Kuri atbilstības ietvari ir aptverti?

Zenith komplekts ir tieši kartēts atbilstoši ISO/IEC 27001:2022, GDPR, NIS2, DORA, NIST SP 800-53 Rev.5, COBIT 2019 un saistītajiem standartiem.

Vai MVU politikas ir piemērotas organizācijām bez specializētas IT komandas?

Jā. MVU politiku kopas ir pielāgotas struktūrām, kuras vada ģenerāldirektors, un biznesa komandām; tās ir piemērotas organizācijām, kurām nav galvenā informācijas drošības vadītāja (CISO) vai drošības operāciju centra (SOC).

Vai komplektā ir iekļauti audita rīki un pierādījumu veidnes?

Komplekts nodrošina detalizētu audita metodoloģiju, paraugpierādījumus un dokumentu veidnes pilnīgai audita gatavībai.

Kā tiek pārvaldīti piegādātāju un mākoņa riski?

Piegādātāju un mākoņa drošības kontroles ietver visaptverošu dzīvescikla pārvaldību, līgumiskās klauzulas un incidentu apstrādi.

Vai politikas var mērogot un pielāgot izaugsmei?

Politikas ir izstrādātas mērogojamībai, atbalstot vienmērīgas pārejas starp MVU un uzņēmuma līmeņa darbības modeļiem.

Zenith komplekts - Clarysec

Pārskats

Zenith komplekts apvieno divkāršu MVU+uzņēmuma līmeņa politiku bibliotēku, galveno kontroļu kartēšanu un soli pa solim ISMS ceļkarti pilnīgai, auditam gatavai atbilstībai ISO 27001, GDPR, NIS2, DORA, NIST un COBIT ietvaros.

Viss vienā atbilstības pārklājums

Aptver katru galveno ietvaru — ISO 27001, GDPR, NIS2, DORA, NIST, COBIT — nodrošinot vienmērīgu audita saskaņošanu.

Divkārša politiku bibliotēka

Ietver gan MVU, gan uzņēmuma līmeņa politiku kopas, atbalstot jebkuru organizācijas struktūru vai lielumu.

Ekspertu vadīta ieviešana

Sekojiet Zenith Blueprint 30 soļu ceļkartei, ko izstrādājis vadošais auditors, lai sekmīgi ieviestu informācijas drošības pārvaldības sistēmu.

539 lappušu kontroļu atsauce

Detalizēta kartēšana pa kontrolēm operatīvai un audita gatavībai, ar pierādījumiem un metodoloģiju.

Lasīt pilnu pārskatu

Zenith komplekts ir vadošs, pilna cikla GRC risinājums, kas paredzēts organizācijām, kuras vēlas sasniegt un uzturēt stabilu kiberdrošību un regulatīvo atbilstību. Apvienojot pilnu MVU+uzņēmuma līmeņa politiku bibliotēku, Zenith Controls galveno rīkkopu un visaptverošo Zenith Blueprint ceļkarti, šis komplekts nodrošina visus būtiskos komponentus stratēģiskai plānošanai, pārvaldībai, operatīvajam kontroļu apliecinājumam un nepārtrauktai uzlabošanai. Politiku bibliotēka ietver gan MVU specifiskās politikas (P01S–P37S), gan uzņēmuma līmeņa dokumentus (P01–P37), kopā 74 unikāli kartētas, auditam gatavas politikas. MVU kopa, atpazīstama pēc “S” dokumentu numuros un pienākumu piešķiršanas ģenerāldirektora lomai, ir pielāgota mazajiem un vidējiem uzņēmumiem ar vienkāršotām struktūrām, minimālu specializētu IT un skaidrām atbildībām, kas kartētas vadītājiem un komandām. Šīs politikas ievieš praktiskus kontroles pasākumus drošības, privātuma, IT un operāciju jomās, nodrošinot ikgadējas pārskatīšanas prasības, versiju pārvaldību un dokumentētus izņēmumus, kas ir gatavi auditoru pārbaudei. Savukārt uzņēmuma līmeņa politikas risina sarežģītību un starpfunkcionālās atbildības, kas raksturīgas regulētām un lielām organizācijām, iekļaujot progresīvas pārvaldības, audita, juridiskās, risku, iepirkumu un tehniskās jomas ar tiešu kartēšanu un CAPA integrāciju. Zenith Controls rīkkopa ir autoritatīvs 539 lappušu apkopojums, kas nodrošina rūpīgu kartēšanu pa kontrolēm no ISO 27001:2022 uz NIS2, DORA, GDPR, NIST un COBIT. Tā aptver pārvaldības, tehnoloģiskos, personāla un fiziskās drošības kontroles pasākumus, ar pilnu audita metodoloģiju, pierādījumu prasībām un ieviešanas vadlīnijām. Rīkkopa izceļas ar detalizētām savstarpējām atsaucēm: katra kontrole ir aprakstīta operatīvos terminos, sasaistīta ar attiecīgajām klauzulām un papildināta ar praktiskām piezīmēm pierādījumu vākšanai, piegādātāju pārvaldībai, mākoņa uzraudzībai un integrētajai drošībai. Tā ļauj lietotājiem sagatavot skaidrus, aizstāvamus atbilstības pamatojumus auditiem un regulatīvai iesaistei. Virzot organizācijas no plānošanas līdz izpildei, Zenith Blueprint nodrošina 30 soļu ceļkarti, kas saskaņota ar visu informācijas drošības pārvaldības sistēmas dzīves ciklu: darbības jomas noteikšana, vadības apņemšanās, risku pārvaldība, kontroļu operacionalizācija, iekšējie auditi un nepārtraukta uzlabošana. Šo ceļvedi ir izstrādājis pieredzējis vadošais auditors; tas integrē ISO/IEC 27001, NIS2, DORA, GDPR un NIST prasības vienā soli pa solim darbības sistēmā, nodrošinot praktiskas veidnes, kontrolsarakstus, ziņošanas struktūras un vadības pārskata paraugus. Katra fāze — no konteksta analīzes un ieinteresēto pušu kartēšanas līdz risku reģistram, piemērojamības deklarācijai (SoA), tehnoloģiskajiem un fiziskajiem kontroles pasākumiem un koriģējošo darbību procesiem — ietver starpietvaru kartēšanu daudzjurisdikciju atbilstībai. Zenith komplekta patiesais spēks ir tā integrētā, mērogojamā struktūra. Gan MVU, gan uzņēmuma līmeņa politiku kopas var izmantot neatkarīgi vai kombinēt organizācijām ar dažādiem darbības modeļiem. Komplekts ir piemērots organizācijām, kas vēlas racionalizēt atbilstību pat bez specializētām IT komandām, izmantojot MVU dokumentus, kas izstrādāti ģenerāldirektoriem un vienkāršām lomu struktūrām, vai arī uzņēmumiem, kas iziet sarežģītus regulatīvos auditus un starpstruktūrvienību sadarbību. Visa dokumentācija ir stingri kartēta atbilstoši ietvariem, nodrošinot ātru pielāgošanu un vienmērīgu pāreju, organizācijām augot, pārstrukturējoties vai apvienojot struktūrvienības. Neatkarīgi no tā, vai veidojat informācijas drošības pārvaldības sistēmu no nulles vai pilnveidojat esošo pārvaldību, Zenith komplekts nodrošina skaidrību, audita gatavību un operatīvo pārklājumu visās drošības, privātuma, piegādātāju, IT un juridiskajās jomās.

Saturs

Pilna MVU+uzņēmuma līmeņa politiku kombinācija (74 auditam gatavi dokumenti)

Zenith Controls — galvenā kontroļu kartēšanas rīkkopa

Zenith Blueprint — 30 soļu ISMS ietvara ieviešanas ceļkarte

Kartēta audita metodoloģija un veidnes

Lomu un atbildību matrica

Piekļuves kontroles un izmaiņu pārvaldības procedūras

Piegādātāju un trešo pušu testēšanas kritēriji

Reaģēšana uz incidentiem un pierādījumu apstrādes moduļi

Datu aizsardzība un datu privātuma noteikumi

Ietvars	Aplūkotās klauzulas / Kontroles
ISO/IEC 27001:2022	Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23 CA-1, CA-2, CA-3, CA-5, CA-7, CA-9 AU-2, AU-6, AU-8, AU-9, AU-12 SI-2, SI-3, SI-4, SI-10 IR-1, IR-4, IR-5, IR-6, IR-8, IR-9 RA-3, RA-5 AC-1–AC-20 PS-2, PS-3, PS-4, PS-5, PS-6, PS-7 MP-2–MP-7 CM-2, CM-3, CM-4, CM-5, CM-6, CM-8 PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16 MA-1–MA-3 CP-1, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10 DM-2 UL-4 AR-4 PT-2, PT-3 SA-3, SA-4, SA-9, SA-9(5), SA-10, SA-11, SA-15 SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, SC-32, SC-45 SI-12 SR-3, SR-5
EU NIS2	Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II
EU DORA	Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A
EU GDPR	Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06
ISO 31000:2018	Leadership commitmentRisk management principlesContinuous improvement
ISO/IEC 27005:2024	Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
ISO 22301:2019	Business Continuity Management SystemBusiness Impact AnalysisRequirements

Ietvars

Aplūkotās klauzulas / Kontroles

ISO/IEC 27001:2022

Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

EU NIS2

Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II

EU DORA

Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A

EU GDPR

Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

ISO 31000:2018

Leadership commitmentRisk management principlesContinuous improvement

ISO/IEC 27005:2024

Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review

ISO 22301:2019

Business Continuity Management SystemBusiness Impact AnalysisRequirements

Saistītās politikas

Piekļuves kontroles politika

Šī politika nosaka, kā organizācija pārvalda piekļuvi sistēmām, datiem un objektiem, lai nodrošinātu, ka tikai autorizētas personas var piekļūt informācijai atbilstoši biznesa vajadzībām.

Incidentu reaģēšanas politika (P30)

Šī politika nosaka, kā organizācija atklāj, ziņo un reaģē uz informācijas drošības incidentiem, kas ietekmē digitālās sistēmas, datus vai pakalpojumus.

Datu aizsardzības un privātuma politika

Šī politika nosaka, kā organizācija aizsargā personas datus atbilstoši juridiskajiem pienākumiem, regulatīvajiem ietvariem un starptautiskajiem drošības standartiem.

Trešo pušu un piegādātāju drošības politika

Šī politika nosaka obligātās drošības prasības trešo pušu un piegādātāju piesaistei, pārvaldībai un attiecību izbeigšanai.

Darbības nepārtrauktības un avārijas atjaunošanas politika

Šī politika nodrošina, ka organizācija var uzturēt biznesa darbību un atjaunot būtiskos IT pakalpojumus traucējošu notikumu laikā un pēc tiem.

Par Clarysec politikām - Zenith komplekts

Zenith komplekts ir visaptverošs GRC rīku kopums, kas paredzēts, lai racionalizētu un stiprinātu organizācijas drošību, atbilstību un audita gatavību. Tas integrē divkāršu politiku bibliotēku, kas piemērota gan MVU, gan uzņēmumiem, galveno kontroļu kartēšanas rīkkopu un pakāpenisku ieviešanas ceļkarti, ko izstrādājuši atzīti eksperti. Katrs dokuments un rīks komplektā ir kartēts atbilstoši reālām kontrolēm un regulatīvajām klauzulām, nodrošinot skaidrus, aizstāvamus audita pierādījumus iekšējiem un sertifikācijas auditiem. Komplekta mērogojamā arhitektūra ļauj organizācijām viegli pāriet, tām augot, pārstrukturējoties vai apvienojoties, nezaudējot atbilstības integritāti. Abas politiku kopas ir izpildāmas un pielāgojamas ģenerāldirektoriem, vadītājiem vai starpfunkcionālām komandām — piemērotas organizācijām ar vai bez specializētiem IT resursiem. Zenith komplekts atbalsta visaptverošu pārklājumu pārvaldības, IT, privātuma, piegādātāju pārvaldības, tehnoloģisko, fizisko un operatīvo kontroles pasākumu jomās un tiek regulāri atjaunināts, lai atbilstu mainīgajiem standartiem un nozares labākajai praksei.

Tūlītēji, auditam gatavi dokumenti

Piekļūstiet 74 pilnībā kartētām, ieviešanai gatavām politiku veidnēm tūlītējai operatīvai atbilstībai.

Uz lomām balstīta pārskatatbildība

MVU politikas piešķir skaidras atbildības ne-IT struktūrām; uzņēmuma līmeņa dokumenti pārvalda sarežģītas komandas.

Regulatīvās kartēšanas dziļums

Katra politika, kontrole un veidne precīzi kartējas atbilstoši attiecīgajiem regulējumiem, vienkāršojot auditus un sertifikāciju.

Piegādātāju un mākoņa drošības kontroles pasākumi

Nodrošina līgumu standartu izpildi un dzīvescikla pārvaldību ārējo piegādātāju un mākoņvides ietvaros.

Mērogojams visiem uzņēmumu lielumiem

Kombinējiet un pielāgojiet MVU un uzņēmuma līmeņa kopas jaunuzņēmumiem, MVU vai sarežģītām starptautiskām organizācijām.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zenith komplekts