Kokios atitikties sistemos yra apimamos?

„Zenith“ rinkinys tiesiogiai susiejamas su ISO/IEC 27001:2022, GDPR, NIS2, DORA, NIST SP 800-53 Rev.5, COBIT 2019 ir susijusiais standartais.

Ar SVV politikos tinka organizacijoms be dedikuotos IT komandos?

Taip. SVV politikų rinkiniai yra pritaikyti struktūroms, kurias veda generalinis direktorius, ir verslo komandoms; jie idealiai tinka organizacijoms, neturinčioms CISO ar SOC.

Ar rinkinyje yra audito priemonių ir įrodymų šablonų?

Rinkinys pateikia išsamią audito metodiką, pavyzdinius įrodymus ir dokumentų šablonus pilnam pasirengimui auditui.

Kaip valdomos tiekėjų ir debesijos rizikos?

Tiekėjų ir debesijos saugumo kontrolės priemonės apima išsamų gyvavimo ciklo valdymą, sutartines sąlygas ir incidentų valdymą.

Ar politikos gali būti plečiamos ir pritaikomos augimui?

Politikos sukurtos masteliui, palaikant sklandų perėjimą tarp SVV ir Enterprise veiklos modelių.

„Zenith“ rinkinys

Apžvalga

„Zenith“ rinkinys sujungia dvigubą SVV+Enterprise politikų biblioteką, pagrindinį kontrolių susiejimą ir nuoseklų ISVS diegimo planą, kad būtų užtikrinta pilna, auditui parengta atitiktis pagal ISO 27001, GDPR, NIS2, DORA, NIST ir COBIT sistemas.

Viskas viename atitikties aprėptis

Apima visas pagrindines sistemas – ISO 27001, GDPR, NIS2, DORA, NIST, COBIT – užtikrinant sklandų suderinimą su auditu.

Dviguba politikų biblioteka

Apima tiek SVV, tiek įmonių politikų rinkinius, pritaikytus bet kokiai organizacijos struktūrai ar dydžiui.

Įgyvendinimas su ekspertų gairėmis

Vadovaukitės „Zenith Blueprint“ 30 žingsnių gairėmis, parengtomis pagrindinio auditoriaus, sėkmingam informacijos saugumo valdymo sistemos (ISVS) diegimui.

539 puslapių kontrolių nuorodynas

Išsamus susiejimas kontrolė po kontrolės, skirtas operaciniam pasirengimui ir pasirengimui auditui, su įrodymais ir metodika.

Skaityti visą apžvalgą

„Zenith“ rinkinys yra pavyzdinis, visapusiškas GRC sprendimas, skirtas organizacijoms, siekiančioms pasiekti ir palaikyti tvirtą kibernetinį saugumą ir atitiktį reglamentavimo reikalavimams. Sujungdamas pilną SVV+Enterprise politikų biblioteką, „Zenith Controls“ pagrindinį įrankių rinkinį ir išsamų „Zenith Blueprint“ veiksmų planą, šis rinkinys pateikia visus esminius komponentus strateginiam planavimui, valdysenai, operaciniam užtikrinimui ir nuolatiniam tobulinimui. Politikų biblioteka apima tiek SVV specifines politikas (P01S–P37S), tiek Enterprise lygio dokumentus (P01–P37), iš viso 74 unikaliai susietas, auditui parengtas politikas. SVV rinkinys, atpažįstamas pagal „S“ dokumentų numeriuose ir priskyrimus generalinio direktoriaus vaidmeniui, yra pritaikytas mažoms ir vidutinėms įmonėms su supaprastintomis struktūromis, minimaliais specializuotais IT ištekliais ir aiškiomis atsakomybėmis, susietomis su vadovais ir komandomis. Šios politikos įtvirtina praktines kontrolės priemones per saugumą, privatumą, IT ir operacijas, numatydamos metinius peržiūros reikalavimus, versijų valdymą ir dokumentuotas išimtis, parengtas auditoriaus patikrai. Tuo tarpu Enterprise politikos sprendžia sudėtingumą ir tarpfunkcines atsakomybes, būdingas reglamentuojamoms ir didelėms organizacijoms, įtraukdamos pažangią valdyseną, auditą, teisę, riziką, pirkimus ir technologines sritis su tiesioginiais susiejimais ir CAPA integracija. „Zenith Controls“ įrankių rinkinys yra autoritetingas, 539 puslapių rinkinys, pateikiantis kruopštų ISO 27001:2022 susiejimą kontrolė po kontrolės su NIS2, DORA, GDPR, NIST ir COBIT. Jis apima valdysenos, technologines, personalo ir fizinio saugumo kontrolės priemones, su pilna audito metodika, įrodymų reikalavimais ir įgyvendinimo gairėmis. Įrankių rinkinys išsiskiria detaliomis kryžminėmis nuorodomis: kiekviena kontrolė aprašoma operaciniais terminais, susiejama su atitinkamomis nuostatomis ir papildoma praktinėmis pastabomis dėl įrodymų rinkimo, tiekėjų valdymo, debesijos priežiūros ir saugumo projektuojant. Jis leidžia naudotojams parengti aiškius, pagrįstus atitikties naratyvus auditams ir reguliaciniam bendradarbiavimui. Nuo planavimo iki vykdymo organizacijas vedantis „Zenith Blueprint“ pateikia 30 žingsnių gaires, suderintas su visu ISVS gyvavimo ciklu: taikymo srities nustatymu, vadovybės įsipareigojimu, rizikos valdymu, kontrolių operacionalizavimu, vidaus auditais ir nuolatiniu tobulinimu. Patyrusio pagrindinio auditoriaus parengtas vadovas integruoja ISO/IEC 27001, NIS2, DORA, GDPR ir NIST reikalavimus į vieną nuoseklią veiklos sistemą, pateikdamas veiksmingus šablonus, kontrolinius sąrašus, ataskaitų struktūras ir vadovybės peržiūros pavyzdžius. Kiekvienas etapas – nuo konteksto analizės ir suinteresuotųjų šalių atvaizdavimo iki rizikų registro, taikomumo pareiškimo (SoA), technologinių ir fizinių kontrolės priemonių bei koreguojamųjų veiksmų procesų – pateikiamas su susiejimu tarp sistemų, skirtu kelių jurisdikcijų atitikčiai. Tikroji „Zenith“ rinkinio stiprybė yra integruota, masteliui pritaikyta struktūra. Tiek SVV, tiek Enterprise politikų rinkiniai gali būti naudojami atskirai arba derinami organizacijoms su įvairiais veiklos modeliais. Rinkinys idealiai tinka organizacijoms, siekiančioms supaprastinti atitiktį net ir be dedikuotų IT komandų, pasitelkiant SVV dokumentus, sukurtus generaliniams direktoriams ir paprastoms vaidmenų struktūroms, arba įmonėms, patiriančioms sudėtingus reguliacinius auditus ir tarpfunkcinį bendradarbiavimą. Visa dokumentacija yra griežtai susieta su sistemomis, leidžiant greitai pritaikyti ir sklandžiai pereiti organizacijoms augant, persitvarkant ar sujungiant vienetus. Nesvarbu, ar kuriate ISVS nuo nulio, ar brandinate esamą valdyseną, „Zenith“ rinkinys suteikia aiškumą, pasirengimą auditui ir operacinę aprėptį per kiekvieną saugumo, privatumo, tiekėjų, IT ir teisės sritį.

Turinys

Pilnas SVV+Enterprise politikų derinys (74 auditui parengti dokumentai)

„Zenith Controls“ — pagrindinis kontrolių susiejimo įrankių rinkinys

„Zenith Blueprint“ — 30 žingsnių ISVS įgyvendinimo gairės

Susieta audito metodika ir šablonai

Vaidmenų ir atsakomybių matrica

Prieigos kontrolės ir pokyčių valdymo procedūros

Tiekėjų ir trečiųjų šalių testavimo kriterijai

Reagavimo į incidentus ir įrodymų tvarkymo moduliai

Duomenų apsaugos ir duomenų privatumo taisyklės

Sistema	Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022	Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23 CA-1, CA-2, CA-3, CA-5, CA-7, CA-9 AU-2, AU-6, AU-8, AU-9, AU-12 SI-2, SI-3, SI-4, SI-10 IR-1, IR-4, IR-5, IR-6, IR-8, IR-9 RA-3, RA-5 AC-1–AC-20 PS-2, PS-3, PS-4, PS-5, PS-6, PS-7 MP-2–MP-7 CM-2, CM-3, CM-4, CM-5, CM-6, CM-8 PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16 MA-1–MA-3 CP-1, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10 DM-2 UL-4 AR-4 PT-2, PT-3 SA-3, SA-4, SA-9, SA-9(5), SA-10, SA-11, SA-15 SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, SC-32, SC-45 SI-12 SR-3, SR-5
EU NIS2	Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II
EU DORA	Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A
EU GDPR	Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06
ISO 31000:2018	Leadership commitmentRisk management principlesContinuous improvement
ISO/IEC 27005:2024	Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
ISO 22301:2019	Business Continuity Management SystemBusiness Impact AnalysisRequirements

Sistema

Aptariamos sąlygos / Kontrolės

ISO/IEC 27001:2022

Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

EU NIS2

Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II

EU DORA

Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A

EU GDPR

Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

ISO 31000:2018

Leadership commitmentRisk management principlesContinuous improvement

ISO/IEC 27005:2024

Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review

ISO 22301:2019

Business Continuity Management SystemBusiness Impact AnalysisRequirements

Susijusios politikos

Prieigos kontrolės politika

Ši politika apibrėžia, kaip organizacija valdo prieigą prie sistemų, duomenų ir patalpų, kad tik įgalioti asmenys galėtų pasiekti informaciją pagal verslo poreikį.

Reagavimo į incidentus politika

Ši politika apibrėžia, kaip organizacija aptinka, praneša ir reaguoja į informacijos saugumo incidentus, darančius poveikį skaitmeninėms sistemoms, duomenims ar paslaugoms.

Duomenų apsaugos politika

Ši politika apibrėžia, kaip organizacija saugo asmens duomenis pagal teisinius įsipareigojimus, reglamentavimo sistemas ir tarptautinius saugumo standartus.

Tiekėjo saugumo politika

Ši politika nustato privalomus saugumo reikalavimus trečiųjų šalių ir tiekėjų įtraukimui, valdymui ir santykių nutraukimui.

Verslo tęstinumo ir atkūrimo po katastrofos politika

Ši politika užtikrina, kad organizacija galėtų palaikyti verslo operacijas ir atkurti esmines IT paslaugas trikdančių įvykių metu ir po jų.

Apie Clarysec politikas - „Zenith“ rinkinys

„Zenith“ rinkinys yra išsamus GRC priemonių rinkinys, skirtas supaprastinti ir sustiprinti organizacijos saugumą, atitiktį ir pasirengimą auditui. Jis integruoja dvigubą politikų biblioteką, tinkamą tiek SVV, tiek įmonėms, pagrindinį kontrolių susiejimo įrankių rinkinį ir nuoseklų įgyvendinimo veiksmų planą, parengtą pripažintų ekspertų. Kiekvienas dokumentas ir įrankis rinkinyje yra susietas su realiomis kontrolės priemonėmis ir reguliacinėmis nuostatomis, leidžiant pateikti aiškius, pagrįstus įrodymus vidaus ir sertifikavimo auditams. Rinkinio masteliui pritaikyta architektūra leidžia organizacijoms lengvai pereiti augant, persitvarkant ar susijungiant, neprarandant atitikties vientisumo. Abu politikų rinkiniai yra vykdytini ir pritaikomi generaliniams direktoriams, vadovams ar tarpfunkcinėms komandoms – tinka organizacijoms su specializuotais IT ištekliais arba be jų. „Zenith“ rinkinys palaiko visapusišką valdysenos, IT, privatumo, tiekėjų valdymo, technologinių, fizinių ir operacinių kontrolės priemonių aprėptį ir yra reguliariai atnaujinamas, kad atitiktų besikeičiančius standartus ir pramonės geriausiąsias praktikas.

Momentiniai, auditui parengti dokumentai

Gaukite 74 pilnai susietus, parengtus įgyvendinti politikų šablonus, skirtus neatidėliotinam operaciniam atitikimui.

Atskaitomybė pagal vaidmenis

SVV politikos priskiria aiškias atsakomybes ne IT struktūroms; Enterprise dokumentai valdo sudėtingas komandas.

Reguliacinio susiejimo gylis

Kiekviena politika, kontrolė ir šablonas tiksliai susiejami su atitinkamais reglamentais, supaprastinant auditus ir sertifikavimą.

Tiekėjų ir debesijos saugumo kontrolės priemonės

Užtikrinkite sutartinius standartus ir gyvavimo ciklo valdymą per išorinius tiekėjus ir debesijos aplinkas.

Masteliui pritaikoma visiems verslo dydžiams

Derinkite ir pritaikykite SVV ir Enterprise rinkinius startuoliams, SVV arba sudėtingoms tarptautinėms organizacijoms.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH