Kes peaks seda poliitikate komplekti kasutama?

Väikesed ja keskmise suurusega ettevõtted, kes soovivad saavutada või säilitada vastavuse ISO/IEC 27001:2022, GDPR, NIS2, DORA ja seotud raamistikega. Ideaalne ettevõtetele, kellel puuduvad pühendunud infoturbejuhid või sisemised IT infoturbe osakonnad.

Kuidas see pakett toetab auditivalmidust?

Iga poliitika nõuab dokumentatsiooni, versioonihaldust, regulaarseid ülevaatusi ja auditijälje säilitamist. Erandid ja riski käsitlemised logitakse ametlikult väliste või sertifitseerimisauditite jaoks.

Mis teeb selle VKE poliitikate komplekti ainulaadseks?

Kõik poliitikad on rollipõhiselt kohandatud VKE-dele, pannes aruandekohustuse tegevjuhtidele ja meeskonnajuhtidele ning mitte nõudes spetsialiseerunud turbetöötajaid. Need kasutavad kontrollnimekirju ja lihtsustatud keelt, olles samal ajal täielikult kooskõlas peamiste standarditega.

Kas pilv, kaugtöö ja BYOD on kaasatud?

Jah. Komplekt katab pilve kasutamise, kaug-/hübriidtöö ning oma seadme kasutamise (BYOD) ja mobiilseadmete poliitikad koos jõustatavate juurdepääsu- ja turbenõuetega.

Kas seda saab integreerida väliste tarnijatega?

Jah, tarnija ja sisseostetud arenduse poliitikad nõuavad, et kõik tarnijad allkirjastaksid ja järgiksid turbetingimusi, sh rikkumisest teavitamine ja lepingulised auditeerimisõigused.

Täielik VKE pakett (P01S–P37S)

Ülevaade

Täielik VKE pakett (P01S–P37S) pakub täielikku, auditivalmis küberturbe ja IT juhtimise poliitikate komplekti, mis katab kõik VKE infoturbe nõuded. Iga poliitika on kohandatud väikeettevõtte juhtidele (tegevjuhid), on selgesõnaliselt loodud organisatsioonidele ilma pühendunud turvameeskondadeta ning on täielikult kooskõlas ISO/IEC 27001:2022, GDPR, NIS2, DORA ja muuga.

Täielik VKE vastavus

Katab 37 poliitikat, tagades VKE-dele täieliku kooskõla ISO/IEC 27001, GDPR, NIS2, DORA ja COBIT-iga ilma suurte IT-meeskondadeta.

Auditivalmid kontrollimeetmed

Kõik poliitikad sisaldavad auditi dokumentatsiooninõudeid, versioonihaldust, läbivaatamise päästikuid ja parandusmeetmete protsesse.

Praktiline VKE juhtimine

Rollid on kaardistatud tegevjuhile ja meeskonnajuhtidele; CISO/SOC ei ole nõutav. Mõeldud omaniku juhitud ettevõtetele.

Jõustatav selge juhis

Samm-sammult reeglid, kontrollnimekirjad ja erandite käsitlemine kasutajasõbralike, jõustatavate küberturbe praktikate jaoks.

Valmis ISO 27001 sertifitseerimiseks

Otsene kaardistus kõigi ISO/IEC 27001:2022 ja 27002:2022 sätetega auditi ja sertifitseerimise kindluse tagamiseks.

Loe täielikku ülevaadet

See Täielik VKE pakett (P01S–P37S) pakub põhjalikku küberturbe ja IT juhtimise poliitikate komplekti, mis on sihipäraselt loodud väikestele ja keskmise suurusega ettevõtetele (VKE-dele). See käsitleb täielikult ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EL GDPR, EL NIS2, EL DORA, COBIT 2019 ja teiste peamiste raamistike rangeid nõudeid, jäädes samal ajal praktiliseks ja lihtsustatud kujul organisatsioonidele, kellel puuduvad pühendunud sisemised IT- või turbeoperatsioonid (nt infoturbejuhid või turbeoperatsioonide keskus). See poliitikate komplekt eristub VKE-dele sobiva lahendusena tänu kohandatud rollistruktuurile: enamik võtmevastutusi on määratud tegevjuhile või samaväärsele ettevõtte omanikule, sh kinnitamine, delegeerimine, poliitika läbivaatamine ja erandite haldus. Kui on vaja tehnilisi ülesandeid, võimaldavad selged juhised need sisse osta usaldusväärsetelt IT tugiteenuseosutajatelt või määrata nimetatud sisemisele personalile või osakonnajuhtidele. Iga poliitika jõustab aruandekohustuse ametlike kinnitamislogide, versioonihalduse, dokumenteeritud erandite ja regulaarsete läbivaatamisnõuetega, muutes süsteemi tugevaks sise- ja välisauditite jaoks. Seest leiavad kasutajad poliitikad, mis katavad kõik kaasaegse VKE infoturbe kriitilised valdkonnad. Nende hulka kuuluvad: selgesõnalised ISMS-i kohaldamisala avaldused, detailsed testimise ja juurdepääsu reeglid (ilma nõudmata pentesti metoodikaid väljaspool poliitikates sätestatut), selge vastutuse määramine ja vastutuse delegeerimine (koos seire ja eskaleerimise päästikutega), auditeerimist toetavad meetmed (logid, muudatuste ajalugu, koolituse läbimise kirjed), andmekäitlusprotseduurid, mis hõlmavad GDPR-iga kooskõlas olevaid privaatsuse ja säilitamise reegleid, tehnilised standardid pilve, oma seadme kasutamise (BYOD), kaug-/hübriidtöö jaoks ning ka füüsiline ja digitaalne intsidentidele reageerimine, sh õiguslik säilitamiskohustus, kohtuekspertiis ja algpõhjuse analüüs. Struktuur on süsteemne: iga poliitika kirjeldab oma eesmärki, kohaldamisala, sihte, rolle, juhtimisnõudeid, rakendussamme, riski käsitlemist ja erandite käsitlemist, jõustamist ja vastavust ning ajakohastamise protokolle. Lisaks moodustab iga poliitika seos teiste dokumentidega (nt juurdepääsukontroll, intsidentidele reageerimine, andmekaitse) integreeritud, kihilise kaitse ja juhtimismudeli. Märkimisväärselt nõuavad läbivaatamise ja ajakohastamise jaotised iga-aastaseid poliitika ülevaatusi, versioonimist ja teavitamist kogu asjakohasele personalile ja kolmandatele osapooltele, tagades ajakohase valmisoleku, kui regulatsioonid või äripraktikad muutuvad. Toode on selgelt määratletud VKE poliitikate komplektina (VKE tähis „S” dokumendinumbrites ja tegevjuhi juhitud protsesside mainimine). Selle praktiline ja jõustatav lähenemine koos range regulatiivse ja sertifitseerimisalase kooskõlaga teeb selle sobivaks omaniku juhitud ettevõtetele, kiiresti kasvavatele skaleerijatele ja ressursipiiranguga organisatsioonidele, kes peavad saavutama või säilitama kõrge vastavuse ja operatiivse vastupidavuse taseme ka ilma spetsialiseerunud turberollideta personalis.

Sisu

Kohaldamisala ja tegutsemisreeglid

Rollide ja vastutuste maatriks

Juurdepääsu- ja muudatuste juhtimise protseduurid

Andmekaitse ja privaatsuse reeglid

Intsidentidele reageerimine ja tõendite käsitlemine

Audit, õigus- ja regulatiivse vastavuse protsessid

Raamistiku vastavus

Raamistik	Kaetud klauslid / Kontrollid
ISO/IEC 27001:2022	5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32
NIST SP 800-53 Rev.5	PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6
EU GDPR	Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34
EU NIS2 Directive	Article 20Article 21(2)(a–i)Article 23
EU DORA	Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28
COBIT 2019	APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Raamistik

Kaetud klauslid / Kontrollid

ISO/IEC 27001:2022

5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32

NIST SP 800-53 Rev.5

PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6

EU GDPR

Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34

EU NIS2 Directive

Article 20Article 21(2)(a–i)Article 23

EU DORA

Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28

COBIT 2019

APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Seotud poliitikad

Juhtimise rollide ja vastutuste poliitika – VKE

See poliitika määratleb, kuidas infoturbe juhtimisvastutused organisatsioonis määratakse, delegeeritakse ja hallatakse, et tagada täielik vastavus ISO/IEC 27001:2022 ja muude regulatiivsete kohustustega.

Puhta laua ja puhta ekraani poliitika – VKE

See poliitika kehtestab jõustatavad suunised turvalise töökeskkonna säilitamiseks, tagades, et lauad, tööjaamad ja ekraanid hoitakse nähtavast konfidentsiaalsest teabest vabad, kui need on järelevalveta.

Lõppseadmete kaitse ja pahavara poliitika – VKE

See poliitika määratleb minimaalsed tehnilised, protseduurilised ja käitumuslikud nõuded kõigi lõppseadmete (nt sülearvutid, lauaarvutid, mobiilseadmed ja kaasaskantavad andmekandjad) kaitsmiseks pahatahtliku koodi eest.

P01 Infoturbe poliitika – VKE

See poliitika näitab meie organisatsiooni pühendumust kliendi- ja äriteabe kaitsmisele, määratledes selgelt vastutused ja praktilised turvameetmed, sobides organisatsioonidele ilma pühendunud IT-meeskondadeta.

Lubatud kasutuse poliitika – VKE

See poliitika määratleb ettevõtte poolt pakutavate süsteemide, seadmete, internetiühenduse, e-posti, pilveteenuste ning mis tahes isiklike seadmete, mida kasutatakse äritegevuseks, lubatud, vastutustundliku ja turvalise kasutamise.

Juurdepääsukontrolli poliitika – VKE

See poliitika määratleb, kuidas organisatsioon haldab juurdepääsu süsteemidele, andmetele ja rajatistele, et tagada, et ainult volitatud isikud saavad teabele ligi vastavalt ärivajadusele.

Muudatuste juhtimise poliitika – VKE

See poliitika tagab, et kõik muudatused IT-süsteemides, konfiguratsioonides, ärirakendustes või pilveteenustes on enne rakendamist kavandatud, riskihinnatud, testitud ja heaks kiidetud.

Riskijuhtimise poliitika – VKE

See poliitika määratleb, kuidas organisatsioon tuvastab, hindab ja haldab infoturbe, operatsioonide, tehnoloogia ja kolmandate osapoolte teenustega seotud riske.

Töölevõtu ja töösuhte lõpetamise poliitika – VKE

See poliitika määratleb uute töötajate või töövõtjate sisseelamise protsessi ning juurdepääsu turvalise eemaldamise, kui isikud lahkuvad või vahetavad rolle.

Infoturbe teadlikkuse ja koolituse poliitika – VKE

See poliitika tagab, et kõik töötajad ja töövõtjad mõistavad oma infoturbega seotud kohustusi.

Kaugtööpoliitika – VKE

See poliitika kehtestab turbenõuded töötajatele ja töövõtjatele, kes töötavad kaugelt, sh kodust, jagatud tööruumidest või reisil olles.

Kasutajakonto ja privileegide halduse poliitika – VKE

See poliitika kehtestab reeglid kasutajakontode ja juurdepääsuõiguste haldamiseks turvalisel, järjepideval ja jälgitaval viisil.

Varahalduspoliitika – VKE

See poliitika määratleb, kuidas organisatsioon tuvastab, jälgib, kaitseb ja kasutusest kõrvaldab oma teabevarad, sh nii füüsilised kui digitaalsed komponendid.

Andmete klassifitseerimise ja märgistamise poliitika – VKE

See poliitika määratleb, kuidas kogu organisatsiooni poolt käideldav teave tuleb klassifitseerida ja märgistada, et tagada konfidentsiaalsus, terviklus ja käideldavus kogu teabe elutsükli jooksul.

Andmete säilitamise ja kõrvaldamise poliitika – VKE

Selle poliitika eesmärk on määratleda jõustatavad reeglid teabe säilitamiseks ja turvaliseks kõrvaldamiseks VKE keskkonnas.

Varundamise ja taastamise poliitika – VKE

See poliitika määratleb, kuidas organisatsioon teeb ja haldab varukoopiaid, et tagada äritegevuse järjepidevus, kaitsta andmekao eest ja võimaldada intsidentidest õigeaegset taastamist.

Andmete maskeerimise ja pseudonüümimise poliitika – VKE

See poliitika määratleb jõustatavad nõuded andmete maskeerimise ja pseudonüümimise kasutamiseks tundlike, isikuandmete ja konfidentsiaalsete andmete kaitsmiseks väikestes ja keskmise suurusega ettevõtetes (VKE-des).

Andmekaitse ja privaatsuse poliitika – VKE

See poliitika määratleb, kuidas organisatsioon kaitseb isikuandmeid kooskõlas õiguslike kohustuste, regulatiivsete raamistike ja rahvusvaheliste turbestandarditega.

Krüptograafiliste kontrollimeetmete poliitika – VKE

See poliitika määratleb kohustuslikud nõuded krüpteerimise ja krüptograafiliste kontrollimeetmete kasutamiseks äri- ja isikuandmete konfidentsiaalsuse, tervikluse ja autentsuse kaitsmiseks.

Haavatavuste ja paikade halduse poliitika – VKE

See poliitika määratleb, kuidas organisatsioon tuvastab, hindab ja maandab haavatavusi süsteemides, rakendustes ja taristus.

Võrguturbe poliitika – VKE

Selle poliitika eesmärk on tagada, et kõik sisemised ja välised võrgusuhtlused on kaitstud volitamata juurdepääsu, rikkumise, pealtkuulamise või väärkasutuse eest selgelt määratletud turvakontrollide abil.

Logimis- ja seirepoliitika – VKE

See poliitika kehtestab kohustuslikud logimise ja seire kontrollimeetmed, et tagada organisatsiooni IT-süsteemide turvalisus, aruandekohustus ja operatiivne terviklus.

Aja sünkroniseerimise poliitika – VKE

See poliitika kehtestab kohustuslikud kontrollimeetmed täpse, sünkroniseeritud aja säilitamiseks kõigis süsteemides, mis salvestavad, edastavad või töötlevad organisatsiooni andmeid.

Turvalise arendamise poliitika – VKE

See poliitika tagab, et kogu tarkvara, skriptid ja veebipõhised tööriistad, mida organisatsioon või selle välised partnerid loovad või muudavad, arendatakse turvaliselt, minimeerides haavatavuste riski.

Rakenduse turbenõuete poliitika – VKE

See poliitika määratleb minimaalsed kohustuslikud rakenduse turbekontrollid kõigi tarkvara ja süsteemilahenduste jaoks, mida organisatsioon kasutab, sõltumata sellest, kas need arendatakse sisemiselt või hangitakse väliste tarnijate käest.

Kolmanda osapoole ja tarnija turbepoliitika – VKE

See poliitika kehtestab kohustuslikud turbenõuded kolmandate osapoolte ja tarnijatega suhete sõlmimiseks, haldamiseks ja lõpetamiseks, kui nad pääsevad ligi või mõjutavad organisatsiooni andmeid, süsteeme või teenuseid.

Pilve kasutamise poliitika – VKE

See poliitika määratleb, kuidas pilveteenuseid võib organisatsioonis turvaliselt kasutada. See tagab, et pilves töödeldavad või salvestatavad andmed on kaitstud, juurdepääs on kontrollitud ja riske hallatakse vastutustundlikult.

Sisseostetud arenduse poliitika – VKE

See poliitika tagab, et kogu sisseostetud tarkvaraarendus (olgu see vabakutseliste, agentuuride või kolmanda osapoole teenuseosutajate poolt) toimub turvaliselt, lepinguliselt kontrollitult ja kooskõlas kohaldatavate õiguslike, regulatiivsete ja auditi nõuetega.

Testandmete ja testkeskkonna poliitika – VKE

See poliitika määratleb, kuidas testandmeid ja testkeskkondi tuleb hallata, et vältida juhuslikku avalikustamist, andmerikkumisi või operatiivseid häireid testimistegevuste käigus.

Intsidentidele reageerimise poliitika – VKE

See poliitika määratleb, kuidas organisatsioon tuvastab, raporteerib ja reageerib infoturbeintsidentidele, mis mõjutavad selle digitaalseid süsteeme, andmeid või teenuseid.

Tõendite kogumise ja kohtuekspertiisi poliitika – VKE

See poliitika määratleb, kuidas organisatsioon käsitleb digitaalseid tõendeid, mis on seotud turbeintsidentide, andmerikkumiste või sisemiste uurimistega.

Äritegevuse järjepidevuse ja katastroofitaaste poliitika – VKE

See poliitika tagab, et organisatsioon suudab säilitada äritegevuse ja taastada olulised IT-teenused häirivate sündmuste ajal ja pärast neid.

Audit ja nõuetele vastavuse seire poliitika – VKE

See poliitika kehtestab organisatsiooni lähenemise siseauditite, turvakontrollide kontrollide ja regulatiivse vastavuse seire teostamiseks.

Mobiilseadmete ja BYOD-poliitika – VKE

See poliitika määratleb kohustuslikud turbenõuded mobiilseadmete (sh nutitelefonid, tahvelarvutid ja sülearvutid) kasutamiseks ettevõtte teabele, süsteemidele või teenustele juurdepääsul.

IoT ja OT turbepoliitika – VKE

See poliitika määratleb kohustuslikud reeglid asjade interneti (IoT) ja operatiivtehnoloogia (OT) seadmete turvaliseks kasutamiseks ja haldamiseks organisatsioonis.

Sotsiaalmeedia ja väliskommunikatsiooni poliitika – VKE

See poliitika kehtestab kohustuslikud suunised kogu avalikkusele suunatud suhtluseks, sh sotsiaalmeedia kasutus, meediasuhtlus ja väline digitaalne sisu, kui viidatakse ettevõttele, selle personalile, klientidele, süsteemidele või sisemistele praktikatele.

Õigusliku ja regulatiivse vastavuse poliitika – VKE

See poliitika määratleb organisatsiooni lähenemise õiguslike, regulatiivsete ja lepinguliste kohustuste tuvastamiseks, täitmiseks ja järgimise tõendamiseks.

Claryseci poliitikate kohta - Täielik VKE pakett (P01S–P37S)

Üldised turbepoliitikad on sageli loodud suurkorporatsioonidele, jättes väikeettevõtted hätta keerukate reeglite ja määratlemata rollide rakendamisega. See poliitika on teistsugune. Meie VKE poliitikad on algusest peale loodud praktiliseks rakendamiseks organisatsioonides, kus puuduvad pühendunud turvameeskonnad. Me määrame vastutused rollidele, mis teil tegelikult olemas on, nagu tegevjuht ja teie IT-teenuseosutaja, mitte spetsialistide armeele, mida teil ei ole. Iga nõue on jaotatud unikaalselt nummerdatud punktideks (nt 5.2.1, 5.2.2). See muudab poliitika selgeks samm-sammult kontrollnimekirjaks, muutes selle lihtsaks rakendada, auditeerida ja kohandada ilma tervete jaotiste ümberkirjutamiseta.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

IT turvalisus vastavus risk privaatsus õigus audit juhtkond hange

🏷️ Temaatiline katvus

Infoturbepoliitika organisatsioonilised rollid ja vastutused riskijuhtimine juurdepääsukontroll Intsidendihaldus turvalise arendamise elutsükkel andmekaitse äritegevuse järjepidevuse juhtimine kolmanda osapoole riskijuhtimine vastavuse juhtimine turbeoperatsioonid õiguslik vastavus turvateadlikkuse koolitus seire ja logimine