Beépített ISMS — ISO 27001-re kész

Mit tartalmaz a Vulny beépített ISMS-e?

Az információbiztonsági irányítási rendszer (ISMS) az ISO 27001 magját képező irányítási keret — szabályzatok, kockázatok, kontrollok és nyilvántartások dokumentált összessége, amely bizonyítja, hogy a biztonságot szándékosan, nem pedig eseti módon kezeli. A Vulny teljes körűt szállít, így táblázatok és külön, drága GRC-eszköz nélkül működtetheti. Döntő fontosságú, hogy minden a valós vizsgálati eredményeihez kapcsolódik, ahelyett hogy egy statikus dokumentumban élne, amely a mentés pillanatában elavul — ez azt jelenti, hogy az irányítása a tényleges biztonsági helyzetét tükrözi, nem pedig egy évente egyszer készült pillanatfelvételt. Indulásból megadja azokat az építőelemeket, amelyeket a szabvány elvár:

• Incidenskezelés teljes naplózási nyomvonallal
• ISO 27001:2022 kockázati nyilvántartás, valószínűség × hatás szerint pontozva
• Alkalmazhatósági nyilatkozat, amely az A. melléklet mind a 93 kontrollját lefedi
• Harmadik felek kockázatkezelése (TPRM) a beszállítók értékeléséhez és nyomon követéséhez

Hogyan kapcsolódnak a vizsgálati eredmények az ISMS-hez?

Itt különbözik a Vulny egy önálló szkennertől: a technikai eredményei közvetlenül táplálják az irányítását. Egy vizsgálatból származó kritikus sérülékenység egyenesen egy incidensbe vagy egy kockázati nyilvántartási bejegyzésbe folyhat, így a nyilvántartás a valós, aktuális támadási felületét tükrözi, nem pedig egy hónapokkal ezelőtt leírt feltételezést. Amikor orvosolja az eredményt, a kapcsolódó kockázat és incidens vele mozog, így a dokumentációja hiteles marad manuális adatbevitel nélkül. Az auditorok egyre inkább látni akarják, hogy az ISMS él — hogy a papíron szereplő kockázatok megfelelnek annak, ami valójában történik a rendszerein —, és pontosan ezt a kapcsolatot nehéz a legtöbb csapatnak igazolnia, amikor a szkennerük és a táblázatuk nem beszél egymással. A Vulnyval a kapcsolat beépített, így az ISO 27001 bizonyítékai folyamatosan összhangban maradnak a valósággal.

Készíthetek auditbizonyítékot közvetlenül az ISMS-ből?

Igen. A Vulny márkázott, professzionális PDF- és DOC-jelentéseket exportál az ISMS minden részéhez egyetlen kattintással — a kockázati nyilvántartást, az Alkalmazhatósági nyilatkozatot, az incidensnaplót és a harmadik felek kockázatértékeléseit —, készen arra, hogy átadja egy auditornak, a vezetőségének vagy egy ügyfél biztonsági csapatának. Mivel a jelentések az élő adataiból generálódnak, nem pedig kézzel karbantartottak, a bizonyítékok a mai állapotot tükrözik, nem pedig egy pillanatfelvételt, amelyet valaki az audit előtt frissített. Minden jelentés feltünteti a mögötte álló adatforrásokat (ISO 27001, CVE, NVD/NIST, CISA KEV, EPSS, CWE), így az ellenőrzők minden eredményt visszakövethetnek. A DOC-exportok szerkeszthetők, így beilleszthetők egy meglévő bizonyítékcsomagba vagy vezetőségi felülvizsgálati dokumentumba. Ez a szokásos auditbizonyíték-keresgélést egyetlen exportra cseréli, és a tanúsítási munkáját valós, aktuális biztonsági adatokra alapozza.