Audytor i zespół compliance nie chcą listy findingów — chcą wiedzieć, którą kontrolę dany finding narusza i który dowód ją zamyka. Ta strona pokazuje jak ipIII mapuje każdy dowód/finding na kontrole pięciu ram: ISO/IEC 27001, NIST CSF 2.0, CIS Controls v8, DORA, NIS2. Dane w tabelach są przykładowe (syntetyczne) i służą ilustracji formatu, nie stanowią oceny konkretnej organizacji.
Model danych: każdy finding ma typ (np. „ekspozycja RDP", „brak MFA", „nieaktualny TLS"). Typ jest
powiązany słownikiem z listą kontroli w każdej ramie. Dowód retestu (evidence_id + sha256
z evidence-package) jest podpięty do tej samej pozycji, więc audytor widzi zamknięcie kontroli razem z findingiem,
który ją otworzył. To jest warstwa MVP — słownik mapujący, nie formalne orzeczenie o spełnieniu kontroli.
Poniższe wiersze to dane przykładowe ilustrujące format. Odniesienia do klauzul/kontroli są orientacyjne i wymagają weryfikacji przez audytora ramy. Data słownika: 2026-07-05.
| Typ findingu | ISO/IEC 27001:2022 (Aneks A) | NIST CSF 2.0 | CIS Controls v8 | DORA | NIS2 |
|---|---|---|---|---|---|
| Brak MFA na dostępie zdalnym | A.5.17 (uwierzytelnianie), A.8.5 (bezpieczne uwierzytelnianie) | PR.AA-03 (uwierzytelnianie) | 6.3, 6.4 (MFA) | art. 9 (ochrona i prewencja) | art. 21 ust. 2 lit. j (uwierzytelnianie wieloskładnikowe) |
| Ekspozycja usługi RDP do internetu | A.8.20 (bezpieczeństwo sieci), A.8.9 (konfiguracja) | PR.IR-01 (segmentacja), DE.CM-01 (monitoring sieci) | 4.1, 4.6, 12.2 | art. 9 (prewencja) · art. 10 (detekcja) | art. 21 ust. 2 lit. a/e (analiza ryzyka, bezpieczeństwo sieci) |
| Nieaktualny / słaby TLS | A.8.24 (kryptografia) | PR.DS-02 (dane w transporcie) | 3.10 (szyfrowanie w tranzycie) | art. 9 ust. 2 (bezpieczeństwo transmisji) | art. 21 ust. 2 lit. h (kryptografia i szyfrowanie) |
| Podatność krytyczna bez łatki (KEV) | A.8.8 (zarządzanie podatnościami) | ID.RA-01, PR.PS-02 (zarządzanie poprawkami) | 7.1, 7.4, 7.7 | art. 9 · art. 10 (wykrywanie i eliminacja) | art. 21 ust. 2 lit. e (obsługa i ujawnianie podatności) |
| Brak / niekompletne logowanie zdarzeń | A.8.15 (logowanie), A.8.16 (monitorowanie) | DE.CM-01, DE.AE-03 (agregacja zdarzeń) | 8.2, 8.5, 8.11 | art. 10 (detekcja) · art. 12 (kopie i odtwarzanie) | art. 21 ust. 2 lit. b (obsługa incydentów) |
| Nadmiarowe uprawnienia konta (least-privilege) | A.5.15 (kontrola dostępu), A.8.2 (uprawnienia uprzywilejowane) | PR.AA-05 (zarządzanie uprawnieniami) | 5.4, 6.8 | art. 9 ust. 4 lit. c (kontrola dostępu) | art. 21 ust. 2 lit. i (kontrola dostępu i zarządzanie aktywami) |
| Brak testu planu ciągłości / odtwarzania | A.5.29, A.5.30 (ciągłość ICT) | RC.RP-01 (odtwarzanie), ID.IM-04 (plany) | 11.1, 11.5 | art. 11 (reagowanie i przywracanie) · art. 24-26 (testy odporności) | art. 21 ust. 2 lit. c (ciągłość działania i zarządzanie kryzysowe) |
Przykładowa pozycja rejestru dla jednego findingu — pokazuje powiązanie z dowodem retestu.
Wartości id / sha256 są przykładowe (syntetyczne).
finding_id : FND-EX-0042 typ : "Brak MFA na dostępie zdalnym" severity : high kontrole : - iso27001 : A.5.17, A.8.5 - nist_csf : PR.AA-03 - cis_v8 : 6.3, 6.4 - dora : art. 9 - nis2 : art. 21(2)(j) dowod_otwarcia : evidence_id=EVD-3f9a sha256=1c2d…(skrót) status : REMEDIATED dowod_domkniecia: evidence_id=EVD-7b1e sha256=9a04…(skrót) retest=PASS zrodlo_slownika : control-map v0.3 (MVP, ISO+NIST pełne, CIS/DORA/NIS2 częściowe)
| Element | Opis | Status |
|---|---|---|
| Słownik mapujący ISO + NIST | Statyczny słownik typ findingu → kontrole dla ISO/IEC 27001:2022 i NIST CSF 2.0; odniesienia orientacyjne, do weryfikacji audytora. | MVP |
| Podpięcie evidence do pozycji | Powiązanie evidence_id + sha256 z evidence-package do findingu i jego kontroli (dowód otwarcia i domknięcia). |
MVP |
| Pokrycie CIS v8 / DORA / NIS2 | Uzupełnienie słownika o pełne odniesienia do CIS Controls v8, artykułów DORA i NIS2 dla wszystkich typów findingu. | ROADMAP |
| Automatyczne mapowanie z importu | Rozpoznanie typu findingu z parsera skanera (Burp/ZAP/Nessus) i automatyczne podpięcie kontroli bez pracy ręcznej. | ROADMAP |
| Eksport do regulatory pack | Wygenerowanie sekcji mapowania kontroli wprost do regulatory pack per rama. | ROADMAP |
Powiązane: gotowe pakiety per rama → /regulatory-packs · przegląd prawny materiałów → /legal-board · ocena skuteczności kontroli → /control-effectiveness.