/ GAP ANALÍZIS
A gap analízis célja a szervezet aktuális kiberbiztonsági állapotának összevetése a releváns jogszabályi, szabályozói és iparági követelményekkel. A szolgáltatás objektív képet ad a kiberbiztonsági érettségről, a szabályozási kitettségről és arról, hogy mely területeken indokolt további fejlesztés vagy kontrollerősítés.
A szervezetek jelentős része nem abból a szempontból kockázatos, hogy egyáltalán nincsenek kontrolljai, hanem abból, hogy nem világos, mennyiben felelnek meg a rájuk vonatkozó követelményeknek, és hol vannak lényeges hiányosságok. A gap analízis ezt a bizonytalanságot csökkenti, és strukturált képet ad a tényleges állapotról.
A gap analízis nem önmagában egy audit, és nem is pusztán dokumentációs ellenőrzés. Célja annak feltárása, hogy a szervezet hol tér el a releváns jogszabályi, szabályozói vagy iparági elvárásoktól, és ezek az eltérések milyen működési, megfelelőségi vagy kiberbiztonsági kockázatokat hordoznak.
[ 01 ] / HÁROM FŐ EREDMÉNY
A gap analízis alapvetően arra szolgál, hogy a szervezet világos képet kapjon arról, hol tart jelenleg, milyen követelményeknek kell megfelelnie, és mely hiányosságok igényelnek elsőbbséget a fejlesztési vagy megfelelőségi programban.
A vizsgálat összeveti a szervezet jelenlegi kontrollkörnyezetét a releváns követelményekkel, és strukturált képet ad arról, hogy a működés mely pontokon tekinthető megfelelőnek, részlegesen megfelelőnek vagy hiányosnak.
A gap analízis azonosítja azokat a kontrollhiányokat, dokumentációs eltéréseket és működési gyengeségeket, amelyek növelhetik a szervezet szabályozási vagy kiberbiztonsági kitettségét.
A kimenet nem csak azt mutatja meg, hogy hol vannak hiányok, hanem azt is, hogy mely területeken indokolt először beavatkozni annak érdekében, hogy a szervezet ésszerűen és ütemezetten tudja fejleszteni kiberbiztonsági működését.
[ 02 ] / MIT VIZSGÁL A GAP ANALÍZIS
A gap analízis a szervezet kiberbiztonsági működésének azon elemeire fókuszál, amelyek meghatározzák a megfelelőségi szintet, az irányítási érettséget és a kontrollkörnyezet tényleges állapotát.
Annak vizsgálata, hogy a szervezet rendelkezik-e a szükséges alapvető és szabályozás által elvárt kiberbiztonsági kontrollokkal.
A belső szabályozók, eljárásrendek, nyilvántartások és egyéb dokumentációk megfelelőségének és teljességének áttekintése.
A kontrollok gyakorlati működésének, alkalmazásának és fenntarthatóságának értékelése.
Annak vizsgálata, hogy a szervezetben a kiberbiztonsági feladatok és döntési felelősségek megfelelően kijelöltek és működtetettek-e.
A releváns jogszabályi, hatósági, ügyféloldali vagy iparági elvárásokhoz kapcsolódó hiányosságok és kockázatok feltárása.
A meglévő hiányosságok alapján meghatározható, hogy mely fejlesztések adnak a szervezet számára valódi értéket rövid, közép- és hosszú távon.
[ 03 ] / MÓDSZERTAN
A szolgáltatás strukturált követelmény-összevetésre épül. A cél nem pusztán az eltérések listázása, hanem annak bemutatása, hogy ezek az eltérések milyen megfelelőségi, működési és kiberbiztonsági kockázatot jelentenek a szervezet számára.
A vizsgálat első lépése annak meghatározása, hogy mely jogszabályi, szabályozói vagy iparági elvárások relevánsak az adott szervezetre.
A szervezet kontrolljainak, dokumentációjának és működési gyakorlatának összevetése a releváns követelményrendszerrel.
A feltárt hiányok nem elszigetelten jelennek meg, hanem összefüggésben a megfelelőségi és működési kitettségekkel.
A megállapítások olyan módon kerülnek összefoglalásra, hogy azok alapján a szervezet fejlesztési sorrendet és ütemezést tudjon kialakítani.
[ 04 ] / POZICIONÁLÁS
A gap analízis a Qyntar portfóliójában olyan alapvető, de vezetői szinten is kifejezetten hasznos szolgáltatás, amely világos képet ad arról, hol áll a szervezet a rá vonatkozó kiberbiztonsági követelményekhez képest.
A különbséget itt nem az adja, hogy a szolgáltatás önmagában a legmélyebb technikai validáció lenne, hanem az, hogy az eltéréseket nem pusztán formális szempontból értelmezzük. A feltárt hiányosságokat szélesebb szabályozási, működési és kockázati összefüggésben értékeljük, így a kimenet jobban használható vezetői döntéshozatalhoz is.
[ 05 ] / MIKOR INDOKOLT
Amikor a szervezet működésére konkrét jogszabályi, hatósági vagy iparági kiberbiztonsági követelmények vonatkoznak.
Hogy a szervezet még a külső vizsgálatot megelőzően képet kapjon a lényeges hiányosságokról és az érzékeny területekről.
Amikor szükségessé válik annak értékelése, hogy az új követelmények milyen változtatásokat igényelnek a meglévő kontrollkörnyezetben.
Amikor a szervezetnek hiteles és strukturált képet kell adnia saját kiberbiztonsági állapotáról és fejlesztési irányairól.
[ 06 ] / MIÉRT A QYNTAR
A vizsgálat világos módszertan mentén történik, így a szervezet transzparens és jól visszakövethető állapotképet kap.
A feltárt eltérések nem csak formális megfelelőségi kérdésként jelennek meg, hanem a szervezet tényleges működésére gyakorolt hatásukkal együtt.
A gap analízis nem csak hiánylistát ad, hanem segít annak eldöntésében is, hogy mely intézkedések indokoltak először.
Az eltérések értékelése mögött szélesebb kiberbiztonsági és vezetői rálátás áll, így a kimenet jobban használható stratégiai és operatív szinten is.
[ 07 ] / KIMENET
A gap analízis eredménye olyan strukturált dokumentáció és értelmezhető állapotkép, amely támogatja a vezetői döntéshozatalt, a fejlesztések ütemezését és a megfelelőségi felkészülést is.
A releváns követelményrendszerhez képest azonosított kontroll- és dokumentációs hiányosságok strukturált összegzése.
Összefoglaló kép arról, hogy a szervezet mely területeken tekinthető megfelelőnek, részlegesen megfelelőnek vagy fejlesztendőnek.
Olyan ajánlások, amelyek segítenek a fejlesztések sorrendjének és ütemezésének kialakításában.
Rövid, döntéstámogató összefoglaló a legfontosabb hiányosságokról, kitettségekről és a javasolt következő lépésekről.
Gap analízis, kiberbiztonsági megfelelőségi felmérés és szabályozási kitettség vizsgálata.
A szervezet aktuális kiberbiztonsági állapotának összevetése jogszabályi, szabályozói és iparági követelményekkel, strukturált hiányfeltárással és prioritásalapú kimenettel.
A kapcsolatfelvétel különösen indokolt, ha a szervezet szabályozott környezetben működik, audit vagy hatósági ellenőrzés előtt áll, új szabályozási elvárásnak kell megfelelnie, vagy hiteles képet szeretne kapni saját kiberbiztonsági érettségéről.
