Mitkä vaatimustenmukaisuusviitekehykset sisältyvät?

Zenith Suite kartoittuu suoraan ISO/IEC 27001:2022 -standardiin, GDPR:ään, NIS2:een, DORA:an, NIST SP 800-53 Rev. 5:een, COBIT 2019:ään ja niihin liittyviin standardeihin.

Soveltuvatko pk-yrityspolitiikat organisaatioille ilman omaa IT-tiimiä?

Kyllä. Pk-yrityspolitiikkakokonaisuudet on mukautettu toimitusjohtajavetoisiin rakenteisiin ja liiketoimintatiimeille, ja ne sopivat organisaatioille, joilta puuttuu tietoturvajohtaja (CISO) tai tietoturvaoperaatiokeskus (SOC).

Sisältääkö kokonaisuus auditointityökaluja ja näyttömalleja?

Kyllä. Kokonaisuus tarjoaa yksityiskohtaisen auditointimenetelmän, esimerkkiauditointinäytön sekä asiakirjamallit täyteen auditointivalmiuteen.

Miten toimittaja- ja pilviriskejä hallitaan?

Toimittaja- ja pilvitietoturvakontrollit sisältävät kattavan elinkaaren hallinnan, sopimuslausekkeet sekä poikkeamien käsittelyn.

Voidaanko politiikkoja skaalata ja räätälöidä kasvua varten?

Kyllä. Politiikat on suunniteltu skaalautuviksi, ja ne tukevat sujuvia siirtymiä pk-yritys- ja yritystason toimintamallien välillä.

Zenith Suite - Clarysec

Yleiskatsaus

Zenith Suite yhdistää kaksiosaisen pk-yritys- ja yritystason politiikkakirjaston, pääkontrollikartoituksen ja vaiheittaisen ISMS-tiekartan täydelliseen, auditointivalmiiseen vaatimustenmukaisuuteen ISO 27001-, GDPR-, NIS2-, DORA-, NIST- ja COBIT-viitekehysten osalta.

Kaikki yhdessä -vaatimustenmukaisuuskattavuus

Kattaa kaikki keskeiset viitekehykset, ISO 27001, GDPR, NIS2, DORA, NIST ja COBIT, varmistaen saumattoman auditointiyhdenmukaisuuden.

Kaksiosainen politiikkakirjasto

Sisältää sekä pk-yritys- että yritystason politiikkakokonaisuudet, jotka tukevat mitä tahansa organisaatiorakennetta tai kokoa.

Asiantuntijan ohjaama käyttöönotto

Seuraa Zenith Blueprintin 30-vaiheista tiekarttaa, jonka on laatinut johtava auditoija, onnistuneeseen tietoturvallisuuden hallintajärjestelmän käyttöönottoon.

539-sivuinen kontrolliviite

Yksityiskohtainen kontrollikohtainen kartoitus operatiivista ja auditointivalmiutta varten, sisältäen näytön ja menetelmät.

Lue koko yleiskatsaus

Zenith Suite on lippulaiva, päästä päähän -GRC-ratkaisu organisaatioille, jotka pyrkivät saavuttamaan ja ylläpitämään vahvaa kyberturvallisuutta ja sääntelyvaatimusten noudattamista. Se yhdistää täydellisen pk-yritys- ja yritystason politiikkakirjaston, Zenith Controls -päätyökalupakin sekä kattavan Zenith Blueprint -tiekartan ja tarjoaa kaikki olennaiset osat strategiseen suunnitteluun, hallintotapaan, operatiiviseen varmistukseen ja jatkuvaan parantamiseen. Politiikkakirjasto sisältää sekä pk-yrityskohtaiset politiikat (P01S–P37S) että yritystason asiakirjat (P01–P37), yhteensä 74 yksilöllisesti kartoitettua, auditointivalmista politiikkaa. Pk-yrityskokonaisuus, joka tunnistetaan asiakirjanumeroiden "S"-merkinnästä ja toimitusjohtajaroolille tehdyistä vastuumäärityksistä, on räätälöity pienille ja keskisuurille yrityksille, joilla on yksinkertaistetut rakenteet, vähän erikoistunutta IT:tä ja selkeät vastuut kartoitettuna johtajille ja tiimeille. Nämä politiikat toimeenpanevat käytännöllisiä hallintakeinoja turvallisuuden, tietosuojan, IT:n ja operaatioiden alueilla, ja ne sisältävät vuosittaiset katselmointivaatimukset, versionhallinnan sekä dokumentoidun poikkeusten käsittelyn auditoijan tarkastelua varten. Yritystason politiikat puolestaan käsittelevät säädellyille ja suurille organisaatioille tyypillistä monimutkaisuutta ja poikkitoiminnallisia vastuita, ja ne sisällyttävät edistyneen hallintotavan, auditoinnin, lain, riskin, hankinnan ja tekniset osa-alueet suorilla kartoituksilla sekä CAPA-integraatiolla. Zenith Controls -työkalupakki on auktoritatiivinen 539-sivuinen kooste, joka tuo huolellisen kontrollikohtaisen kartoituksen ISO 27001:2022 -standardista NIS2:een, DORA:an, GDPR:ään, NIST:iin ja COBIT:iin. Se kattaa hallintotavan, teknologiset, henkilöstöön liittyvät ja fyysiset hallintakeinot sekä täydellisen auditointimenetelmän, näyttövaatimukset ja käyttöönotto-ohjeistuksen. Työkalupakki erottuu yksityiskohtaisilla ristiviittauksilla: jokainen hallintakeino kuvataan operatiivisin termein, linkitetään relevantteihin lausekkeisiin ja tuetaan käytännön huomioilla auditointinäytön keruuseen, toimittajahallintaan, pilvivalvontaan ja sisäänrakennettuun tietoturvaan. Se mahdollistaa selkeiden ja puolustettavien vaatimustenmukaisuuskertomusten valmistelun auditointeja ja sääntelyvuoropuhelua varten. Zenith Blueprint ohjaa organisaatioita suunnittelusta toteutukseen tarjoamalla 30-vaiheisen tiekartan, joka on linjassa koko ISMS-elinkaaren kanssa: soveltamisalan määrittely, johdon sitoutuminen, riskienhallinta, hallintakeinojen operatiivinen käyttöönotto, sisäiset tarkastukset ja jatkuva parantaminen. Kokeneen johtavan auditoijan laatima opas integroi ISO/IEC 27001-, NIS2-, DORA-, GDPR- ja NIST-vaatimukset yhdeksi vaiheittaiseksi toimintajärjestelmäksi ja tarjoaa käytännöllisiä malleja, tarkistuslistoja, raportointirakenteita sekä johdon katselmuksen esimerkkejä. Jokainen vaihe kontekstianalyysistä ja sidosryhmäkartoituksesta riskirekisteriin, soveltuvuuslausuntoon (SoA), teknologisiin ja fyysisiin hallintakeinoihin sekä korjaavien toimenpiteiden prosesseihin sisältää viitekehysten välisen kartoituksen monen lainkäyttöalueen vaatimustenmukaisuutta varten. Zenith Suiten todellinen vahvuus on sen integroitu ja skaalautuva rakenne. Sekä pk-yritys- että yritystason politiikkakokonaisuuksia voidaan käyttää itsenäisesti tai yhdistää organisaatioissa, joilla on erilaisia toimintamalleja. Kokonaisuus sopii organisaatioille, jotka haluavat virtaviivaistaa vaatimustenmukaisuutta myös ilman omistautuneita IT-tiimejä hyödyntämällä toimitusjohtajille ja yksinkertaisille roolirakenteille kehitettyjä pk-yritysasiakirjoja, tai yrityksille, jotka käyvät läpi monimutkaisia sääntelyauditointeja ja osastojen välistä yhteistyötä. Kaikki dokumentaatio on tiukasti kartoitettu viitekehyksiin, mikä mahdollistaa nopean räätälöinnin ja saumattoman siirtymän organisaation kasvaessa, uudelleenjärjestäytyessä tai yhdistäessä yksiköitä. Rakennettiinpa ISMS alusta tai kypsytettiin olemassa olevaa hallintatapaa, Zenith Suite tarjoaa selkeyttä, auditointivalmiutta ja operatiivista kattavuutta kaikilla turvallisuuden, tietosuojan, toimittajien, IT:n ja lain osa-alueilla.

Sisältö

Täysi pk-yritys- ja yritystason politiikkayhdistelmä (74 auditointivalmista asiakirjaa)

Zenith Controls — pääkontrollikartoitustyökalupakki

Zenith Blueprint — 30-vaiheinen ISMS-tiekartta

Kartoitettu auditointimenetelmä ja mallit

Rooli- ja vastuumatriisi

Pääsynhallinta- ja muutoksenhallintamenettelyt

Toimittaja- ja kolmannen osapuolen testauskriteerit

Tietoturvapoikkeamiin reagointi- ja näytön käsittelymoduulit

Tietosuoja- ja tietosuojasäännöt

Kehys	Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022	Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23 CA-1, CA-2, CA-3, CA-5, CA-7, CA-9 AU-2, AU-6, AU-8, AU-9, AU-12 SI-2, SI-3, SI-4, SI-10 IR-1, IR-4, IR-5, IR-6, IR-8, IR-9 RA-3, RA-5 AC-1–AC-20 PS-2, PS-3, PS-4, PS-5, PS-6, PS-7 MP-2–MP-7 CM-2, CM-3, CM-4, CM-5, CM-6, CM-8 PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16 MA-1–MA-3 CP-1, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10 DM-2 UL-4 AR-4 PT-2, PT-3 SA-3, SA-4, SA-9, SA-9(5), SA-10, SA-11, SA-15 SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, SC-32, SC-45 SI-12 SR-3, SR-5
EU NIS2	Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II
EU DORA	Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A
EU GDPR	Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06
ISO 31000:2018	Leadership commitmentRisk management principlesContinuous improvement
ISO/IEC 27005:2024	Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
ISO 22301:2019	Business Continuity Management SystemBusiness Impact AnalysisRequirements

Kehys

Katetut lausekkeet / Kontrollit

ISO/IEC 27001:2022

Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

EU NIS2

Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II

EU DORA

Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A

EU GDPR

Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

ISO 31000:2018

Leadership commitmentRisk management principlesContinuous improvement

ISO/IEC 27005:2024

Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review

ISO 22301:2019

Business Continuity Management SystemBusiness Impact AnalysisRequirements

Liittyvät käytännöt

Pääsynhallintapolitiikka

Tämä politiikka määrittää, miten organisaatio hallitsee pääsyä järjestelmiin, tietoihin ja toimitiloihin varmistaakseen, että vain valtuutetut henkilöt voivat käyttää tietoja liiketoiminnan tarpeen perusteella.

Tietoturvapoikkeamiin reagoinnin politiikka (P30)

Tämä politiikka määrittää, miten organisaatio havaitsee, raportoi ja reagoi tietoturvapoikkeamiin, jotka vaikuttavat digitaalisiin järjestelmiin, tietoihin tai palveluihin.

Tietosuoja- ja tietosuojapolitiikka

Tämä politiikka määrittää, miten organisaatio suojaa henkilötietoja lakisääteisten velvoitteiden, sääntelyviitekehysten ja kansainvälisten tietoturvastandardien mukaisesti.

Kolmannen osapuolen ja toimittajien tietoturvapolitiikka

Tämä politiikka määrittää pakolliset tietoturvavaatimukset kolmansien osapuolten ja toimittajien kanssa tehtävien suhteiden aloittamiseen, hallintaan ja päättämiseen.

Liiketoiminnan jatkuvuus- ja katastrofipalautuspolitiikka

Tämä politiikka varmistaa, että organisaatio voi ylläpitää liiketoimintatoimintoja ja palauttaa olennaiset IT-palvelut häiriötilanteiden aikana ja niiden jälkeen.

Tietoa Clarysecin käytännöistä - Zenith Suite

Zenith Suite on kattava GRC-työkalukokonaisuus, joka on suunniteltu virtaviivaistamaan ja vahvistamaan organisaation turvallisuutta, vaatimustenmukaisuutta ja auditointivalmiutta. Se integroi kaksiosaisen politiikkakirjaston, joka soveltuu sekä pk-yrityksille että yrityksille, pääkontrollikartoitustyökalupakin sekä vaiheittaisen käyttöönoton tiekartan, jonka ovat laatineet tunnustetut asiantuntijat. Jokainen asiakirja ja työkalu kokonaisuudessa on kartoitettu todellisiin hallintakeinoihin ja sääntelylausekkeisiin, mikä mahdollistaa selkeän ja puolustettavan näytön sisäisiä ja sertifiointiauditointeja varten. Kokonaisuuden skaalautuva arkkitehtuuri mahdollistaa organisaatioiden helpon siirtymisen kasvaessa, uudelleenjärjestäytyessä tai yhdistyessä ilman vaatimustenmukaisuuden eheyden heikkenemistä. Molemmat politiikkakokonaisuudet ovat toimeenpantavissa ja mukautettavissa toimitusjohtajille, johtajille tai poikkitoiminnallisille tiimeille — sopien organisaatioille, joilla on tai ei ole erikoistuneita IT-resursseja. Zenith Suite tukee kattavaa hallintotavan, IT:n, tietosuojan, toimittajahallinnan sekä teknologisten, fyysisten ja operatiivisten hallintakeinojen kattavuutta, ja sitä päivitetään säännöllisesti vastaamaan kehittyviä standardeja ja alan parhaita käytäntöjä.

Välittömät, auditointivalmiit asiakirjat

Käytä 74 täysin kartoitettua, käyttöön valmista politiikkamallia välittömään operatiiviseen vaatimustenmukaisuuteen.

Rooliohjattu vastuuvelvollisuus

Pk-yrityspolitiikat osoittavat selkeät vastuut ei-IT-rakenteille; yritystason asiakirjat hallitsevat monimutkaisia tiimejä.

Sääntelykartoituksen syvyys

Jokainen politiikka, hallintakeino ja malli kartoittuu täsmällisesti relevantteihin sääntelyihin, mikä yksinkertaistaa auditointeja ja sertifiointia.

Toimittaja- ja pilvitietoturvakontrollit

Toimeenpanee sopimusstandardit ja elinkaaren hallinnan ulkoisissa toimittajissa ja pilviympäristöissä.

Skaalautuu kaikenkokoisille organisaatioille

Yhdistä ja räätälöi pk-yritys- ja yritystason kokonaisuudet startupeille, pk-yrityksille tai monimutkaisille monikansallisille organisaatioille.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zenith Suite