Mihin viitekehyksiin Zenith-kontrollit on linjattu?

Se on kartoitettu ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 ja muihin.

Mitä tietoturvan osa-alueita katetaan?

Kontrollit kattavat hallintotavan, operatiivisen toiminnan, pääsynhallinnan, henkilöstön, fyysisen turvallisuuden, toimittajat/ulkoistuksen, pilven, teknologian sekä poikkeamien hallinnan.

Sisältävätkö kontrollit auditointiohjeistusta?

Kyllä, jokainen kontrolli sisältää vastaavan auditointimenetelmän, näyttövaatimukset ja linkitykset sertifiointilausekkeisiin.

Miten Zenith-kontrollit käsittelevät kolmannen osapuolen riskiä?

Se kuvaa toimittajan elinkaaren tietoturvan, sopimusvelvoitteet, poikkeamien käsittelyn sekä tarkastusoikeudet kontrollikartoituksineen.

Onko mukana ohjeistusosiot sääntelykartoitusta varten?

Kyllä. Jokainen kontrolli sisältää viitekehysten välisen vaatimustenmukaisuuskartoituksen, joka näyttää näyttölinkitykset EU-, Yhdysvaltain ja kansainvälisiin säädöksiin ja standardeihin.

Zenith-kontrollit

Yleiskatsaus

Zenith-kontrollit on yksityiskohtainen viitekokonaisuus tietoturvakontrolleista, joka on linjassa keskeisten globaalien viitekehysten kanssa. Se kattaa hallintotavan, fyysiset, henkilöstöön liittyvät, teknologiset, toimittaja- ja kehitysalueet sekä sisältää kartoitettua auditointimenetelmä- ja vaatimustenmukaisuusohjeistusta tehokkaan hallinnan, toteutuksen ja sertifioinnin tueksi.

Kattava kontrollikirjasto

Kattaa hallintotavan, teknologiset hallintakeinot, henkilöstöön liittyvät hallintakeinot ja fyysiset hallintakeinot päästä päähän -tiedonsuojaukseen.

Kartoitettu sääntely- ja standardivaatimuksiin

Kartoitettu ISO/IEC 27001 & 27002, NIST SP 800-53 Rev.5, EU NIS2, DORA, GDPR ja COBIT 2019 -viitekehyksiin todistetun vaatimustenmukaisuuskattavuuden varmistamiseksi.

Operatiiviset toteutusohjeet

Sisältää yksityiskohtaiset kytkennät muihin kontrolleihin, toteutusmuistiinpanot ja viittaukset käytännön riskiskenaarioihin.

Kolmansien osapuolten ja toimitusketjun tietoturva

Käsittelee toimittajasopimuksia, pilviympäristöjä ja ulkoistettua kehitystä esimerkkiauditointikriteereillä ja tietoturvalausekkeilla.

Päästä päähän -riskienhallinta

Yhdistää riskien tunnistamisen, riskien käsittelyn, tietoturvapoikkeamiin reagoinnin ja jatkuvan parantamisen yhtenäiseen tietoturvakehykseen.

Auditointivalmis kontrollikartoitus

Jokainen kontrolli sisältää auditointinäytön vaatimukset, ISO/NIST-kartoituksen ja menetelmäodotukset sertifiointiauditointeja varten.

Integroitu tietosuoja ja tietoturva

Sisällyttää henkilötietojen käsittelyn, tietojen peittämisen, tietojen minimoinnin ja poistamisen tietosuojasääntelyä ja tietoturvan parhaita käytäntöjä varten.

Lue koko yleiskatsaus

Zenith-kontrollit tarjoaa kattavan, jäsennellyn kokonaisuuden tietoturvakontrolleja, jotka on linjattu kansainvälisesti tunnustettuihin standardeihin tehokasta hallintotapaa, riskienhallintaa ja vaatimustenmukaisuutta varten. Opas kattaa hallintotavan, teknologian, fyysisen turvallisuuden ja henkilöstön osa-alueet ja kuvaa yksittäiset kontrollit, mukaan lukien politiikkojen elinkaaren hallinta, roolien määrittely, toimittajien valvonta, omaisuusluettelo, käyttäjien käyttöoikeuksien hallinta, haavoittuvuuksien hallinta, turvallinen kehittäminen ja tietoturvapoikkeamiin reagointi, sekä sisältää syvälliset viittaukset globaaleihin viitekehyksiin, kuten ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2 -direktiivi, EU DORA, EU GDPR ja COBIT 2019. Jokainen kokonaisuuden kontrolli on kuvattu huolellisesti: operatiiviset ominaisuudet, riskitavoitteet, käsitellyt tietoturvaominaisuudet sekä suhteet muihin kontrolleihin. Kontrolleja ei tarkastella erillisinä, vaan ne on kartoitettu toisiinsa kytkeytyvien hallintotapa-, teknologia-, toimittaja- ja kehitysskenaarioiden yli. Käytännön toteutusmuistiinpanot täydentävät jokaista kontrollia, ja niitä tukevat tiivistetyt auditointimenetelmäodotukset, jotka heijastavat nykyisiä parhaita käytäntöjä, mukaan lukien haastattelut, dokumentaation katselmointi, otanta ja live-skenaariotestit. Zenith-kontrollit käsittelee koko tietoturvan elinkaaren: tietoturvapolitiikan laatimisesta ja hallintovastuista identiteetin- ja pääsynhallinta (IAM) -kokonaisuuteen (etuudet, tiedon rajoittaminen ja todennus), aina tietoturvalliseen projektitoimitukseen, muutoksenhallinta -käytäntöihin ja toimittajakontrolleihin (mukaan lukien pilvi ja ulkoistettu kehitys). Yksityiskohtaista huomiota annetaan teknisille osa-alueille, kuten haavoittuvuuksien hallintaan, verkon segmentointiin ja eristämiseen, kontrollien perustasoon, turvalliseen järjestelmäarkkitehtuuriin ja Secure Development Life Cycleen (SDLC) sekä varmuuskopiointijärjestelmiin ja redundanssisuunnitteluun, lokitukseen, seurantaan sekä tietoturvapoikkeamien käsittelyyn ja jatkuvaan parantamiseen. Tietosuoja ja tietosuojan ja tietoturvan rajapinta ovat toistuvia teemoja. Opas integroi käytännöt sisäänrakennettu tietoturva -periaatteelle, tietojen minimoinnille, tietojen peittämiselle, testitietojen hallinnalle, oikea-aikaiselle poistamiselle ja tallennusvälineiden turvalliselle hävittämiselle. Soveltuvin osin kontrollit linkitetään henkilötietojen vaatimustenmukaisuuteen, mukaan lukien selkeät kartoitukset GDPR- ja ISO/IEC 27701/27018 -vaatimuksiin, ja erityinen huomio kohdistuu tarkastusjälkiin, käyttäjien oikeuksien toteuttamiseen sekä henkilötietojen käsittelyyn toimittaja- ja pilvisuhteissa. Kolmansien osapuolten ja toimitusketjun tietoturvaa käsitellään myös kattavasti. Kontrollit kuvaavat toimittajahuolellisuusarvioinnin, sopimuslausekkeet, tarkastusoikeudet, poikkeamien ilmoitusmääräajat sekä ulkoisten suhteiden turvallinen kehittäminen -käytännöt. Ohjeistus kattaa koko kolmannen osapuolen elinkaaren hallinnan, mukaan lukien tiedonvaihto, pilvivastuut ja sen varmistaminen, että toimittajan hallinnoimat ympäristöt ovat linjassa organisaation riski- ja vaatimustenmukaisuustarpeiden kanssa. Kaikkien kontrollien osalta Zenith-kontrollit tarjoaa esimerkkikartoitustaulukot sääntelylausekkeisiin, ehdottaa näyttöä ja keskeisiä suorituskykymittareita (KPI) operatiivista ja auditointivalmiutta varten sekä linjaa käytännöt nykyisiin viitekehyksiin ja alan trendeihin. Tämä tekee siitä keskeisen resurssin organisaatioille, jotka haluavat operationalisoida parhaiden käytäntöjen mukaisen tietoturvan, täyttää monialueiset vaatimustenmukaisuustarpeet ja varmistaa sidosryhmille riskiasemansa.

Sisältö

Täysi luettelo 5.x–8.x kontrolleista (hallintotapa, henkilöstö, fyysiset, teknologiset)

Yksityiskohtaiset ristiinviittaukset: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Kontrollikohtainen auditointimenetelmä ja näyttökriteerit

DevOps-, toimittaja- ja pilviympäristöjen testaus- ja hyväksyntävaatimukset

Tietosuoja, tietosuoja- ja poistamiskäytännöt

Jatkuva parantaminen ja tietoturvapoikkeamiin reagointi -integraatio

Kehys	Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Kehys

Katetut lausekkeet / Kontrollit

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Liittyvät käytännöt

P01 Tietoturvapolitiikka

Määrittää organisaation tietoturvapolitiikat hallintotavan perustaksi.

Rooli- ja vastuupolitiikka hallintotapaa varten

Määrittää vastuuvelvollisuuden tietoturvakontrollien kehittämisestä, hyväksymisestä ja täytäntöönpanosta.

Ylin johto -vastuut

Määrittää ylimmän johdon velvollisuudet tietoturvallisuuden hallintajärjestelmä -valvonnalle, politiikkojen toimeenpanolle ja vaatimustenmukaisuuden varmistamiselle.

Yhteydet viranomaisiin

Varmistaa, että organisaatiot ylläpitävät suhteita ja protokollia oikea-aikaista yhteydenpitoa varten viranomais- ja velvollisuustahoihin.

Yhteydet tietoturvayhteisöihin

Edistää osallistumista tietoturvayhteisöihin ja hyötyä jaetusta tiedosta, vertailuarvioinnista ja uhkatiedustelusta.

Tietoa Clarysecin käytännöistä - Zenith-kontrollit

Tämä kirja on kentällä testattu käsikirja auditoijille, tietoturvajohtaja (CISO) -roolissa toimiville ja vaatimustenmukaisuusvastaaville, jotka haluavat operatiivista ohjausta, eivät teoreettisia tarkistuslistoja. Jokainen kontrolli on purettu suoraa kartoitusta varten ISO 27001:2022-, NIS2-, DORA-, GDPR- ja NIST-vaatimuksiin, ja se näyttää täsmällisesti, mitä auditoijat odottavat ja millä auditointinäytöllä on merkitystä. Saat käytännön ristiinviittaukset, roolikohtaiset vastuutukset ja lauseketason erittelyt, jotka on suunniteltu käytännön tietoturvallisuuden hallintajärjestelmä -toteutukseen, auditointivalmiuteen ja jatkuvaan parantamiseen. Ei täytettä, ei epäselvyyttä – vain olennainen ohjeistus ja työkalut, joita tarvitset vaatimustenmukaisuusaukkojen sulkemiseen ja liiketoiminnan puolustamiseen.

Laaja auditointi- ja näyttöohjeistus

Tarjoaa eksplisiittisen auditointimenetelmän ja esimerkkiauditointinäytön jokaiselle kontrollille, tukien sisäisiä, ulkoisia ja sertifiointiauditointeja.

Yksityiskohtaiset kontrollien keskinäiset suhteet

Kartoittaa käytännön kontrollisuhteet ja auttaa organisaatioita ymmärtämään tietoturvariippuvuudet hallintotavan, teknologian ja operatiivisen toiminnan välillä.

Ajantasaiset sääntelykartoitukset

Tarjoaa uusimmat viitekehysten väliset vaatimustenmukaisuuskartoitukset keskeisiin viitekehyksiin, helpottaen sertifiointia, itsearviointia ja sääntelyraportointia.

Toimittaja- ja ulkoistustietoturvan kattavuus

Käsittelee kattavasti sopimus-, seuranta- ja auditointivaatimukset toimittaja- ja ulkoistustietoturvariskien hallintaan.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT-toiminnot Tietoturva Vaatimustenmukaisuus Sisäinen tarkastus hallintotapa

🏷️ Aiheen kattavuus

pääsynhallinta Identiteetinhallinta todentamisen hallinta etuoikeutetun pääsyn hallinta