Milliste standarditega on need poliitikad kooskõlas?

Komplekt on kaardistatud standarditele ISO/IEC 27001:2022 ja ISO/IEC 27002:2022 ning samuti GDPR-ile, EL NIS2-le, DORA-le, NIST SP 800-53 Rev.5-le, COBIT 2019-le ja muule.

Milliseid rolle käsitletakse?

Komplektis on hõlmatud tegevjuht, infoturbejuht, vastavus, IT, personal (HR), õigus, risk, protsessiomanikud, kogu personal ja kolmanda osapoole tarnijad.

Kas see komplekt sobib nii IT- kui ka mitte-IT-funktsioonidele?

Jah. Poliitikad hõlmavad IT-, operatiiv-, personalivaldkonna, õigus- ja äriprotsesse, mitte ainult tehnilisi kontrollimeetmeid.

Kas pidev täiustamine ja auditeerimine on kaetud?

Jah. Komplekt sisaldab poliitikaid auditi, vastavuse pideva seire, ajakohastamiste, CAPA ja intsidendijärgse ülevaatuse kohta.

Kas erandid ja riski aktsepteerimine on standardiseeritud?

Erandite ja riski aktsepteerimise haldus on määratletud igas poliitikas ning nõuab ametlikku läbivaatamist ja perioodilist uuendamist.

Täielik ettevõtte pakett (P01–P37)

Ülevaade

See põhjalik komplekt sisaldab 37 ettevõtte tasemel infoturbe, andmekaitse ja riskijuhtimise poliitikat, mis on kooskõlas ISO/IEC 27001:2022, ülemaailmsete regulatsioonide ja tööstuse parimate tavade nõuetega ning katab juhtimise, IT, õigus-, operatsioonide, auditi, tarnija, pilve, intsidentidele reageerimise, tegevuse järjepidevuse/katastroofitaaste ja muu. Mõeldud täieliku käsitlusala vastavuse ja auditivalmiduse tagamiseks ning pideva täiustamise toetamiseks.

Otsast lõpuni vastavusraamistik

Katab kõik ISO 27001:2022 sätted, ülemaailmsed regulatsioonid ning kõik kriitilised IT-, turbe- ja ärivaldkonnad.

Auditiks ja sertifitseerimiseks valmis

Auditeeritavad kontrollimeetmed ja kaardistatud nõuded ISO, NIS2, DORA, GDPR-i ja muu jaoks.

Valdkondadeülene katvus

Sisaldab poliitikaid IT, turvalisuse, riski, vastavuse, õigus-, personali (HR), operatsioonide ja kolmandate osapoolte halduse jaoks.

Poliitikate juhtimine ja elutsükkel

Määratleb rollid, vastutused, versioonihalduse ja pideva täiustamise protsessid.

Jõustamise ja erandite standardid

Struktureeritud eskaleerimine, distsiplinaarmeetmed ja riskipõhised erandite töövood kõigis valdkondades.

Loe täielikku ülevaadet

Täielik ettevõtte pakett (P01–P37) on rangelt struktureeritud, versioonihaldusega 37 infoturbe ja riskijuhtimise poliitika kogum, mis katab kõik ISO/IEC 27001:2022 sertifitseerimiseks ning juhtivate rahvusvaheliste standardite ja regulatsioonidega (GDPR, EL NIS2, DORA, NIST, COBIT ja teised) jätkuvaks vastavuseks vajalikud põhi-, toetavad ja spetsialiseeritud funktsioonid. Iga poliitika järgib ühtset vormingut: kirjeldab eesmärki, ISMS-i kohaldamisala (osakonna-, süsteemi- või protsessipõhiselt), eesmärke, üksikasjalikke rolle ja vastutusi, juhtimist, rakendamise ja tehniliste kontrollimeetmete nõudeid, riski käsitlemist ja erandite protsesse, jõustamise ja distsiplinaarmehhanisme, läbivaatamise ja ajakohastamise tsükleid ning selgesõnalisi kaardistusi standardite ja regulatiivsete sätetega. Tugipoliitikatele ja protsessidokumentatsioonile viitamine on detailselt kirjeldatud, tagades jälgitavuse ja sidusa infoturbe juhtimissüsteemi (ISMS) struktuuri. Poliitikad käsitlevad kõiki ettevõtte turvalisuse mõõtmeid: alates strateegilisest ISMS-i juhtimisest (P1–P2), turvakäitumisest ja juurdepääsukontrollist (P3–P7), varade haldusest, andmekaitsest ja klassifitseerimisest kuni täiustatud tehniliste teemadeni, sh krüptograafia, haavatavuste haldus, turvaline arendamine, tarnija/kolmanda osapoole risk, pilv, IoT/OT, intsidentidele reageerimine, tõendite haldus ja tegevuse järjepidevus/katastroofitaaste (BCP/DR). Spetsialiseeritud katvus hõlmab sotsiaalmeediat/välissuhtlust, mobiili/BYOD-i, kohtuekspertiisi, auditit ning õiguslikku/regulatiivset vastavust. Struktuur nõuab pidevat läbivaatamist (vähemalt iga-aastaselt või vastusena intsidentidele, auditi leidudele, regulatiivsetele muudatustele), määrab poliitika omanikud (infoturbejuht, õigus, tippjuhtkond, protsessitaseme omanikud) ning integreerib täiustamise ja CAPA protseduurid. Iga poliitika võimaldab riskipõhiseid erandeid ja nõuab, et need oleksid ametlikult dokumenteeritud, põhjendatud, riskihinnatud, heaks kiidetud, logitud ja fikseeritud intervallidega (kvartaalselt, poolaastaselt või automaatsed päästikud sündmuste korral) kordusvalideeritud. Mittevastavus võib kaasa tuua parandusmeetmed, sihipärase koolituse, juurdepääsuõiguste tühistamise, distsiplinaarmeetmed, töösuhte lõpetamise, õigusliku/regulatiivse eskaleerimise või lepingu peatamise (kolmandate osapoolte puhul). Audit, vastavuse seire, tõendite haldus ja kohtuekspertiisi protsessid on selgesõnaliselt kodifitseeritud, toetades nii sise- kui ka välissertifitseerimisi, regulaatorite auditeid ja uurimisi. Kõik tehnilised poliitikad viitavad auditilogidele, turbetööriistade integratsioonidele (nt SIEM, MDM/CD, haavatavuste skaneerimine, CSPM), intsidentidele/teavitamisele ja dokumentide säilitamisele. Kogu komplektis rõhutatakse korduvate teemadena pidevat täiustamist, kaitstust ja kõigi kontrollitegevuste jälgitavust, täielikus kooskõlas ISO/IEC 27001:2022 fookusega operatiivsele integratsioonile, juhtkonna volitustele ja aruandekohustusele ning struktureeritud riskijuhtimisele. Seosed äri-, õigus- ja andmekaitsenõuetega (nt GDPR, DORA) ning organisatsiooniüksustega tagavad, et ei tekiks silosid ega lünki. Poliitikad viitavad ja rakendavad võtmekontseptsioone nagu vähimate õiguste põhimõte, poliitikate elutsükli haldus, ülesannete lahusus ja turvateadlik käitumine. Täielik ettevõtte pakett on loodud maksimeerima sertifitseerimisvalmidust, püsivat vastavust ja vastupidavust dünaamilises riski- ja regulatiivses keskkonnas, kus iga poliitika on kaardistatud kohaldatavatele raamistikele ja valmis organisatsiooniüleseks rakendamiseks.

Sisu

Täielik ISMS-i katvus: P1–P37

Õiguslikud/regulatiivsed ja andmekaitse kontrollimeetmed

Varade, pilve, tarnija ja arenduse poliitikad

Audit ja vastavuse seire (ISMS, GDPR, NIS2, DORA)

Intsidentidele reageerimine, kohtuekspertiis, BCP/DR

Mobiil, kaugjuurdepääs, sotsiaalmeedia ja IoT/OT turvalisus

Raamistiku vastavus

Raamistik	Kaetud klauslid / Kontrollid
ISO/IEC 27001:2022	4.2 5.1 5.2 5.3 5.10 6.1 6.2 7.2 7.3 8.1 8.32 9.1 9.2 9.3 10.1
ISO/IEC 27002:2022	5.1 5.2 5.3 5.5 5.7 5.9 5.10 5.11 5.12 5.13 5.14 5.15 5.16 5.17 5.18 5.19 5.20 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 5.30 5.31 5.32 5.33 5.34 5.35 5.36 5.37 6.1 6.2 6.3 6.5 6.7 7.7 8.1 8.2 8.3 8.11 8.12 8.13 8.15 8.16 8.17 8.20 8.21 8.22 8.24 8.25 8.26 8.27 8.28 8.29 8.30 8.31 8.32 8.33
NIST SP 800-53 Rev.5	AC-1 AC-2 AC-4 AC-5 AC-6 AC-8 AC-17 AC-19 AU-2 AU-6 AU-8 AU-9 AU-12 BAI03 BAI05 BAI07 CA-2 CA-3 CA-5 CA-7 CM-2 CM-6 CP-1 CP-2 CP-9 CP-10 DSS01 DSS02 DSS04 DSS05 DSS06 IA-1 IA-2 IA-4 IA-5 IR-1 IR-4 IR-5 IR-6 IR-9 MEAO1 MEA03 MP-5 MP-6 PL-1 PL-2 PL-4 PL-8 PM-1 PM-5 PM-11 PM-13 PM-21 PM-23 PS-4 PS-5 PS-7 PT-2 PT-3 RA-3 RA-5 R-1 SA-3 SA-4 SA-9 SA-9(5)SA-10 SA-11 SA-15 SC-7 SC-12 SC-12(3)SC-13 SC-17 SC-28 SC-28(1)SC-32 SC-45 SI-2 SI-3 SI-4 SI-10 SR-3 SR-5
EU GDPR	Article 5Article 6Article 17Article 24Article 25Article 28Article 30Article 32Article 33Article 34Article 39Recital 39Recital 49Recital 78
EU NIS2	Article 15 Article 20 Article 21 Article 21(2)Article 21(3)Article 23 Article 27
EU DORA	Article 5 Article 5(2)Article 6 Article 6(2)(d)Article 8 Article 9 Article 9(2)Article 10 Article 10(1)Article 10(2)(e)Article 10(2)(f)Article 11 Article 11(1)(c)Article 12 Article 13 Article 15 Article 16 Article 17 Article 17(1)Article 17(3)Article 19 Article 25 Article 28 Article 28(1)Article 28(2)Article 30
COBIT 2019	APO01 APO07 APO09 APO10 APO12 APO13.02 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09.01 DSS01 DSS01.03 DSS01.04 DSS01.05 DSS01.07 DSS02 DSS04 DSS05 DSS05.01 DSS05.02 DSS05.04 DSS06.06 MEA01 MEA03
ISO 31000:2018	Leadership commitmentRisk management principlesContinuous improvement
ISO/IEC 27005:2024	Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
ISO 22301:2019	Business Continuity Management SystemBusiness Impact AnalysisRequirements

Raamistik

Kaetud klauslid / Kontrollid

ISO/IEC 27001:2022

4.2 5.1 5.2 5.3 5.10 6.1 6.2 7.2 7.3 8.1 8.32 9.1 9.2 9.3 10.1

ISO/IEC 27002:2022

5.1 5.2 5.3 5.5 5.7 5.9 5.10 5.11 5.12 5.13 5.14 5.15 5.16 5.17 5.18 5.19 5.20 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 5.30 5.31 5.32 5.33 5.34 5.35 5.36 5.37 6.1 6.2 6.3 6.5 6.7 7.7 8.1 8.2 8.3 8.11 8.12 8.13 8.15 8.16 8.17 8.20 8.21 8.22 8.24 8.25 8.26 8.27 8.28 8.29 8.30 8.31 8.32 8.33

NIST SP 800-53 Rev.5

EU GDPR

Article 5Article 6Article 17Article 24Article 25Article 28Article 30Article 32Article 33Article 34Article 39Recital 39Recital 49Recital 78

EU NIS2

Article 15 Article 20 Article 21 Article 21(2)Article 21(3)Article 23 Article 27

EU DORA

COBIT 2019

ISO 31000:2018

Leadership commitmentRisk management principlesContinuous improvement

ISO/IEC 27005:2024

Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review

ISO 22301:2019

Business Continuity Management SystemBusiness Impact AnalysisRequirements

Seotud poliitikad

Aja sünkroniseerimise poliitika

Tagab täpse ajaarvestuse, logide korrelatsiooni ja sündmuste jälgitavuse kõigis keskkondades.

Turvalise arendamise poliitika

Määratleb turvalise SDLC protsessid, turvalise programmeerimise tavad ja koodi läbivaatuse kohustused tarkvara ja süsteemiarenduse jaoks.

Juhtimise rollide ja vastutuste poliitika

Määratleb juhtimisstruktuuri ja volituste hierarhia, millele selles dokumendis viidatakse.

Puhta laua ja puhta ekraani poliitika

Kehtestab kontrollimeetmed tundliku teabe kaitsmiseks, nõudes dokumentide ja tööjaamade turvalist käitlemist.

Lõppseadmete kaitse ja pahavaratõrje poliitika

Nõuab tehnilisi pahavaratõrje kontrollimeetmeid ja seadme kõvendamist lõppseadmete ja mobiilseadmete jaoks.

Auditi ja vastavuse seire poliitika

Kirjeldab auditi nõudeid, ajakavasid, CAPA jälgimist ja tõendite säilitamist sise- ja välisvastavuse jaoks.

P01 Infoturbe poliitika

Kehtestab üldise turbeprogrammi ja kirjeldab juhtkonna vastutusi poliitika kinnitamiseks ja strateegiliseks järelevalveks.

Lubatud kasutuse poliitika

Jõustab turvateadlikku käitumist vastavuse ja teabevarade lubatud käitlemise osas.

Juurdepääsukontrolli poliitika

Rakendab sellest ülempoliitikast tulenevad juurdepääsuga seotud kontrollimeetmed.

Muudatuste juhtimise poliitika

Tagab, et muudatused juhtimisstruktuurides, rollides või vastutustes alluvad dokumenteeritud heakskiidule ja muudatusega seotud riskide hindamisele.

Riskijuhtimise poliitika

Annab riskipõhise konteksti kontrollide valikuks ja jääkriskide aktsepteerimiseks.

Töölevõtu ja töösuhte lõpetamise poliitika

Jõustab kontrollimeetmete määramise ja juurdepääsuõiguste eemaldamise protsessid personali elutsükli muutuste ajal.

Infoturbe teadlikkuse ja koolituse poliitika

Tagab, et kogu personal on teadlik turbekohustustest ja saab teabevarade kaitsmiseks vajaliku koolituse.

Kaugtööpoliitika

Laiendab lubatud kasutuse poliitika sätteid kaug- ja hübriidkeskkondadele.

Kasutajakonto ja privileegide halduse poliitika

Reguleerib juurdepääsuõiguste andmist ja juurdepääsuõiguste eemaldamist tehniliste kontrollimeetmetena kasutajakontode halduse toetamiseks.

Varade halduse poliitika

Toetab seadmete ja andmekandjate jälgimist ning turvalist käitlemist ning seob varade klassifitseerimise kontrollimeetmetega.

Andmete klassifitseerimise ja märgistamise poliitika

Kehtestab varade kohustuslikud klassifitseerimisreeglid, mis määravad märgistamise, käitlemise ja kõrvaldamise protseduurid.

Andmete säilitamise ja kõrvaldamise poliitika

Määratleb kirjete säilitamise ja turvalise kõrvaldamise nõuded ning tagab vastavuse õiguslike ja ärivajadustega.

Varundamise ja taastamise poliitika

Kehtestab varunduse ja katastroofitaaste nõuded operatiivse vastupidavuse ja andmete tervikluse toetamiseks.

Andmete maskeerimise ja pseudonüümimise poliitika

Tagab maskeerimise ja pseudonüümimise otsused andmekaitse vastavuse ja riski vähendamise jaoks.

Andmekaitse ja privaatsuse poliitika

Annab andmekaitse ja privaatsuse põhinõuded ning integreerib lõimitud turvalisuse põhimõtte kogu operatsioonides.

Krüptograafiliste kontrollimeetmete poliitika

Kirjeldab krüpteerimise, võtmehalduse ja krüptograafia nõudeid kõigi ettevõtte IT-varade süsteemide ja andmeseisundite jaoks.

Haavatavuste ja paikade halduse poliitika

Määratleb paikamise, parandusmeetmete SLA-d ja haavatavuste halduse nõuded tehnilise vastupidavuse tagamiseks.

Võrguturbe poliitika

Kehtestab nõuded sise- ja välisvõrkude kaitsmiseks ning turvalise suhtluse tagamiseks.

Logimis- ja seirepoliitika

Täpsustab logide genereerimise, seire ja tsentraliseeritud teavitamise nõuded kõigile ISMS-i kohaldamisala alla kuuluvatele süsteemidele.

Rakendusturbe nõuete poliitika

Kehtestab rakenduskihi turbe, autentimise ja turvalise integratsiooni tehnilised nõuded.

Kolmanda osapoole ja tarnija turbepoliitika

Määratleb infoturbe nõuded turvaliste suhete loomiseks, haldamiseks ja säilitamiseks kolmandate osapoolte tarnijate ja kolmanda osapoole teenuseosutajatega.

Pilve kasutamise poliitika

Kehtestab nõuded pilvarvutusressursside, teenuste ja platvormide turvaliseks, nõuetele vastavaks ja vastutustundlikuks kasutamiseks.

Sisseostetud arenduse poliitika

Kehtestab SDLC tavad, andmetöötluslepingu klauslid ja kooditurbe kohustused kogu tarkvara/süsteemiarenduse jaoks, mida teostavad välised tarnijad.

Testandmete ja testkeskkonna poliitika

Määratleb nõuded testkeskkondade ja testandmete haldamiseks, et tagada turvalisus, konfidentsiaalsus ja operatiivne terviklus.

Intsidentidele reageerimise poliitika (P30)

Kehtestab struktuuri ja protsessid intsidentide tuvastamiseks, intsidentidest teavitamiseks, triaažiks ja intsidendijärgseks ülevaatuseks.

Tõendite kogumise ja kohtuekspertiisi poliitika

Kehtestab protseduurid digitaalsete tõendite kogumiseks, säilitamiseks ja õigus-/vastavusahela üleandmiseks (chain-of-custody).

Tegevuse järjepidevuse ja katastroofitaaste poliitika

Määratleb organisatsioonilised kontrollimeetmed järjepidevuse, vastupidavuse ning katastroofitaaste planeerimise ja elluviimise jaoks.

Mobiilseadmete ja BYOD-i poliitika

Määratleb kontrollimeetmed mobiilsete ja isiklike seadmete kasutamiseks ettevõtte IT-varade süsteemidele ja andmetele juurdepääsul.

IoT/OT turbe poliitika

Kehtestab tehnilised ja juhtimisnõuded IoT ja operatiivtehnoloogia (OT) süsteemide jaoks, et vältida operatiivset või küberkompromiteerimist.

Sotsiaalmeedia ja välissuhtluse poliitika

Kehtestab nõuded ja piirangud väljaminevale suhtlusele, avalikule sõnumivahetusele ja ametlikele avaldustele.

Õigusliku ja regulatiivse vastavuse poliitika

Määratleb organisatsiooni õigusliku, regulatiivse ja lepingulise vastavuse raamistiku ning integratsiooni ISMS-i operatsioonidega.

Claryseci poliitikate kohta - Täielik ettevõtte pakett (P01–P37)

Tõhus turbejuhtimine nõuab enamat kui sõnu; see eeldab selgust, volitusi ja aruandekohustust ning struktuuri, mis skaleerub koos organisatsiooniga. Üldised mallid ebaõnnestuvad sageli, tekitades ebaselgust pikkade lõikude ja määratlemata rollidega. See poliitika on loodud olema teie turbeprogrammi operatiivne selgroog. Me määrame vastutused kaasaegses ettevõttes esinevatele konkreetsetele rollidele, sh infoturbejuht, IT- ja infoturbemeeskonnad ning asjakohased komiteed, tagades selge aruandekohustuse. Iga nõue on unikaalselt nummerdatud klausel (nt 5.1.1, 5.1.2). See atomaarne struktuur muudab poliitika lihtsasti rakendatavaks, võimaldab auditeerida konkreetsete kontrollimeetmete vastu ning turvaliselt kohandada ilma dokumendi terviklust mõjutamata, muutes selle staatilisest dokumendist dünaamiliseks, rakendatavaks raamistikuks.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

IT turvalisus vastavus risk audit õigus juhtkond hange juhtimine tarnijahaldus

🏷️ Temaatiline katvus

Infoturbepoliitika organisatsioonilised rollid ja vastutused riskijuhtimine turvalise arendamise elutsükkel kolmanda osapoole riskijuhtimine vastavuse juhtimine tegevuse järjepidevuse juhtimine turbeoperatsioonid turbetestimine turbe mõõdikud ja mõõtmine juhtkonna pühendumus õiguslik vastavus turbejuhtimine