Nikt nie zajmuje się bezpieczeństwem dlatego, że uwielbia wypełniać arkusze zgodności. Ale jeśli już opracowaliście polityki, wdrożyliście zabezpieczenia, udokumentowaliście wszystko - to właśnie mapowanie zgodności sprawia, że cała ta praca staje się widoczna dla audytorów. To most między “robimy właściwe rzeczy” a “oto dowód, że robimy właściwe rzeczy”.
W CISO Assistant łączysz wdrożone zabezpieczenia bezpośrednio z wymaganiami frameworków i dokumentujesz stan zgodności dla każdego z nich. Poniżej opiszę proces dla ISO 27001 i TISAX.
Jak działa mapowanie zgodności
Proces składa się z trzech warstw. Po pierwsze, masz sam framework zgodności - standard, którego przestrzegasz, np. ISO 27001:2022 lub TISAX VDA ISA. CISO Assistant ma wbudowane biblioteki tych frameworków.
Po drugie, tworzysz ocenę zgodności - konkretną ewaluację względem danego frameworku. Możesz mieć np. “Ocenę certyfikacji ISO 27001:2022” oraz osobną “Ocenę TISAX poziom 2”.
Po trzecie, masz oceny wymagań - indywidualne ewaluacje każdego wymagania w ramach frameworku. Gdy tworzysz ocenę zgodności, CISO Assistant generuje jedną ocenę wymagań na każde wymaganie podlegające ocenie. Twoim zadaniem jest przejść przez każdą z nich i udokumentować, jak ją spełniasz.
Konfiguracja oceny
Przejdź do Compliance > Compliance Assessments i kliknij Add Compliance Assessment. Nadaj jej konkretną nazwę, np. “Audyt certyfikacyjny ISO 27001:2022 2026”, zamiast czegoś mglistego. Wybierz framework z biblioteki i dodaj opis obejmujący zakres, informacje o audytorze oraz docelowy termin zakończenia.
Po utworzeniu CISO Assistant generuje wszystkie oceny wymagań. W przypadku ISO 27001:2022 oznacza to około 93 kontrol Annex A plus klauzule systemu zarządzania ISMS (4-10). W TISAX są one uporządkowane według rozdziałów: bezpieczeństwo informacji, HR, bezpieczeństwo fizyczne, zarządzanie tożsamością, bezpieczeństwo IT, relacje z dostawcami, zgodność i ochrona danych.
Dla każdej oceny wymagań wypełniasz: wdrożone kontrole spełniające wymaganie, bieżący status (To Do, In Progress lub Done), werdykt zgodności (Compliant, Partially Compliant, Non-Compliant lub Not Applicable), obserwację wyjaśniającą, jak organizacja konkretnie spełnia wymaganie, oraz w przypadku TISAX - ocenę dojrzałości w skali od 0 do 5.
Pole obserwacji audytorzy czytają najpilniej - nie lekceważ go.
Mapowanie do ISO 27001:2022
ISO 27001 składa się z dwóch części, które musisz uwzględnić. Wymagania systemu zarządzania w klauzulach 4-10 oraz kontrole Annex A w sekcjach A.5-A.8.
System zarządzania ISMS (klauzule 4-10)
Te wymagania dotyczą tego, jak zarządzany jest Wasz ISMS, a nie konkretnych kontrol technicznych. Zazwyczaj mapujesz tutaj Wasze nadrzędne polityki.
| Wymaganie | O co pyta | Kontrole do mapowania |
|---|---|---|
| 4.1 Context of the organization | Understanding internal/external issues | Information Security Policy |
| 4.2 Interested parties | Identifying stakeholders and requirements | Information Security Policy, Legal Compliance Management |
| 4.3 Scope | Defining ISMS boundaries | Information Security Policy |
| 4.4 ISMS | Establishing the management system | Information Security Policy, ISMS Roles and Responsibilities |
| 5.1 Leadership commitment | Management support | Information Security Policy, ISMS Roles and Responsibilities |
| 5.2 IS Policy | Having a policy | Information Security Policy |
| 5.3 Organizational roles | Assigning responsibilities | ISMS Roles and Responsibilities, Segregation of Duties |
| 6.1 Risk assessment | Risk methodology | Information Security Policy (risk management section) |
| 6.2 IS objectives | Setting security goals | Information Security Policy |
| 6.3 Planning of changes | Managing ISMS changes | Change Management Process |
| 7.2-7.3 Competence and awareness | Training | Security Awareness and Training |
| 8.1 Operational planning | Running the ISMS | Information Security Policy, Change Management |
| 9.1 Monitoring and measurement | Measuring effectiveness | Security Monitoring and Alerts, SIEM |
| 9.2 Internal audit | Auditing your ISMS | Audit Management Procedure |
| 9.3 Management review | Regular management review | Information Security Policy |
| 10.1-10.2 Improvement | Handling nonconformities | Information Security Policy, Incident Management |
Z naszego doświadczenia - zespoły często przechodzą przez te klauzule pobieżnie, bo wydają się abstrakcyjne. Nie róbcie tego. Audytorzy dokładnie przyglądają się temu, jak dobrze Wasza struktura zarządzania faktycznie działa w praktyce. Jeśli potrzebujesz pomocy z oceną ryzyka (6.1), nasz przewodnik po ocenie ryzyka przeprowadza przez cały proces.
Annex A - Kontrole organizacyjne (A.5)
| Wymaganie | O co pyta | Wasze kontrole |
|---|---|---|
| A.5.1 IS policies | Collection of IS policies | Information Security Policy |
| A.5.2 IS roles | Defined roles | ISMS Roles and Responsibilities |
| A.5.3 Segregation of duties | Separating conflicting duties | Segregation of Duties |
| A.5.4 Management responsibilities | Management enforcing security | ISMS Roles, IS Policy |
| A.5.5-A.5.6 Authority contacts | Contact with authorities | Contact with Authorities |
| A.5.7 Threat intelligence | Staying aware of threats | Threat Intelligence and Vulnerability Research |
| A.5.8 IS in project management | Security in projects | Security Recommendations for Projects |
| A.5.9 Asset inventory | Maintaining asset register | Asset Management Policy |
| A.5.10 Acceptable use | Rules for using assets | Acceptable Use of Information |
| A.5.11 Return of assets | Getting assets back when people leave | Offboarding Process |
| A.5.12-A.5.13 Classification | Classifying and labelling information | Information Classification and Labelling |
| A.5.14 Information transfer | Secure data transfer | Encryption Policy |
| A.5.15-A.5.18 Access control | Managing user access | User and Access Management, Access Reviews |
| A.5.17 Authentication | Secure authentication | Password Manager, MFA |
| A.5.19-A.5.22 Supplier security | Managing vendor risks | Supplier Management Policy and Process |
| A.5.23 Cloud security | Securing cloud usage | Cloud Security Guidelines |
| A.5.24-A.5.28 Incident management | Handling security incidents | Incident Management Policy, Evidence Collection |
| A.5.29-A.5.30 Business continuity | Maintaining operations | Business Continuity Policy, ICT Readiness |
| A.5.31-A.5.36 Compliance | Meeting legal requirements | Legal Compliance, Licensing, Audit, Privacy |
Annex A - Zabezpieczenia osobowe (A.6)
| Wymaganie | Zabezpieczenia |
|---|---|
| A.6.1 Screening | Employee Screening Process |
| A.6.2 Employment terms | Employment Terms - Security Obligations |
| A.6.3 Awareness and training | Security Awareness Training |
| A.6.4 Disciplinary process | HR Management Policy |
| A.6.5 After termination | Offboarding Process |
| A.6.6 Confidentiality | NDA and Confidentiality Agreements |
| A.6.7 Remote working | Remote Work Security Policy |
| A.6.8 Event reporting | Incident Management Policy |
Annex A - Zabezpieczenia fizyczne (A.7)
| Wymaganie | Wasze kontrole |
|---|---|
| A.7.1-A.7.3 Perimeters and entry | Office Security, Physical Security Policy |
| A.7.4-A.7.6 Securing areas | Secure Areas and Zones |
| A.7.7 Clear desk/screen | Clear Desk and Clear Screen Policy |
| A.7.9 Off-premises security | Remote Work Policy, Endpoint Security |
| A.7.10 Storage media | JumpCloud Storage Media Control |
| A.7.11 Utilities | UPS and Power Protection |
| A.7.12 Cabling security | Cabling Security |
| A.7.13 Equipment maintenance | IT Equipment Maintenance |
| A.7.14 Disposal | Data Retention and Deletion |
Annex A - Zabezpieczenia technologiczne (A.8)
| Wymaganie | Wasze kontrole |
|---|---|
| A.8.1 User endpoints | Endpoint Security, JumpCloud MDM |
| A.8.2 Privileged access | Privileged Access Management |
| A.8.3 Access restriction | User and Access Management |
| A.8.4 Source code access | Source Code Access Control |
| A.8.5 Secure authentication | Password Manager (1Password), MFA |
| A.8.6 Capacity management | Capacity Management - Cloud Resources |
| A.8.7 Malware protection | ESET Antivirus, Gmail AV Protection |
| A.8.8 Vulnerability management | Vulnerability Management, System Updates |
| A.8.9-A.8.10 Configuration and deletion | Change Management, Information Deletion |
| A.8.11 Data masking | Data Masking - Production Data |
| A.8.12 Data leakage prevention | Google Workspace DLP |
| A.8.13 Backup | Information Backup |
| A.8.14 Redundancy | SaaS Redundancy, ICT Readiness |
| A.8.15-A.8.16 Logging and monitoring | Event Monitoring, SIEM, Security Alerts |
| A.8.17 Clock synchronization | NTP Clock Synchronization |
| A.8.18-A.8.19 Software control | Software Management Procedure |
| A.8.20-A.8.22 Network security | Network Policy, FortiGate UTM, VLANs, RADIUS |
| A.8.23 Web filtering | FortiGate Web Filtering, ESET Web Filtering |
| A.8.24 Cryptography | Encryption Policy, Encrypted Drives, Database Encryption |
| A.8.25-A.8.28 Secure development | Security Recommendations, ASVS, Secure Coding |
| A.8.29 Security testing | Security Testing Procedure |
| A.8.31 Environment separation | Dev/Test/Prod Separation |
| A.8.32 Change management | Change Management, IT Change Management |
| A.8.33-A.8.34 Test data and audit | Environment Separation, Security Testing |
Mapowanie do TISAX
TISAX ma inną strukturę niż ISO 27001 - jest zorganizowany w rozdziały z oceną dojrzałości w skali 0-5. W praktyce różnica jest taka, że TISAX przypisuje poziom dojrzałości zamiast prostego wyniku compliant/non-compliant.
Poziomy dojrzałości wahają się od 0 (Incomplete - kontrola nie istnieje), przez 1 (Performed - istnieje, ale jest ad-hoc), 2 (Managed - jest planowana i śledzona), 3 (Established - jest ustandaryzowana i udokumentowana), 4 (Predictable - jest mierzona i monitorowana), do 5 (Optimizing - jest stale doskonalona).
Dla większości kontrol celuj w poziom 3 jako bazę. Oznacza to, że kontrola jest udokumentowana, ustandaryzowana w organizacji i stosowana konsekwentnie. Widzieliśmy zespoły borykające się ze skokiem z 2 do 3, bo wymaga przejścia od “robimy to” do “robimy to w ten sam sposób za każdym razem i oto dowód”.
Mapowanie rozdziałów TISAX
Rozdział 1 obejmuje polityki IS i organizację. Mapuj swoją Information Security Policy do wymagań 1.1.1 i 1.2. Asset Management Policy obejmuje 1.3. Supplier Management obsługuje 1.3.3 (usługi IT zewnętrzne). Endpoint Security i JumpCloud MDM spełniają 1.3.4 (zatwierdzone oprogramowanie). Sekcja dotycząca ryzyka w IS Policy obejmuje 1.4.1. Legal Compliance realizuje 1.5. Incident Management i SIEM obsługują 1.6.1-1.6.2 (zdarzenia bezpieczeństwa). Business Continuity i Incident Management obejmują 1.6.3 (sytuacje kryzysowe).
Rozdział 2 dotyczy zasobów ludzkich. HR Management Policy mapuje się do 2.1.1 (kwalifikacje) i 2.1.2 (zobowiązania umowne). Security Awareness Training obejmuje 2.1.3. Remote Work Policy, Endpoint Security i MDM spełniają 2.1.4 (praca mobilna).
Rozdział 3 to bezpieczeństwo fizyczne. Physical Security Policy obejmuje 3.1.1 (strefy bezpieczeństwa). Business Continuity i Backup realizują 3.1.2 (zakłócenia). Physical Security i Asset Management obsługują 3.1.3 (aktywa wspierające). Endpoint Security, MDM i Encrypted Drives obejmują 3.1.4 (mobilne urządzenia IT).
Rozdział 4 dotyczy Identity and Access Management. Password Policy i 1Password obejmują 4.1.1 (środki identyfikacji) i 4.1.2 (zabezpieczony dostęp). Dodaj Access Reviews dla 4.1.3 (zarządzane konta) i 4.2.1 (prawa dostępu).
Rozdział 5 obejmuje bezpieczeństwo IT i cyberbezpieczeństwo. To największy rozdział. Encryption Policy i Encrypted Drives obsługują 5.1.1-5.1.2 (kryptografia). Change Management obejmuje 5.2.1 i 5.2.2 (w tym separację dev/test). ESET i Gmail AV realizują 5.2.3 (ochrona przed złośliwym oprogramowaniem). Event Monitoring i SIEM obsługują 5.2.4 (logowanie). Vulnerability Management obejmuje 5.2.5 i 5.2.6. Network Policy, FortiGate, VLANy i RADIUS spełniają 5.2.7. Business Continuity realizuje 5.2.8. Backup Policy obejmuje 5.2.9. Change Management i IS Policy adresują 5.3.1 (nowe systemy). Supplier Management i Data Deletion obejmują 5.3.3 i 5.3.4.
Rozdział 6 dotyczy relacji z dostawcami. Supplier Management Policy obejmuje 6.1.1 (kontrahenci) i 6.1.2 (NDA).
Rozdział 7 dotyczy zgodności. Legal Compliance Policy mapuje się do 7.1.1. Personal Data Protection Policy obejmuje 7.1.2.
Rozdział 9 to ochrona danych. Jeśli ma zastosowanie, Personal Data Protection Policy jest główną kontrolą, uzupełnioną przez Incident Management, HR Policy i Training.
Pisanie obserwacji szanowanych przez audytorów
Pole obserwacji to miejsce, gdzie wyjaśniasz, jak faktycznie spełniasz każde wymaganie. Audytorzy czytają je bardzo uważnie, więc warto robić to dobrze.
Pisz obserwacje w trzech częściach. Opisz kontrolę, która jest wdrożona, opisz jak działa w praktyce i wskaż, gdzie audytor może znaleźć dowody.
Słaba obserwacja wygląda tak: “Mamy kontrole dostępu”. Nikomu to nic nie mówi. Dobra obserwacja wygląda tak: “Procesy onboardingu/offboardingu z zasadami rejestracji użytkowników, wyrejestrowania i przypisywania dostępu. Zarządzane przez JumpCloud. Nowi pracownicy otrzymują dostęp na podstawie szablonów ról. Osobom odchodzącym dostęp jest odwoływany w ciągu 24 godzin od ostatniego dnia pracy.”
Dla czegoś takiego jak ochrona przed złośliwym oprogramowaniem dobra obserwacja brzmiałaby: “ESET Endpoint Antivirus wdrożony na wszystkich stanowiskach firmowych przez JumpCloud MDM. Ochrona w czasie rzeczywistym włączona, codzienne aktualizacje sygnatur. Wbudowane zabezpieczenia Gmail skanują wszystkie przychodzące wiadomości pod kątem złośliwego oprogramowania, phishingu i spamu.”
Bądź konkretny. Odwołuj się do rzeczywistych narzędzi i procesów, których używasz.
Skuteczne przechodzenie przez ocenę
Bądźmy szczerzy: przy ponad 93 wymaganiach ISO 27001 lub ponad 50 wymaganiach TISAX to wielodniowe zadanie. Oto jak je uporządkować.
Pracuj sekcja po sekcji. Zrób najpierw całe A.5, potem A.6, A.7 i A.8. Przeskakiwanie jest kuszące, ale prowadzi do niespójności i przeoczeń. Oznacz każde wymaganie jako “Done”, gdy dodasz zabezpieczenia i udokumentujesz obserwację - będziesz mógł śledzić postępy. Naprawdę pomaga psychicznie widzieć rosnącą liczbę “Done”.
Oznaczaj luki od razu. Jeśli nie możesz zmapować żadnej kontroli do wymagania, oznacz je jako “In Progress” i zrób notatkę. Te luki staną się Waszym planem ulepszeń. Używaj “Not Applicable” oszczędnie i zawsze uzasadniaj wyłączenia. “Nie prowadzimy pracy mobilnej” działa dla A.6.7 tylko wtedy, gdy jest to rzeczywiście prawda.
Wiele kontrol mapuje się do wielu wymagań - reużycie opisów w polach obserwacji jest całkowicie w porządku. Audytorzy oczekują spójności, nie nowości.
Przed audytem
W tygodniach poprzedzających właściwy audyt przejrzyj wszystkie oceny oznaczone jako “Done”, aby upewnić się, że są nadal aktualne. Zamknij wszystkie elementy “In Progress” - przez wdrożenie kontroli lub formalną akceptację luki. Eksportuj ocenę, aby udostępnić ją audytorom z wyprzedzeniem. Przygotuj dowody dla każdej kontroli: zrzuty ekranu, dokumenty polityk lub konfiguracje systemów gotowe do zaprezentowania na żądanie. Szperanie w poszukiwaniu zrzutu ekranu, gdy audytor patrzy, nie wygląda dobrze.
Przed mapowaniem upewnij się, że Twoja Deklaracja Stosowalności jest kompletna - to właśnie te kontrole będziesz łączył z wymaganiami. Jeśli pracujesz konkretnie nad zgodnością z ISO 27001, nasz przewodnik po wdrożeniu ISO 27001 obejmuje szerszy proces implementacji. Dla organizacji zajmujących się również NIS2, sprawdź jak wymagania NIS2 pokrywają się z ISO 27001, aby efektywnie mapować oba frameworki.
Mapowanie zgodności to żmudna praca. Nie da się tego osłodzić. Ale celem nie jest zaimponowanie audytorom ilością. Chodzi o to, żeby pokazać, że przemyślałeś każde wymaganie i masz realne, konkretne środki. Jakość nad ilością, szczerość nad optymizmem. Audytor, który widzi, że byłeś szczery co do luk, będzie ufał reszcie Waszej oceny o wiele bardziej niż temu, kto widzi wszystko oznaczone jako “Compliant” bez żadnej treści.
