Su kokiomis sistemomis suderintos „Zenith kontrolės priemonės“?

Jos susietos su ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, ES NIS2, ES DORA, GDPR, COBIT 2019 ir kt.

Kokios saugumo sritys apimamos?

Kontrolės priemonės apima valdyseną, operacijas, prieigą, personalą, fizinį saugumą, tiekėjus / išorines paslaugas, debesiją, technologijas ir incidentų valdymą.

Ar kontrolės priemonėse pateikiamos audito gairės?

Taip, kiekviena kontrolės priemonė apima atitinkamą audito metodiką, įrodymų reikalavimus ir nuorodas į sertifikavimo nuostatas.

Kaip „Zenith kontrolės priemonės“ sprendžia trečiųjų šalių riziką?

Jose išsamiai aprašomas tiekėjų gyvavimo ciklo saugumas, sutartiniai reikalavimai, incidentų tvarkymo procedūros ir audito teisės nuostatos, pateikiant kontrolės priemonių susiejimą.

Ar yra gairių skyrių reglamentavimo susiejimui?

Taip. Kiekviena kontrolės priemonė apima kryžminį atitikties susiejimą, parodant įrodymų sąsajas su ES, JAV ir tarptautiniais reglamentais bei standartais.

Zenith kontrolės priemonės

Apžvalga

„Zenith kontrolės priemonės“ – tai išsamus informacijos saugos kontrolės priemonių rinkinys, suderintas su pagrindinėmis pasaulinėmis sistemomis. Jis apima valdysenos, fizines, personalo, technologines, tiekėjų ir kūrimo sritis, pateikia susietą audito metodiką ir atitikties gaires, skirtas veiksmingam valdymui, įgyvendinimui ir sertifikavimui.

Išsamus kontrolės priemonių rinkinys

Apima valdysenos, technologines, personalo ir fizinės saugos kontrolės priemones, skirtas visapusei informacijos apsaugai.

Susieta su reglamentavimo standartais

Susieta su ISO/IEC 27001 ir 27002, NIST SP 800-53 Rev. 5, ES NIS2, DORA, GDPR ir COBIT 2019, užtikrinant patikrintą atitikties aprėptį.

Operacinio įgyvendinimo gairės

Pateikia išsamius ryšius su kitomis kontrolės priemonėmis, įgyvendinimo pastabas ir kryžmines nuorodas į praktinius rizikos scenarijus.

Trečiųjų šalių ir tiekimo grandinės saugumas

Apima tiekėjų sutartis, debesiją ir išorinį kūrimą, pateikiant audito kriterijų ir saugumo nuostatų pavyzdžius.

Visapusiškas rizikos valdymas

Susieja rizikų identifikavimą, rizikos tvarkymą, reagavimą į incidentus ir nuolatinį tobulinimą vieningoje saugumo sistemoje.

Auditui parengtas kontrolės priemonių susiejimas

Kiekviena kontrolės priemonė apima audito įrodymų reikalavimus, ISO/NIST susiejimą ir metodikos lūkesčius sertifikavimo auditams.

Integruotas privatumas ir saugumas

Integruoja PII tvarkymą, duomenų maskavimą, minimizavimą ir ištrynimą, atsižvelgiant į privatumo reglamentavimą ir saugumo geriausiąją praktiką.

Skaityti visą apžvalgą

„Zenith kontrolės priemonės“ pateikia išsamų, struktūruotą informacijos saugos kontrolės priemonių rinkinį, suderintą su tarptautiniu mastu pripažintais standartais, skirtą veiksmingai valdysenai, rizikos valdymui ir atitikčiai. Apimdamas valdysenos, technologines, fizines ir personalo sritis, vadovas detalizuoja atskiras kontrolės priemones, įskaitant politikų valdymą, vaidmenų apibrėžimą, tiekėjų priežiūrą, turto inventorių, naudotojų prieigos valdymą, pažeidžiamumų valdymą, saugų kūrimą ir reagavimą į incidentus, su išsamiomis kryžminėmis nuorodomis į pasaulines sistemas, tokias kaip ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, ES NIS2 direktyva, ES DORA, ES GDPR ir COBIT 2019. Kiekviena rinkinio kontrolės priemonė aprašyta itin detaliai, nurodant operacines savybes, rizikos tikslus, taikomas informacijos saugumo savybes ir ryšius su kitomis kontrolės priemonėmis. Kontrolės priemonės nagrinėjamos ne izoliuotai, o susiejamos per tarpusavyje susijusius valdysenos, technologinius, tiekėjų ir kūrimo scenarijus. Kiekvieną kontrolės priemonę lydi praktinės įgyvendinimo pastabos, paremtos apibendrintais audito metodikos lūkesčiais, atspindinčiais dabartinę geriausiąją praktiką, įskaitant interviu, dokumentacijos peržiūrą, atrankinį tikrinimą ir gyvų scenarijų testus. Ypač svarbu, kad „Zenith kontrolės priemonės“ apima visą saugumo gyvavimo ciklą: nuo informacijos saugos politikos kūrimo ir valdymo atsakomybių, per prieigos ir tapatybės valdymą (apimant privilegijas, informacijos ribojimą ir autentifikavimą), iki saugaus projektų įgyvendinimo, pokyčių valdymo ir tiekėjų (įskaitant debesiją ir išorinį kūrimą) kontrolės priemonių. Išsamus dėmesys skiriamas technologinėms sritims, tokioms kaip pažeidžiamumų valdymas, tinklo segmentavimas ir izoliavimas, bazinis kontrolės lygis, saugi sistemų architektūra ir sistemų kūrimo gyvavimo ciklai (SDLC), taip pat atsarginių kopijų ir perteklinių sprendimų planavimas, žurnalai, stebėsena ir incidentų tvarkymas bei nuolatinis tobulinimas. Duomenų apsauga ir privatumo bei saugumo sąsaja yra pasikartojanti tema. Vadovas integruoja praktikas, susijusias su privatumu pagal projektą / numatytąjį, duomenų minimizavimu, maskavimu, testinės informacijos kontrole, savalaikiu ištrynimu ir saugiu laikmenų šalinimu. Kai taikoma, kontrolės priemonės susiejamos su kryžminiu reglamentavimo atitikimu asmens duomenims, įskaitant aiškų susiejimą su GDPR ir ISO/IEC 27701/27018 reikalavimais, ypatingą dėmesį skiriant audito pėdsakui, naudotojų teisių įgyvendinimui ir PII tvarkymui tiekėjų bei debesijos santykiuose. Trečiųjų šalių ir tiekimo grandinės saugumas taip pat nagrinėjamas išsamiai. Kontrolės priemonės detalizuoja deramo patikrinimo veiksmus, sutartines nuostatas, audito teises, incidentų pranešimo reikalavimus ir saugaus kūrimo praktikas išoriniams santykiams. Pateikiamos gairės, kaip valdyti visą trečiųjų šalių gyvavimo ciklą, įskaitant duomenų mainus, atsakomybes debesijoje ir užtikrinimą, kad tiekėjų valdomos aplinkos atitiktų organizacijos rizikos ir atitikties poreikius. Visose kontrolės priemonėse „Zenith kontrolės priemonės“ pateikia pavyzdines susiejimo lenteles su reglamentavimo nuostatomis, siūlo įrodymus ir pagrindinius veiklos rodiklius (KPI) operaciniam pasirengimui ir pasirengimui auditui bei suderina praktikas su dabartinėmis sistemomis ir pramonės tendencijomis, todėl tai yra nepakeičiamas šaltinis organizacijoms, siekiančioms operacionalizuoti geriausiąją saugumo praktiką, atitikti skirtingų jurisdikcijų atitikties poreikius ir užtikrinti suinteresuotąsias šalis dėl savo rizikos laikysenos.

Turinys

Visas 5.x–8.x kontrolės priemonių sąrašas (valdysena, personalas, fizinės, technologinės)

Išsamios kryžminės nuorodos: ISO/IEC 27001, 27002, NIST SP 800-53, ES NIS2, DORA, GDPR, COBIT

Kontrolės priemonėms pritaikyta audito metodika ir įrodymų kriterijai

Testavimo ir priėmimo reikalavimai DevOps, tiekėjų ir debesijos aplinkoms

Duomenų apsauga, privatumas ir ištrynimo praktikos

Nuolatinio tobulinimo ir reagavimo į incidentus integracija

Sistema	Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Sistema

Aptariamos sąlygos / Kontrolės

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Susijusios politikos

Informacijos saugumo politika

Nustato organizacijos informacijos saugos politikas kaip valdysenos pagrindą.

Valdysenos vaidmenų ir atsakomybių politika

Apibrėžia atskaitomybę už informacijos saugos kontrolės priemonių kūrimą, tvirtinimą ir vykdymo užtikrinimą.

Vadovybės atsakomybės politika

Priskiria aukščiausiosios vadovybės pareigą už ISVS priežiūrą, politikų įgyvendinimą ir atitikties užtikrinimą.

Ryšių su institucijomis politika

Užtikrina, kad organizacijos palaikytų ryšius ir protokolus savalaikiam bendradarbiavimui su išorinėmis institucijomis.

Bendradarbiavimo su saugumo bendruomenėmis politika

Skatina dalyvavimą saugumo bendruomenėse, siekiant gauti naudos iš bendrų žinių, lyginamosios analizės ir grėsmių žvalgybos.

Apie Clarysec politikas - Zenith kontrolės priemonės

Ši knyga – praktikoje patikrintas vadovas auditoriams, CISO ir atitikties vadovams, kurie siekia operacinės kontrolės, o ne teorinių kontrolinių sąrašų. Kiekviena kontrolės priemonė suskaidyta taip, kad būtų galima tiesiogiai susieti su ISO 27001:2022, NIS2, DORA, GDPR ir NIST, aiškiai parodant, ko auditoriai tikėsis ir kokie audito įrodymai iš tiesų svarbūs. Gausite praktiškai pritaikomas kryžmines nuorodas, priskyrimus pagal vaidmenis ir nuostatų lygmens išskaidymus, skirtus praktiniam informacijos saugumo valdymo sistemos (ISVS) įgyvendinimui, pasirengimui auditui ir nuolatiniam tobulinimui. Be perteklinio turinio ir dviprasmybių – tik esminės gairės ir priemonės, kurių reikia atitikties spragoms uždaryti ir verslui apginti.

Išsamios audito ir įrodymų gairės

Pateikia aiškią audito metodiką ir audito įrodymų pavyzdžius kiekvienai kontrolės priemonei, palaikant vidaus, išorės ir sertifikavimo auditus.

Išsamūs kontrolės priemonių tarpusavio ryšiai

Susieja praktinius kontrolės priemonių ryšius, padėdamas organizacijoms suprasti saugumo priklausomybes tarp valdysenos, technologijų ir operacijų.

Atnaujinti reglamentavimo susiejimai

Pateikia naujausią kryžminį atitikties susiejimą su visomis pagrindinėmis sistemomis, palengvinant sertifikavimą, savęs vertinimą ir reglamentavimo ataskaitų teikimą.

Tiekėjų ir išorinių paslaugų saugumo aprėptis

Išsamiai apima sutartinius, stebėsenos ir audito reikalavimus tiekėjų ir išorinių paslaugų saugumo rizikos valdymui.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT Saugumas Atitiktis Auditas Valdysena

🏷️ Teminė aprėptis

Prieigos kontrolė tapatybės valdymas autentifikavimo valdymas privilegijuotos prieigos valdymas