Aikasynkronointipolitiikka – pk-yrityksille

Tämä Aikasynkronointipolitiikka (P23S) määrittää selkeät, pakolliset vaatimukset tarkan aikasynkronoinnin konfiguroimiseksi ja ylläpitämiseksi kaikissa organisaation järjestelmissä, jotka osallistuvat liiketoiminnalle relevantin datan tallentamiseen, siirtämiseen tai käsittelyyn. Pk-yrityspolitiikkana P23S on suunniteltu erityisesti organisaatioille, joissa IT-roolit ovat virtaviivaisia, kuten toimitusjohtaja ja IT-tukipalveluntarjoaja, mutta se saavuttaa vaatimustenmukaisuuden ISO/IEC 27001:2022:n, GDPR:n, NIS2:n, DORA:n ja muiden viitekehysten kanssa. Tämän politiikan tarkoitus on ylläpitää järjestelmälokien eheyttä, helpottaa tarkkaa poikkeamien tutkintaa ja varmistaa auditointien puolustettavuus tiukalla automatisoitujen aikasynkronointikontrollien täytäntöönpanolla. Se edellyttää, että kaikki yrityksen omistamat, etä- ja pilviympäristössä isännöidyt järjestelmät, mukaan lukien käyttäjien päätelaitteet, palvelimet, palomuurit ja SaaS-alustat, tukeutuvat luotettaviin, kryptografisesti suojattuihin aikalähteisiin (esim. todennetut NTP-palvelimet tai pilvipalveluntarjoajan työkalut). Laitteiden on synkronoitava vähintään kahdesti päivässä ja pysyttävä määritettyjen kynnysarvojen sisällä (±5 sekuntia työasemille; ±1 sekunti palvelimille ja tietoturvalaitteille). Kynnysarvot ylittävät aikaerot käynnistävät hälytykset, ja ne on korjattava viipymättä, jotta vältetään uhkat tietojen jäljitettävyydelle tai sääntelyasemalle. Politiikka määrittää vastuut toimitusjohtajalle, IT-tukipalveluntarjoajalle sekä tietosuojakoordinaattorille tai laki- ja vaatimustenmukaisuusvastaavan roolille. Toimitusjohtaja valvoo ja hyväksyy politiikan tai mahdolliset poikkeukset, kun taas IT-tuki konfiguroi, seuraa ja dokumentoi aikasynkronoinnin tilan. Työntekijöiltä ja urakoitsijoilta on ehdottomasti kiellettyä muuttaa laitteiden aika-asetuksia; kaikki synkronointiongelmat on eskaloitava välittömästi. Säännölliset järjestelmien terveystarkastukset ja määräaikaiset katselmoinnit auttavat varmistamaan jatkuvan vaatimustenmukaisuuden, ja poikkeusten käsittely sekä kompensoivat hallintakeinot hallinnoidaan ja dokumentoidaan huolellisesti. Aikasynkronointi on nimenomaisesti kytketty muihin pk-yritysten ydinpolitiikkoihin, mukaan lukien Lokitus- ja valvontapolitiikka, Tietoturvapoikkeamiin reagointi, Tietosuoja ja tietojen minimointi, omaisuudenhallinta sekä kolmansien osapuolten tietoturva. Yhdessä nämä politiikat tarjoavat yhtenäisen kattavuuden ja varmistavat, että vaatimustenmukaisuuteen, valvontaan ja uhkien havaitsemiseen liittyvään toimintaan tai ilmoitettavien tietoturvaloukkausten tilanteiden käsittelyyn käytettävät lokit ovat tarkkoja sekä sisällöltään että aikaleimoiltaan. Asiakirja korostaa tiukkaa katselmointi- ja päivitysprosessia ja edellyttää vuosittaista uudelleenarviointia toimitusjohtajan, IT:n ja tietosuojaroolien toimesta; päivitykset käynnistyvät teknologiassa tapahtuvista muutoksista tai uusista sääntelyvelvoitteista. Tämä kokonaisvaltainen lähestymistapa antaa pk-yrityksille kyvyn noudattaa yritystason tietoturvastandardeja ilman monimutkaisia, resursseja vaativia valvontarakenteita.