S kojim se okvirima Kontrole Zenith usklađuje?

Mapirano je na ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 i druge.

Koja su područja sigurnosti obuhvaćena?

Kontrole obuhvaćaju upravljanje, operacije, kontrolu pristupa, kontrole osoblja, fizičku sigurnost, dobavljače/izdvajanje usluga, oblak, tehnološke domene i upravljanje incidentima.

Uključuju li kontrole smjernice za reviziju?

Da, svaka kontrola uključuje odgovarajuću metodologiju revizije, zahtjeve za revizijske dokaze i poveznice na certifikacijske odredbe.

Kako Kontrole Zenith obrađuje rizik trećih strana?

Detaljno opisuje sigurnost životnog ciklusa dobavljača, ugovorne obveze, postupanje s incidentima i odredbe o pravu na reviziju uz mapiranje kontrola.

Postoje li odjeljci sa smjernicama za regulatorno mapiranje?

Da. Svaka kontrola uključuje mapiranje unakrsne usklađenosti, prikazujući poveznice na dokaze za EU, SAD i međunarodne propise i standarde.

Kontrole Zenith - Clarysec

Pregled

Kontrole Zenith je detaljan referentni skup kontrola informacijske sigurnosti usklađen s glavnim globalnim okvirima, koji obuhvaća upravljanje, fizičke, kontrole osoblja, tehnološke, dobavljačke i razvojne domene, uz mapiranu metodologiju revizije i smjernice za usklađenost radi podrške učinkovitom upravljanju, implementaciji i certifikaciji.

Sveobuhvatna knjižnica kontrola

Obuhvaća upravljanje, tehnološke kontrole, kontrole osoblja i fizičke kontrole za zaštitu informacija od početka do kraja.

Mapirano na regulatorne standarde

Mapirano na ISO/IEC 27001 i 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR i COBIT 2019 za dokazani obuhvat usklađenosti.

Smjernice za operativnu implementaciju

Sadrži detaljne poveznice na druge kontrole, napomene o implementaciji i unakrsne reference na praktične scenarije rizika.

Sigurnost trećih strana i opskrbnog lanca

Obrađuje ugovore s dobavljačima, oblak i vanjski ugovorene usluge razvoja uz primjere kriterija revizije i sigurnosnih klauzula.

Upravljanje rizicima od početka do kraja

Povezuje identifikaciju rizika, obradu rizika, odgovor na incidente i kontinuirano poboljšanje u jedinstvenom sigurnosnom okviru.

Mapiranje kontrola spremno za reviziju

Svaka kontrola uključuje zahtjeve za revizijske dokaze, ISO/NIST mapiranje i očekivanja metodologije za certifikacijske revizije.

Integrirana privatnost i sigurnost

Uključuje postupanje s PII, maskiranje podataka, minimizaciju i brisanje za propise o privatnosti i najbolje sigurnosne prakse.

Pročitaj cijeli pregled

Kontrole Zenith pruža sveobuhvatan, strukturiran skup kontrola informacijske sigurnosti usklađen s međunarodno priznatim standardima za učinkovito upravljanje, upravljanje rizicima i usklađenost. Obuhvaćajući domene upravljanja, tehnološke, fizičke i kontrole osoblja, vodič detaljno opisuje pojedinačne kontrole, uključujući upravljanje životnim ciklusom politika, definiranje i dokumentiranje uloga, pravni nadzor dobavljača, popis imovine, upravljanje korisničkim pristupom, upravljanje ranjivostima, siguran razvoj i odgovor na incidente, uz detaljne unakrsne reference na globalne okvire kao što su ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2 direktiva, EU DORA, EU GDPR i COBIT 2019. Svaka kontrola u skupu je detaljno opisana, prikazujući operativna obilježja, ciljeve rizika, svojstva informacijske sigurnosti koja se adresiraju te odnose s drugim kontrolama. Kontrole se ne promatraju izolirano, već su mapirane kroz međusobno povezane scenarije upravljanja, tehnologije, dobavljača i razvoja. Praktične napomene o implementaciji prate svaku kontrolu, uz sažeta očekivanja metodologije revizije koja odražavaju trenutačne najbolje prakse, uključujući intervjue, pregled dokumentacije, uzorkovanje i testove scenarija uživo. Kontrole Zenith posebno obrađuje puni sigurnosni životni ciklus: od izrade i upravljanja politikama informacijske sigurnosti i odgovornosti upravljanja, preko upravljanja pristupom i upravljanja identitetom i pristupom (IAM) (kroz privilegije pristupa, ograničavanje informacija i autentifikaciju), do sigurne isporuke projekata, upravljanja promjenama i kontrole dobavljača (uključujući oblak i vanjski ugovorene usluge razvoja). Detaljna pozornost posvećena je tehničkim domenama kao što su upravljanje ranjivostima, segmentacija mreže, polazna osnova kontrola konfiguracije, sigurna arhitektura sustava i životni ciklusi razvoja sustava, sve do planiranja sustava za sigurnosno kopiranje i redundanciju, revizijsko bilježenje, praćenje i postupanje s incidentima te kontinuirano poboljšanje. Zaštita podataka i presjek privatnosti i sigurnosti ponavljajuća su tema. Vodič integrira prakse za privatnost po dizajnu/zadano, minimizaciju podataka, maskiranje, kontrolu testnih informacija, pravodobno brisanje i sigurno zbrinjavanje medija za pohranu. Gdje je primjenjivo, kontrole su povezane s unakrsnom regulatornom usklađenošću za osobne podatke, uključujući jasna mapiranja na zahtjeve GDPR-a i ISO/IEC 27701/27018, uz posebnu pozornost na revizijske tragove, ostvarivanje prava korisnika i postupanje s PII u odnosima s dobavljačima i u oblaku. Sigurnost trećih strana i opskrbnog lanca također je obrađena sveobuhvatno. Kontrole detaljno opisuju dubinsku analizu dobavljača, ugovorne klauzule, prava na reviziju, zahtjeve za obavješćivanje o incidentima i prakse sigurnog razvoja za vanjske odnose. Smjernice su dane za upravljanje punim životnim ciklusom trećih strana, uključujući razmjenu podataka, odgovornosti u oblaku i osiguravanje da okruženja kojima upravljaju dobavljači budu usklađena s potrebama organizacije u pogledu rizika i usklađenosti. Kroz sve kontrole, Kontrole Zenith pruža primjere tablica mapiranja na regulatorne odredbe, predlaže dokaze i ključne pokazatelje uspješnosti (KPI) za operativnu spremnost i spremnost za reviziju te usklađuje prakse s trenutačnim okvirima i industrijskim trendovima, čineći ga ključnim resursom za organizacije koje žele operacionalizirati najbolje prakse sigurnosti, zadovoljiti potrebe usklađenosti u više jurisdikcija i pružiti dionicima uvjerenje o svom profilu rizika.

Sadržaj

Potpuni popis kontrola 5.x–8.x (upravljanje, kontrole osoblja, fizičke, tehnološke)

Detaljne unakrsne reference: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Metodologija revizije i kriteriji dokaza specifični za kontrolu

Zahtjevi za testiranje i prihvaćanje za DevOps, dobavljače i okruženja u oblaku

Zaštita podataka, privatnost i prakse brisanja

Integracija kontinuiranog poboljšanja i odgovora na incidente

Okvir	Pokrivene klauzule / Kontrole
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Okvir

Pokrivene klauzule / Kontrole

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Povezane politike

Politika informacijske sigurnosti

Uspostavlja organizacijske politike informacijske sigurnosti kao temelj za upravljanje.

Politika uloga i odgovornosti upravljanja

Definira odgovornost za razvoj, odobravanje i provedbu kontrola informacijske sigurnosti.

Politika odgovornosti upravljanja

Dodjeljuje dužnost najvišem rukovodstvu za nadzor ISMS-a, implementaciju politika i osiguranje kontrola usklađenosti.

Politika kontakta s nadležnim tijelima

Osigurava da organizacije održavaju odnose i protokole za pravodobno uključivanje vanjskih tijela.

Politika kontakta sa skupinama posebnog interesa

Promiče sudjelovanje u sigurnosnim zajednicama radi koristi od dijeljenog znanja, usporednog vrednovanja i obavještajnih podataka o prijetnjama.

O Clarysec politikama - Kontrole Zenith

Ova knjiga je provjereni priručnik za revizore, glavnog službenika za informacijsku sigurnost (CISO) i voditelje usklađenosti koji žele operativnu kontrolu, a ne teorijske kontrolne liste. Svaka kontrola je razrađena za izravno mapiranje na ISO 27001:2022, NIS2, DORA, GDPR i NIST, uz jasno prikazivanje što će revizori očekivati i koji su revizijski dokazi stvarno važni. Dobivate provedive unakrsne reference, dodjele po ulogama i raščlambe na razini odredbi osmišljene za praktičnu implementaciju sustava upravljanja informacijskom sigurnošću (ISMS), pripremu za reviziju i kontinuirano poboljšanje. Bez suvišnog sadržaja i bez dvosmislenosti—samo ključne smjernice i alati koji su vam potrebni za zatvaranje praznina u kontrolama i obranu poslovanja.

Bogate smjernice za reviziju i dokaze

Pruža izričitu metodologiju revizije i primjere dokaza za svaku kontrolu, podržavajući unutarnju reviziju, vanjske i certifikacijske revizije.

Detaljni međuodnosi kontrola

Mapira praktične odnose kontrola, omogućujući organizacijama razumijevanje sigurnosnih ovisnosti kroz upravljanje, tehnologiju i operacije.

Ažurna regulatorna mapiranja

Nudi najnovije mapiranje unakrsne usklađenosti na sve glavne okvire, olakšavajući certifikaciju, samoprocjenu i regulatorno izvješćivanje.

Obuhvat sigurnosti dobavljača i izdvajanja usluga

Sveobuhvatno obrađuje ugovorne, praćenje i zahtjeve revizije za upravljanje rizicima sigurnosti dobavljača i izdvajanja usluga.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

IT sigurnost usklađenost Revizija i usklađenost upravljanje

🏷️ Tematska pokrivenost

kontrola pristupa upravljanje identitetom upravljanje autentifikacijom upravljanje privilegiranim pristupom (PAM)

Kontrole Zenith