Hyppää sisältöön
ISMS.online

A.5.36 Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen – MSP Assurance

A.5.36 nostaa rimaa hallinnoiduille palveluntarjoajille (MSP) vaatimalla todisteita siitä, että tietoturvakäytäntöjä todella noudatetaan – ei vain dokumentoida. Asiakkaat ja hallitukset haluavat varmuuden siitä, että kontrollinne toimivat reaaliaikaisissa toiminnoissa, kaikissa työkaluissa ja tiimeissä. Kun yhdenmukaistatte käytännöt, henkilöstön toimet ja todisteet, rakennatte luottamusta, vähennätte kolmansien osapuolten riskiä ja erotutte joukosta säännellyillä markkinoilla.

kirjailija
Mark Sharron
Päivitetty joulukuu 1, 2025
4/5 tähteä

Miksi A.5.36 on tärkeä hallittuja tietoturvapalveluita tarjoaville MSP:ille

A.5.36 on tärkeä hallittujen palvelujen tarjoajille, koska se testaa, noudatetaanko tietoturvasääntöjänne todella reaaliaikaisissa toiminnoissa, eivätkä ne ole vain kirjallisia, ja vaatii näyttöä siitä, että työntekijänne ja järjestelmänne noudattavat näitä sääntöjä päivittäisessä työssä. Se ei enää anna teidän piiloutua käytäntökirjaston taakse; se odottaa teidän todistavan, että käytännöt, standardit ja säännöt ymmärretään, niitä sovelletaan ja korjataan, jos niitä ei ole, sekä sisäisessä ympäristössänne että asiakkaillenne tarjoamissanne palveluissa, jotka kattavat useita työkaluja, tiimejä ja aikavyöhykkeitä.

Nämä tiedot ovat yleisiä eivätkä ne ole oikeudellisia, sääntelyyn liittyviä tai sertifiointiin liittyviä neuvoja. Organisaatiotasi koskevissa päätöksissä sinun tulee kääntyä pätevien ammattilaisten ja valitsemasi sertifiointilaitoksen puoleen.

Yleisellä tasolla ISO/IEC 27001:2022 -standardin kohta A.5.36 edellyttää kolmea asiaa:

  • Määrittele organisaatiossasi sovellettavat tietoturvakäytännöt, -säännöt ja -standardit.
  • Tarkista säännöllisesti, noudattavatko ihmiset ja toiminnot niitä.
  • Toimi, kun he eivät toimi, ja pidä todisteita siitä, että kaikki tämä tapahtuu.

Useimmille organisaatioille se on haastavaa. Hallittuja tietoturvapalveluita tarjoavalle MSP:lle se on paljon vaikeampaa. Et ole vastuussa vain omasta henkilöstöstäsi ja järjestelmistäsi, vaan toimit myös asiakasympäristöissä, asiakastietojen parissa, asiakaskäytäntöjen ja toimialakohtaisten määräysten mukaisesti. ”Sääntöihisi ja standardeihisi” kuuluvat nopeasti:

  • Oma tietoturvakäytäntösi ja aihekohtaiset standardit.
  • Asiakkaan tietoturva-aikataulut, hyväksyttävää käyttöä koskevat lausekkeet ja tietojenkäsittelyvaatimukset.
  • Ulkoiset standardit, joihin sitoudut, kuten konfiguraatioiden perusviivat tai alan käytännesäännöt.

Suurin osa vuoden 2025 ISMS.online-sivuston tietoturvakyselyyn vastanneista kertoi kokeneensa vähintään yhden kolmannen osapuolen tai toimittajan tietoturvahäiriön viimeisen vuoden aikana.

Jos tarjoat palveluita, kuten tietoturvakeskuksen (SOC), hallitun havaitsemisen ja reagoinnin, haavoittuvuuksien hallinnan tai päätepisteiden hallinnan, asiakkaat näkevät A.5.36:n yhä useammin keinona kysyä: "Mistä tiedämme, että noudatat omia sääntöjäsi ja meidän sääntöjämme – ja mitä tapahtuu, jos et noudata?"

Tämä on yksi syy siihen, miksi hallitukset ja sijoittajat esittävät nyt tiukempia kysymyksiä MSP-hallinnoinnista. Alan tutkimus ISO 27001 -standardista ja laajemmasta kyberriskistä toteaa myös lisääntyneen hallitustason turvallisuuden ja hallinnon valvonnan, erityisesti kolmansien osapuolten palveluntarjoajien ja ulkoistettujen toimittajien osalta, mikä heijastaa laajempaa muutosta odotuksissa riskien valvonnasta. Yksittäinen väärin linjattu sääntö SOC- tai etävalvonta- ja -hallinta-alustassasi (RMM) voi vahingoittaa useita asiakkaita kerralla, joten he haluavat varmuuden siitä, että dokumentoidut kontrollisi vastaavat toiminnan todellisuutta. Kyberriskien sietokyvyn ja inhimillisen tekijän riippumaton analyysi korostaa samalla tavalla, kuinka jaettujen alustojen tai prosessien heikkoudet voivat vahvistaa yksittäisten virheiden vaikutusta monissa organisaatioissa, erityisesti silloin, kun ihmisen käyttäytyminen ja prosessikuri ovat kriittisiä.

ISMS.onlinen kaltainen alusta voi auttaa tarjoamalla sinulle yhden paikan määritellä käytäntösi ja standardisi, yhdistää ne palveluihin, määrittää vastuut ja linkittää ne auditoinneista, arvioinneista ja operatiivisista työkaluista saatuun todelliseen näyttöön. Tämä ei poista työn tekemistä, mutta se tekee "sanomiemme" ja "todisteiden" välisen suhteen näkyväksi ja hallittavaksi.

Noudattaminen ansaitsee luottamusta, kun todisteesi osoittavat, mitä todella tapahtuu, eivätkä sitä, mitä toivot tapahtuvan.

Mitä A.5.36 itse asiassa vaatii selkokielellä

A.5.36 edellyttää, että pidät tietoturvasäännöt selkeinä, tarkistat, että ihmiset noudattavat niitä, ja korjaat ongelmat, jos he eivät noudata, sekä pystyt osoittamaan auditoijille ja asiakkaille, että tämä silmukka toimii käytännössä konkreettisten todisteiden, ei pelkästään aikomusten, avulla. Käytännössä tämä tarkoittaa sen osoittamista, että tietoturvakäytäntösi ja aihekohtaisten käytäntöjen, sääntöjen ja standardien noudattamista tarkastellaan säännöllisesti ja että noudattamatta jättämiseen puututaan asianmukaisesti osana elävää kontrollisilmukkaa, joka yhdistää säännöt, käyttäytymisen, tarkastukset ja parannukset.

MSP:llä tuo silmukka näyttää tyypillisesti tältä:

  • Määritellä: Ylläpidät selkeitä ja ajantasaisia ​​sääntöjä, jotka koskevat henkilöstöä, urakoitsijoita ja tarvittaessa asiakasympäristöjä.
  • ilmoitettava: Ihmiset tuntevat säännöt ja tunnustavat ne koulutuksen, perehdytyksen ja perehdytyksen kautta.
  • Monitor: Käytät teknistä valvontaa, prosessitarkastuksia ja sisäisiä auditointeja varmistaaksesi, noudatetaanko näitä sääntöjä.
  • Vastata: Kun havaitset vaatimustenvastaisuutta, kirjaat sen, arvioit sen vaikutukset ja ryhdyt tarvittaessa korjaaviin tai kurinpitotoimiin.
  • Parantaa: Tarkastelet vaatimustenvastaisuuksien kaavoja ja mukautat käytäntöjä, koulutusta tai valvontaa.

Tilintarkastajat eivät odota täydellisyyttä. He odottavat kontrolloitua ja todistettua sykliä. Yritysasiakkaat odottavat samaa, erityisesti silloin, kun palvelusi on osa heidän kriittistä infrastruktuuriaan tai sääntelyn piiriin kuuluvaa. A.5.36 liittyy suoraan ISO 27001 -standardin Suunnittele–Tee–Tarkista–Toimi -sykliin: suunnittelet säännöt, käytät kontrolleja, tarkistat vaatimustenmukaisuuden ja toimit oppimasi perusteella.

Miksi kontrolli puree kovemmin MSP:ille

A.5.36 on kovempi MSP-palveluntarjoajille, koska pienet heikkoudet sääntöjen valvonnassa voivat ulottua moniin palveluihin ja asiakkaisiin. Jos sisäinen hallinto on löyhää, yksi heikko standardi tai poikkeus voi hiljaa heikentää useita hallittuja tietoturvatarjouksia kerralla.

Monille palveluntarjoajille A.5.36 paljastaa piilevän ristiriidan: myynnit ja sopimukset lupaavat yhden tason hallintaa, käytännöt kuvaavat toista ja toiminnot tarjoavat jotain aivan muuta. Koska palvelusi ovat monivuokralaisia ​​ja työkalupohjaisia, heikkoudet voivat levitä nopeasti:

  • Löyhä järjestelmänvalvojan tiliä koskeva sääntö omassa ympäristössäsi voi heikentää kaikkia tarjoamiasi hallittuja tietoturvapalveluita.
  • Asiakkaiden epäjohdonmukaisesti soveltama korjausstandardi voi johtaa toistuviin löydöksiin asiakastarkastuksissa.
  • Jaettu runbook, jota ei päivitetä käytäntöjen muuttuessa, voi hiljaa ajautua pois vaatimustenmukaisuudesta.

Noin 41 % organisaatioista vuonna 2025 tehdyssä ISMS.online-kyselyssä nimesi kolmansien osapuolten riskien hallinnan ja toimittajien vaatimustenmukaisuuden seurannan yhdeksi suurimmista tietoturvahaasteistaan.

Asiakkaat ja sääntelyviranomaiset ovat tästä yhä tietoisempia. He käyttävät A.5.36:n mukaisia ​​kysymyksiä selvittääkseen, miten hallinnoitte henkilöstöänne ja alihankkijoitanne, miten valvotte sääntöjen noudattamista usean vuokralaisen työkaluissa ja miten käsittelette poikkeuksia. Pinnallinen vastaus – meillä on käytäntö ja koulutamme henkilöstöä – ei enää tyydytä heitä.

A.5.36:n käsitteleminen keskeisenä MSP:n hallintotapana pikemminkin kuin kapeana dokumentointivaatimuksena antaa mahdollisuuden yhdenmukaistaa lupauksia, käytäntöjä ja toimintatapoja. Kun tämä yhdenmukaisuus voidaan osoittaa luotettavasti, siitä tulee erottautumistekijä kilpailukykyisissä tarjouksissa, erityisesti asiakkaille, jotka näkevät MSP:nsä osana omaa sääntelypiiriään.

Varaa demo


Ongelma: Määräystenmukaisuus MSP:ille, kun kyseessä on ajankohtainen, vain paperilla tehtävä vaatimustenmukaisuus

Ajankohtainen ja paperipainotteinen vaatimustenmukaisuus pitää sinut auditointien läpäisyssä, mutta lisää hiljaisesti todellista riskiä, ​​kustannuksia ja stressiä arviointipäivien välillä. Eurooppalaisten kyberturvallisuuselinten ISO 27001 -standardia koskevat ohjeet varoittavat, että tarkistuslistoihin perustuvat tai pelkästään auditointiin keskittyvät lähestymistavat jättävät usein jäljelle operatiivisen riskin ja rasituksen, koska ne eivät heijasta järjestelmien ja palvelujen käyttäytymistä virallisten arviointien välillä. Se keskittää työt lyhyisiin tarkastuksiin sen sijaan, että rakennettaisiin rutiinitarkastuksia, jotka seuraavat vaatimustenmukaisuutta ympäri vuoden.

Jos olet rehellinen siitä, miten tällä hetkellä käsittelet A.5.36:a, on hyvät mahdollisuudet, että suurin osa työstä tapahtuu lyhyinä, intensiivisinä ulkoisten auditointien, asiakasarviointien tai suurten tarjouspyyntöjen yhteydessä sen sijaan, että se olisi osa jokapäiväistä toimintaa.

Tyypillinen kaava näyttää tältä: useita kertoja vuodessa turvallisuus- ja operatiiviset johtajat hylkäävät kaiken kootakseen todistusaineistoa. He etsivät vietäviä raportteja tikettien, riskienhallinnan ja turvallisuustietojen ja tapahtumien hallinnan (SIEM) työkaluista, hakevat koulutuslokeja HR-järjestelmistä ja luovat räätälöityjä diaesityksiä tietyille asiakkaille. Näiden huippujen ulkopuolella järjestelmällistä tarkistusta tehdään vain vähän sen lisäksi, mitä yksittäiset insinöörit ja johtajat muistavat tehdä.

Tällä lähestymistavalla on useita kustannuksia. Se kuluttaa aikaa, joka voitaisiin käyttää valvonnan parantamiseen. Se on vahvasti riippuvainen muutamasta avainhenkilöstä. Se piilottaa todelliset heikkoudet tilannekuvien taakse, jotka näyttävät hyväksyttäviltä sinä päivänä. Se myös jättää sinut alttiiksi, jos asiakas tai sääntelyviranomainen pyytää varmuutta lyhyellä varoitusajalla.

Vasta auditoinnin yhteydessä heräävä vaatimustenmukaisuus ei yleensä ota huomioon, miten palvelusi todellisuudessa toimivat.

Missä ajankohtainen vaatimustenmukaisuus pettää

Ajankohtainen todistusaineisto pysyy osana ulkoisia tarkastuksia ja due diligence -tarkastuksia, mutta sen käyttäminen ensisijaisena varmennusmallina jättää ennustettavia aukkoja, ja hallittujen palveluntarjoajien (MSP) kohdalla kolme heikkoutta ilmenee yhä uudelleen. Ilmeisimmin ajankohtainen vaatimustenmukaisuus sallii sääntörikkomusten jäädä huomaamatta pitkiksi ajoiksi: vaaratilanteet ja poikkeamat liittyvät usein tunnettuihin sääntöihin, joita ei noudatettu, koska vaikka säännöt olivat olemassa, ei ollut säännöllisiä, riskiperusteisia tarkastuksia.

Viime hetken sankaritekoihin ja hajanaisiin todisteisiin riippuvuus on toinen heikkous. Vaatimustenmukaisuus riippuu kourallisesta insinöörejä ja johtajia, jotka tekevät oikein normaalin työmääränsä lisäksi ilman strukturoituja ohjeita tai tarkastuksia. He kokoavat esineitä hajallaan olevista työkaluista hätäisesti koottuihin paketteihin. Kun nämä ihmiset lähtevät, sairastuvat tai ylikuormittuvat, hallintalaitteet heikkenevät hiljaa ja asiakkaille kerrotun tarinan rekonstruointi vaikeutuu.

Jos toimit tarkasti säännellyillä aloilla tai palvelet asiakkaita, jotka toimivat näin, nämä heikkoudet voivat johtaa menetettyihin kauppoihin, vakavampiin tarkastushavaintoihin tai pidempiin korjaussuunnitelmiin, varsinkin jos ne ovat samanaikaisia ​​muiden kontrollin suunnittelun tai valvonnan puutteiden kanssa. Jopa vähemmän säännellyillä markkinoilla ne lisäävät todennäköisyyttä, että asiakas kyseenalaistaa ammattitaitosi, jos sinulla on vaikeuksia osoittaa, miten valvot omia sääntöjäsi.

Näiden ongelmien tunnistaminen on epämukavaa, mutta se luo pohjan erilaiselle ajattelutavalle A.5.36:sta: ei satunnaisena esteenä, vaan jatkuvana kurina, joka suojelee asiakkaita ja omaa mainetta.

Piilokulut ihmisissä, työkaluissa ja asiakkaiden luottamuksessa

Ajankohtaisen vaatimustenmukaisuuden piilokustannukset näkyvät ihmisissä, työkaluissa ja suhteissa. Tiimit kokevat vaatimustenmukaisuuteen liittyvän työn arvaamattomana, viime hetken paineena, mikä heikentää moraalia ja vahvistaa käsitystä siitä, että säännöt ovat pikemminkin lisäkustannuksia kuin osa hyvää suunnittelu- ja palvelukäytäntöä. Ajan myötä tämä käsitys ruokkii loppuunpalamista ja vaihtuvuutta avainrooleissa.

Esimerkiksi monet keskisuuret MSP-yritykset raportoivat käyttävänsä huomattavasti aikaa – usein jopa viikkoja – ennen suurta tarjouspyyntöä tai asiakasauditointia lokien, kuvakaappausten ja koulutustietojen manuaaliseen kokoamiseen. Työ on stressaavaa, tuotoksia on vaikea käyttää uudelleen, ja tiimillä ei ole juurikaan tunnetta siitä, että palveluiden toiminta olisi parantunut.

Myös työkalukustannuksia on. Hallitut palveluntarjoajat investoivat voimakkaasti ammattipalveluiden automatisointiin (PSA), riskienhallinnan hallintaan (RMM), tiedonhallinnan hallintaan (SIEM), identiteetin hallintaan ja lokitietojen kirjaamiseen. Jos A.5.36-kohdassa toimittamanne todisteet ovat pääasiassa laskentataulukoissa ja kuvakaappauksissa, ette saa täyttä varmuutta näistä työkaluista. Saatatte jopa maksaa kahdesti: kerran työkaluista ja uudelleen manuaalisesta työstä asiaankuuluvien tietojen poimimiseksi ja yhdistämiseksi.

Vuoden 2025 ISMS.online-kysely osoittaa, että asiakkaat odottavat yhä useammin toimittajiltaan toimintatapojen yhdenmukaistamista virallisten viitekehysten, kuten ISO 27001:n, ISO 27701:n, GDPR:n, Cyber ​​Essentialsin, SOC 2:n ja uusien tekoälystandardien, kanssa.

Lopuksi asiakkaat huomaavat. Tietoturvakyselyissä kysytään nykyään usein paitsi "Onko teillä käytäntöä?", myös "Miten valvotte sen noudattamista?" ja "Mitä mittareita seuraatte?". Tietoturvaan ja hallintotapaan erikoistuneiden julkaisujen kattavuus osoittaa saman kaavan: yhä useammat hankinta- ja riskitiimit kysyvät, miten valvontaa valvotaan ja mitataan, sen sijaan, että ne pysähtyisivät yksinkertaisiin kyllä/ei-käytäntökysymyksiin. Jos vastauksesi ovat epämääräisiä tai et pysty antamaan esimerkkejä ilman viikkojen valmistelua, riski- ja hankintatiimit tekevät omat johtopäätöksensä kypsyydestäsi.

Siirtyminen pois ajankohtaisesta ajattelutavasta tarkoittaa sen hyväksymistä, että joitakin sääntöjä noudatetaan epätäydellisesti, mutta samalla vaaditaan, että poikkeamat ovat näkyviä, selitettävissä ja niitä käytetään parannusten edistämiseen sen sijaan, että ne piilotettaisiin seuraavaan tarkastukseen asti. Jatkuvan varmuuden tarkoituksena on tukea tätä muutosta.



ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

81 %:n etumatka ensimmäisestä päivästä lähtien

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita


Uudelleenmuotoilu: staattisesta vaatimustenmukaisuudesta jatkuvaan varmuuteen

A.5.36:n uudelleenmäärittely suunnitteluongelmaksi muuttaa sen vuosittaisesta tarkistuslistasta hallittavaksi osaksi MSP-toimintojen toteuttamista. Sen sijaan, että kysyisit, miten selvitä seuraavasta tarkastuksesta, kysyt, miten rakentaa kohtuullinen jatkuva varmuustaso jokapäiväiseen työhön.

Jatkuva varmistus ei tarkoita jokaisen säännön reaaliaikaista seurantaa jokaisessa järjestelmässä. Se tarkoittaa järkevien aikataulujen ja mekanismien valitsemista siten, että tärkeät säännöt tarkistetaan riittävän usein, tarkastukset sisällytetään normaaleihin työnkulkuihin ja työkaluihin ja todisteet kerätään työn sivutuotteena eikä erillisenä raportointitoimenpiteenä.

Vuoden 2025 ISMS.online State of Information Security -kyselyyn osallistuneiden organisaatioiden vahva enemmistö sanoi, että sääntelymuutosten nopeus ja määrä vaikeuttavat vaatimustenmukaisuuden ylläpitämistä.

Tämä ajattelutapa sopii hyvin yhteen ISO 27001 -standardin rakenteen kanssa. Standardi jo itsessään pyytää sinua suunnittelemaan, käyttämään, valvomaan ja parantamaan johtamisjärjestelmääsi. A.5.36 keskittyy tähän sykliin siihen, noudatatko omia sääntöjäsi ja standardejasi ja reagoitko, jos et noudata.

Lyhyt vertailu tekee muutoksesta selkeämmän. Ajankohtainen vaatimustenmukaisuus keskittää työmäärän muutamaan stressaavaan huippuun ja jättää pitkiä jaksoja, joille on vähän näkyvyyttä. Jatkuva varmistus hajauttaa työmäärää, vähentää yllätyksiä ja helpottaa ongelmien havaitsemista varhaisessa vaiheessa. Alla oleva taulukko tiivistää tärkeimmät erot.

Ulottuvuus Ajankohtainen vaatimustenmukaisuus Jatkuva varmuus
kadenssi Huipputasot ennen auditointeja ja suuria kyselylomakkeita Säännölliset, riskiperusteiset tarkastukset ympäri vuoden
Työmääräprofiili Manuaaliset, stressaavat purkaukset Pienempiä, ennustettavia toimintoja normaaleissa virtauksissa
Riskialtistus Auditointien väliset aukot jäävät helposti huomaamatta Poikkeamat tulivat esiin ja ratkesivat nopeammin
Todisteiden laatu Hajallaan olevista lähteistä rekonstruoitu Luodaan osana rutiinityötä ja seurantaa

Tavoitteena ei ole täydellisyys, vaan yksinkertainen silmukka, joka toimii suurimman osan ajasta ja joka voidaan selittää tilintarkastajille, asiakkaille ja sisäisille sidosryhmille. Kun suunnittelet silmukan huolellisesti, vähennät stressiä ja saat käytäntöjen noudattamisen tuntumaan osana hyvien palvelujen tarjoamista, ei ylimääräiseltä projektilta.

Miltä jatkuva varmuus näyttää käytännössä

Jatkuva varmistus yhdistää sääntösi, kontrollisi, todisteesi ja päätöksesi toisiinsa vahvistamalla toisiaan. Jokaista silmukan osaa voidaan mukauttaa palveluidesi kehittyessä.

Yksinkertainen kuvio käyttää neljää rakennuspalikkaa:

  • Tulot: Käytännöt, standardit ja asiakasvaatimukset, jotka määrittelevät, miten asiat tulisi tehdä.
  • Valvontatoimet: Tekniset kontrollit ja menettelyvaiheet, jotka sisällyttävät nämä säännöt päivittäiseen työhön.
  • Todisteiden esineet: Lokit, tiketit, raportit ja kuittaukset, jotka osoittavat, mitä todella tapahtui.
  • Palautesilmukat: Hallintofoorumit, riskirekisterit ja johdon katselmukset, jotka hyödyntävät näyttöä muutosten tekemiseen.

Esimerkiksi sääntö, jonka mukaan ”kaikkien riskialttiiden muutosten on oltava sekä teknisen omistajan että asiakkaan edustajan hyväksymiä”, voi sisältyä muutoshallinnan työnkulkuusi, sitä valvotaan tiketöintijärjestelmässäsi, sitä voidaan todistaa hyväksyntätietueilla ja sitä voidaan tarkastella säännöllisesti sisäisessä tarkastuksessa tai johdon tarkastuksessa.

Sinun ei tarvitse asettaa jokaista sääntöä päivittäiseen seuranta-aikatauluun. Riskiperusteinen lähestymistapa toimii hyvin:

  • Suurivaikutuksisia sääntöjä (etuoikeutettu käyttöoikeus, tuotantomuutokset, häiriöiden käsittely) voidaan tarkistaa jatkuvasti tai viikoittain.
  • Keskivaikeita sääntöjä (korjausaikataulut, varmuuskopiotestit, koulutuksen suorittaminen) voidaan seurata kuukausittain tai neljännesvuosittain.
  • Vähävaikutteisia sääntöjä voidaan valvoa satunnaisilla auditoinneilla ja johdon tarkastelujen aikana.

Tärkeää on, että pystyt perustelemaan valintasi ja osoittamaan, että valitut mekanismit todella toimivat käytännössä. Kun asiakkaat tai tilintarkastajat kysyvät, miksi sääntö tarkistetaan kuukausittain viikoittaisen sijaan, haluat selkeän, riskiperusteisen vastauksen.

Priorisointi ja yhdenmukaisuus hallinnon kanssa

Useimmat MSP:t eivät voi siirtää kaikkea jatkuvan varmuuden malliin kerralla, joten priorisointi on tärkeää. Edistyt nopeammin keskittymällä sääntöihin, jotka aiheuttaisivat eniten vahinkoa, jos niitä ei noudateta, ja rakentamalla luottamusta niihin ensin.

Pragmaattinen lähestymistapa on seuraava:

  • Tunnista viidestä kymmeneen sääntöä, joiden rikkoutuminen vahingoittaisi eniten asiakkaita tai omaa liiketoimintaasi.
  • Keskity alkuperäiseen suunnitteluun ja automatisointiin näissä säännöissä.
  • Valitse seuranta-, raportointi- ja eskalointiprosessit, jotka liittyvät suoraan olemassa olevaan hallintoon.

Voit esimerkiksi aloittaa näin:

  • Etuoikeutettujen käyttöoikeuksien sääntöjen linkittäminen identiteetti- ja tiketöintijärjestelmiisi, jotta jokainen käyttöoikeuksien laajennus hyväksytään, kirjataan ja tarkistetaan.
  • Yhdistä korjauspäivitysstandardit RMM-työkaluusi kojelaudoilla, jotka näyttävät asiakkaiden vaatimustenmukaisuuden ja merkitsevät poikkeukset.
  • Keskeisten mittareiden – kuten käytäntörikkomusten määrän ja avointen poikkeusten iän – raportointi ISMS-komitealle ja johdon arvioinneille.

Näin teet A.5.36:sta osan normaalia suunnitteluasi ja valvontaasi sen sijaan, että se olisi erillinen kieli, jota vain ISO-tiimi puhuu. Henkilökunta ja asiakkaat näkevät sitten yhtenäisen kerroksen: säännöt, tarkastukset, todisteet ja parannukset, jotka kaikki liittyvät toisiinsa Suunnittele–Toteuta–Tarkista–Toimi -syklin mukaisesti.



Käytännönläheinen A.5.36-kehys MSP:ille

Käytännönläheinen A.5.36-kehys antaa sinulle rakenteen sille, miten säännöt, omistajat, tarkistukset ja vastaukset sopivat yhteen koko hallintosuunnitelmassasi. Se muuttaa hajallaan olevat käytännöt ja tavat selkeäksi kartaksi siitä, kuka on vastuussa mistäkin, miten vaatimustenmukaisuutta tarkistetaan ja miten reagoit, kun asiat menevät pieleen.

Tästä viitekehyksestä tulee silta korkean tason käytäntöjen ja insinöörien ja palvelupäälliköiden noudattamien operatiivisten vaiheiden välillä. Se tarjoaa myös toistettavan tavan vastata asiakkaiden ja auditoijien kysymyksiin ilman, että selityksiä tarvitsee keksiä uudelleen joka kerta.

MSP-kohtaisen A.5.36-valvontakehyksen rakentaminen

MSP-kohtainen A.5.36-kehys alkaa yleensä yksinkertaisella rekisterillä, joka osoittaa, miten tärkeitä sääntöjä sovelletaan, tarkistetaan ja todistetaan käytännössä. Jokainen merkintä linkittää säännön palveluihin, omistajiin, seurantaan ja todisteisiin.

Hyödyllinen lähtökohta on rekisteri, joka tallentaa jokaisen tärkeän säännön osalta:

  • Käytäntö tai standardi, josta se on peräisin.
  • Palvelut ja asiakasympäristöt, joihin se koskee.
  • Valvonnan valvonnasta vastaava omistaja.
  • Prosessin omistaja, joka vastaa suunnittelusta ja tehokkuudesta.
  • Seurantamekanismi ja -tiheys.
  • Todisteiden lähteet, kuten raportit tai tikettityypit.
  • Poikkeusprosessi, mukaan lukien hyväksymis- ja tarkistuspäivät.

Hallittujen palveluntarjoajien (MSP) osalta tämän rekisterin tulisi nimenomaisesti sisältää asiakaskohtaiset vaatimukset, ei vain yleisiä yrityskäytäntöjänne. Jos merkittävä asiakas vaatii tiettyjen lokitietojen käsittelyä tai muutoshallintasääntöjen noudattamista, näiden velvoitteiden tulisi näkyä sääntöinä kehyksessänne omistajineen, tarkistuksineen ja todistelähteineen.

Esimerkiksi ”etuoikeutettu käyttöoikeus” -sääntö voidaan tallentaa käyttöoikeuskäytännöstäsi ja avainasiakkaan aikataulusta tulevaksi. Se voi koskea SOC- ja infrastruktuuripalveluita, olla turvallisuuspäällikön vastuulla, sitä voidaan seurata viikoittain henkilöllisyys- ja tiketöintiraporttien avulla, se voidaan todentaa käyttöoikeustarkistuksilla ja muutosten hyväksynnöillä, ja siihen voidaan soveltaa määräaikaisia ​​poikkeuksia, jotka tietoturvajohtaja on hyväksynyt.

Et tarvitse satoja merkintöjä. Aloita säännöistä, joilla on eniten merkitystä turvallisuuden ja varmuuden kannalta, erityisesti niillä aloilla, joilla sopimuksesi ja markkinointiväitteesi ovat vahvimmat. Ajan myötä voit laajentaa rekisteriä tarpeen mukaan riskien ja asiakkaiden odotusten perusteella.

Tietoturvan hallintajärjestelmäalusta, kuten ISMS.online, voi vahvistaa tätä entisestään ylläpitämällä rekisteriä, linkittämällä säännöt riskeihin ja kontrolleihin sekä seuraamalla tarkastuspäivämääriä ja muutoksia. Tämä yhteinen näkymä vähentää hämmennystä ja helpottaa yhdenmukaisuuden ylläpitämistä palveluiden kehittyessä.

Laajuus-, omistajuus- ja rikkomuskriteerien määrittely

Kaksi viitekehyksen osaa ansaitsee erityistä huomiota: omistajuus ja se, mikä lasketaan rikkomukseksi. Molemmat ratkaisevat, pysyvätkö sääntösi teoreettisina vai muokkaavatko ne tosiasiallisesti käyttäytymistä.

Vahva omistajuus tarkoittaa, että jokaisella merkittävällä säännöllä on:

  • A hallintaoikeuden omistaja, vastuussa sen varmistamisesta, että sääntöä noudatetaan kaikissa asiaankuuluvissa palveluissa.
  • A prosessin omistaja, vastuussa ohjaussuunnittelun ja valvonnan lähestymistavan asianmukaisesta pitämisestä teknologian, asiakkaiden ja määräysten muuttuessa.

Yhtä tärkeitä ovat selkeät rikkomuskriteeritTarvitset sovitun tavan erottaa toisistaan:

  • Pienet poikkeamat, jotka voidaan käsitellä paikallisesti ja kirjata osana normaalia työtä.
  • Merkittävät rikkomukset, jotka tulisi kirjata poikkeamina, siirtää eteenpäin ja mahdollisesti käsitellä vaaratilanteina.

Et voi valvoa sitä, mitä et ole määritellyt tietomurroksi. Kynnysarvojen määrittäminen etukäteen helpottaa työkalujen konfigurointia, kuten hälytysten luokittelua ja reititystä, sekä kurinpito- ja sopimustoimenpiteiden johdonmukaisen ja oikeudenmukaisen soveltamisen varmistamista. Se myös helpottaa A.5.36:n linkittämistä tapausten hallinta- ja poikkeamaprosesseihin, jotta vakavat tietomurrot seuraavat samaa jäsenneltyä polkua kuin muut tietoturvatapahtumat.

Tällainen viitekehys vähentää uudelleentyöskentelyä auditoinnin yhteydessä. Kun auditoijat tai asiakkaat kysyvät: "Miten varmistatte, että tätä sääntöä noudatetaan?", voit osoittaa selkeän kuvauksen, joka näyttää säännön, kontrollit, valvonnan ja todisteet, ja sitten ottaa muutaman otoksen osoittaaksesi, että sykli toimii.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


A.5.36:n sisällyttäminen tietoturvan hallintajärjestelmään, hallintoon ja toimintasopimiin

Upottamalla A.5.36-standardin tietoturvan hallintajärjestelmään (ISMS), hallintorakenteisiin ja toimintatapoihin voit muuttaa viitekehykset käytännön toiminnaksi. Tavoitteena on tehdä käytäntöjen noudattamisesta osa rutiininomaista päätöksentekoa ja palvelujen tarjoamista, ei erillistä vaatimustenmukaisuustoimintaa, joka ilmenee vain ennen tarkastuksia.

Tyypillisessä ISO 27001 -standardin mukaisessa hallintosuunnitelmassa on jo monia tarvittavia mekanismeja: riskirekisterit, muutoshallintaprosessit, tapausten hallinta, kurinpitomenettelyt, sisäiset tarkastukset ja johdon katselmukset. Tehtävänä on kytkeä A.5.36 nimenomaisesti näihin mekanismeihin, jotta sääntöjen noudattamatta jättämistä käsitellään ensisijaisena riskinä eikä jälkikäteen huomioitavana.

A.5.36:n linkittäminen riskienhallintaprosesseihin

A.5.36:n linkittäminen olemassa oleviin riskienhallintaprosesseihin helpottaa vaatimustenvastaisuuksien johdonmukaista hallintaa. Erillisen prosessin luomisen sijaan nostat esiin käytäntörikkomukset muiden riskien ja valvontaongelmien rinnalla.

Vaihe 1 – Sääntörikkomusten integrointi riskienhallintaan

Lisää riskirekisteriisi tyypillisiä "käytäntöjen noudattamatta jättämiseen" liittyviä skenaarioita, kuten käyttöoikeussääntöjen tai muutoshallintaprosessien noudattamatta jättäminen. Yhdistä ne olemassa oleviin riskeihin – esimerkiksi tietomurtoihin tai palvelukatkoksiin – jotta voit perustella valvonta- ja lieventämistoimet ja varmistaa, että vastuuhenkilö on selvä.

Vaihe 2 – Tee A.5.36:sta toistuva auditointiteema

Varmista, että sisäisissä auditoinneissa ja vaatimustenmukaisuuden arvioinneissa testataan säännöllisesti, noudatetaanko valittuja sääntöjä. Ota vuosittain otos pienestä määrästä sääntöjä ja tarkista, että dokumentoidut kontrollit, seuranta ja todisteet toimivat kuvatulla tavalla. Käytä havaintoja korjaavien toimenpiteiden ja parannusten edistämiseen, äläkä pelkästään aiemman käyttäytymisen merkitsemiseen.

Vaihe 3 – Syötä mittarit johdon arviointeihin

Sisällytä A.5.36-kohtaan liittyvät mittarit – käytäntörikkomusten määrät, poikkeusten trendit, suunniteltujen tarkastusten suorittaminen – vakiomuotoisina syötteinä johdon katselmuksiin. Keskustele siitä, mitä ne kertovat kulttuurista, kontrolleista ja työmäärästä, ja päätä, mihin parannustoimet keskitetään. Tämä osoittaa johdonmukaisesti tilintarkastajille ja asiakkaille, että vaatimustenvastaisuuksia hallitaan aktiivisesti.

On myös tärkeää varmistaa, että tietoturvallisuuden hallintajärjestelmän laajuuslausunto ja kontekstianalyysi sisältävät nimenomaisesti asiakkaille toimitetut palvelut ja niiden toimittamiseen käytetyt työkalut. Tällä tavoin ei ole epäselvyyttä siitä, soveltuuko A.5.36 usean vuokralaisen alustoihin, asiakasympäristöihin ja alihankintapalveluihin.

A.5.36:n sisällyttäminen jokapäiväisiin työnkulkuihin

A.5.36:n tuominen osaksi jokapäiväistä työtä tarkoittaa pohjimmiltaan runbookien ja toimintatapojen yhdenmukaistamista viitekehyksen kanssa, jotta vaatimustenmukaisuudesta tulee osa "tapaamme tehdä asioita täällä".

Hyödyllisiä tekniikoita ovat:

  • Runbookien annotointi: Merkitse käyttöönotto-, muutos-, tapahtuma- ja ylläpitorunbookeihin vaiheet, jotka on olemassa tiettyjen sääntöjen täyttämiseksi. Yksinkertaiset tunnisteet, kuten sääntötunnukset tai käytäntöviittaukset, helpottavat yhdenmukaisuuden ylläpitämistä käytäntöjen ja standardien muuttuessa.
  • Lomakkeiden ja työnkulkujen päivittäminen: Varmista, että keskeiset prosessit tallentavat A.5.36-todisteiden saamiseksi tarvitsemasi tiedot – kuten mihin käytäntöön poikkeama liittyy, mitä korjaavia toimenpiteitä tehtiin ja onko poikkeus myönnetty.
  • Roolipohjainen koulutus: Siirry yleisten "tietoturvatietoisuuskurssien" ulkopuolelle. Anna lyhyitä, roolikohtaisia ​​ohjeita siitä, mitä A.5.36 tarkoittaa insinööreille, palvelupäälliköille, asiakkuuspäälliköille ja myynnille. Näytä heille, miten heidän toimintansa tuottaa tai käyttää näyttöä ja miten se tukee asiakkaita.

Ajan myötä tämä saa vaatimustenmukaisuuden tuntumaan vähemmän ylimääräiseltä tehtävältä ja enemmän osalta sitä, miten tarjoat laadukkaita palveluita. Se myös helpottaa tarkastusten ja raportoinnin automatisointia, koska tarvittavat tiedot virtaavat jo työkalujesi läpi jäsennellysti.

Tietoturvan hallintajärjestelmä (ISMS) voi auttaa säilyttämällä viitekehyksen, linkittämällä säännöt riskeihin, kontrolleihin, runbookeihin ja todisteisiin sekä tarjoamalla yhteisen paikan poikkeamille, korjaaville toimenpiteille ja johdon tarkastusrekistereille. Tämä yhteinen konteksti vähentää riskiä, ​​että eri tiimit työskentelevät totuuden eri versioiden pohjalta, ja tekee A.5.36:sta näkyvän sekä teknisille että ei-teknisille sidosryhmille.



Työkalut: Käytäntöjen muuttaminen koneellisesti tarkistettaviksi säännöiksi (SIEM, RMM, ITSM)

Käytäntöjen muuttaminen koneellisesti tarkistettaviksi säännöiksi tarkoittaa käytäntöjoukkosi keskeisten osien ilmaisemista ehtoina, joita työkalusi voivat valvoa ja valvoa. Näin vähennät manuaalista tarkistusta ja saat vahvemman varmuuden siitä, että sääntöjä noudatetaan. Kun sinulla on selkeät säännöt, omistajuus ja prosessit, voit alkaa ilmaista joitakin näistä säännöistä teknisinä ehtoina, joita työkalusi voivat tarkistaa. Näin A.5.36 ja tietoturvatoimintosi vahvistavat toisiaan ja muuttavat käytännöt koneellisesti tarkistettaviksi signaaleiksi.

Tavoitteena ei ole rakentaa erillistä ”vaatimustenmukaisuusjärjestelmää”, vaan konfiguroida jo käytössäsi olevat järjestelmät – SIEM, RMM, identiteettialustat, päätepisteiden hallinta ja tiketöinti – niin, että ne tuottavat näyttöä ja hälytyksiä, jotka vastaavat sääntöjäsi ja standardejasi. Hyvin tehtynä tämä vähentää manuaalista työtä ja lisää luottamusta siihen, että sääntöjä todella noudatetaan.

Käytäntöjen ilmaiseminen teknisinä ehtoina

Ilmaiset politiikan teknisenä ehtona siirtymällä selkokielisestä säännöstä työkalujesi erityisiin signaaleihin ja tarkistuksiin. Kaava on yksinkertainen, mutta sen johdonmukainen soveltaminen vaatii kurinalaisuutta.

Jotta käytäntöteksti voidaan kääntää työkalujen käyttöön sopivaksi, on hyödyllistä käyttää mallia, joka yhdistää kielen ja määritykset:

  1. Aloita säännölläesimerkiksi ”kaikissa hallituissa päätepisteissä on käytettävä hyväksyttyä päätepisteiden suojausta” tai ”jaettuja järjestelmänvalvojan tilejä ei sallita”.
  2. Tunnista signaalit: päätä, mitkä lokit, määritystiedot tai tapahtumat näyttäisivät, noudatetaanko sääntöä vai rikotaanko sitä.
  3. Määritä ehdotKirjoita selkeät ehdot, joita voidaan testata, kuten ”agentti paikalla ja terve” tai ”useampi kuin yksi henkilö käyttää samaa etuoikeutettua tiliä”.
  4. Tarkastusten määrittäminen: toteuta nämä ehdot seuranta- ja hallintatyökaluissasi koontinäyttöjen tai raporttien avulla, joissa on yhteenveto vaatimustenmukaisuudesta ja poikkeusten korostaminen.
  5. Yhdistä työnkulkuihin: reitittää rikkomukset tikettijonoihin asianmukaisten kategorioiden, prioriteettien ja palvelutasosopimusten mukaisesti, jotta ne käsitellään kuten mitä tahansa muuta operatiivista ongelmaa.

Tarkastellaan esimerkiksi sääntöä ”kaikissa hallituissa päätepisteissä on käytettävä hyväksyttyä päätepisteiden suojausta”. Signaalit voivat olla agentin kuntotietoja RMM:stä ja virustorjuntakonsolista. Ehto on ”agentti asennettu ja raportoi viimeisten 24 tunnin aikana”. Määrität tarkistukset ja kojelaudat merkitsemään puuttuvat tai vanhentuneet agentit ja luomaan tikettejä automaattisesti, jotta yhteensopimattomat laitteet ovat näkyvissä, niitä seurataan ja korjataan.

Sama logiikka pätee prosessipohjaisiin sääntöihin. Esimerkiksi sääntöä, jonka mukaan ”kaikkien korkean riskin muutosten on käytävä läpi virallinen hyväksyntäprosessi”, voidaan tarkistaa korreloimalla muutostikettejä käyttöönottolokien kanssa ja merkitsemällä poikkeamat.

Aloita pienellä määrällä vaikuttavia sääntöjä ja hienosäädä kynnysarvoja huolellisesti. Yliherkät tarkistukset, jotka tuottavat jatkuvia hälytyksiä, menettävät nopeasti uskottavuutta ja voivat saada varmuuden näyttämään pikemminkin huonommalta kuin paremmalta.

Työkalujesi käyttäminen sääntöjen havaitsemiseen ja valvontaan

Monilla MSP:illä on jo A.5.36:n tukemiseen tarvittavat työkalut; yleensä puuttuu sääntöjen selkeä yhdistäminen työkalujen konfigurointiin ja raportteihin sekä kurinalaisuus tämän yhdistämisen ajan tasalla pitämiseksi.

Hyödyllisiä mahdollisuuksia ovat:

  • Etävalvonta ja päätepisteiden hallinta: Käytä näitä valvoaksesi ja raportoidaksesi korjauspäivitysten standardeista, salauksesta, päätepisteiden suojauksen käyttöönotosta ja paikallisten järjestelmänvalvojien oikeuksista kaikilla asiakkailla. Poikkeuksista tulee näkyviä, ja ne mitataan riski- ja hallintaprosesseissa.
  • Tietoturva-analytiikka ja lokikirjaus: Määritä korrelaatiosäännöt, jotka ryhmittelevät todennäköiset käytäntörikkomukset – kuten työajan ulkopuoliset käyttöoikeudet tai määritysmuutokset ilman niihin liittyviä tikettejä – kohdennettuihin koontinäyttöihin. Näitä voidaan tarkastella päivittäin tai viikoittain.
  • Henkilöllisyyden ja pääsyn hallinta: Käytä ryhmäjäsenyyksiä, ehdollisen pääsyn käytäntöjä ja roolipohjaisia ​​käyttöoikeuksien hallintaa valvoaksesi sääntöjä siitä, kuka voi tehdä mitä, missä ja milloin. Lokit ja raportit muodostavat sitten osan käyttöoikeuksien hallintaan liittyvien sääntöjen todistepakettia.
  • Lippujen ja IT-palveluiden hallinta (ITSM): Varmista, että vaatimustenvastaisuuksia osoittavat tiketit merkitään asiaankuuluvalla säännöllä, niitä seurataan sulkemiseen asti ja säilytetään analysointia varten. Ajan myötä tämä luo jäsennellyn historian sääntöjen soveltamisesta ja valvomisesta.

Automaattinen valvonta – kuten keskeisten sääntöjen rikkomisen estäminen tai vaatimustenvastaisten laitteiden eristäminen – voi olla tehokasta korkeimman riskin alueilla. Kun otat käyttöön tällaisia ​​​​kontrolleja, niiden suunnittelun, laajuuden ja valvonnan dokumentointi antaa sinulle vahvaa materiaalia sekä tilintarkastajille että asiakkaille kohdan A.5.36 mukaisesti.

ISMS.online ei korvaa näitä operatiivisia työkaluja, mutta se voi sijaita niiden yläpuolella tallentaen säännöt, yhdistäen ne palveluihin ja hallintalaitteisiin sekä linkittämällä ne raportteihin, koontinäyttöihin ja tiketteihin, jotka osoittavat niiden toiminnan. Tämä välttää valvonnan uudelleen toteuttamisen tarpeen ja tarjoaa samalla yhtenäisen vaatimustenmukaisuustason, joka yhdistää teknologian ja hallinnon.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


KPI-mittarit, tiedot ja todisteet tilintarkastajille ja yritysasiakkaille

Pieni, hyvin kuratoitu joukko mittareita ja tietoja tekee enemmän A.5.36-varmuuden saavuttamiseksi kuin kymmenet löyhästi toisiinsa liittyvät kaaviot ja kuvakaappaukset, koska oikeat mittarit auttavat osoittamaan, että säännöillä on merkitystä, niitä tarkistetaan ja ne johtavat toimiin, jos niitä ei noudateta. ISO 27001 -standardia ja laajempaa kyberriskien hallintaa koskevassa konsultointiohjeistuksessa suositaan myös usein kohdennettuja, päätöksentekoon liittyviä mittareita suurten strukturoimattomien tietomäärien sijaan juuri tästä syystä, koska tämä yhdistelmä on helpompi tulkita hallituksille, tilintarkastajille ja asiakkaille.

Kun säännöt on määritelty ja tarkistukset käytössä, voit muokata tuloksena olevaa dataa mittareiksi ja todisteiksi, jotka tyydyttävät kahta vaativaa kohderyhmää: sertifiointiauditoijia ja yritysasiakkaita.

Lähes kaikki vuoden 2025 ISMS.online-kyselyyn vastanneet mainitsivat tärkeimmäksi prioriteetikseen tietoturvasertifikaattien, kuten ISO 27001- tai SOC 2 -standardin, hankkimisen tai ylläpitämisen.

Tavoitteena on kevennetty joukko mittareita ja artefakteja, jotka osoittavat kolme asiaa:

  • Tiedät, mitkä säännöt ovat tärkeitä.
  • Tarkistat niiden noudattamisen.
  • Toimit löytämäsi pohjalta ja opit.

Vahvimmat varmuustarinat ovat niitä, joita voit kertoa johdonmukaisesti, eivät niitä, joita keksit jokaiselle asiakkaalle uudelleen.

Lean A.5.36 -mittariston suunnittelu

Kevyt A.5.36-mittaristo keskittyy muutamaan indikaattoriin, jotka kertovat selkeästi riskistä, käyttäytymisestä ja parantamisesta. Liian monet mittarit hajottavat huomion ja ovat vaikeasti ylläpidettäviä.

Et tarvitse pitkää KPI-listaa. Pieni, huolellisesti valittu joukko voi olla tehokkaampi ja helpompi ylläpitää, varsinkin kun sinun on selitettävä sitä toistuvasti tilintarkastajille, hallituksille ja asiakkaille.

Esimerkkejä MSP:ille hyvin toimivista vaihtoehdoista ovat:

  • Vakuutus- ja koulutuskattavuus: Niiden henkilöstön jäsenten ja avainhenkilöiden prosenttiosuus, jotka ovat tunnustaneet ja suorittaneet asiaankuuluvia käytäntöjä ja standardeja koskevan koulutuksen.
  • Rikkomusprosentit: Keskeisten sääntöjen havaittujen rikkomusten lukumäärä ja vakavuus tietyllä ajanjaksolla, jaoteltuna palvelun tai toiminnon mukaan.
  • Korjausaika: Keskimääräinen aika rikkomuksen tai poikkeaman havaitsemisesta ratkaisuun.
  • Poikkeusmaisema: Sääntöjä vastaan ​​hyväksyttyjen poikkeusten lukumäärä, niiden ikä ja tarkistusajankohta.
  • Seurannan kattavuus: Määriteltyjen tarkastusten piiriin kuuluvien järjestelmien tai asiakkaiden osuus.

Nämä mittarit voidaan esittää eri tavoin eri yleisöille. Hallitukset ja johtajat ovat kiinnostuneita trendeistä ja liiketoimintavaikutuksista. Tekniset tiimit ovat kiinnostuneita siitä, mihin ponnistelut keskittyvät. Asiakkaat ovat kiinnostuneita varmuudesta siitä, että sääntöjä noudatetaan ja parannetaan ajan myötä. Mittarien, kuten poikkeusten iän tai valvonnan kattavuuden, linkittäminen kaupallisiin tuloksiin – esimerkiksi siihen, miten ne vaikuttavat due diligence -tarkastusten tuloksiin tai sopimusten uusimiseen – selventää niiden merkitystä.

Näiden toimenpiteiden säännölliset sisäiset tarkastelut auttavat tunnistamaan systeemisiä ongelmia, kuten saman säännön toistuvia rikkomuksia tai tiettyjä palveluita, joilla on vaikeuksia pysyä standardien mukaisina. Näiden havaintojen tulisi vaikuttaa kohdennettuihin parannuksiin koulutuksessa, prosesseissa tai työkaluissa.

Uudelleenkäytettävien todistepakkausten rakentaminen

Uudelleenkäytettävien todistusaineistopakettien avulla voit vastata varmennuspyyntöihin nopeasti ja johdonmukaisesti. Sen sijaan, että kokoaisit paineen alla ad hoc -paketteja, ylläpidät ydin A.5.36-tasoa, joka voidaan räätälöidä kullekin tilintarkastajalle tai asiakkaalle.

Sekä tilintarkastajat että asiakkaat arvostavat jäsenneltyä ja uudelleenkäytettävää todistusaineistoa. Sen sijaan, että aloittaisit jokaisen arvioinnin alusta, voit laatia A.5.36-standardin mukaisen ”todistusaineistopaketin”, jota päivität säännöllisesti ja räätälöit kohdeyleisölle sopivaksi.

Tyypillinen pakkaus voi sisältää:

  • Ytimekäs selitys siitä, miten A.5.36 on toteutettu MSP:ssäsi, sekä kaaviot, jotka havainnollistavat viitekehystä ja keskeisiä prosesseja.
  • Otteita käytäntö- ja standardirekisteristäsi, joissa korostetaan palveluihin sovellettavia sääntöjä.
  • Näytteitä asiaankuuluvan henkilöstön koulutus- ja tunnustusasiakirjoista.
  • Valitut seurantaraportit, jotka osoittavat keskeisten sääntöjen mukaiset tarkastukset.
  • Pieni joukko sensuroituja tikettejä, jotka osoittavat, miten vaatimustenvastaisuudet kirjataan ja ratkaistaan.
  • Yhteenvedot sisäisistä tarkastuksista tai vaatimustenmukaisuuden tarkastuksista, joissa testattiin A.5.36-kohtaan liittyviä kontrolleja.
  • Todisteet siitä, että johto on tarkastellut käytäntöjen noudattamiseen liittyviä mittareita ja tehnyt päätöksiä parannuksista.

Asiakkaille voit anonymisoida ja räätälöidä tätä materiaalia keskittymällä heille olennaisiin sääntöihin ja palveluihin sekä siihen, miten MSP:n laajuinen hallintotapasi tukee heidän erityisvaatimuksiaan. Anonymisoitu esimerkki samankaltaiselta asiakkaalta – kuten keskikokoiselta MSP:ltä, jolla on SOC ja hallitut havaitsemis- ja reagointipalvelut – voi auttaa havainnollistamaan, miten viitekehyksesi toimii käytännössä paljastamatta luottamuksellisia tietoja.

ISMS.online auttaa tallentamalla kontrollikuvaukset, linkittämällä ne todisteisiin, seuraamalla tarkastuspäivämääriä ja viemällä yhdenmukaisia ​​​​näkymiä tarvittaessa. Se tukee myös omaa sisäistä varmennustasi, koska näet yhdellä silmäyksellä, millä säännöillä on ajantasaista näyttöä ja mitkä vaativat huomiota ennen seuraavaa tarkastusta tai asiakastarkastusta.



Varaa esittely ISMS.onlinesta jo tänään

ISMS.online tarjoaa MSP:llesi käytännöllisen tavan muuttaa A.5.36 paperiharjoitteesta näkyväksi ja hallittavaksi kontrolliksi kaikissa palveluissasi. Se auttaa sinua siirtymään ajantasaisesta, ihmisistä riippuvaisesta vaatimustenmukaisuudesta jatkuvaan varmuuteen, joka vastaa jo olemassa olevia tietoturvatoimintojasi.

Käytännössä se tarkoittaa, että voit:

  • Pidä käytäntösi ja standardisi yhdessä paikassa, yhdistettynä palveluihin, riskeihin ja ISO 27001 -standardin mukaisiin kontrolleihin.
  • Määritä selkeät omistajuudet säännöille ja kontrolleille tehtävien ja työnkulkujen avulla, jotka seuraavat arviointeja ja parannuksia.
  • Yhdistä säännöt tosielämän näyttöön, kuten auditointeihin, valvontaraportteihin ja tukipyyntöihin, ilman operatiivisten tietojen päällekkäisyyttä.
  • Laadi ja ylläpidä uudelleenkäytettäviä todistusaineistopaketteja tilintarkastajille ja asiakkaille, mikä lyhentää valmisteluaikaa ja vähentää stressiä.
  • Tue johdon arviointeja ja hallituksen raportointia ajantasaisilla näkymillä käytäntöjen noudattamisen mittareista ja poikkeamista.

Tämän näkeminen omien palveluidesi kontekstissa on paljon tehokkaampaa kuin sen lukeminen abstraktissa muodossa. Demo antaa sinulle mahdollisuuden käydä läpi A.5.36-haasteitasi, nähdä, miten ne liittyvät alustaan, ja tutkia, miltä jatkuvampi, työkaluihin perustuva varmennusmalli näyttäisi organisaatiollesi.

Jos johdat tietoturvaa, toimintaa tai vaatimustenmukaisuutta hallinnoidussa palvelussa (MSP) ja sinun on vahvistettava tapaasi osoittaa A.5.36-standardia tilintarkastajille ja yritysasiakkaille, demon varaaminen on käytännöllinen seuraava askel. Sen avulla voit testata, voiko ISMS.online auttaa sinua osoittamaan – eikä vain sanomaan – että noudatat tietoturvakäytäntöjäsi, -sääntöjäsi ja -standardejasi kaikissa toimittamissasi hallituissa palveluissa.


Usein Kysytyt Kysymykset

Mitä ISO 27001:2022 A.5.36 -standardi todella vaatii MSP:ltä päivittäin?

A.5.36 edellyttää, että MSP:si todistaa, että ihmiset todella noudattavat turvallisuussääntöjäsi päivittäisessä työssä ja että havaitset, arvioit ja korjaat rutiininomaisesti vaatimustenvastaisuudet omassa toimipisteessäsi, työkaluketjussasi ja asiakkaidesi ympäristöissä.

Missä A.5.36 näkyy oikeassa MSP:ssä?

Palveluntarjoajalle tämä kontrolli puree kolmeen kohtaan kerralla:

Sisäinen ympäristösi

Tämä on kaikki, mitä tiimisi käyttää palveluiden suorittamiseen ja tukemiseen:

  • Pääsy PSA-, RMM-, SIEM-, varmuuskopiointi-, identiteetti- ja tiketöintialustoille.
  • Insinöörien ja taustatoimistohenkilöstön käyttämät kannettavat tietokoneet, palvelimet, VPN-verkot ja SaaS-palvelut.
  • Miten ihmiset käsittelevät asiakastietoja sähköpostissa, chatissa, dokumentaatiossa ja näytön jakamisessa.

Tässä kohdassa A.5.36 kysytään: onko teillä selkeät säännöt siitä, miten henkilöstö pääsee käyttämään ja suojaamaan tätä kiinteistöä, ymmärtävätkö he ne ja voitteko osoittaa, miten tarkistatte ja parannatte niitä ajan myötä?

Usean vuokralaisen palvelupino, jota käytät

Tämä on jaettu työkalukerros, jota käytät useiden asiakkaiden puolesta:

  • RMM, EDR, SIEM, identiteetti, pilvihallintakonsolit, varmuuskopiointialustat ja tiketöinti.
  • Säännöt konsolien monitoimitunnistukselle, järjestelmänvalvojan roolien suunnittelulle, lasinmurtotilien käytölle, toimittajien käyttöoikeuksille ja muutosten hyväksynnöille.
  • Palveluluettelon, runbookien ja tikettien sekä työajan ulkopuolisten muutosten todellisen vaikutuksen välinen yhdenmukaisuus.

Tässä odotus on yksinkertainen: dokumentoidut säännöt, selkeät omistajat, määritellyt arviointitahdit ja näyttö siitä, että poikkeukset kirjataan, arvioidaan ja joko suljetaan tai hyväksytään riskeinä.

Asiakasympäristöt laajuudessa

Tämä on infrastruktuuri ja pilvipalveluiden työmäärät, joita hallinnoit sopimuksen nojalla:

  • Laitteet, verkot, vuokralaiset, tilaukset ja tietoturvakontrollit, joista olet vastuussa.
  • Palvelutasosopimukset (SLA) ja suorituskirjat (runbookit), jotka määrittelevät, mitä "riittävän turvallinen" tarkoittaa kullekin palvelulle.
  • Todiste siitä, että korjauspäivitykset, valvonta, varmuuskopioiden tarkistukset, käyttöoikeuksien tarkistukset ja häiriöiden käsittely vastaavat lupauksiasi.

Näillä kolmella tasolla tilintarkastajat, kybervakuutusyhtiöt ja yritysasiakkaat etsivät oikeastaan ​​kolmea asiaa:

  • MSP-kohtaiset säännöt: joissa puhutaan etäkäytöstä, usean vuokralaisen työkaluista, asiakastietojen käsittelystä ja alihankkijoiden käytöstä.
  • Todisteet siitä, että ihmiset noudattavat näitä sääntöjä: – koulutus, käytäntöjen kuittaukset, työstetyt tiketti- ja runbook-esimerkit, käyttöoikeustarkastustietueet.
  • Jäljitettävä silmukka: osoittaen, että sääntöjen rikkomisesta kirjataan muistiin, arvioidaan riski, ryhdytään toimiin ja säädetään valvontaa tai koulutusta.

Kun pystyt selittämään tuon silmukan selkeästi ja tukemaan sitä pienellä, hyvin valitulla esimerkkijoukolla, A.5.36:sta tulee tapa osoittaa asiakkaille, että hoidat MSP:täsi kurinalaisesti sen sijaan, että se olisi vain yksi valintaruutu liitteessä A olevassa luettelossa.

Kuinka MSP voi siirtyä vuosittaisesta "paperisesta vaatimustenmukaisuudesta" jatkuvaan varmennukseen uupumatta ihmisiä?

Siirrytään jatkuvaan varmennusprosessiin luopumalla kerran vuodessa tapahtuvasta kiirehtimisestä ja sisällyttämällä pienempiä, riskiperusteisia tarkastuksia tiimien jo käyttämiin työkaluihin ja työnkulkuihin, jolloin hyödyllistä näyttöä tulee automaattisesti näkyviin heidän työskennellessään.

Miltä jatkuva varmuus näyttää MSP:ssä?

Käytännöllinen malli perustuu yleensä kolmeen liikkeeseen.

Käytä riskiperusteisia askelmääriä yksinkertaisten tarkistuslistojen sijaan

Kaikki säännöt eivät ansaitse viikoittaista huomiota:

  • Vaikuttavat verkkotunnukset: – etuoikeutettu käyttöoikeus, korkean riskin muutokset, avainasiakkaiden varmuuskopiot, valvonnan kattavuus – perustele jatkuva, päivittäinen tai viikoittainen tarkastuksia.
  • Keskivaikeat verkkotunnukset: – korjauspäivitysten yhteensopivuus, konfiguraatioiden lähtötasot, tietoturvakoulutuksen suorittaminen – sopivuus kuukausittain tai neljännesvuosittain sykliä.
  • Vähävaikutteisemmat alueet: – joitakin fyysisiä kontrolleja tai niche-työkaluja – voidaan ottaa näytteitä sisäiset tarkastukset ja pistokokeet.

Tämä osoittaa, että panostat A.5.36-standardin mukaiseen toimintaan siellä, missä asiakasriski ja luottamus sitä edellyttävät, etkä vain siellä, missä mallissa lukee "kuukausittain".

Sisäänrakennetut tarkistukset työkaluihin, joita tiimisi jo käyttävät

Jatkuva varmuus säilyy vain, jos tarkastukset ovat osa normaalia työtä:

  • Muutosten hyväksynnät, hallinnollinen käyttö työajan ulkopuolella ja poikkeukset pannaan täytäntöön tikettityönkulut pakollisilla kentillä ja hyväksynnöillä.
  • Perustasoja ja korjauspäivitysten sääntöjä valvotaan ja niistä raportoidaan RMM ja päätepisteiden suojaustyökalut, ei kopioitu laskentataulukoihin.
  • Ylläpitäjä- ja identiteettitapahtumia – uusia etuoikeutettuja rooleja, monityhjennyksen muutoksia, riskialttiita kirjautumisia – seurataan tarkastuslokit ja SIEM-säännöt viritetty pieneen määrään merkityksellisiä kuvioita.

Tavoitteena on, että tietoturvanhallintajärjestelmäsi ja kaikki liitteen L mukaiset IMS:t käyttävät näitä olemassa olevia signaaleja sen sijaan, että ne loisivat rinnakkaisen manuaalisten lokien universumin, johon kukaan ei luota.

Olkoon todiste hyvän toiminnan sivutuote

Kun shekit on kytketty alustoihisi:

  • Tiketit, koontinäytöt, raportit, muutostietueet ja tarkistusmuistiinpanot tulee oletusarvoisesti A.5.36 todisteeksi.
  • ISO- tai turvallisuusjohtajasi lakkaa olemasta "todisteiden metsästäjä" ja hänestä tulee ohjausviritin, käyttämällä tätä streamia kynnysarvojen, kadenssien ja harjoittelun säätämiseen.

Jos tiimisi jo ennestään kammoaa viikkoja ennen valvontatarkastuksia tai suuria asiakasarviointeja, voit asettaa jatkuvan varmuuden keinoksi tehdä elämästä rauhallisempaa ja ammattimaisempaa, ei yhdeksi vaatimustenmukaisuuden hallinnon kerrokseksi. ISMS.online on suunniteltu täydentämään tätä mallia linkittämällä riskit, käytännöt, sisäiset tarkastukset ja korjaavat toimenpiteet yhteen paikkaan, jotta työkalujesi jatkuvat tarkastukset tukevat luonnollisesti tietoturvallisuuden hallintajärjestelmääsi.

Mihin konkreettisiin tarkastuksiin ja tietoihin MSP:n tulisi keskittyä ensisijaisesti A.5.36:n osalta?

Et tarvitse seinää täynnä kansioita. Tarvitset pienen, kurinalaisen joukon tarkastuksia ja asiakirjoja, jotka todistavat, että riskialttiilla alueilla on sääntöjä, että niitä sovelletaan käytännössä ja että niitä korjataan, jos niitä ei ole.

Mitkä osa-alueet ovat yleensä tärkeimpiä tarkastuksissa ja due diligence -prosessissa?

Viidellä alueella on tyypillisesti suurin painoarvo MSP:lle.

1. Etuoikeutettu ja etäkäyttö

Tämä on yleensä ensimmäinen paikka, johon tilintarkastajat ja asiakkaat kiinnittävät huomiota.

  • Määritellä: kenellä voi olla järjestelmänvalvojan tilejä, mitä MFA- ja laitestandardeja sovelletaan, miten jaettuja tunnistetietoja vältetään ja miten hätäkäyttöoikeuksia pyydetään ja peruutetaan.
  • Pitää: ylläpitäjäryhmän jäsenyyksien viennit, lyhyet käyttöoikeuksien tarkistuspöytäkirjat ja muutama sensuroitu tiketti, jotka näyttävät hätäkäyttöoikeuksien avaamisen ja sulkemisen.

2. Korjaus ja konfigurointi

Tämä osoittaa, pystytkö toteuttamaan perushygieniaa laajamittaisesti.

  • Määritellä: järjestelmätyypin mukaiset vähimmäiskorjausjaksot, päätepisteiden, palvelimien ja pilven peruskonfiguraatiot sekä poikkeusten käsittely.
  • Pitää: korjauspäivitys- ja haavoittuvuusraportit, joissa on selkeä laajuus ja päivämäärät, sekä tiketit, joissa havaittiin poikkeamaa lähtötasosta, riskiarvioitiin ja korjattiin.

3. Korkean riskin muutoshallinta

Tästä alkaa moni vakava tapaus.

  • Määritellä: mitkä muutokset vaativat virallisen hyväksynnän (esimerkiksi palomuurisäännöt, identiteettimuutokset, varmuuskopiointikäytännöt), kuka hyväksyy ja mitä on kirjattava.
  • Pitää: pieni joukko täysin täytettyjä muutospyyntöjä, jotka osoittavat matkan pyynnöstä hyväksymiseen ja tarvittaessa käyttöönoton jälkeisen tarkastuksen.

4. Lokikirjaus- ja valvontakattavuuden

Tämä osoittaa, että huomaat ja toimit, kun jokin menee pieleen.

  • Määritellä: mitkä tapahtumat on kirjattava omalle kiinteistöllesi ja hallituille palveluille, minne lokit sijoittuvat, kuinka kauan niitä säilytetään ja millä hälytyksillä on merkitystä.
  • Pitää: yksinkertaisia ​​kattavuuskaavioita tai yhteenvetoja, esimerkkihälytyksiä ja jatkopyyntöjä, jotka osoittavat, miten ongelma tutkittiin ja suljettiin.

5. Poikkeukset ja noudattamatta jättäminen

Tässä kohtaa A.5.36 todella osoittaa, suhtaudutko sääntöihin vakavasti.

  • Määritellä: miten poikkeuksia nostetaan esiin, hyväksytään, niihin kohdistetaan aikarajoituksia ja ne tarkistetaan, ja miten toistuvat noudattamatta jättämiset saatetaan ilmoitukseen.
  • Pitää: elävä poikkeusloki, joka on linkitetty riskirekisteriisi, ja muutama tapaus, joissa et ainoastaan ​​korjannut välitöntä ongelmaa, vaan myös muutit mallipohjaa, päivitit suorituskirjaa tai säätit koulutusta.

Kun kokoat nämä tiiviiksi A.5.36-”todistepaketiksi” ja pidät sen ajan tasalla, voit vastata tilintarkastajille, kybervakuutusyhtiöille ja yritysten hankintatiimeille nopeasti keksimättä uutta todistusaineistoa joka kerta. ISMS.online-palvelussa tämä paketti voidaan sijoittaa asiaankuuluvien käytäntöjen, riskien, sisäisten tarkastusten ja johdon arviointien rinnalle, joten tiimisi tietää aina, minne mennä, kun joku kysyy: ”Näytä minulle, miten tiedät, että käytäntöjäsi noudatetaan.”

Miten MSP:n tulisi sisällyttää A.5.36 tietoturvan hallintajärjestelmään (ISMS) ja integroidun johtamisen hallintajärjestelmään (IMS), jotta se selviää henkilöstövaihdoksista?

A.5.36-standardi on voimassa yksittäistä ISO-standardin mukaista liidiä pidempään, kun sitä käsitellään osana hallintorytmiä, ei sivuprojektina. Tämä tarkoittaa käytäntöjen noudattamisen sisällyttämistä riskienhallintaan, sisäiseen tarkastukseen, tapahtumien ja muutosten käsittelyyn sekä johdon tarkasteluun, jotta siitä keskustellaan ja sen pohjalta toimitaan säännöllisesti.

Miltä se näyttää liitteen L mukaisessa MSP:ssä?

Kolme suunnitteluvaihtoehtoa tekevät huomattavan eron.

1. Käsittele tietomurtojen kaavoja riskeinä, älä kohinana

Sen sijaan, että toistuvia käytäntörikkomuksia pidettäisiin "ärsyttävinä kertaluonteisina":

  • Tallenna toistuvat teemat – hallitsemattomat järjestelmänvalvojan tilit, hyväksymättömät muutokset, toistuvat korjausviiveet, varmuuskopiointivirheet – riskirekisteri jolla on selkeä vaikutus asiakkaisiin ja liiketoimintaan.
  • Arvioi niitä kuten mitä tahansa muuta ISO 27001 -riskiä: todennäköisyys, vaikutus ja valvonnan tehokkuus, joten "pääsimme pälkähästä" ei ole mittari.
  • Liitteen L mukaisessa integroidussa hallintajärjestelmässä (IMS) nämä riskit yhdistetään laatu-, palvelunhallinta- tai liiketoiminnan jatkuvuusstandardien lausekkeisiin, jotta sama heikkous ei hiljaisesti heikennä useita sertifikaatteja.

2. Lisää kohta A.5.36 johdon katselmuksen ja sisäisen tarkastuksen asialistalle

Käytännön noudattamisen tulisi olla pysyvä aihe, ei pelkkä liite.

  • Sisällytä johdon katselmuksiin yksinkertaisia, trendikkäitä indikaattoreita: käytäntörikkomusten määrä ja vakavuus, poikkeusten ikääntyminen, myöhässä olevat tarkastukset ja sisäisen tarkastuksen havainnot, jotka liittyvät sääntöjen noudattamatta jättämiseen.
  • Käytä sisäisiä tarkastuksia esimerkkejä oikeista palveluista, työkaluista ja asiakkaista ja tarkista, sovelletaanko sääntöjä todella siellä, ei vain vanhimmilla tileilläsi.
  • Muunna tarkistusten tulokset seurattaviksi toimiksi: kuka omistaa korjauksen, milloin se on määräaika, miten edistymistä tarkistetaan ja miten onnistumista mitataan.

ISMS.online tukee tätä mallia tarjoamalla sinulle johdon arviointipohjia, linkitettyjä riskejä, sisäisiä tarkastuksia ja korjaavia toimenpiteitä yhdessä paikassa, jotta voit näyttää prosessin ongelmasta parannukseen.

3. Yhdistä SOP:t ja runbookit suoraan kontrolleihin ja sopimuksiin

Insinöörien on nähtävä, miten heidän vaiheensa vastaavat velvoitteita.

  • Merkitse käyttöönotto-, muutos-, tapaus- ja ylläpitovaiheet niiden täyttämällä käytännöllä, liitteen A valvonta- tai sopimuslausekkeella.
  • Päivitä lomakkeita niin, että ne sisältävät tiedot, joista olet myöhemmin riippuvainen: mitä sääntöä sovellettiin, kuka hyväksyi, mihin vuokralaiseen tämä vaikutti ja mitä tehtiin toistumisen estämiseksi.
  • Huomioi nämä odotukset roolipohjaisessa koulutuksessa, jotta henkilöstö ymmärtää, miksi tietyt kentät ja hyväksynnät ovat pakollisia, eivätkä "ylimääräisiä hallinnollisia".

Kun tämä rakenne sijaitsee tietoturvallisuuden hallintajärjestelmässäsi ja laajemmassa integroidussa hallintajärjestelmässä – sen sijaan, että se olisi hajallaan dokumenteissa ja ihmisten pään sisällä – A.5.36:sta tulee "miten hallinnoimme hallintojärjestelmäämme", ei "mitä pölytämme tilintarkastajalle". Jos käytät ISMS.online-järjestelmää, voit tehdä näistä linkeistä selkeitä linkitettyjen töiden, riskitietojen, sisäisten tarkastusten ja johdon arviointien avulla, mikä auttaa osoittamaan jatkuvuutta, vaikka roolit vaihtuisivat.

Kuinka SIEM-, RMM- ja tiketöintityökaluista voi tulla käytännön sääntöjen täytäntöönpanon valvontamekanismeja?

Muunnat olemassa olevat alustat valvontamekanismeiksi kääntämällä pienen joukon tärkeitä sääntöjä ehdoiksi, joita työkalut voivat tarkistaa automaattisesti, ja varmistamalla, että kaikista virheistä tulee selkeä ja toimenpiteisiin johtava tiketti, johon liittyy vastuu ja palautepolku tietoturvanhallintajärjestelmääsi.

Mitä kaavaa MSP voi noudattaa, jotta säännöt olisivat koneellisesti tarkistettavissa?

Yksinkertainen kuusivaiheinen malli toimii useimmilla aloilla.

1. Kirjoita sääntö niin, että sekä ihminen että työkalu voivat soveltaa sitä

Esimerkiksi:

  • "Kaikkien hallittujen Windows-palvelimien on asennettava kriittiset tietoturvapäivitykset 14 päivän kuluessa julkaisusta, ellei ole olemassa hyväksyttyä poikkeusta."
  • ”Jokaisella asiakasvuokraajalla on oltava vähintään kaksi nimettyä globaalia järjestelmänvalvojaa, jotka molemmat on suojattu MFA:lla ja ehdollisella käyttöoikeudella.”

Vältä epäselviä ilmaisuja, kuten "jos mahdollista", jos haluat työkalujen auttavan.

2. Päätä, mitkä signaalit todistavat säännön oikeaksi tai vääräksi

Katso, mitä järjestelmäsi jo näkevät:

  • RMM- tai haavoittuvuusskannerin korjaustiedostotiedot.
  • CMDB- tai omaisuusluettelon sisältö.
  • Hakemisto- ja SaaS-järjestelmänvalvojan roolit, kirjautumis- ja määrityslokit.
  • Tukipyynnöt ja poikkeukset palvelupisteessäsi.

Nämä signaalit määrittelevät, mitä voidaan tarkistaa automaattisesti.

3. Muunna sääntö konkreettisiksi, testattaviksi ehdoiksi

Esimerkkejä:

  • ”Jokainen tutkimukseen kuuluva palvelin näkyy luettelossa, sillä on ajantasainen agentti eikä siinä ole yli 14 päivää vanhoja kriittisiä, korjaamattomia haavoittuvuuksia.”
  • "Jokaisella palvelimella, jolla on myöhässä oleva korjauspäivitys, on joko avoin, hyväksytty poikkeus tai korjauspyyntö omistajan ja palvelutasosopimuksen kanssa."
  • ”Jokaisella vuokralaisella on vähintään kaksi yksilöllistä globaalia järjestelmänvalvojaa, joilla on käytössä MFA; millään yleisellä tilillä ei ole järjestelmänvalvojan rooleja.”

Tämä vaihe luo sillan käytäntösanojen ja työkalulogiikan välille.

4. Luo koontinäyttöjä, kyselyitä ja sääntöjä työkaluihisi

Toteuta nämä ehdot alustoillasi:

  • RMM:n kojelaudat ja haavoittuvuustyökalut, jotka paljastavat vaatimustenvastaiset resurssit ja antavat tiimien porautua yksityiskohtiin.
  • SIEM-korrelaatiosäännöt tai ajoitetut raportit, jotka korostavat käytäntöihin liittyviä poikkeamia, kuten uusia etuoikeutettuja tilejä ilman MFA:ta tai suuria muutoksia muutosikkunoiden ulkopuolella.
  • Tikettien käsittelyprosessit, jotka valvovat hyväksyntöjä ja tallentavat oikeat kentät, kun tiettyjä luokkia nostetaan esiin.

Nykyään ”vaatimustenmukaisuuden tarkistaminen” tarkoittaa reaaliaikaisten näkymien tarkastelua, ei yksittäisten laskentataulukoiden kokoamista.

5. Reititä virheet merkityksellisiksi tiketeiksi

Kun jokin ei läpäise testiä, sen pitäisi luoda tukipyyntö, jonka pohjalta joku voi toimia:

  • Merkitse tiketit säännöllä ja kontrollilla, johon ne liittyvät (esimerkiksi ”ISO 27001 A.5.36 – etuoikeutettu pääsy”).
  • Sisällytä konteksti: asiakkaan nimi, resurssin tunnus, vakavuusaste, kuinka kauan rikkomus on kestänyt ja linkit mahdollisiin asiaan liittyviin poikkeuksiin.
  • Aseta realistiset palvelutasosopimukset ja omistajat, jotta nämä tiketit eivät jää hautaamaan vähäarvoisen kohinan alle.

Tästä kohdasta A.5.36 on kyse: et ainoastaan ​​havaitse omien sääntöjesi rikkomuksia, vaan korjaat ne myös hallitusti.

6. Säilytä riittävästi historiaa trendien ja oppimisen havainnollistamiseksi

Todisteet työn kontrolloinnista tulevat historiasta:

  • Säilytä koontinäyttöjä, raportteja ja tikettejä riittävän kauan, jotta ne osoittavat parannuksia tai toistuvia teemoja ja tukevat sisäisiä auditointeja.
  • Käytä johdon katselmuksissa, toimittajien due diligence -tarkastuksissa ja asiakastapaamisissa muutamia huolellisesti valittuja tapauksia – mukaan lukien ainakin yksi epämukava esimerkki – osoittaaksesi, että käytäntöjen rikkominen johtaa toimiin ja oppimiseen.

Ajan myötä tämä malli rakentaa luettelon koneellisesti tarkistettavista säännöistä, jotka kattavat etuoikeutetun pääsyn, varmuuskopioiden varmennuksen, EDR:n käyttöönoton, lokien kattavuuden ja paljon muuta. ISMS.online auttaa linkittämällä nämä kontrollit ja niiden todisteet takaisin käytäntöihisi, riskeihisi ja Annex A -kontrolleihisi, jotta voit esittää ne osana yhtenäistä tietoturvallisuuden hallintajärjestelmää, ei irrallisten kuvakaappausten kasana.

Kuinka MSP voi muuttaa ISO 27001 A.5.36 -standardin selkeäksi kaupalliseksi eduksi ISMS.onlinen avulla?

Voit muuttaa A.5.36:n kaupalliseksi eduksi pystymällä rauhallisesti ohjaamaan tilintarkastajia ja asiakkaita kohdasta "tässä on sääntö" kohtaan "näin valvomme sitä ja mitä teemme, kun se rikotaan" – ja tekemällä tämän yhdestä, jäsennellystä ympäristöstä, jota voit käyttää uudelleen tilintarkastuksissa, tarjouskilpailuissa ja arvioinneissa. ISMS.online on rakennettu juuri tätä ympäristöä varten.

Miltä se näyttää auditoinneissa, tarjouspyynnöissä ja asiakasarvosteluissa?

Kolme tapaa erottaa MSP:t johdonmukaisesti joukosta.

Käytä yhtä kartoitettua näkymää säännöstä palveluun ja todisteisiin

Sen sijaan, että jonglööraisit kansioiden ja laskentataulukoiden kanssa, kun joku mainitsee kohdan A.5.36:

  • Ylläpitää a yksittäinen, strukturoitu rekisteri ISMS.online-sivustolla olevia käytäntöjä, standardeja ja palvelukohtaisia ​​sääntöjä, nimettyine omistajineen, laajuuksineen ja linkitettyine näyttölähteineen.
  • Yhdistä jokainen sääntö asiaankuuluviin liitteen A kontrolleihin, riskeihin, sisäisiin tarkastuksiin ja korjaaviin toimenpiteisiin käyttämällä linkitettyä työtä.
  • Kun tilintarkastaja tai yritysasiakas kysyy, avaa kartta ja napsauta sitten muutamaan reaaliaikaiseen esimerkkiin – käyttöoikeustarkastuksiin, muutospyyntöihin, koulutuskuittauksiin – näyttääksesi polun kirjallisista säännöistä käytännön toimintaan.

Tämä jäljitettävyyden taso saa sinut näyttämään MSP:ltä, joka toimii aidon tietoturvan hallinnan järjestelmän (ISMS) pohjalta, ei pelkästään hyvien aikomusten pohjalta.

Näytä, miten reagoit sääntöjen rikkomiseen

Ostajat haluavat yhä enemmän ymmärtää, miten käyttäydyt huonoina päivinä:

  • Käytä ISMS.online-palvelua pitääksesi jäsenneltyä lokia käytäntörikkomuksista ja poikkeuksista. Loki sisältää kentät vaikutukselle, perimmäiselle syylle, omistajalle, käsittelylle ja sulkemiselle.
  • Tuo kokouksiin pari huolellisesti muokattua tapausta osoittaaksesi, miten ongelmat havaittiin, mitä teit välittömästi ja miten vahvistit valvontaa tai koulutusta jälkikäteen.

Hyvin käsiteltyinä nämä esimerkit rakentavat luottamusta; ne osoittavat, että A.5.36:aa tulee kohdella elävänä tieteenalana, ei markkinointisloganina.

Käytä A.5.36-työtäsi uudelleen eri viitekehyksissä ja asiakkaille

Koska ISMS.online tukee ISO 27001 -standardin ja liitteen L mukaisia ​​integroituja johtamisjärjestelmiä, jokainen A.5.36-kohtaan liittyvä parannus on kaksinkertaisesti hyödyllinen:

  • Muut puitteet ja määräykset: – SOC 2-, NIS 2-, DORA- tai toimialakohtaiset standardit esittävät usein samankaltaisia ​​kysymyksiä siitä, miten noudatat omia sääntöjäsi; voit vastata niihin samoista linkitetyistä tietueista.
  • Tarjouspyynnöt ja kybervakuutus: – käytäntöjen noudattamista kartoittaviin tietoturvakyselyihin voidaan usein vastata viemällä tai tiivistämällä olemassa oleva ISMS.online-todiste.
  • Asiakasarvostelut ja neljännesvuosittaiset yritysarvostelut: – voit käyttää uudelleen osia A.5.36-todistepaketistasi osoittaaksesi, miten suojelet kunkin asiakkaan ympäristöä ajan kuluessa, ei vain sertifioinnin virstanpylväiden kohdalla.

Jos haluat, että sinut nähdään hallintopalveluntarjoajana, joka "pystyy todella näyttämään, miten he työskentelevät", on järkevää antaa tiimillesi alusta, joka on suunniteltu tälle läpinäkyvyyden tasolle. Sen tutkiminen, miten ISMS.online voi tukea A.5.36-lähestymistapaasi – laajemman tietoturvallisuuden hallintajärjestelmäsi ja minkä tahansa Annex L -tyyppisen integroidun hallintajärjestelmän rinnalla – on käytännöllinen tapa siirtyä perussertifioinnista puolustettavampaan, kaupalliseen kertomukseen siitä, miten hoidat tietoturvaa itsellesi ja asiakkaillesi.

Mark Sharron

Mark Sharron johtaa ISMS.onlinen haku- ja generatiivisen tekoälyn strategiaa. Hän keskittyy viestimään siitä, miten ISO 27001, ISO 42001 ja SOC 2 toimivat käytännössä – hän yhdistää riskit kontrolleihin, käytäntöihin ja todisteisiin auditointivalmiin jäljitettävyyden avulla. Mark tekee yhteistyötä tuote- ja asiakastiimien kanssa, jotta tämä logiikka sisällytetään työnkulkuihin ja verkkosisältöön – auttaen organisaatioita ymmärtämään ja todistamaan tietoturvan, yksityisyyden ja tekoälyn hallinnan luotettavasti.

Twitter

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.