Minipaketti: ISMS Startup Pack - SME

Mini Bundle: ISMS Startup Pack - SME tarjoaa käytännöllisen, päästä päähän -kokonaisuuden kyberturvallisuuspolitiikkoja, jotka on suunniteltu pienille ja keskisuurille yrityksille ISO/IEC 27001:2022 -linjauksen saavuttamiseksi. Koska pk-yrityksiltä usein puuttuvat omat IT-, tietoturva- tai vaatimustenmukaisuustiimit, jokainen tämän kokonaisuuden politiikka osoittaa vastuun ja vastuuvelvollisuuden nimenomaisesti liiketoimintarooleille, kuten toimitusjohtajalle, osastopäälliköille ja tarvittaessa nimetylle henkilöstölle tai ulkoistetuille IT-palveluntarjoajille. Kaikissa politiikoissa viitataan yksinkertaistettuun tehtävien eriyttämiseen; toimitusjohtajan tekemä delegointi on tuettu, mutta auditoitavuus ja valvonta säilytetään aina ISO/IEC 27001:n lausekkeen 5.3 noudattamiseksi. Tähän pk-yrityksille suunnattuun aloituspakettiin sisältyvät: tietoturvapolitiikka, hallintotavan roolit ja vastuut -politiikka, pääsynhallintapolitiikka, muutoksenhallintapolitiikka, riskienhallintapolitiikka sekä varmuuskopiointi- ja palautuspolitiikka. Jokainen asiakirja kattaa olennaiset operatiiviset ja teknologiset hallintakeinot tiedon elinkaaren läpi käyttäjien käyttöoikeuksien myöntämisestä ja riskien arvioinnista muutosten valtuutuksiin ja liiketoiminnan jatkuvuuteen. Yhteisiä vaatimuksia ovat keskitettyjen rekisterien ylläpito (käyttöoikeuksille ja riskeille), kaikkien muutosten ja delegointien dokumentointi, säännöllisten politiikkakatselmusten varmistaminen sekä politiikkojen noudattamisen toimeenpano selkeillä seuraamuksilla rikkomuksista tai laiminlyönneistä. Erityisen huomionarvoista on johdonmukainen lähestymistapa: jokainen politiikka edellyttää pakollista säännöllistä katselmointia (vuosittain tai merkittävien muutosten jälkeen), toimitusjohtajan dokumentoitua hyväksyntää poikkeuksille tai tietoturvapoikkeamille sekä helppoa sovellettavuutta sekä sisäiselle henkilöstölle että kolmannen osapuolen palveluntarjoajille, mikä tekee niistä toimeenpantavia yrityksen koosta riippumatta. Toiminnot, kuten järjestelmien varmuuskopiointi, riskien seuranta, politiikkojen noudattaminen ja käyttäjien käyttöoikeuksien hallinta, on määritelty tavalla, joka on yhteensopiva rajallisen oman kapasiteetin kanssa. Esimerkiksi varmuuskopiointikäytännöt ja palautustestaus ovat yhden vastuuvelvollisen henkilön (toimitusjohtaja tai nimetty henkilö) hallinnassa, ja riskien tunnistaminen voidaan tehdä yksinkertaisilla tarkistuslistoilla edistyneiden työkalujen sijaan. Kaikki tämän kokonaisuuden politiikat on kohdistettu keskeisiin globaaleihin viitekehyksiin ja sääntelyihin, mukaan lukien ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 ja EU GDPR. Kohdistus sisältää ISO/IEC 27001:n lausekkeet, kuten 5.1–5.3, 6.1 ja 8.1, ISO/IEC 27002:n olennaiset hallintakeinot (esim. hallintakeinot 5.2, 5.15 ja 8.13) sekä GDPR:n ja DORA:n tietyt artiklat. Nämä kohdistukset yhdessä selkokielisten hallintakeinojen ja roolikohtaisten prosessien kanssa varmistavat, että pk-yritysten vaatimustenmukaisuus ei ole vain saavutettavissa, vaan myös osoitettavissa asiakkaille, auditoijille ja valvontaviranomaisille. Politiikat viittaavat toisiinsa, ja jokainen linkittää kokonaisuuden muihin asiakirjoihin yhtenäisen ISMS-toteutuksen tukemiseksi pienemmissä organisaatioissa.