Z jakimi ramami są zgodne Środki kontrolne Zenith?

Są zmapowane do ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 i innych.

Jakie obszary bezpieczeństwa są objęte?

Środki kontrolne obejmują zarządzanie, operacje, kontrolę dostępu, zabezpieczenia osobowe, kontrole fizyczne, dostawców/outsourcing, chmurę obliczeniową, obszary techniczne oraz zarządzanie incydentami.

Czy środki kontrolne zawierają wytyczne audytowe?

Tak, każdy środek kontrolny zawiera odpowiadającą mu metodykę audytu, wymagania dotyczące dowodów z audytu oraz odwołania do klauzul certyfikacyjnych.

W jaki sposób Środki kontrolne Zenith adresują ryzyko stron trzecich?

Opisują bezpieczeństwo cyklu życia dostawcy, zobowiązania dotyczące zgodności umownej, obsługę incydentów oraz postanowienia dotyczące prawa do audytu wraz z mapowaniem środków kontrolnych.

Czy są sekcje wytycznych dotyczące mapowania regulacyjnego?

Tak. Każdy środek kontrolny zawiera mapowanie zgodności krzyżowej, pokazujące powiązania dowodowe do regulacji i norm UE, USA oraz międzynarodowych.

Środki kontrolne Zenith

Przegląd

Środki kontrolne Zenith to szczegółowy zestaw referencyjny środków kontrolnych bezpieczeństwa informacji zgodny z głównymi globalnymi ramami, obejmujący obszary zarządzania, fizyczne, osobowe, techniczne, dostawców i rozwoju, z mapowaniem metodyki audytu i wytycznymi zgodności wspierającymi skuteczne zarządzanie, wdrożenie i certyfikację.

Kompleksowa biblioteka środków kontrolnych

Obejmuje zarządzanie, zabezpieczenia techniczne, zabezpieczenia osobowe oraz kontrole fizyczne dla kompleksowej ochrony informacji.

Zmapowane do norm regulacyjnych

Zmapowane do ISO/IEC 27001 i 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR oraz COBIT 2019 dla sprawdzonego pokrycia zgodności.

Wytyczne wdrożeniowe dla operacji

Zawiera szczegółowe powiązania z innymi środkami kontrolnymi, uwagi wdrożeniowe oraz odwołania do praktycznych scenariuszy ryzyka.

Bezpieczeństwo stron trzecich i łańcucha dostaw

Adresuje umowy z dostawcami, chmurę obliczeniową oraz usługi outsourcingowe w rozwoju, z przykładowymi kryteriami audytu i klauzulami bezpieczeństwa.

Kompleksowe zarządzanie ryzykiem

Łączy identyfikację ryzyka, postępowanie z ryzykiem, reagowanie na incydenty oraz ciągłe doskonalenie w jednolitych ramach bezpieczeństwa.

Mapowanie środków kontrolnych gotowe do audytu

Każdy środek kontrolny zawiera wymagania dotyczące dowodów z audytu, mapowanie ISO/NIST oraz oczekiwania metodyczne dla audytów certyfikacyjnych.

Zintegrowana prywatność i bezpieczeństwo

Uwzględnia postępowanie z danymi osobowymi, maskowanie danych, ochronę i minimalizację danych oraz usuwanie zgodnie z regulacjami prywatności i najlepszymi praktykami bezpieczeństwa.

Czytaj pełny przegląd

Środki kontrolne Zenith zapewniają kompleksowy, ustrukturyzowany zestaw środków kontrolnych bezpieczeństwa informacji zgodny z międzynarodowo uznanymi normami dla skutecznego zarządzania, zarządzania ryzykiem i zgodności. Obejmując obszary zarządzania, techniczne, fizyczne i osobowe, przewodnik opisuje poszczególne środki kontrolne, w tym zarządzanie cyklem życia polityk i procedur, definiowanie i dokumentowanie ról, nadzór nad dostawcami, wykaz aktywów, zarządzanie dostępem użytkowników, zarządzanie podatnościami, bezpieczny rozwój oprogramowania oraz reagowanie na incydenty, z pogłębionymi odwołaniami do globalnych ram, takich jak ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, dyrektywa EU NIS2, EU DORA, EU GDPR oraz COBIT 2019. Każdy środek kontrolny w zestawie jest szczegółowo opisany, wskazując atrybuty operacyjne, cele ryzyka, właściwości bezpieczeństwa informacji, których dotyczy, oraz relacje z innymi środkami kontrolnymi. Środki kontrolne nie są analizowane w izolacji, lecz mapowane w powiązanych scenariuszach zarządzania, technicznych, dostawców i rozwoju. Każdemu środkowi kontrolnemu towarzyszą praktyczne uwagi wdrożeniowe, wsparte podsumowaniem oczekiwań metodyki audytu odzwierciedlających aktualne najlepsze praktyki, w tym wywiady, przegląd dokumentacji, dobór próbek oraz testy scenariuszy na żywo. W szczególności Środki kontrolne Zenith obejmują pełny cykl życia bezpieczeństwa: od tworzenia polityki bezpieczeństwa informacji i odpowiedzialności zarządczych, przez zarządzanie tożsamością i dostępem (w zakresie uprawnień, ograniczeń informacji i uwierzytelniania), po bezpieczne dostarczanie projektów, zarządzanie zmianami oraz środki kontrolne dostawców (w tym chmurę obliczeniową i usługi outsourcingowe w rozwoju). Szczegółowo omówiono obszary techniczne, takie jak zarządzanie podatnościami, segmentacja sieci, bazowy zestaw środków kontrolnych, przegląd architektury bezpieczeństwa oraz cykle życia rozwoju systemów, aż po planowanie kopii zapasowych i redundancji, rejestrowanie audytowe, monitorowanie oraz obsługę incydentów i ciągłe doskonalenie. Ochrona danych oraz styku prywatności z bezpieczeństwem to powracający temat. Przewodnik integruje praktyki privacy by design/default, ochronę i minimalizację danych, maskowanie, kontrolę informacji testowych, terminowe usuwanie oraz bezpieczną utylizację nośników danych. Tam, gdzie ma to zastosowanie, środki kontrolne są powiązane z zgodnością krzyżową dla danych osobowych, w tym z jasnym mapowaniem do wymagań GDPR oraz ISO/IEC 27701/27018, ze szczególnym uwzględnieniem ścieżki audytu, realizacji praw użytkowników oraz postępowania z danymi osobowymi w relacjach z dostawcami i w chmurze obliczeniowej. Bezpieczeństwo stron trzecich i łańcucha dostaw jest również ujęte kompleksowo. Środki kontrolne opisują due diligence dostawców, klauzule umowy, prawo do audytu, wymagania dotyczące powiadamiania o incydentach oraz praktyki bezpiecznego rozwoju oprogramowania dla relacji zewnętrznych. Przedstawiono wytyczne dotyczące zarządzania pełnym cyklem życia stron trzecich, w tym wymiany danych, odpowiedzialności w chmurze obliczeniowej oraz zapewnienia, że środowiska zarządzane przez dostawców są zgodne z potrzebami organizacji w zakresie ryzyka i zgodności. W całym zestawie Środki kontrolne Zenith dostarczają przykładowe tabele mapowania do klauzul regulacyjnych, sugerują dowody i kluczowe wskaźniki efektywności (KPI) dla gotowości operacyjnej i audytowej oraz dopasowują praktyki do aktualnych ram i trendów branżowych, stanowiąc niezbędne źródło dla organizacji, które chcą operacjonalizować najlepsze praktyki bezpieczeństwa, spełniać potrzeby zgodności w wielu jurysdykcjach oraz zapewniać interesariuszy o swoim profilu ryzyka.

Zawartość

Pełna lista środków kontrolnych 5.x–8.x (zarządzanie, zabezpieczenia osobowe, kontrole fizyczne, techniczne)

Szczegółowe odwołania krzyżowe: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Metodyka audytu i kryteria dowodowe specyficzne dla środka kontrolnego

Wymagania dotyczące testowania i akceptacji dla środowisk DevOps, dostawców i chmury obliczeniowej

Ochrona danych, prywatność oraz praktyki usuwania

Integracja ciągłego doskonalenia i reagowania na incydenty

Framework	Objęte klauzule / Kontrole
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Framework

Objęte klauzule / Kontrole

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Powiązane polityki

Polityka bezpieczeństwa informacji

Ustanawia polityki ochrony informacji w organizacji jako podstawę zarządzania.

Polityka ról i odpowiedzialności w Zarządzaniu

Definiuje rozliczalność za opracowywanie, zatwierdzanie i egzekwowanie środków kontrolnych bezpieczeństwa informacji.

Polityka obowiązków kierownictwa

Przypisuje obowiązki najwyższemu kierownictwu w zakresie nadzoru nad SZBI, wdrażania polityk oraz zapewnienia zgodności.

Polityka kontaktu z organami

Zapewnia, że organizacje utrzymują relacje i protokoły dla terminowego kontaktu z organami zewnętrznymi.

Polityka społeczności specjalistycznych

Promuje udział w społecznościach bezpieczeństwa w celu korzystania ze wspólnej wiedzy, benchmarkingu i informacji o zagrożeniach.

O politykach Clarysec - Środki kontrolne Zenith

Ta książka to sprawdzony w praktyce podręcznik dla audytorów, dyrektorów ds. bezpieczeństwa informacji (CISO) oraz liderów ds. zgodności, którzy oczekują kontroli operacyjnej, a nie teoretycznych list kontrolnych. Każdy środek kontrolny jest rozpisany pod bezpośrednie mapowanie do ISO 27001:2022, NIS2, DORA, GDPR oraz NIST, pokazując dokładnie, czego audytorzy będą oczekiwać i jakie dowody faktycznie mają znaczenie. Otrzymujesz praktyczne odwołania krzyżowe, przypisania rola po roli oraz rozbicie na poziomie klauzul zaprojektowane pod wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), przygotowanie do audytu oraz ciągłe doskonalenie. Bez wypełniaczy i niejednoznaczności — tylko kluczowe wytyczne i narzędzia potrzebne do domknięcia luk zgodności i obrony organizacji.

Bogate wytyczne audytu i dowodów

Zapewnia jednoznaczną metodykę audytu i przykładowe dowody z audytu dla każdego środka kontrolnego, wspierając audyty wewnętrzne, zewnętrzne i certyfikacyjne.

Szczegółowe współzależności środków kontrolnych

Mapuje praktyczne relacje między środkami kontrolnymi, umożliwiając organizacjom zrozumienie zależności bezpieczeństwa w obszarach zarządzania, technologii i operacji.

Aktualne mapowania regulacyjne

Oferuje najnowsze mapowanie zgodności krzyżowej do wszystkich głównych ram, ułatwiając certyfikację, samoocenę i raportowanie regulacyjne.

Zakres bezpieczeństwa dostawców i outsourcingu

Kompleksowo obejmuje wymagania umowne, monitorowanie oraz wymagania audytowe dla zarządzania ryzykiem bezpieczeństwa dostawców i outsourcingu.

Często zadawane pytania

Stworzone dla liderów, przez liderów

Niniejsza polityka została opracowana przez lidera ds. bezpieczeństwa z ponad 25-letnim doświadczeniem w zakresie wdrażania i audytowania systemów ISMS w globalnych organizacjach. Została zaprojektowana nie tylko jako dokument, lecz jako obronne ramy, które wytrzymują kontrolę audytora.

Opracowane przez eksperta posiadającego:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zasięg i tematy

🏢 Docelowe działy

IT bezpieczeństwo zgodność audyt Zarządzanie

🏷️ Zakres tematyczny

kontrola dostępu zarządzanie tożsamością zarządzanie uwierzytelnianiem zarządzanie dostępem uprzywilejowanym (PAM)