Politika reakce na incidenty – SME

Politika reakce na incidenty (P30S) je účelově vytvořena pro malé a střední podniky (SME), které hledají robustní protokoly v souladu s ISO/IEC 27001:2022 bez potřeby interního bezpečnostního operačního centra (SOC) nebo ředitele informační bezpečnosti (CISO) na plný úvazek. Tato politika pro SME výslovně přiřazuje odpovědnost za dohled nad incidenty a regulační oznámení generálnímu řediteli (GM) a poskytuje jasnou strukturu vhodnou pro organizace s omezenými vyhrazenými zdroji IT. Dokument popisuje požadavky, které umožňují SME minimalizovat škody, chránit citlivé informace a plnit kritické regulační povinnosti, jako je pravidlo GDPR pro oznámení porušení do 72 hodin. Rozsah je široký a pokrývá veškerý personál (zaměstnanci, dodavatelé, poskytovatelé služeb třetích stran v oblasti IT), všechna technická aktiva (webové stránky, cloudové platformy, e-mailové účty a mobilní zařízení) a každou významnou formu incidentu (od neoprávněného přístupu přes infekci malwarem, phishing, výpadky systémů až po ztrátu/krádež zařízení). Politika stanovuje podrobné cíle: rychlé rozpoznání, auditní protokolování, eskalace, právní oznámení, účinné zamezení šíření, obnova dat a prevence založená na analýze hlavní příčiny. Podporuje také SME při úspěšném absolvování auditů ISO/IEC 27001 a při prokazování náležité odpovědnosti vůči klientům a regulátorům. Konkrétní role a odpovědnosti jsou zjednodušeny tak, aby odpovídaly kontextu SME: GM si ponechává celkovou odpovědnost, podporovanou interní nebo outsourcovanou správou IT. Zaměstnanci a dodavatelé jsou instruováni, aby jakýkoli incident hlásili okamžitě, aniž by se pokoušeli o neautorizované opravy. Externí dodavatelé jsou povinni informovat GM a podporovat opatření zamezení šíření podle regulačních povinností, a to ve stejných eskalačních lhůtách jako interní incidenty. Politika stanovuje strukturované postupy hlášení, včetně jasných komunikačních kanálů (vyhrazený incidentní e-mail nebo ústní hlášení), požadovaných údajů (čas zjištění, povaha, dotčené systémy a pozorovatelný dopad) a kategorizace do jedné hodiny. Záznamy o incidentech, vedené GM, jsou jádrem vedení záznamů pro audity. Čtvrtletní přezkumy, analýzy hlavní příčiny a aktualizace po incidentu zajišťují jak průběžnou účinnost, tak reakceschopnost na vznikající hrozby. Dokument rovněž popisuje požadavky na školení a povědomí pro veškerý personál, onboarding, opakovací školení a povinná očekávání hlášení incidentů. Ustanovení o vynucování vyžadují, aby všechny subjekty, včetně třetích stran, plně dodržovaly: selhání nebo porušení protokolu může vést k varováním, odebrání přístupu, smluvním sankcím nebo odstranění ze seznamů dodavatelů. Všechny důkazy a logy musí být uchovávány nejméně jeden rok a poskytnuty pro audity podle potřeby. Komplexní mechanismy přezkumu zajišťují, že politika zůstává sladěna s vyvíjejícími se normami, regulačními změnami a provozními posuny a zůstává pro SME relevantní.