S katerimi okviri so Kontrole Zenith usklajene?

Preslikane so na ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 in druge.

Katera področja varnosti so pokrita?

Kontrole pokrivajo upravljanje, operacije, dostop, kontrole, povezane z ljudmi, fizične varnostne ukrepe, dobavitelje/zunanje izvajanje, oblak, tehnološke kontrole in upravljanje incidentov.

Ali kontrole vključujejo navodila za revizijo?

Da, vsaka kontrola vključuje ustrezno revizijsko metodologijo, zahteve glede dokazov in povezave do certifikacijskih klavzul.

Kako Kontrole Zenith obravnavajo tveganje tretjih oseb?

Podrobno opisujejo varnost življenjskega cikla dobaviteljev, pogodbene obveznosti, obravnavanje incidentov in določila o pravici do revizije s preslikavo kontrol.

Ali obstajajo razdelki s smernicami za regulativno preslikavo?

Da. Vsaka kontrola vključuje navzkrižno preslikavo skladnosti, ki prikazuje povezave dokazov do predpisov in standardov EU, ZDA in mednarodnih okvirov.

Kontrole Zenith - Clarysec

Pregled

Kontrole Zenith so podroben referenčni nabor kontrol informacijske varnosti, usklajen z glavnimi globalnimi okviri. Pokrivajo področja upravljanja, fizične varnosti, kontrol, povezanih z ljudmi, tehnoloških kontrol, dobaviteljev in razvoja, s preslikano revizijsko metodologijo in smernicami za skladnost za podporo učinkovitemu upravljanju, implementaciji in certificiranju.

Celovita knjižnica kontrol

Pokriva upravljanje, tehnološke kontrole, kontrole, povezane z ljudmi, in fizične varnostne ukrepe za celovito zaščito informacij.

Preslikano na regulativne standarde

Preslikano na ISO/IEC 27001 in 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR in COBIT 2019 za dokazano pokritost skladnosti.

Navodila za operativno implementacijo

Vsebuje podrobne povezave z drugimi kontrolami, opombe za implementacijo in navzkrižne sklice na praktične scenarije tveganj.

Varnost tretjih oseb in dobavne verige

Obravnava pogodbe z dobavitelji, oblak in zunanje izvajani razvoj z vzorčnimi revizijskimi merili in varnostnimi klavzulami.

Celovito obvladovanje tveganj

Povezuje identifikacijo tveganj, obravnavo tveganja, odziv na incidente in nenehno izboljševanje v enoten varnostni okvir.

Preslikava kontrol, pripravljena za revizijo

Vsaka kontrola vključuje zahteve glede revizijskih dokazov, preslikavo ISO/NIST in pričakovanja metodologije za certifikacijske presoje.

Integrirana zasebnost in varnost

Vključuje ravnanje s PII, maskiranje podatkov, minimizacijo in izbris za predpise o zasebnosti in najboljše varnostne prakse.

Preberi celoten pregled

Kontrole Zenith zagotavljajo celovit, strukturiran nabor kontrol informacijske varnosti, usklajen z mednarodno priznanimi standardi za učinkovito upravljanje, obvladovanje tveganj in skladnost. Vodnik, ki zajema področja upravljanja, tehnoloških kontrol, fizične varnosti in kontrol, povezanih z ljudmi, podrobno opisuje posamezne kontrole, vključno z upravljanjem politik, opredelitvijo vlog, nadzorom dobaviteljev, popisom sredstev, upravljanjem uporabniškega dostopa, upravljanjem ranljivosti, varnim razvojem in odzivom na incidente, z obsežnimi navzkrižnimi sklici na globalne okvire, kot so ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, Direktiva EU NIS2, EU DORA, EU GDPR in COBIT 2019. Vsaka kontrola v naboru je natančno opisana z navedbo operativnih atributov, ciljev tveganja, obravnavanih lastnosti informacijske varnosti in razmerij z drugimi kontrolami. Kontrole niso obravnavane izolirano, temveč preslikane prek medsebojno povezanih scenarijev upravljanja, tehnologije, dobaviteljev in razvoja. Vsako kontrolo spremljajo praktične opombe za implementacijo, podprte s povzetimi pričakovanji revizijske metodologije, ki odražajo trenutno najboljšo prakso, vključno z intervjuji, pregledom dokumentacije, vzorčenjem in testi scenarijev v živo. Kontrole Zenith posebej obravnavajo celoten varnostni življenjski cikel: od oblikovanja politike informacijske varnosti in odgovornosti upravljanja, prek upravljanja identitet in dostopa (prek privilegijev, omejevanja informacij in avtentikacije), do varne izvedbe projektov, upravljanja sprememb ter kontrol dobaviteljev (vključno z oblakom in zunanje izvajanim razvojem). Podrobna pozornost je namenjena tehničnim področjem, kot so upravljanje ranljivosti, segmentacija omrežja, osnovni nabor kontrol, varna sistemska arhitektura in življenjski cikli razvoja sistemov (SDLC), vse do načrtovanja sistemov za varnostno kopiranje in redundance, revizijskega beleženja, spremljanja ter obravnavanja incidentov in nenehnega izboljševanja. Varstvo podatkov in presečišče zasebnosti z varnostjo sta ponavljajoči se temi. Vodnik integrira prakse za zasebnost že v zasnovi/privzeto, minimizacijo podatkov, maskiranje, nadzor testnih informacij, pravočasen izbris in varno odstranjevanje nosilcev za shranjevanje. Kjer je primerno, so kontrole povezane z navzkrižno regulativno skladnostjo za osebne podatke, vključno z jasnimi preslikavami na zahteve GDPR in ISO/IEC 27701/27018, s posebnim poudarkom na revizijskih sledeh, uveljavljanju pravic uporabnikov in ravnanju s PII v odnosih z dobavitelji in v oblaku. Varnost tretjih oseb in dobavne verige je prav tako obravnavana celovito. Kontrole podrobno opisujejo skrbni pregled dobaviteljev, pogodbene klavzule, pravice do revizije, zahteve za obveščanje o incidentih in prakse varnega razvoja za zunanje odnose. Podana so navodila za upravljanje celotnega življenjskega cikla tretjih oseb, vključno z izmenjavo podatkov, odgovornostmi v oblaku in zagotavljanjem, da se okolja, ki jih upravljajo dobavitelji, uskladijo s potrebami organizacije glede tveganj in skladnosti. V vseh kontrolah Kontrole Zenith zagotavljajo vzorčne tabele preslikav na regulativne klavzule, predlagajo revizijske dokaze in ključne kazalnike uspešnosti (KPI) za operativno pripravljenost in pripravljenost na revizijo ter usklajujejo prakse z aktualnimi okviri in industrijskimi trendi, zaradi česar so nepogrešljiv vir za organizacije, ki želijo operacionalizirati najboljše varnostne prakse, izpolniti potrebe po skladnosti v več jurisdikcijah in zainteresiranim stranem zagotoviti zaupanje v svoj profil tveganja.

Vsebina

Celoten seznam kontrol 5.x–8.x (upravljanje, kontrole, povezane z ljudmi, fizične varnostne ukrepe, tehnološke kontrole)

Podrobni navzkrižni sklici: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Revizijska metodologija in merila dokazov po posameznih kontrolah

Zahteve za testiranje in sprejem za okolja DevOps, dobaviteljev in oblaka

Varstvo podatkov, zasebnost in prakse izbrisa

Nenehno izboljševanje in integracija odzivanja na incidente

Okvir	Pokrite klavzule / Kontrole
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Okvir

Pokrite klavzule / Kontrole

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Sorodne politike

Politika informacijske varnosti

Vzpostavlja organizacijske politike informacijske varnosti kot temelj za upravljanje.

Politika vlog in odgovornosti upravljanja

Opredeljuje odgovornost za razvoj, odobritev in uveljavljanje kontrol informacijske varnosti.

Politika odgovornosti vodstva

Dodeli dolžnost najvišjega vodstva za nadzor ISMS, implementacijo politik in zagotavljanje skladnosti.

Politika stika z organi

Zagotavlja, da organizacije vzdržujejo odnose in protokole za pravočasno sodelovanje z zunanjimi organi.

Politika sodelovanja v varnostnih skupnostih

Spodbuja sodelovanje v varnostnih skupnostih za koristi deljenega znanja, primerjalnih analiz in obveščevalnih podatkov o grožnjah.

O pravilnikih Clarysec - Kontrole Zenith

Ta knjiga je v praksi preizkušen priročnik za presojevalce, vodje informacijske varnosti (CISO) in vodje skladnosti, ki želijo operativne kontrole, ne teoretičnih kontrolnih seznamov. Vsaka kontrola je razčlenjena za neposredno preslikavo na ISO 27001:2022, NIS2, DORA, GDPR in NIST ter prikazuje, kaj bodo presojevalci pričakovali in kateri revizijski dokazi so dejansko pomembni. Dobite uporabne navzkrižne sklice, dodelitve po vlogah in razčlenitve na ravni klavzul, zasnovane za praktično implementacijo sistema upravljanja informacijske varnosti (ISMS), pripravo na revizijo in nenehno izboljševanje. Brez odvečnosti in brez dvoumnosti – samo bistvene smernice in orodja, ki jih potrebujete za zapiranje vrzeli v skladnosti in zaščito poslovanja.

Bogata navodila za revizijo in dokaze

Zagotavlja izrecno revizijsko metodologijo in vzorčne revizijske dokaze za vsako kontrolo, kar podpira notranje, zunanje in certifikacijske presoje.

Podrobna medsebojna razmerja kontrol

Preslika praktična razmerja med kontrolami, kar organizacijam omogoča razumevanje varnostnih odvisnosti prek upravljanja, tehnologije in operacij.

Posodobljene regulativne preslikave

Ponuja najnovejšo navzkrižno preslikavo skladnosti na vse glavne okvire, kar olajša certificiranje, samoocenjevanje in regulativno poročanje.

Pokritost varnosti dobaviteljev in zunanjega izvajanja

Celovito obravnava pogodbene, spremljevalne in revizijske zahteve za obvladovanje tveganj varnosti dobaviteljev in zunanjega izvajanja.

Pogosto zastavljena vprašanja

Zasnovano za vodje, s strani vodij

Ta pravilnik je pripravil varnostni vodja z več kot 25 leti izkušenj pri uvajanju in presojanju ISMS ogrodij za globalna podjetja. Zasnovan ni le kot dokument, temveč kot zagovorno ogrodje, ki prestane presojo revizorjev.

Pripravil strokovnjak z naslednjimi kvalifikacijami:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokritost in teme

🏢 Ciljni oddelki

IT Varnost Skladnost Presoja Upravljanje

🏷️ Tematska pokritost

nadzor dostopa upravljanje identitet upravljanje avtentikacije upravljanje privilegiranih dostopov

Kontrole Zenith