süsteemiarhitektuur ja turvalise arendamise elutsükkel (SDLC), kuni varundussüsteemid ja dubleerimise planeerimiseni, logimiseni, seireni ning intsidentide käsitlemise ja pideva täiustamiseni. Andmekaitse ning privaatsuse ja turvalisuse kokkupuutepunkt on läbiv teema. Juhend integreerib praktikad lõimitud turvalisuse ja vaikimisi privaatsuse jaoks, andmete minimeerimise, andmete maskeerimise, testteabe kontrolli, õigeaegse kustutamise ja salvestusmeedia turvalise kõrvaldamise. Vajaduse korral on kontrollimeetmed seotud isikuandmete regulatiivse ristvastavusega, sh selged kaardistused GDPR-i ja ISO/IEC 27701/27018 nõuetega, pöörates erilist tähelepanu auditijälgedele, kasutajaõiguste teostamisele ning isikuandmete käitlemisele tarnija- ja pilvesuhetes. Kolmandate osapoolte ja tarneahela turvalisust käsitletakse samuti põhjalikult. Kontrollimeetmed kirjeldavad hoolsuskontrolli, lepinguklausleid, auditeerimisõigusi, intsidentidest teavitamise nõudeid ja turvalise arendamise tavasid välissuhete jaoks. Antakse juhised kogu kolmanda osapoole elutsükli haldamiseks, sh andmevahetus, pilvevastutused ning tagamine, et tarnija hallatavad keskkonnad on kooskõlas organisatsiooni riski- ja vastavusvajadustega. Kõigi kontrollimeetmete lõikes pakuvad Zenithi kontrollimeetmed näidiskaardistustabeleid regulatiivsetele sätetele, soovitavad auditivalmiduse ja operatiivse valmisoleku jaoks audititõendust ja võtmetulemusnäitajaid (KPI-d) ning kooskõlastavad praktikad tänapäevaste raamistike ja tööstustrendidega, muutes selle asendamatuks ressursiks organisatsioonidele, kes soovivad rakendada parimate tavade turvalisust, täita mitme jurisdiktsiooni vastavusvajadusi ja anda sidusrühmadele kindlust oma riskipositsiooni osas.

Sisu

Täielik loetelu 5.x–8.x kontrollimeetmetest (juhtimine, inimressursside kontrollid, füüsilised kontrollimeetmed, tehnilised kontrollimeetmed)

Üksikasjalikud ristviited: ISO/IEC 27001, 27002, NIST SP 800-53, EL NIS2, DORA, GDPR, COBIT

Kontrollimeetmepõhine auditi metoodika ja audititõenduse kriteeriumid

DevOps-i, tarnija- ja pilvekeskkondade testimise ja aktsepteerimise nõuded

Andmekaitse, privaatsus ja kustutamise praktikad

Pidev täiustamine ja intsidentidele reageerimise integratsioon

Raamistik	Kaetud klauslid / Kontrollid
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Raamistik

Kaetud klauslid / Kontrollid

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Seotud poliitikad

Infoturbepoliitika

Kehtestab organisatsiooni infoturbepoliitikad juhtimise alusena.

Juhtimise rollide ja vastutuste poliitika

Määratleb volitused ja aruandekohustuse infoturbe kontrollimeetmete väljatöötamisel, heakskiitmisel ja jõustamisel.

Tippjuhtkonna kohustused

Määrab tippjuhtkonna kohustuse ISMS-i järelevalveks, poliitika rakendamiseks ja vastavuse tagamiseks.

Suhtlus välisasutustega

Tagab, et organisatsioonid hoiavad suhteid ja protokolle õigeaegseks suhtluseks väliste asutustega.

Osalemine turbekogukondades

Edendab osalemist turbekogukondades, et saada kasu jagatud teadmistest, võrdlusanalüüsist ja ohuteabest.

Claryseci poliitikate kohta - Zenithi kontrollimeetmed

See raamat on välitöödes testitud käsiraamat audiitoritele, infoturbejuhtidele ja vastavusjuhtidele, kes soovivad operatiivset kontrolli, mitte teoreetilisi kontrollnimekirju. Iga kontrollimeede on jaotatud nii, et seda saab otse kaardistada standarditele ISO 27001:2022, NIS2, DORA, GDPR ja NIST, näidates täpselt, mida audiitorid ootavad ja milline audititõendus tegelikult loeb. Saate rakendatavad ristviited, rollipõhised määramised ja sättepõhised jaotused, mis on loodud praktilise infoturbe juhtimissüsteemi (ISMS) rakendamiseks, auditiks ettevalmistamiseks ja pidevaks täiustamiseks. Ei mingit täitematerjali ega ebaselgust — ainult hädavajalikud juhised ja tööriistad, mida vajate vastavuslünkade sulgemiseks ja oma ettevõtte kaitsmiseks.

Põhjalikud auditi- ja audititõenduse juhised

Pakub iga kontrollimeetme jaoks selgesõnalist auditi metoodikat ja näidisaudititõendust, toetades siseauditeid, välisauditeid ja sertifitseerimisauditeid.

Kontrollimeetmete üksikasjalikud seosed

Kaardistab praktilised kontrollimeetmete seosed, aidates organisatsioonidel mõista turbesõltuvusi juhtimise, tehnoloogia ja operatsioonide lõikes.

Ajakohased regulatiivsed kaardistused

Pakub uusimat ristvastavuse kaardistust kõigi peamiste raamistikega, lihtsustades sertifitseerimist, enesehindamist ja regulatiivset aruandlust.

Tarnija- ja allhanketurbe katvus

Käsitleb põhjalikult lepingulisi, seire- ja auditinõudeid tarnija- ja allhanketurbe riskijuhtimiseks.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

IT Turvalisus Vastavus Audit ja nõuetele vastavus Juhtimine

🏷️ Temaatiline katvus

Juurdepääsukontroll Identiteedihaldus autentimise haldus privilegeeritud juurdepääsu haldus