Hoe het opdateringsbestuur missiekrities geword vir voldoening – nie net vir IT nie?
Eens die bevoegdheid van stil IT-spanne, is patchbestuur nou 'n sigbare kwessie op direksievlak. Onder NIS 2, ISO 27001:2022, en moderne verkrygingsstandaarde, het die opstel van patches van blote onderhoud na 'n vertrouensmaatstaf vir kliënte, reguleerders en die topbestuur verskuif. Direkteure erken toenemend dat bewysgapings in die opstelproses operasionele risiko, finansiële blootstelling en 'n bedreiging vir die geloofwaardigheid van die besigheid aandui. Vandag se voldoeningslandskap vereis streng, uitvoerbare logs vir elke opstel, uitsondering en verskaffergebeurtenis (ENISA NIS2-riglyne; Gartner Security Reports).
'n Onbewese pleister is nou net so riskant soos 'n ongedaangemaakte pleister - voldoening, verkryging en sekuriteit hang alles af van die bewysspoor.
Die regulatoriese standaard het gestyg: dit is nie genoeg om kolle toe te pas nie, jy moet jou proses, goedkeurings en rasionaal intyds wys. Rade wil dashboards hê wat KPI's soos tyd-tot-kolling, uitstaande uitsonderings en voorsieningskettingstatus karteer. Ouditeure vra nou: "Kan jy met 'n klik wys wie 'n vertraagde opdatering goedgekeur het, watter verskaffer laat is en hoe risiko verminder is?" Sekuriteitsleiers moet gereed wees om te antwoord - nie net intern nie, maar ook aan vennote, kliënte en reguleerders.
Waarom roetine-opdaterings nie meer bevredigend is nie - en wat ouditgereed-opgraderingsbestuur vereis
Aanvallers dikteer die ritme. Kwetsbaarhede kom daagliks na vore, en die "maandelikse opdateringsiklus" is veels te stadig vir beide wetlike verpligtinge en die bedreigingslandskap. 'n ISMS wat nie reaksie kan dokumenteer nie, erken risiko, en die hantering van uitsonderings is nie meer 'n private IT-saak nie - elke gaping moet hersien, risiko-geassesseer en bewyse ingedien word vir reguleerders, kliënte en rade (TechRadar KI-bedreigings 2025; ENISA-oudit). Die lesse wat geleer is).
'n Gaping in die regstellingsproses word môre se direksieprobleem as jy nie bewyse, regverdiging en roete-na-regstelling op aanvraag kan na vore bring nie.
Moderne nakoming vereis:
- Praktisyns: om werk aan te teken, vertragings of uitsonderings te regverdig, en te dokumenteer risiko-oorsigte- alles intyds.
- Senior leiers: om KPI's te monitor: ouderdom van ongepatchte CVE's, tyd-tot-sluiting-uitsonderings en oop verskaffersprobleme.
- Regs-/privaatheidspanne: om bewyse vir DPIA te koördineer, voorvalkennisgewing, en SAR'e, met verwysing na elke uitsondering en vertraging.
Nasionale agentskappe en kontrakvennote verwag hierdie holisme: geen stuksgewyse rekords meer nie, geen "liasseer dit aan die einde van die kwartaal" meer nie. As jou dokumentasie nie lewendig en naspeurbaar is nie, kan 'n verskafferbreuk of stadige herstel regulatoriese en finansiële risiko regoor jou organisasie vermenigvuldig.
Bemeester NIS 2 sonder sigbladchaos
Sentraliseer risiko, voorvalle, verskaffers en bewyse in een skoon platform.
Is jou pleisterproses werklik risikogebaseerd - en hoe bewys jy dit?
Geen besigheid kan alles gelyktydig regstel nie. Die mandaat: dokumenteer jou rasionaal, triage en uitkomste – veral vir kritieke bates, bekende uitgebuitte kwesbaarhede en voorsieningskettingafhanklikhede (ISO 27001:2022 Aanhangsel A.8.8, A.5.21; ENISA Voorsieningskettingstudie).
Oortredingstatistieke toon dat die grootste kontrak- en ouditmislukkings begin met 'n enkele, onverklaarde lappie, gewoonlik in die verskaffersketting.
Die nuwe standaard is risikogeweeg en bewysgesentreerd:
- prioriteit: Fokus op besigheidskritieke bates en kernverskafferintegrasies.
- bewyse: Handhaaf deurlopende, uitvoerbare logboeke met skakels na risikoregister en SoA.
- uitsonderings: Eskaleer elke uitsondering vir goedkeuring; karteer na 'n spesifieke bate, besigheidsrisiko en hersiener.
Naspeurbaarheidsvoorbeeldtabel
| **Sneller** | **Risiko-opdatering** | **Beheer/SoA-skakel** | **Bewyse** |
|---|---|---|---|
| Nuwe CVE kritiek | Verhoog risiko | Aanhangsel A.8.8 (kwesbaarheidsbestuur) | Bewyse van die paneelbord, inskrywing vir risiko-opsporing |
| Verskaffervertraging | Opdatering van kontrakrisiko | Aanhangsel A.5.21, verskaffer | SLA-dokument, uitsonderingsnota, kontrak-kruiskoppeling |
| Uitsondering benodig | Risikonota aangeteken | Veranderingslogboek, verskaffer-SLA | Uitsonderingsgoedkeuring + hersiener in logboek |
| Pleister toegepas | Bate/KPI opgedateer | Batebestuur, ouditspoor | Getekende voltooiing, bewys, ouditskakeling |
Elke besigheid word nou nie net beoordeel op tegniese opdateringspoed nie, maar ook op die noukeurigheid en volledigheid daarvan. bewysspoor.
Die ISMS.online-benadering: Naatlose nakoming, outomatiese bewyse en verskafferbewyse
ISMS.aanlyn is ontwerp vir hierdie post-NIS 2 realiteite. Waar opdaterings voorheen 'n nagedagte administrasie was, integreer ons gebruikers dit nou as 'n deurlopende, aangetekende werkvloei, wat beide interne en verskafferbeheerintegrasie outomatiseer. Hierdie benadering is ontwerp vir:
- Nakomings-aanvangsprojekte: “Geen meer verwarring oor kolle nie; elke aksie word gekarteer na kontroles, beleide en bewyslogboeke.”
- KISO's/Sekuriteitsleiers: “Dashboards hou elke gebeurtenis, uitsondering en risiko dop en rus jou toe met statistieke vir die bord.”
- Praktisyns: “Groepondertekeninge en sjabloongedrewe goedkeurings vervang tydrowende administrasie.”
- Privaatheid/Regs: "Elke opdatering, gebeurtenis en voorval skakel direk na SAR, DPIA, en voorval verslagprotokolle.”
Laat u ISMS-dokumentasie altyd voor u volgende oudit- of voorsieningskettingversoek wees.
Ons kartering stem ooreen met ISO 27001, NIS 2, DORA, en BBP heelpad van batevlak-pleisteraktiwiteit tot die risikoregister en kontrak-dashboards. Verskaffer-opdateringsgapings veroorsaak uitsonderingsregistrasie en verkrygingsaksie. Bewyspakkette is gereed voor oudits, nie daarna nie, wat die verkoopsiklusrisiko verminder en kliëntevertroue verhoog (ISMS.online-funksies).
Wees NIS 2-gereed van dag een af
Begin met 'n bewese werkspasie en sjablone – pasmaak, toewys en gaan.
Outomatisering van ouditbestande opdateringslogboeke: Hoe ISMS.online werklas verminder en vertroue verhoog
Handmatige dokumentasie kan eenvoudig nie tred hou nie. ISMS.online skuif die proses van "papierjaagtog by oudit" na lewendige, georkestreerde bewyse:
- Dashboards: wys status en uitsonderings intyds.
- Rolgebaseerde werkvloei: teken elke regverdiging, hersiener en goedkeuring aan - elke aksie wat aan die regte belanghebbende na vore kom ("wie, wanneer, wat, hoekom").
- Verskafferdata: Derdeparty-opdateringslogboeke en diensvlakooreenkomste is aangeteken en beskikbaar vir uitvoer, wat verkrygingsiklusse en kontraknakomingskontroles vergemaklik.
- Terugdraai van voorvalle: Handmatige oorskrywings of dringende probleme moet gedokumenteer en risiko-hersien word voor sluiting; logboeke word outomaties gekoppel aan remediërende aksies en beheermaatreëls (TechTarget Patch Management Software).
Die tyd om voor te berei vir 'n oudit is nie net voor die oudit nie. Dit is elke dag, in elke werkvloei.
Spanne wat outomatiseer, sien nie net minder ouditbevindinge nie, maar ook strenger verskaffersbestuur en 'n meetbare vermindering in operasionele risiko. Outomatisering is nie net tegniese doeltreffendheid nie - dit is 'n sake-onderskeidende faktor wat ouditeure, kopers en reguleerders in een slag gerusstel.
Maak opdateringsdokumentasie ouditgereed en hou dit dan daar
Die mees algemene ouditbevinding? Nie 'n ontbrekende kol nie, maar 'n onduidelike "wie/wanneer/hoekom" vir uitsonderings en vertragings. Vir moderne nakoming, slegs onveranderlike, kontekstuele logboeke gekarteer na risiko en SoA sal voldoende wees (ISO 27001 Klousule Hersiening).
Tabel vir naspeurbaarheid van pleisternakoming
| **Geleentheid** | **Bewys Vereis** | **ISMS.aanlyn Logboek** |
|---|---|---|
| Laai uitgestel | Risiko-nota, goedkeuring, uitsondering | Uitsonderingsrekord, ondertekenaar, datum |
| rollback | Voorval kernoorsaak, veranderingslogboek | Gekoppelde voorval, oorsaaklike memo |
| Suksesvolle lappie | Toetsresultate, goedkeurings, puntemaker | Bate-invoer, aftekening, dashboard |
Ouditgereed beteken dat jy nooit hoef te skarrel vir bewyse nie – jou stelsel behoort jou altyd voorbereid te hou.
Vir leierskap beteken dit dat die logboeke net so nuttig is vir verkryging en ouditering as vir sekuriteit. Vir praktisyns beteken dit slaap in die nag en vertroue in elke direksievergadering of kliëntoproep.
Al jou NIS 2, alles op een plek
Van Artikels 20–23 tot ouditplanne – voer en bewys voldoening uit, van begin tot einde.
Deurlopende Verbetering: Die Sluiting van die Pleisterbestuurlus
Goeie patchbestuur is sirkulêr, nie lineêr nie. Jou uitsonderings en voorvalle behoort die saad van toekomstige veerkragtigheid te wees. Raamwerke (NIS 2, ISO 27001, DORA) vereis toenemend bewys van voortdurende verbetering: lesse wat geleer is, moet meetbare veranderinge aandryf (ENISA Outage Reduction Case).
- Elke voorval of terugrol veroorsaak oorsaakanalise, wat dan pleisterbeleide en outomatiseringsinstellings herkalibreer.
- Kwartaallikse of jaarlikse bestuursoorsig gebruik ISMS.online-dashboards om uitstaande uitsonderings, knelpuntverskaffers en die volgende teikens vir proses- of gereedskapopgraderings uit te lig.
- Dit sluit die sirkel: *dokumentasie → hersiening → aanpassing → verbeterde veerkragtigheid*.
Jou ouditlogboek is meer as net 'n trofee vir nakoming: dit is 'n sensorbord vir wat om te verbeter voor die volgende kwartaal of volgende aanvaller.
Maak Patch-nakoming jou vertrouensversneller - nie net oudit-afmerk nie
Pleisterbestuur, eens onsigbaar, is nou sentraal tot jou besigheid se geloofwaardigheid en nakomingsposisie. Met ISMS.online word elke pleister, uitsondering, verskaffergebeurtenis en besigheidsrisiko nie net aangeteken nie, maar onmiddellik opgeduik, gekoppel en uitvoerbaar vir oudit, verkryging of regulatoriese hersiening. Die effek: jy spandeer minder tyd aan brandbestryding en meer tyd aan die demonstrasie van veerkragtigheid en die ontsluiting van geleenthede.
In 'n wêreld waar herstel nooit gewaarborg word nie, maak intydse, bewysryke opdateringslogboeke jou nie net voldoenend nie, maar ook mededingend.
Verander lappiebestuur in 'n besigheidsvoordeel. Implementeer die werkvloeie en bewyse wat kopers, ouditeure en die direksie vereis. Gradeer jou praktyk op: laat bewyse vir jou werk.
Algemene vrae
Wat maak NIS 2 Afdeling 6.6-opdateringsbestuur 'n keerpunt vir voldoenings- en sekuriteitspanne?
NIS 2 Artikel 6.6 transformeer opdateringsbestuur van 'n interne IT-roetine na 'n deurlopende, ouditeerbare beheer wat na verwagting beide reguleerder- en kliëntondersoek sal weerstaan. Elke sekuriteitsopdateringsaksie – goedkeuring, uitstel, uitsondering of verskafferopdatering – moet nou risiko-geassesseer, rol-goedgekeur en onmiddellik uitvoergereed wees. "Beste poging" of "IT-logboeke" is nie meer genoeg nie: organisasies moet gedetailleerde, lyn-vir-lyn prosesdissipline bewys. Owerhede en kliënte verwag dat alle opdaterings, insluitend van derde partye, naspeurbaar en direk gekoppel moet wees aan werklike risikobesluite en verantwoordelike personeel.
Bewyse, nie net bedoeling nie, is nou die geldeenheid van digitale vertroue.
Sleutel onderskeidings:
- Elke uitstel of uitsondering vir 'n opdatering moet deur 'n risiko-eienaar onderteken, aangeteken en gereed wees om jou rasionaal aan 'n ouditeur te wys, nie in 'n e-pos of kaartjiestelsel begrawe word nie.
- Logboeke moet onveranderlik, rolgebaseerd en sentraal wees, nie versprei of terugwerkend aanmekaar geplak nie.
- Verskaffer-opdaterings is ten volle binne die omvang: jy is verantwoordelik vir die vaslegging en vervaardiging van hul opdateringsbewyse as deel van jou voldoeningsartefakte.
'n Span se vermoë om 'n ononderbroke ketting van opdateringsbesluite – intern of derdeparty – te produseer, is nou 'n ononderhandelbare pilaar van voldoening. Hierdie verskuiwing bemagtig jou om operasionele volwassenheid te demonstreer, vinnige ouditgoedkeurings te bekom en kliëntevertroue te handhaaf, selfs te midde van verhoogde ondersoek.
Hoe koppel ISO 27001:2022 direk aan NIS 2-patchbestuur, en wat sal ouditeure verwag om te sien?
ISO 27001:2022 en NIS 2 Afdeling 6.6 stem ooreen met patchbestuur as 'n deurlopende, risikogedrewe proses wat interne omgewings en jou hele voorsieningsketting omvat. ISO 27001 A.8.8 vereis risikogegradeerde opsporing en assessering van elke tegniese kwesbaarheid - dit is die ruggraat vir NIS 2 se aandrang op rolgoedgekeurde, uitvoerbare ouditroetesToesig oor die voorsieningsketting in A.5.21 versterk dat verskaffers se opdateringssiklusse saam met jou eie aangeteken en gekarteer moet word.
Ouditeure sal soek na 'n lewende "bewaringsketting" vir kolle:
- Wie het die risiko hersien, wanneer en met watter uitkoms?
- Waar is die volledige rekord van toetsresultate, mislukte pogings en terugrol?
- Hoe word verskaffersopdaterings en SLA-bewyse in jou voldoeningsrekord ingevoeg?
- Hersien die direksie of bestuur die opdatering van opdaterings as 'n strategiese risiko – nie net as 'n IT-probleem nie?
ISO 27001 ↔ NIS 2 Pleisterbelyningstabel
| Beheer | Operasionele Bewys Vereis | ISO/NIS 2 Verwysing |
|---|---|---|
| Risikobepaling vir pleisters | Risikolog met aftekening deur roleienaar | ISO 27001 A.8.8 / NIS 2 6.6 |
| Toets- en terugroluitkomste | Getekende verandering/toetslogboeke per pleistersiklus | ISO 27001 A.8.31 |
| Voorsieningsketting-pleisterbestuur | Verskaffer SLA-bewyse, verskafferopdateringsoplaai | ISO 27001 A.5.21 |
| Raad/bestuur toesig | Kwartaallikse bestuursoorsig uitvoer | ISO 27001 9.3 / NIS 2 6.6 |
'n ISMS wat bates, rolle, verskafferopdaterings en direksiebeoordelings koppel, is noodsaaklik om aan beide standaarde te voldoen en enige ouditscenario te weerstaan.
Watter operasionele voorsorgmaatreëls waarborg dat die nakoming van pleisters die reguleerder- en kliëntoudits sal weerstaan?
Robuuste opdatering van opdaterings is gebou op deurlopende, gestandaardiseerde werkvloeie – nooit ad hoc-kontrolelyste of ontkoppelde goedkeurings nie. Jou stelsel moet outomaties elke opdatering, risiko-oorsig, uitsondering en verskafferopdatering aanteken, en elke besluit aan 'n benoemde persoon en 'n besigheidsbate koppel. Uitsonderings of vertragings vereis formele risiko-aanvaarding – nie net IT-dringendheid nie. Verskaffer-opdateringsprestasie word 'n lewende inset, nie 'n nagedagte tydens oudittyd nie. Kwartaallikse oorsigte deur bestuur of die direksie moet gedokumenteer word as bewys dat opdateringsrisiko op die hoogste vlak geëvalueer word.
Die kol wat jou onderkry, is nie altyd die een wat gemis word nie, maar die een wat jy nie met bewyse kan verdedig nie.
Stappe vir ouditbestande opdateringsbestuur:
- Koppel elke opdatering of uitsondering aan 'n risikogeval, verkry eienaargoedkeuring voor aksie of uitstel, en teken regverdigingsbesonderhede in jou ISMS aan.
- Voer bewyse van verskaffers se regstellings direk in jou werkvloei in, sodat derdeparty-dekking nooit in twyfel is nie.
- Standaardiseer KPI's soos gemiddelde tyd tot opknapping en ouditfrekwensie, en bring tendense aan die bestuur bloot.
- Dokumenteer elke kwartaallikse oorsig met uitkomste en verbeteringsaksies, en sluit die kringloop van IT-aksie tot bestuur.
Hierdie struktuur verander nakoming van patch-vereistes van 'n bron van stres in 'n mededingende voordeel by oudits, tenders en met reguleerders.
Hoe outomatiseer en bewys ISMS.online die NIS 2-pleisterbestuursproses van begin tot einde?
ISMS.online stroomlyn die bestuur van opdaterings deur elke gebeurtenis – intern of verskaffergedrewe – te outomatiseer in 'n uitvoergereed, rolgekoppelde voldoeningsrekord. Elke opdatering, risiko-aanvaarding of uitsondering word outomaties aangeteken en gekarteer na relevante besigheidsbates en beheereienaars. Die platform leg verskafferopdateringsoplaaie of geattesteerde diensvlakooreenkomste vas en voer dit in dieselfde voldoeningsgrootboek in.
Herinneringe en eskalasiewerkvloei verminder vertragings; agterstallige regstellings of uitsonderings aktiveer voorvalbestuur, wat verseker dat niks in inbokse of handmatige opsporingsinstrumente verlore raak nie. Elke hersiening – deur die tegniese span, verskaffer of raad – is uitvoerbaar, wat onmiddellik aan die eise van die ouditeur of reguleerder voldoen.
Werkvloeivoordele:
- Gesentraliseerde Dashboards: Intydse vertoon van pleisterstatus, oop risiko's en verskafferbewyse - gereed vir oudit of direksiedemonstrasie te eniger tyd.
- Outomatiese Goedkeurings en Herinneringe: Regstellingsaksies, uitsonderings en hersienings is werkvloeigedrewe en word nooit gemis nie.
- Verskaffer API/Oplaaipyplyn: Derdeparty-opdateringsdata word as inheemse voldoeningsartefakte ingeneem.
- Insident-eskalasie: Enige agterstallige, mislukte of uitsonderlike opdatering veroorsaak 'n insident-werkvloei-rekords en oorsaak word gekoppel vir vinnige hersiening deur die raad of reguleerder.
Ouditgereedheid is nie 'n gesukkel nie - jou geskiedenis is altyd net 'n klik weg.
Watter werklike risiko's – nakoming, kommersieel en operasioneel – ontstaan as gevolg van vertragings of ontbrekende bewyse van opdaterings?
Onvolledige of ontbrekende lapprekords bly die mees algemene oorsaak van ouditmislukkings en, toenemend, sektorboetes of verlore kommersiële geleenthede. ENISA het berig dat tot 80% van aangemelde NIS-voorvalle spruit uit kwesbaarhede van verskaffers of derdepartye.Dit beteken dat jou blootstelling dikwels net soveel deur gapings in die voorsieningsketting as deur interne noukeurigheid bepaal word. Aankoopspanne en reguleerders versoek nou gereeld volledige bewyspakkette voordat hulle transaksies goedkeur of voldoeningsoudits sluit.
Maatskappye wat nie gedetailleerde bewyse van pleisters en verskaffers op kort kennisgewing kan lewer nie, word onmiddellik ondersoek, verkoopsiklusse word vertraag en – in ernstige gevalle – van sektore uitgesluit of gedwing om voorvalle aan kliënte bekend te maak. Die wêreldwye Log4j-kwesbaarheidsreaksie het getoon dat organisasies met intydse, kruisverskaffer-pleisterintelligensie regulatoriese verslagdoening en kliëntevertroue baie beter genavigeer het as dié met verspreide of onvoorbereide pleisterrekords.
| Bedreigingsgebeurtenis | Kommersiële en Regulatoriese Impak |
|---|---|
| Ontbrekende lappie-oudit | Ouditmislukking, vertraagde verkope, boetes |
| Ongeregverdigde uitsondering | Nie-nakoming, sektoruitsluiting |
| Verskafferbewysgapings | Oortredingsondersoek, gedwonge openbaarmaking |
| Onvolledige SLA-rekord | Verlore tenders, erosie van handelsmerkvertroue |
Hoe vorm patchbestuur en insidentrespons 'n deurlopende verbeteringssiklus – sonder bykomende administratiewe las?
Elke voorval met 'n regstelling – gemis, vertraag of uitsonderlik – behoort 'n geleentheid vir leer en sistemiese verbetering te word. Met ISMS.online word mislukte of vertraagde regstellings outomaties gekoppel aan voorval- en oorsaakanalisewerkvloeie. Lesse lei tot tasbare prosesverfynings: risikograderings word opgedateer, verskaffer-SLA's word aangepas en beleidskontroles ontwikkel. Alle oorsigte en lesse wat geleer word, word gestoor as uitvoerbare, tydgestempelde bewyse – wat direk jou verbeteringssiklus aan ouditeure en senior belanghebbendes demonstreer.
Behandel gemiste kolle as terugvoer – jou bewysspoor is die ruggraat van veerkragtige nakoming.
Terugvoerlus in aksie:
- Elke mislukte opdatering genereer 'n gekoppelde voorvalverslag en aktiveer 'n bestuursoorsig.
- Verskafferprestasieprobleme werk risikovlakke op en beïnvloed volgende verkryging of aanboording.
- Kwartaallikse oorsigte konsolideer en bied lesse aan, wat die nakomingskringloop in 'n enkele stelsel sluit - geen ekstra administrasie nodig nie.
Watter praktiese stappe beweeg jou span van gefragmenteerde opdaterings na ouditgereed leierskap?
- Skakel oor na werkvloei-gedrewe, rolgebaseerde lappieopsporing binne jou ISMS-aftredende handmatige sigblaaie en ad hoc e-posgoedkeurings.
- Ken elke aftekening, uitsondering en verskafferrekord toe aan 'n verantwoordelike party en skep 'n lewende ouditlogboek.
- Lei personeel en verskaffers op oor die nuwe goedkeuringsproses; maak uitsonderings as 'n roetine vir die ondertekening, nie ongewoon nie.
- Beplan kwartaallikse dashboard-oorsigte met risiko-eienaars of -rade deur uitvoerfunksies te gebruik om gereedheid te toets.
- Bou 'n "deurlopende uitvoer"-kultuur: elke nuwe opdatering, uitsondering of verskaffer word onmiddellik ouditgereed – wat deurmekaarspul verminder en vertroue maksimeer.
Gereed om nakoming van patches in jou mededingende voordeel te omskep?
Voer 'n "ouditgereed" lappiepakket uit vanaf ISMS.online of ervaar 'n begeleide werkvloei-oorsig.
ISO 27001:2022–NIS 2 Pleisterbeheerbelyning (Mini-Tabel)
| Ouditverwagting | Operasionalisering in ISMS.online | ISO/NIS 2 Verwysing |
|---|---|---|
| Risikogebaseerde rekords | Getekende resensies per opdatering/gebeurtenis | ISO 27001 A.8.8 / NIS 2 6.6 |
| End-tot-end toetsopsporing | Regstreekse terugrol/toets/veranderingsoudit | ISO 27001 A.8.31 |
| Bewyse van voorsieningsketting-kolle | Verskaffer-SLA-oplaaie, gekarteer na bates | ISO 27001 A.5.21 |
| Deurlopende toesig | Kwartaallikse bestuurs-/raadsoorsiglogboek | ISO 27001 9.3 / NIS 2 6.6 |
Voorbeeld van 'n naspeurbaarheidstabel
| Sneller gebeurtenis | Risikobesluit-opdatering | Gekoppelde Beheer/SoA | Bewyse vasgelê |
|---|---|---|---|
| Pleister gemis | Verhoogde kwesbaarheid | A.8.8/NIS 2 6.6 | Getekende risikologboek, oudituitvoer |
| Verskaffer-opdateringsvertraging | Uitsondering van derde partye | A.5.21 / SoA | Verskafferoplaai, SLA-hersiening |
| Uitsonderingsvertraging | Formele aanvaarding | A.8.8/A.8.31/NIS 2 6.6 | Uitsonderingslogboek, goedkeuringsrekord |
| Kwartaallikse oorsig | Beheer verbetering | 9.3, raad se toesig | Hersien aksielogboek, dashboard |
