Naujas Teisė ir atitiktis Saugumo peržiūros principai

TIS2 tiekėjo kibernetinio saugumo klausimyno santrauka

Autorius: Laurynas

Iš tiekėjo kibernetinio saugumo klausimyno, ISO dokumentų, politikų ir atsakymų parengia TIS2 / NIS2 rizikų, įrodymų trūkumų, papildomų klausimų ir vadovo sprendimo santrauką.

Kas įtraukta

Tiekėjo klausimyno analizės eiga

Įrodymų, trūkumų ir neatitikimų lentelė

TIS2 / NIS2 ir Lietuvos šaltinių prioritetai

Papildomų klausimų tiekėjui šablonas

Vadovo sprendimo santraukos struktūra

Ribojimų ir saugumo peržiūros pastabos

Pagrindinės galimybės

Sutvarko tiekėjo atsakymus į vadovui suprantamą rizikų ir neaiškumų santrauką.
Atskira faktus, tiekėjo deklaracijas, pateiktus įrodymus ir klausimus, kuriuos dar reikia užduoti.
Remiasi Lietuvos NKSC, KAM, Kibernetinio saugumo įstatymo ir Europos NIS2 šaltinių logika.

Atsisiuntimas

Kaip įdiegti

SKILL.md yra agento instrukcijų failas. Daugumai komandų užtenka atsisiųsti ZIP, išskleisti aplanką ir įdėti jį ten, kur agentas skaito įgūdžius.

Terminalo komanda palikta tik kaip greitesnis būdas techniniams naudotojams.

ZIP paketas: v1.0, apie 3 KB. Viduje: SKILL.md, README.md.

Be terminalo

1 Atsisiųskite tis2-tiekejo-kibernetinio-saugumo-klausimyno-santrauka.zip ir išskleiskite ZIP failą.
2 Perkelkite išskleistą aplanką tis2-tiekejo-kibernetinio-saugumo-klausimyno-santrauka į ~/.claude/skills (jūsų kompiuterio naudotojo aplanke).
3 Perkraukite Claude Code arba pradėkite naują pokalbį, tada paprašykite agento naudoti šį įgūdį konkrečiai užduočiai.

Komanda pažengusiems

Tas pats veiksmas, jei dirbate terminale.

                        mkdir -p ~/.claude/skills
unzip tis2-tiekejo-kibernetinio-saugumo-klausimyno-santrauka.zip -d ~/.claude/skills/

Be terminalo

1 Atsisiųskite tis2-tiekejo-kibernetinio-saugumo-klausimyno-santrauka.zip ir išskleiskite ZIP failą.
2 Perkelkite išskleistą aplanką tis2-tiekejo-kibernetinio-saugumo-klausimyno-santrauka į ~/.agents/skills (jūsų kompiuterio naudotojo aplanke).
3 Perkraukite Codex arba pradėkite naują pokalbį, tada paprašykite agento naudoti šį įgūdį konkrečiai užduočiai.

Komanda pažengusiems

Tas pats veiksmas, jei dirbate terminale.

                        mkdir -p ~/.agents/skills
unzip tis2-tiekejo-kibernetinio-saugumo-klausimyno-santrauka.zip -d ~/.agents/skills/

Be terminalo

1 Atsisiųskite tis2-tiekejo-kibernetinio-saugumo-klausimyno-santrauka.zip ir išskleiskite ZIP failą.
2 Perkelkite išskleistą aplanką tis2-tiekejo-kibernetinio-saugumo-klausimyno-santrauka į .agents/skills (projekto aplanke, kurį mato jūsų agentas).
3 Perkraukite Projekto aplankas arba pradėkite naują pokalbį, tada paprašykite agento naudoti šį įgūdį konkrečiai užduočiai.

Komanda pažengusiems

Tas pats veiksmas, jei dirbate terminale.

                        mkdir -p .agents/skills
unzip tis2-tiekejo-kibernetinio-saugumo-klausimyno-santrauka.zip -d .agents/skills/

Šaltiniai

Kokius šaltinius tikrina

Viešai rodome tik šaltinių kryptis. Tikslūs filtrai, užklausos ir darbo taisyklės lieka atsisiunčiamame įgūdžio faile arba pritaikomi komandai.

NKSC TIS2 ir kibernetinio saugumo informacija

Naudojama Lietuvos nacionaliniam TIS2 įgyvendinimo, subjektų, rizikos valdymo ir praktinių klausimų kontekstui patikrinti.

KAM kibernetinio saugumo registro informacija

Naudojama Lietuvos subjektų registro ir tiekimo grandinės kontekstui, kai vertinama, ar organizacijai gali būti aktualūs TIS2 tiekėjų reikalavimai.

Europos Komisijos NIS2 informacija

Naudojama ES NIS2 direktyvos, tiekimo grandinės ir rizikos valdymo bendram kontekstui, kai reikia paaiškinti, kodėl vertinami tiekėjai.

ENISA NIS2 medžiaga

Naudojama kibernetinio saugumo praktikų, NIS2 politikos konteksto ir rizikos valdymo terminų paaiškinimui.

Apie šį įgūdį

Ką šis įgūdis daro

Įgūdis peržiūri tiekėjo klausimyną ir dokumentus, tada parengia vadovui aiškią santrauką: kas patvirtinta įrodymais, kas tik deklaruota, kur trūksta informacijos ir kokius klausimus dar reikia užduoti tiekėjui.

Kodėl tai aktualu

TIS2 / NIS2 logika paliečia ne tik registruotus subjektus, bet ir jų tiekimo grandines. Organizacijoms reikia suprasti, ar svarbus tiekėjas turi bazines saugumo kontroles ir ar rizika valdoma sutartyje.

Kur tikrinama informacija

Lietuvos kontekstui naudojami NKSC ir KAM šaltiniai, o bendram ES kontekstui - Europos Komisijos ir ENISA NIS2 medžiaga. Tiekėjo pateikti dokumentai visada laikomi pagrindiniu konkretaus vertinimo šaltiniu.

Ribos

Įgūdis nėra sertifikavimo auditas ir negali patvirtinti tiekėjo atitikties. Jis parengia rizikų, įrodymų ir papildomų klausimų santrauką, kurią turi peržiūrėti saugumo, IT, teisinė arba pirkimų komanda.

Leidimai

Tiekėjo klausimynas ir dokumentai

Reikalingi tiekėjo atsakymai, saugumo politika, ISO sertifikatai, incidentų procesai, atsarginių kopijų aprašai, subtiekėjų informacija arba sutarties ištraukos.

Organizacijos rizikos kontekstas

Naudojamas nustatant, ar tiekėjas svarbus veiklos tęstinumui, duomenims, IT infrastruktūrai, finansams, klientų aptarnavimui arba kitoms kritinėms funkcijoms.

Interneto prieiga oficialiems šaltiniams

Reikalinga patikrinti NKSC, KAM, Europos Komisijos ir ENISA šaltinius, kai reikia naujausio TIS2 / NIS2 konteksto.

pavyzdinis-rezultatas.md

          ## TIS2 tiekėjo klausimyno santrauka

Tiekėjas: IT paslaugų tiekėjas
Vertinimo tikslas: sutarties pratęsimas

### Greitas vertinimas

Būsena: reikalingi papildomi įrodymai prieš priimant sprendimą.

### Svarbiausios rizikos

| Sritis | Tiekėjo atsakymas | Trūkumas | Klausimas tiekėjui |
| --- | --- | --- | --- |
| Incidentų valdymas | Deklaruoja 24/7 stebėseną | Nepateiktas incidentų pranešimo procesas | Per kiek laiko pranešate klientui apie incidentą? |
| Subtiekėjai | Naudoja debesijos tiekėją | Nepateiktas subtiekėjo vertinimas | Kokie saugumo reikalavimai taikomi subtiekėjams? |
| Atsarginės kopijos | Kopijos daromos kasdien | Nėra atkūrimo testo įrodymo | Kada paskutinį kartą testuotas atkūrimas? |

### Vadovo sprendimo pastaba

Sutartį galima svarstyti tik gavus incidentų, atsarginių kopijų ir subtiekėjų kontrolės įrodymus. Jei tiekėjas jų nepateikia, rizika turėtų būti perduota saugumo arba teisiniam vertinimui.

Dažniausi klausimai

Ar įgūdis pasako, kad tiekėjas atitinka TIS2?

Ne. Jis padeda įvertinti tiekėjo atsakymų ir įrodymų kokybę, bet neatlieka oficialaus audito ir neteikia galutinės atitikties išvados.

Ar reikia būti TIS2 subjektu, kad tai būtų naudinga?

Ne. Įgūdis naudingas ir tiekėjams, kurie aptarnauja TIS2 subjektus, taip pat įmonėms, norinčioms geriau valdyti svarbių paslaugų tiekėjų rizikas.

Kokius dokumentus verta pateikti?

Klausimyną, saugumo politiką, ISO ar kitus sertifikatus, incidentų valdymo tvarką, atsarginių kopijų ir atkūrimo testų įrodymus, subtiekėjų kontrolės aprašą ir sutarties saugumo sąlygas.

Kada reikia saugumo specialisto?

Kai tiekėjas tvarko svarbius duomenis, palaiko kritinę sistemą, turi prieigą prie infrastruktūros arba nepateikia įrodymų apie incidentų, prieigų, atsarginių kopijų ir subtiekėjų kontrolę.

Panašūs įgūdžiai

Įtraukta į narystę

Norite tokio įgūdžio savo komandai?

Pritaikykime instrukcijas pagal jūsų šaltinius, darbo kalbą, atsakomybės ribas ir realius dokumentus.

Aptarti poreikį

Visi įgūdžiai

TIS2 tiekėjo kibernetinio saugumo klausimyno santrauka

Kas įtraukta

Pagrindinės galimybės

Kaip įdiegti

Be terminalo

Komanda pažengusiems

Be terminalo

Komanda pažengusiems

Be terminalo

Komanda pažengusiems

Kokius šaltinius tikrina

NKSC TIS2 ir kibernetinio saugumo informacija

KAM kibernetinio saugumo registro informacija

Europos Komisijos NIS2 informacija

ENISA NIS2 medžiaga

Apie šį įgūdį

Ką šis įgūdis daro

Kodėl tai aktualu

Kur tikrinama informacija

Ribos

Leidimai

Tiekėjo klausimynas ir dokumentai

Organizacijos rizikos kontekstas

Interneto prieiga oficialiems šaltiniams

Dažniausi klausimai

Panašūs įgūdžiai

GPAIS pakuočių žurnalo paruošimas iš prekių sąrašo

i.SAF PVM kodų patikra iš Excel eksporto

DI raštingumo mokymų įrodymų paketas pagal DI aktą

BDAR Google Forms apklausos laukų patikra

Norite tokio įgūdžio savo komandai?