Politika synchronizace času – SME

Tato Politika synchronizace času (P23S) stanovuje jasné, povinné požadavky na konfiguraci a udržování přesné synchronizace času na všech systémech organizace, které se podílejí na ukládání, přenosu nebo zpracování obchodně relevantních dat. Jako politika pro SME je P23S navržena specificky pro organizace se zjednodušenými rolemi IT, jako je generální ředitel a poskytovatel IT podpory, a přesto dosahuje souladu s ISO/IEC 27001:2022, GDPR, NIS2, DORA a dalšími rámci. Účelem této politiky je udržet integritu systémových logů, usnadnit přesné vyšetřování incidentů a zajistit obhajitelnost při auditech prostřednictvím striktního vynucování kontrol automatizované synchronizace času. Vyžaduje, aby všechny firemní, vzdálené a systémy hostované v cloudu, včetně koncových zařízení uživatelů, serverů, firewallů a platforem SaaS, používaly důvěryhodné, kryptograficky zabezpečené zdroje času (např. autentizované servery NTP nebo nástroje poskytovatele cloudu). Zařízení se musí synchronizovat alespoň dvakrát denně a zůstat v definovaných prahových hodnotách (±5 sekund pro pracovní stanice; ±1 sekunda pro servery a bezpečnostní zařízení). Časové odchylky mimo prahové hodnoty spouštějí upozornění a musí být neprodleně opraveny, aby se předešlo ohrožení dohledatelnosti dat nebo regulačního postavení. Politika přiřazuje odpovědnosti generálnímu řediteli, poskytovateli IT podpory a koordinátorovi ochrany osobních údajů nebo právnímu a compliance officerovi. Generální ředitel dohlíží na politiku a schvaluje ji nebo jakékoli výjimky, zatímco IT podpora konfiguruje, monitoruje a dokumentuje stav synchronizace času. Zaměstnancům a dodavatelům je přísně zakázáno měnit nastavení času zařízení; jakékoli problémy se synchronizací musí být okamžitě eskalovány. Pravidelné kontroly stavu systémů a periodické přezkumy pomáhají zajistit průběžný soulad, zatímco ošetření výjimek a kompenzační opatření jsou pečlivě řízeny a dokumentovány. Synchronizace času je výslovně propojena s dalšími klíčovými politikami pro SME, včetně Politiky protokolování a monitorování, Politiky reakce na incidenty (P30), Ochrany a minimalizace údajů, správy aktiv a Bezpečnostní politiky dodavatelů. Společně tyto politiky poskytují ucelené pokrytí a zajišťují, že logy používané pro soulad, monitorování bezpečnosti nebo reakci na porušení jsou přesné jak obsahem, tak časovým razítkem. Dokument zdůrazňuje přísný proces přezkumu a aktualizace a nařizuje každoroční opětovné posouzení generálním ředitelem, IT a rolemi ochrany osobních údajů, přičemž aktualizace jsou spouštěny změnami technologií nebo novými regulačními povinnostmi. Tento holistický přístup dává SME schopnost dodržovat bezpečnostní standardy na úrovni enterprise bez potřeby složitých, na zdroje náročných struktur dohledu.