Mely megfelelőségi keretrendszereket fedi le?

A Zenith Suite közvetlenül megfeleltetett az ISO/IEC 27001:2022, GDPR, NIS2, DORA, NIST SP 800-53 Rev.5, COBIT 2019 és kapcsolódó szabványok követelményeihez.

A KKV-szabályzatok alkalmasak olyan szervezeteknek, ahol nincs dedikált IT-csapat?

Igen. A KKV-szabályzatcsomagok ügyvezető által vezetett struktúrákhoz és üzleti csapatokhoz vannak igazítva, ideálisak olyan szervezetek számára, ahol nincs információbiztonsági vezető (CISO) vagy biztonsági műveleti központ (SOC).

Tartalmaz a csomag auditeszközöket és auditbizonyíték-sablonokat?

Igen. A csomag részletes auditálási módszertant, minta auditbizonyítékot és dokumentumsablonokat biztosít a teljes auditfelkészültséghez.

Hogyan történik a beszállítói és felhőkockázatok kezelése?

A beszállítói és felhőbiztonsági kontrollok átfogó életciklus-kezelést, szerződéses kikötéseket és incidenskezelést tartalmaznak.

A szabályzatok skálázhatók és testreszabhatók növekedés esetén?

Igen. A szabályzatok skálázhatóságra készültek, támogatva a zökkenőmentes átmenetet a KKV- és nagyvállalati működési modellek között.

A Zenith Suite - Clarysec

Áttekintés

A Zenith Suite egyesíti a kettős KKV- és nagyvállalati szabályzatkönyvtárat, a fő kontrollmegfeleltetést és a lépésről lépésre felépített IBIR-ütemtervet a teljes, auditkész megfeleléshez az ISO 27001, GDPR, NIS2, DORA, NIST és COBIT keretrendszerekben.

Minden az egyben megfelelőségi lefedettség

Lefedi az összes fő keretrendszert (ISO 27001, GDPR, NIS2, DORA, NIST, COBIT), biztosítva a zökkenőmentes audit-összehangolást.

Kettős szabályzatkönyvtár

Tartalmaz KKV- és nagyvállalati szabályzatcsomagokat is, bármilyen szervezeti struktúrát vagy méretet támogatva.

Szakértő által vezetett bevezetés

Kövesse a Zenith Blueprint 30 lépéses ütemtervét, amelyet egy vezető auditor készített a sikeres információbiztonsági irányítási rendszer bevezetéséhez.

539 oldalas kontrollreferencia

Részletes, kontrollonkénti megfeleltetés az operatív és auditfelkészültséghez, auditbizonyítékkal és módszertannal.

Teljes áttekintés olvasása

A Zenith Suite egy zászlóshajó, végponttól végpontig terjedő GRC-megoldás, amelyet olyan szervezetek számára terveztek, amelyek célja a robusztus kiberbiztonság és a jogszabályi megfelelés elérése és fenntartása. A teljes KKV- és nagyvállalati szabályzatkönyvtár, a Zenith Controls fő eszközkészlet és az átfogó Zenith Blueprint ütemterv egyesítésével a csomag biztosítja a stratégiai tervezéshez, irányításhoz, operatív kontrollbizonyossághoz és folyamatos fejlesztéshez szükséges alapvető elemeket. A szabályzatkönyvtár KKV-specifikus szabályzatokat (P01S–P37S) és nagyvállalati szintű dokumentumokat (P01–P37) is tartalmaz, összesen 74 egyedileg megfeleltetett, auditkész szabályzatot. A KKV-csomag – amely a dokumentumszámokban szereplő „S” jelölésről és az ügyvezető szerepkörhöz rendelt felelősségekről ismerhető fel – kis- és középvállalkozások számára készült, egyszerűsített struktúrával, minimális specializált IT-val, valamint a vezetőkhöz és csapatokhoz rendelt, egyértelmű felelősségekkel. Ezek a szabályzatok gyakorlati kontrollokat érvényesítenek a biztonság, adatvédelem, IT és üzemeltetés területein, éves felülvizsgálati kötelezettségekkel, verziókezeléssel és auditorok számára is vizsgálható, dokumentált kivételkezeléssel. Ezzel szemben a nagyvállalati szabályzatok a szabályozott és nagy szervezetekre jellemző összetettséget és funkciók közötti felelősségeket kezelik, fejlett irányítási, audit-, jogi, kockázati, beszerzési és technikai területeket beágyazva, közvetlen megfeleltetésekkel és CAPA-integrációval. A Zenith Controls eszközkészlet egy hiteles, 539 oldalas kompendium, amely az ISO 27001:2022 kontrolljainak aprólékos, kontrollonkénti megfeleltetését nyújtja a NIS2, DORA, GDPR, NIST és COBIT keretrendszerekhez. Lefedi az irányítási, technológiai, személyi és fizikai védelmi intézkedések kontrolljait, teljes auditálási módszertannal, auditbizonyíték-követelményekkel és bevezetési iránymutatással. Az eszközkészlet kiemelkedik részletes kereszthivatkozásaival: minden kontroll operatív megfogalmazásban szerepel, kapcsolódó záradékokhoz van kötve, és gyakorlati megjegyzésekkel támogatja az auditbizonyíték-gyűjtést, a beszállító-kezelést, a felhőfelügyeletet és a beépített adatvédelmet. Lehetővé teszi, hogy a felhasználók világos, védhető megfelelőségi narratívákat készítsenek auditokhoz és szabályozói egyeztetésekhez. A tervezéstől a végrehajtásig vezetve a szervezeteket, a Zenith Blueprint egy 30 lépéses ütemtervet ad, amely az információbiztonsági irányítási rendszer életciklusa teljes egészéhez igazodik: hatókör-meghatározás, vezetői elkötelezettség, kockázatkezelés, kontrollok operatív bevezetése, belső auditok és folyamatos fejlesztés. Egy tapasztalt vezető auditor által készítve ez az útmutató egyetlen, lépésenkénti működési rendszerbe integrálja az ISO/IEC 27001, NIS2, DORA, GDPR és NIST követelményeit, és gyakorlati sablonokat, ellenőrzőlistákat, jelentési struktúrákat, valamint vezetőségi átvizsgálási mintákat biztosít. Minden fázis – a kontextuselemzéstől és érdekelt felek feltérképezésétől a kockázati nyilvántartásig, az alkalmazhatósági nyilatkozatig, a technikai és fizikai védelmi intézkedésekig, valamint a helyesbítő intézkedések folyamataiig – több keretrendszerre kiterjedő megfeleltetéssel támogatja a több joghatóságot érintő megfelelést. A Zenith Suite valódi ereje az integrált, skálázható felépítésében rejlik. A KKV- és nagyvállalati szabályzatcsomagok önállóan is használhatók, vagy kombinálhatók olyan szervezeteknél, ahol eltérő működési modellek vannak jelen. A csomag ideális azoknak a szervezeteknek, amelyek a megfelelés egyszerűsítésére törekednek – akár dedikált IT-csapat nélkül is – a KKV-dokumentumok felhasználásával, amelyeket ügyvezetők és egyszerű szerepkörstruktúrák számára fejlesztettek, illetve azoknak a nagyvállalatoknak, amelyek összetett szabályozói auditokon és szervezeti egységek közötti együttműködésen mennek keresztül. Minden dokumentáció szigorúan keretrendszerekhez van megfeleltetve, lehetővé téve a gyors testreszabást és a zökkenőmentes átmenetet, ahogy a szervezetek növekednek, átszerveznek vagy szervezeti egységeket egyesítenek. Akár egy információbiztonsági irányítási rendszer felépítése a nulláról, akár a meglévő irányítás érettségének növelése a cél, a Zenith Suite egyértelműséget, auditfelkészültséget és operatív lefedettséget biztosít minden biztonsági, adatvédelmi, beszállítói, IT- és jogi területen.

Tartalom

Teljes KKV- és nagyvállalati szabályzatkombináció (74 auditkész dokumentum)

A Zenith Controls — fő kontrollmegfeleltetési eszközkészlet

Zenith Blueprint — 30 lépéses IBIR bevezetési ütemterv

Megfeleltetett auditálási módszertan és sablonok

Szerepkör- és felelősségmátrix

Hozzáférés-ellenőrzési és változáskezelési eljárások

Beszállítói átvilágítás és harmadik fél tesztelési kritériumok

Incidensreagálás és auditbizonyíték-kezelési modulok

Adatvédelem és adatvédelmi szabályok

Keretrendszer	Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022	Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23 CA-1, CA-2, CA-3, CA-5, CA-7, CA-9 AU-2, AU-6, AU-8, AU-9, AU-12 SI-2, SI-3, SI-4, SI-10 IR-1, IR-4, IR-5, IR-6, IR-8, IR-9 RA-3, RA-5 AC-1–AC-20 PS-2, PS-3, PS-4, PS-5, PS-6, PS-7 MP-2–MP-7 CM-2, CM-3, CM-4, CM-5, CM-6, CM-8 PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16 MA-1–MA-3 CP-1, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10 DM-2 UL-4 AR-4 PT-2, PT-3 SA-3, SA-4, SA-9, SA-9(5), SA-10, SA-11, SA-15 SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, SC-32, SC-45 SI-12 SR-3, SR-5
EU NIS2	Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II
EU DORA	Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A
EU GDPR	Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06
ISO 31000:2018	Leadership commitmentRisk management principlesContinuous improvement
ISO/IEC 27005:2024	Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
ISO 22301:2019	Business Continuity Management SystemBusiness Impact AnalysisRequirements

Keretrendszer

Lefedett záradékok / Vezérlők

ISO/IEC 27001:2022

Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

EU NIS2

Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II

EU DORA

Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A

EU GDPR

Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

ISO 31000:2018

Leadership commitmentRisk management principlesContinuous improvement

ISO/IEC 27005:2024

Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review

ISO 22301:2019

Business Continuity Management SystemBusiness Impact AnalysisRequirements

Kapcsolódó irányelvek

Hozzáférés-vezérlési szabályzat

Ez a szabályzat meghatározza, hogyan kezeli a szervezet a rendszerekhez, adatokhoz és létesítményekhez való hozzáférést annak biztosítására, hogy kizárólag jogosult személyek férjenek hozzá az információkhoz üzleti szükséglet alapján.

Incidenskezelési szabályzat

Ez a szabályzat meghatározza, hogyan észleli, jelenti és kezeli a szervezet a digitális rendszereket, adatokat vagy szolgáltatásokat érintő információbiztonsági incidenseket.

Adatvédelem és adatvédelmi szabályzat

Ez a szabályzat meghatározza, hogyan védi a szervezet a személyes adatokat a jogi kötelezettségekkel, szabályozási keretrendszerekkel és nemzetközi biztonsági szabványokkal összhangban.

Beszállítói biztonsági szabályzat

Ez a szabályzat rögzíti a harmadik felekkel és beszállítókkal fennálló kapcsolatok létesítésére, kezelésére és megszüntetésére vonatkozó kötelező biztonsági követelményeket.

Üzletmenet-folytonossági és vészhelyzeti helyreállítási szabályzat

Ez a szabályzat biztosítja, hogy a szervezet fenn tudja tartani az üzleti működést, és helyre tudja állítani a lényeges IT-szolgáltatásokat zavaró események alatt és után.

A Clarysec irányelveiről - A Zenith Suite

A Zenith Suite egy átfogó GRC-eszközkészlet, amely a szervezeti biztonság, megfelelés és auditfelkészültség egyszerűsítésére és megerősítésére készült. Integrál egy KKV-k és nagyvállalatok számára egyaránt megfelelő kettős szabályzatkönyvtárat, egy fő kontrollmegfeleltetési eszközkészletet, valamint egy lépésenkénti bevezetési ütemtervet, amelyet elismert szakértők készítettek. A csomag minden dokumentuma és eszköze valós kontrollokhoz és szabályozási záradékokhoz van megfeleltetve, így belső és tanúsítási auditokhoz egyértelmű, védhető auditbizonyítékot tesz lehetővé. A csomag skálázható architektúrája lehetővé teszi, hogy a szervezetek növekedés, átszervezés vagy összeolvadás esetén is könnyen átálljanak anélkül, hogy a megfelelés sértetlensége sérülne. Mindkét szabályzatcsomag kikényszeríthető és adaptálható ügyvezetők, vezetők vagy funkciók közötti csapatok számára – olyan szervezeteknél is, ahol van vagy nincs specializált IT-erőforrás. A Zenith Suite átfogó lefedettséget biztosít az irányítás, IT, adatvédelem, beszállító-kezelés, technikai, fizikai és operatív kontrollok területén, és rendszeresen frissül a változó szabványokhoz és iparági legjobb gyakorlatokhoz igazodva.

Azonnali, auditkész dokumentumok

Férjen hozzá 74 teljes körűen megfeleltetett, bevezetésre kész szabályzatsablonhoz az azonnali operatív megfeleléshez.

Szerepköralapú elszámoltathatóság

A KKV-szabályzatok egyértelmű felelősségeket rendelnek a nem IT-struktúrákhoz; a nagyvállalati dokumentumok összetett csapatokat kezelnek.

Szabályozási megfeleltetés mélysége

Minden szabályzat, kontroll és sablon pontosan megfeleltetett a releváns szabályozásokhoz, egyszerűsítve az auditokat és a tanúsítást.

Beszállítói és felhőbiztonsági kontrollok

Szerződéses standardok és életciklus-kezelés érvényesítése külső beszállítók és felhőkörnyezetek esetén.

Skálázható minden vállalatméretre

A KKV- és nagyvállalati csomagok kombinálása és testreszabása start-upok, KKV-k vagy összetett multinacionális szervezetek számára.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

A Zenith Suite