Plný podnikový balíček (P01–P37)

Plný podnikový balíček (P01–P37) je přísně strukturovaná sada 37 politik bezpečnosti informací a řízení rizik s řízením verzí, která pokrývá každou klíčovou, podpůrnou i specializovanou funkci požadovanou pro certifikaci ISO/IEC 27001:2022 a průběžný soulad s předními mezinárodními normami a regulacemi (GDPR, EU NIS2, DORA, NIST, COBIT a další). Každá politika má jednotný formát: vymezuje účel, rozsah ISMS (na úrovni útvaru, systému nebo procesu), cíle, detailní role a odpovědnosti, správu, požadavky na implementaci a technická opatření, ošetření rizik a procesy výjimek, technické vynucování a disciplinární mechanismy, cykly požadavků na přezkoumávání a aktualizaci a explicitní mapování na normy a regulační ustanovení. Jsou uvedeny křížové odkazy na podpůrné politiky a procesní dokumentaci, což zajišťuje dohledatelnost a soudržnou strukturu systému řízení bezpečnosti informací (ISMS). Politiky pokrývají všechny dimenze potřebné pro podnikovou bezpečnost: od správy a řízení ISMS (P1–P2), bezpečnostně uvědomělého chování a řízení přístupu uživatelů (P3–P7), správy aktiv, ochrany osobních údajů a klasifikace až po pokročilá technická témata včetně kryptografie, řízení zranitelností, bezpečného vývoje, dodavatelského rizika / rizika třetích stran, cloudu, IoT/OT, reakce na incidenty, správy důkazů a kontinuity podnikání/obnovy po havárii (BCP/DR). Specializované pokrytí zahrnuje sociální média/externí komunikaci, mobilní zařízení/využívání soukromých zařízení (BYOD), forenzní činnosti a soulad s právními předpisy. Struktura vyžaduje průběžné přezkoumávání (minimálně každoročně nebo v reakci na incidenty, zjištění auditu, regulační změny), přiřazuje vlastníky politik (ředitel informační bezpečnosti (CISO), právní a compliance, vrcholové vedení, vlastníci na úrovni procesů) a integruje postupy zlepšování a CAPA. Každá politika umožňuje výjimky na základě rizik a vyžaduje, aby byly formálně dokumentovány, odůvodněny, posouzeny z hlediska rizik, schváleny, zaznamenány a pravidelně revalidovány v pevných intervalech (čtvrtletně, pololetně nebo při spouštěcích událostech). Nesoulad může vést k nápravnému školení, odebrání přístupu, disciplinárním opatřením, ukončení, právní/regulační eskalaci nebo pozastavení smlouvy (u třetích stran). Interní audit, průběžné monitorování souladu, správa důkazů a forenzní procesy jsou explicitně kodifikovány a podporují interní i externí certifikace, audity regulátorů a vyšetřování. Všechny technické politiky odkazují na požadavky na auditní protokolování, integraci nástrojů bezpečnosti (např. SIEM, MDM/CD, skenování zranitelností, CSPM), incidenty/upozorňování a uchovávání dokumentů. Napříč sadou se opakují témata neustálého zlepšování, obhajitelnosti a dohledatelnosti všech činností kontrol v plném souladu se zaměřením ISO/IEC 27001:2022 na provozní integraci, pravomoc a odpovědnost vedení a strukturovanou správu rizik. Vazby na obchodní, právní a soukromí mandáty (např. GDPR, DORA) a organizační jednotky zajišťují, že nevznikají ani silosy, ani mezery. Politiky odkazují a operacionalizují klíčové koncepty, jako jsou zásada minimálních oprávnění, řízení životního cyklu politik, oddělení povinností a bezpečnostně uvědomělé chování. Plný podnikový balíček je navržen tak, aby maximalizoval připravenost na certifikaci, udržitelný soulad a odolnost v dynamickém prostředí rizik a regulací, přičemž každá politika je mapována na příslušné rámce a připravena k nasazení v celé organizaci.