Kliknij dowolne ramy, aby otworzyć dedykowaną stronę z prostym opisem, wymaganiami, które faktycznie się liczą, i narzędziami które je pokrywają.
Tabela wymagań przebudowuje się dla wybranego standardu. Narzędzia oceniane wiersz po wierszu, uczciwie.
ISO 27001 wymaga zarządzanego programu bezpieczeństwa informacji, oceny ryzyka, kontroli, własności, dowodów i ciągłego doskonalenia. Trudność nie leży w pisaniu polityk, tylko w udowadnianiu, że bezpieczeństwo realnie działa.
| Wymaganie | Dlaczego | Dowody | Narzędzia | Najczęstszy brak | Shielda |
|---|---|---|---|---|---|
| Inwentaryzacja aktywów | Nie ochronisz tego, czego nie znasz. | Aktywna lista aktywów z właścicielem. | Wazuh, Defender, MDM | Uzgodnienie chmury + SaaS + endpoint. | Zaimplementowane |
| Zarządzanie podatnościami | Niezałatane podatności to top wektor naruszeń. | Raporty skanów + ticketów naprawczych. | CrowdStrike, Wiz, Snyk | Priorytetyzacja między narzędziami. | Zaimplementowane |
| Śledzenie patchy i naprawy | Znaleźć ≠ naprawić. | Zamknięte tickety z właścicielem + datą. | Jira, ITSM | Właściciele i egzekwowanie SLA. | Zaimplementowane |
| Ochrona endpoint | Endpointy to nadal top punkt wejścia. | Pokrycie EDR i wykrycia. | CrowdStrike, SentinelOne, Defender, ESET, Bitdefender | Luki pokrycia u kontraktorów. | Częściowe |
| Przegląd tożsamości i dostępu | Nieaktualny dostęp to częste znalezisko audytu. | Kwartalne rejestry przeglądów dostępu. | Entra, Okta | Przeglądy dla rozrostu SaaS. | Przez integrację |
| Dowody MFA | MFA jest powszechnie wymagane. | Raporty rejestracji + wymuszania MFA. | Entra, Okta, Google | Pokrycie admina i break-glass. | Przez integrację |
| Bezpieczeństwo poczty/domeny | Phishing pozostaje #1. | SPF/DKIM/DMARC + raporty filtrowania. | Defender, Google | Egzekwowanie DMARC. | Przez integrację |
| Postura chmury / SaaS | Misconfigi powodują większość naruszeń w chmurze. | Raporty CSPM + naprawa. | Wiz, natywny CSPM | Pokrycie SaaS poza chmurą. | Zaimplementowane |
| Bezpieczeństwo kodu i zależności | Podatne biblioteki trafiają na produkcję. | Raporty SCA/SAST powiązane z naprawą. | Snyk, Semgrep | Dyscyplina triage. | Zaimplementowane |
| Backup i testy odtwarzania | Backupy, które się nie odtwarzają, to nie backupy. | Raporty testów odtwarzania. | Acronis, natywny backup chmury | Udokumentowane dowody odtwarzania. | Przez integrację |
| Proces obsługi incydentów | Szybkość i jasność redukują szkody. | Playbooki + raporty ćwiczeń. | Dostawcy MDR | Dowody ćwiczeń tabletop. | Zaimplementowane |
| Logi i monitoring | Detekcja wymaga telemetrii. | Retencja logów + przeglądy. | Wazuh, SIEM-y | Dokumentacja przeglądów. | Przez integrację |
| Ryzyko dostawców | Twoi dostawcy to Twoja powierzchnia ataku. | Rejestr dostawców + due diligence. | OneTrust, Vanta, Drata | Ciągły przegląd. | Zaimplementowane |
| Dowody umów / SLA | Wymagane przez NIS2 / DORA. | Klauzule umów zmapowane na kontrole. | Prawo + GRC | Analiza luk w skali. | Zaimplementowane |
| Dowody świadomości bezpieczeństwa | Ludzie to perymetr. | Ukończenia szkoleń + testy phishingowe. | KnowBe4, Hoxhunt | Centralizacja dowodów. | Przez integrację |
| Raportowanie do zarządu | Wymagane przez NIS2 / DORA / NYDFS. | Protokoły zarządu + dashboardy. | Platformy GRC | Tłumaczenie tech na ryzyko biznesowe. | Zaimplementowane |
| Pakiet dowodów gotowy do audytu | Audyty żyją dowodami. | Repozytorium dowodów zmapowane na standard. | Vanta, Drata | Mapowanie na wiele standardów. | Zaimplementowane |