K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / control-mapping

Evidence-to-Control Mapping (F11): dowód → kontrola ramy

Audytor i zespół compliance nie chcą listy findingów — chcą wiedzieć, którą kontrolę dany finding narusza i który dowód ją zamyka. Ta strona pokazuje jak ipIII mapuje każdy dowód/finding na kontrole pięciu ram: ISO/IEC 27001, NIST CSF 2.0, CIS Controls v8, DORA, NIS2. Dane w tabelach są przykładowe (syntetyczne) i służą ilustracji formatu, nie stanowią oceny konkretnej organizacji.

Po co ta strona. Finding bez odniesienia do ramy jest dla audytu „luźną" obserwacją. Mapowanie dowód → kontrola zamienia go w pozycję, którą można wpiąć do rejestru zgodności, do regulatory pack i do materiału dla legal board. Zgodnie z doktryną claim ≤ proof: silnik mapowania dla ISO 27001 i NIST CSF jest oznaczony MVP (działa na słowniku mapującym, dane wejściowe syntetyczne), a pełne pokrycie CIS / DORA / NIS2 oraz mapowanie automatyczne z importu findingów są ROADMAP.
Jeden finding → wiele kontroli → jeden dowód domknięcia.

Model danych: każdy finding ma typ (np. „ekspozycja RDP", „brak MFA", „nieaktualny TLS"). Typ jest powiązany słownikiem z listą kontroli w każdej ramie. Dowód retestu (evidence_id + sha256 z evidence-package) jest podpięty do tej samej pozycji, więc audytor widzi zamknięcie kontroli razem z findingiem, który ją otworzył. To jest warstwa MVP — słownik mapujący, nie formalne orzeczenie o spełnieniu kontroli.

ŁAŃCUCH: finding (typ)słownik mapującykontrole (5 ram)retest + evidencepozycja rejestru zgodności

Tabela mapowania: typ findingu → kontrole (przykład syntetyczny)

Poniższe wiersze to dane przykładowe ilustrujące format. Odniesienia do klauzul/kontroli są orientacyjne i wymagają weryfikacji przez audytora ramy. Data słownika: 2026-07-05.

Typ findinguISO/IEC 27001:2022 (Aneks A)NIST CSF 2.0CIS Controls v8DORANIS2
Brak MFA na dostępie zdalnym A.5.17 (uwierzytelnianie), A.8.5 (bezpieczne uwierzytelnianie) PR.AA-03 (uwierzytelnianie) 6.3, 6.4 (MFA) art. 9 (ochrona i prewencja) art. 21 ust. 2 lit. j (uwierzytelnianie wieloskładnikowe)
Ekspozycja usługi RDP do internetu A.8.20 (bezpieczeństwo sieci), A.8.9 (konfiguracja) PR.IR-01 (segmentacja), DE.CM-01 (monitoring sieci) 4.1, 4.6, 12.2 art. 9 (prewencja) · art. 10 (detekcja) art. 21 ust. 2 lit. a/e (analiza ryzyka, bezpieczeństwo sieci)
Nieaktualny / słaby TLS A.8.24 (kryptografia) PR.DS-02 (dane w transporcie) 3.10 (szyfrowanie w tranzycie) art. 9 ust. 2 (bezpieczeństwo transmisji) art. 21 ust. 2 lit. h (kryptografia i szyfrowanie)
Podatność krytyczna bez łatki (KEV) A.8.8 (zarządzanie podatnościami) ID.RA-01, PR.PS-02 (zarządzanie poprawkami) 7.1, 7.4, 7.7 art. 9 · art. 10 (wykrywanie i eliminacja) art. 21 ust. 2 lit. e (obsługa i ujawnianie podatności)
Brak / niekompletne logowanie zdarzeń A.8.15 (logowanie), A.8.16 (monitorowanie) DE.CM-01, DE.AE-03 (agregacja zdarzeń) 8.2, 8.5, 8.11 art. 10 (detekcja) · art. 12 (kopie i odtwarzanie) art. 21 ust. 2 lit. b (obsługa incydentów)
Nadmiarowe uprawnienia konta (least-privilege) A.5.15 (kontrola dostępu), A.8.2 (uprawnienia uprzywilejowane) PR.AA-05 (zarządzanie uprawnieniami) 5.4, 6.8 art. 9 ust. 4 lit. c (kontrola dostępu) art. 21 ust. 2 lit. i (kontrola dostępu i zarządzanie aktywami)
Brak testu planu ciągłości / odtwarzania A.5.29, A.5.30 (ciągłość ICT) RC.RP-01 (odtwarzanie), ID.IM-04 (plany) 11.1, 11.5 art. 11 (reagowanie i przywracanie) · art. 24-26 (testy odporności) art. 21 ust. 2 lit. c (ciągłość działania i zarządzanie kryzysowe)

Jak dowód wpina się w kontrolę

Przykładowa pozycja rejestru dla jednego findingu — pokazuje powiązanie z dowodem retestu. Wartości id / sha256 są przykładowe (syntetyczne).

finding_id : FND-EX-0042
typ        : "Brak MFA na dostępie zdalnym"
severity   : high
kontrole   :
  - iso27001 : A.5.17, A.8.5
  - nist_csf : PR.AA-03
  - cis_v8   : 6.3, 6.4
  - dora     : art. 9
  - nis2     : art. 21(2)(j)
dowod_otwarcia  : evidence_id=EVD-3f9a  sha256=1c2d…(skrót)
status          : REMEDIATED
dowod_domkniecia: evidence_id=EVD-7b1e  sha256=9a04…(skrót)  retest=PASS
zrodlo_slownika : control-map v0.3 (MVP, ISO+NIST pełne, CIS/DORA/NIS2 częściowe)

Stan pokrycia ram

2
Ramy w MVP
ISO 27001 · NIST CSF 2.0 — słownik mapujący działa
3
Ramy częściowe
CIS v8 · DORA · NIS2 — mapowanie ROADMAP
7
Typów findingu w słowniku
przykładowe, rozszerzalne
auto
Mapowanie z importu
ROADMAP — dziś słownik ręczny

Co jest LIVE, a co ROADMAP

ElementOpisStatus
Słownik mapujący ISO + NIST Statyczny słownik typ findingu → kontrole dla ISO/IEC 27001:2022 i NIST CSF 2.0; odniesienia orientacyjne, do weryfikacji audytora. MVP
Podpięcie evidence do pozycji Powiązanie evidence_id + sha256 z evidence-package do findingu i jego kontroli (dowód otwarcia i domknięcia). MVP
Pokrycie CIS v8 / DORA / NIS2 Uzupełnienie słownika o pełne odniesienia do CIS Controls v8, artykułów DORA i NIS2 dla wszystkich typów findingu. ROADMAP
Automatyczne mapowanie z importu Rozpoznanie typu findingu z parsera skanera (Burp/ZAP/Nessus) i automatyczne podpięcie kontroli bez pracy ręcznej. ROADMAP
Eksport do regulatory pack Wygenerowanie sekcji mapowania kontroli wprost do regulatory pack per rama. ROADMAP

Czego ta strona NIE oznacza

To nie jest ocena zgodności organizacji. Mapowanie typ → kontrola jest słownikiem ułatwiającym pracę audytora i zespołu compliance, nie orzeczeniem, że dana kontrola jest spełniona lub naruszona u konkretnego podmiotu. Ocena skuteczności kontroli to osobna warstwa → control-effectiveness.
Odniesienia do klauzul są orientacyjne. Numeracja kontroli (Aneks A ISO, funkcje NIST, artykuły DORA/NIS2) bywa interpretowana różnie w zależności od sektora i zakresu wdrożenia ramy. Każde mapowanie wymaga potwierdzenia przez audytora danej ramy przed użyciem w formalnym postępowaniu.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Deklarujemy dokładnie tyle, ile potrafimy pokazać słownikiem, danymi i endpointem. Ramy poza ISO/NIST oznaczamy jako ROADMAP, a dane w tabelach są syntetyczne, zgodnie z doktryną claim ≤ proof.
Granica prawna. Mapowanie dowód → kontrola to wsparcie decyzji dla audytu i zespołu compliance, nie porada prawna ani orzeczenie o zgodności. Kwalifikacja obowiązków wynikających z DORA, NIS2 czy ISO wymaga weryfikacji przez audytora ramy lub radcę. Materiał dla organu przechodzi przez legal board przed wysyłką.

Powiązane: gotowe pakiety per rama → /regulatory-packs · przegląd prawny materiałów → /legal-board · ocena skuteczności kontroli → /control-effectiveness.