Mely keretrendszerekhez igazodik a Zenith kontrollok?

ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 és további keretrendszerek szerint van feltérképezve.

A biztonság mely területeit fedi le?

A kontrollok lefedik az irányítást, az üzemeltetést, a hozzáférés-ellenőrzést, a személyi és fizikai területeket, a beszállítói/kiszervezési és felhőkörnyezeteket, a technológiai kontrollokat, valamint az incidenskezelést.

Tartalmaznak a kontrollok audit útmutatást?

Igen, minden kontroll tartalmazza a kapcsolódó auditmódszertant, az auditbizonyíték-követelményeket és a tanúsítási záradékokhoz való kapcsolódásokat.

Hogyan kezeli a Zenith kontrollok a harmadik fél kockázatot?

Részletezi a beszállítói életciklus biztonságát, a szerződéses kötelezettségeket, az incidenskezelést és az auditálási jogot kontrolltérképezéssel.

Vannak útmutató szakaszok a szabályozási megfeleltetéshez?

Igen. Minden kontroll tartalmaz keresztmegfelelőségi megfeleltetést, amely bemutatja az EU-s, amerikai és nemzetközi szabályozásokhoz és szabványokhoz kapcsolódó bizonyíték-kapcsolatokat.

A Zenith kontrollok

Áttekintés

A Zenith kontrollok egy részletes, a főbb globális keretrendszerekhez igazított információbiztonsági kontrollgyűjtemény, amely lefedi az irányítási, fizikai, személyi, technológiai, beszállítói és fejlesztési területeket, valamint feltérképezett auditmódszertant és megfelelőségi útmutatást biztosít a hatékony irányítás, bevezetés és tanúsítás támogatására.

Átfogó kontrollkönyvtár

Lefedi az irányítási, technológiai, személyi és fizikai védelmi intézkedéseket a teljes körű információvédelemhez.

Szabályozási szabványokhoz rendelve

ISO/IEC 27001 és 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR és COBIT 2019 szerint feltérképezve a bizonyított megfelelőségi lefedettség érdekében.

Operatív bevezetési útmutatás

Részletes kapcsolódásokat tartalmaz más kontrollokhoz, bevezetési megjegyzéseket és kereszthivatkozásokat gyakorlati kockázati forgatókönyvekre.

Harmadik fél és ellátási lánc biztonsága

Kezeli a beszállítói szerződéseket, a felhő- és a kiszervezett fejlesztés területeit, minta auditkritériumokkal és biztonsági záradékokkal.

Teljes körű kockázatkezelés

Összekapcsolja a kockázatazonosítás, a kockázatkezelés, az incidensreagálás és a folyamatos fejlesztés elemeit egy egységes biztonsági keretrendszerben.

Auditkész kontrolltérképezés

Minden kontroll tartalmazza az auditbizonyíték-követelményeket, az ISO/NIST megfeleltetést és a tanúsítási auditok módszertani elvárásait.

Integrált adatvédelem és biztonság

Beépíti a PII kezelését, az adatmaszkolást, az adattakarékosságot és a törlést az adatvédelmi szabályozások és a biztonsági legjobb gyakorlatok támogatására.

Teljes áttekintés olvasása

A Zenith kontrollok átfogó, strukturált információbiztonsági kontrollkészletet biztosít, amely nemzetközileg elismert szabványokhoz igazodik a hatékony irányítás, kockázatkezelés és megfelelés érdekében. Az irányítási, technológiai, fizikai és személyi területeket lefedve a kézikönyv részletezi az egyes kontrollokat, beleértve a szabályzatkezelést, a szerepkörök meghatározását, a beszállítói felügyeletet, az eszközleltárt, a hozzáférés-kezelést, a sérülékenységkezelést, a biztonságos fejlesztést és az incidensreagálást, mélyreható kereszthivatkozásokkal olyan globális keretrendszerekre, mint az ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2 irányelv, EU DORA, EU GDPR és COBIT 2019. A készlet minden kontrollja részletesen le van írva, bemutatva az operatív jellemzőket, a kockázati célokat, a kezelt információbiztonsági tulajdonságokat, valamint a más kontrollokkal fennálló kapcsolatokat. A kontrollok nem elszigetelten kerülnek vizsgálatra, hanem összekapcsolt irányítási, technológiai, beszállítói és fejlesztési forgatókönyvek mentén vannak feltérképezve. Minden kontrollhoz gyakorlati bevezetési megjegyzések társulnak, kiegészítve az aktuális legjobb gyakorlatot tükröző, összefoglalt auditmódszertani elvárásokkal, beleértve az interjúztatást, a dokumentáció felülvizsgálatát, a mintavételezést és az élő forgatókönyv-teszteket. A Zenith kontrollok különösen a teljes biztonsági életciklust kezeli: a biztonsági szabályzat létrehozásától és a vezetői felelősségektől kezdve, a hozzáférés- és identitáskezelésen (a jogosultságok, az információkorlátozás és a hitelesítés területein) át, a biztonságos projektmegvalósításig, a változáskezelésig és a beszállítói (beleértve a felhő- és a kiszervezett fejlesztés) kontrollokig. Részletes figyelmet kapnak a technikai területek, mint a sérülékenységkezelés, a hálózati szegmentálás és elkülönítés, a kontrollalapvonalak, a biztonságos rendszerarchitektúra és a biztonságos rendszerfejlesztési életciklus (SDLC), egészen a biztonsági mentés és redundanciatervezésig, az auditnaplózásig, a monitorozásig, valamint az incidensek kezeléséig és a folyamatos fejlesztésig. Az adatvédelem, valamint az adatvédelem és a biztonság metszete visszatérő téma. A kézikönyv integrálja a beépített/alapértelmezett adatvédelem, az adattakarékosság, a maszkolás, a tesztinformációk kontrollja, az időszerű törlés és a tárolóeszközök biztonságos selejtezése gyakorlatait. Ahol alkalmazható, a kontrollok a személyes adatokra vonatkozó keresztszabályozási megfeleléshez kapcsolódnak, beleértve a GDPR és az ISO/IEC 27701/27018 követelményeihez való egyértelmű megfeleltetéseket, különös tekintettel az ellenőrzési nyomvonalra, a felhasználói jogok gyakorlására, valamint a PII kezelésére beszállítói és felhőkapcsolatokban. A harmadik fél és ellátási lánc biztonsága szintén átfogóan kerül tárgyalásra. A kontrollok részletezik az átvilágítást, a szerződéses záradékokat, az auditálási jogokat, az incidensértesítési követelményeket és a külső kapcsolatokra vonatkozó biztonságos fejlesztési gyakorlatokat. Útmutatás áll rendelkezésre a teljes harmadik fél életciklus kezeléséhez, beleértve az adatcserét, a felhő felelősségi köröket, valamint annak biztosítását, hogy a beszállító által kezelt környezetek igazodjanak a szervezet kockázati és megfelelőségi igényeihez. Valamennyi kontroll esetében a Zenith kontrollok minta megfeleltetési táblázatokat ad a szabályozási záradékokhoz, javasolt bizonyítékokat és kulcsfontosságú teljesítménymutatókat (KPIs) kínál az operatív és auditfelkészültség támogatására, és a gyakorlatokat a jelenlegi keretrendszerekhez és iparági trendekhez igazítja, így nélkülözhetetlen erőforrás azon szervezetek számára, amelyek a legjobb gyakorlat szerinti biztonságot kívánják operatívvá tenni, több joghatóságra kiterjedő megfelelőségi igényeket teljesíteni, és az érdekelt felek számára biztosítani kockázati pozíciójukról.

Tartalom

Az 5.x–8.x kontrollok teljes listája (irányítási, személyi, fizikai, technológiai)

Részletes kereszthivatkozások: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Kontrollonkénti auditmódszertan és auditbizonyíték-kritériumok

Tesztelési és elfogadási követelmények DevOps-, beszállítói és felhőkörnyezetekhez

Adatvédelem, adatvédelmi és törlési gyakorlatok

Folyamatos fejlesztés és incidensreagálás integráció

Keretrendszer	Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Keretrendszer

Lefedett záradékok / Vezérlők

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Kapcsolódó irányelvek

P01 Információbiztonsági szabályzat

A szervezeti információbiztonsági szabályzatokat az irányítás alapjaként rögzíti.

Irányítási szerepkörök és felelősségek szabályzat

Meghatározza az elszámoltathatóságot az információbiztonsági kontrollok kidolgozásáért, jóváhagyásáért és érvényesítéséért.

Felső vezetés felelősségei

Kijelöli a felső vezetés feladatát az információbiztonsági irányítási rendszer felügyeletére, a szabályzatok bevezetésére és a megfelelőség biztosítására.

Kapcsolattartás hatóságokkal

Biztosítja, hogy a szervezetek kapcsolatokat és protokollokat tartsanak fenn a külső hatóságokkal való időszerű együttműködéshez.

Kapcsolattartás szakmai csoportokkal

Elősegíti a biztonsági közösségekben való részvételt a megosztott tudás, a benchmarkolás és a fenyegetési információk hasznosítása érdekében.

A Clarysec irányelveiről - A Zenith kontrollok

Ez a könyv egy terepen kipróbált kézikönyv auditorok, információbiztonsági vezetők (CISO-k) és megfelelőségi vezetők számára, akik operatív kontrollt szeretnének, nem elméleti ellenőrzőlistákat. Minden kontroll úgy van lebontva, hogy közvetlenül megfeleltethető legyen az ISO 27001:2022, NIS2, DORA, GDPR és NIST követelményeinek, pontosan bemutatva, mit várnak el az auditorok, és milyen auditbizonyíték számít. Gyakorlatias kereszthivatkozásokat, szerepkörönkénti hozzárendeléseket és záradékszintű bontásokat kap, amelyek a kézzelfogható információbiztonsági irányítási rendszer bevezetésére, auditfelkészítésre és folyamatos fejlesztésre készültek. Nincs töltelék, nincs kétértelműség: csak a megfelelőségi hiányosságok lezárásához és a vállalkozás védelméhez szükséges lényegi útmutatás és eszközök.

Gazdag audit- és bizonyíték-útmutatás

Minden kontrollhoz egyértelmű auditmódszertant és minta auditbizonyítékot biztosít, támogatva a belső, külső és tanúsítási auditokat.

Részletes kontroll-összefüggések

Feltérképezi a gyakorlati kontrollkapcsolatokat, lehetővé téve a biztonsági függőségek megértését az irányítás, a technológia és az üzemeltetés területein.

Naprakész szabályozási megfeleltetések

A legfrissebb keresztmegfelelőségi megfeleltetést kínál minden fő keretrendszerhez, megkönnyítve a tanúsítást, az önértékelést és a szabályozói jelentéstételt.

Beszállítói és kiszervezési biztonsági lefedettség

Átfogóan kezeli a szerződéses, monitorozási és auditkövetelményeket a beszállítói és kiszervezési biztonsági kockázatkezeléshez.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

Informatikai üzemeltetés Biztonság Megfelelés Audit és megfelelés irányítás

🏷️ Témafedezet

hozzáférés-ellenőrzés identitáskezelés hitelesítés kiváltságos hozzáférés-kezelés (PAM)