Pregled
Ovaj sveobuhvatni skup sadrži 37 politika informacijske sigurnosti, privatnosti podataka i upravljanja rizicima na razini poduzeća usklađenih s ISO/IEC 27001:2022, globalnim propisima i najboljim industrijskim praksama, pokrivajući vodstvo, IT, pravne poslove, operacije, reviziju, dobavljače, oblak, odgovor na incidente, kontinuitet poslovanja/opravak od katastrofe (BCP/DR) i više. Osmišljen je za isporuku usklađenosti punog opsega, spremnost za reviziju i podršku za kontinuirano poboljšanje.
Okvir usklađenosti od početka do kraja
Pokriva svaku odredbu norme ISO 27001:2022, globalne propise i sve kritične IT, sigurnosne i poslovne domene.
Spremno za reviziju i certifikaciju
Revizibilne kontrole i mapirani zahtjevi za ISO, NIS2, DORA, GDPR i više.
Međuodjelna pokrivenost
Uključuje politike za IT, sigurnost, rizik, usklađenost, pravne poslove, ljudske resurse (HR), operacije i upravljanje dobavljačima.
Upravljanje politikama i životni ciklus
Definira uloge, odgovornosti, verzioniranje i procese kontinuiranog poboljšanja.
Provedba i standardi iznimki
Strukturirana eskalacija, disciplinske mjere i radni tokovi iznimki temeljeni na riziku u svim domenama.
Pročitaj cijeli pregled
Sadržaj
Potpuna pokrivenost sustava upravljanja informacijskom sigurnošću (ISMS): P1–P37
Kontrole pravne/regulatorne usklađenosti i privatnosti podataka
Politike za imovinu, oblak, dobavljače i razvoj
Revizija i kontinuirano praćenje usklađenosti (ISMS, GDPR, NIS2, DORA)
Odgovor na incidente, forenzika, BCP/DR
Sigurnost mobilnih uređaja, rada na daljinu, društvenih mreža i OT/IoT
Usklađenost s okvirom
🛡️ Podržani standardi i okviri
Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.
| Okvir | Pokrivene klauzule / Kontrole |
|---|---|
| ISO/IEC 27001:2022 | |
| ISO/IEC 27002:2022 | |
| NIST SP 800-53 Rev.5 |
AC-1AC-2AC-4AC-5AC-6AC-8AC-17AC-19AU-2AU-6AU-8AU-9AU-12BAI03BAI05BAI07CA-2CA-3CA-5CA-7CM-2CM-6CP-1CP-2CP-9CP-10DSS01DSS02DSS04DSS05DSS06IA-1IA-2IA-4IA-5IR-1IR-4IR-5IR-6IR-9MEAO1MEA03MP-5MP-6PL-1PL-2PL-4PL-8PM-1PM-5PM-11PM-13PM-21PM-23PS-4PS-5PS-7PT-2PT-3RA-3RA-5R-1SA-3SA-4SA-9SA-9(5)SA-10SA-11SA-15SC-7SC-12SC-12(3)SC-13SC-17SC-28SC-28(1)SC-32SC-45SI-2SI-3SI-4SI-10SR-3SR-5
|
| EU GDPR |
Article 5Article 6Article 17Article 24Article 25Article 28Article 30Article 32Article 33Article 34Article 39Recital 39Recital 49Recital 78
|
| EU NIS2 | |
| EU DORA | |
| COBIT 2019 | |
| ISO 31000:2018 |
Leadership commitmentRisk management principlesContinuous improvement
|
| ISO/IEC 27005:2024 |
Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
|
| ISO 22301:2019 |
Business Continuity Management SystemBusiness Impact AnalysisRequirements
|
Povezane politike
Politika vremenske sinkronizacije
Osigurava točno mjerenje vremena, korelaciju log-zapisa i sljedivost događaja u svim okruženjima.
Politika sigurnog razvoja
Definira procese sigurnog SDLC-a, prakse kodiranja i obveze pregleda koda za razvoj softvera i sustava.
Politika uloga i odgovornosti upravljanja
Definira strukturu upravljanja i hijerarhiju ovlasti na koju se upućuje u ovom dokumentu.
Politika čistog stola i čistog zaslona
Uspostavlja kontrole za zaštitu osjetljivih informacija zahtijevajući sigurno postupanje s dokumentima i radnim stanicama.
Politika zaštite krajnjih točaka i zaštite od zlonamjernog softvera
Zahtijeva tehničke kontrole zaštite od zlonamjernog softvera i otvrdnjavanje za krajnje točke i mobilne uređaje.
Politika praćenja revizije i usklađenosti
Detaljno opisuje zahtjeve revizije, rasporede, praćenje CAPA-e i zadržavanje dokaza za internu i eksternu usklađenost.
P01 Politika informacijske sigurnosti
Uspostavlja cjelokupni sigurnosni program i opisuje odgovornosti vodstva za odobravanje politike i strateški nadzor.
Politika prihvatljive uporabe
Osigurava pridržavanje politike ponašanja i prihvatljivo postupanje s informacijskom imovinom.
Politika kontrole pristupa
Operacionalizira kontrole povezane s pristupom izvedene iz ove nadređene politike.
P05 Politika upravljanja promjenama
Osigurava da su promjene struktura upravljanja, uloga ili odgovornosti podložne dokumentiranom odobrenju i pregledima rizika prije uvođenja.
Politika upravljanja rizicima
Pruža kontekst odlučivanja temeljenog na riziku za odabir kontrola i prihvaćanje preostalog rizika.
Politika uvođenja u posao i prestanka radnog odnosa
Osigurava dodjelu kontrola i ukidanje pristupnih prava tijekom promjena u životnom ciklusu osoblja.
Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti
Osigurava da je svo osoblje svjesno sigurnosnih odgovornosti i prima obveznu obuku potrebnu za zaštitu informacijske imovine.
Politika rada na daljinu
Proširuje odredbe ovlaštenog korištenja na udaljena i hibridna okruženja rada.
Politika upravljanja korisničkim računima i privilegijama
Upravlja tehnološkim kontrolama za dodjelu pristupa i ukidanje pristupnih prava u podršci upravljanju korisničkim računima.
Politika upravljanja imovinom
Podržava praćenje i sigurno postupanje s uređajima i medijima te povezuje klasifikaciju imovine s kontrolama.
Politika klasifikacije i označavanja podataka
Uspostavlja obvezna pravila klasifikacije za imovinu koja određuju označavanje, postupanje s podacima i postupke zbrinjavanja.
Politika zadržavanja i zbrinjavanja podataka
Definira zahtjeve za zadržavanje i sigurno zbrinjavanje zapisa te osigurava usklađenost s pravnim i poslovnim potrebama.
Politika sigurnosnog kopiranja i vraćanja
Uspostavlja zahtjeve za sustave za sigurnosno kopiranje i oporavak od katastrofe radi podrške operativnoj otpornosti i cjelovitosti podataka.
Politika maskiranja podataka i pseudonimizacije
Osigurava odluke o maskiranju i pseudonimizaciji za usklađenost privatnosti i smanjenje rizika.
Politika zaštite podataka i privatnosti
Pruža temeljne zahtjeve zaštite podataka i privatnosti podataka te integrira zaštitu privatnosti po dizajnu kroz operacije.
Politika kriptografskih kontrola
Opisuje zahtjeve za šifriranje, upravljanje ključevima i kriptografiju za sve korporativne sustave i stanja podataka.
Politika upravljanja ranjivostima i zakrpama
Definira zahtjeve za zakrpavanje, SLA-ove korektivnih mjera i upravljanje ranjivostima za tehničku otpornost.
Politika sigurnosti mreže
Uspostavlja zahtjeve za zaštitu internih i vanjskih mreža te osiguravanje sigurnih komunikacija.
Politika bilježenja i praćenja
Specificira generiranje log-zapisa, praćenje i centralizirane zahtjeve uzbunjivanja za sve sustave obuhvaćene sustavom upravljanja informacijskom sigurnošću (ISMS).
Politika zahtjeva sigurnosti aplikacija
Nalaže tehničke zahtjeve za sigurnost aplikacijskog sloja, autentifikaciju i sigurnu integraciju.
Politika sigurnosti dobavljača i trećih strana
Definira zahtjeve informacijske sigurnosti za uspostavu, upravljanje i održavanje sigurnih odnosa s dobavljačima trećih strana i pružateljima usluga treće strane.
Politika korištenja oblaka
Uspostavlja zahtjeve za sigurnu, usklađenu i odgovornu uporabu usluga i platformi računalstva u oblaku.
Politika vanjski ugovorene usluge razvoja
Nalaže prakse SDLC-a, ugovorne klauzule i obveze sigurnosti koda za sav razvoj softvera/sustava od strane vanjskih dobavljača.
Politika testnih podataka i testnog okruženja
Definira zahtjeve za upravljanje testnim okruženjima i testnim podacima radi osiguravanja sigurnosti, povjerljivosti i operativne cjelovitosti.
Politika odgovora na incidente (P30)
Uspostavlja strukturu i procese za otkrivanje incidenata, prijavljivanje incidenata, trijažu i pregled nakon incidenta.
Politika prikupljanja dokaza i forenzike
Uspostavlja postupke za prikupljanje digitalnih dokaza, očuvanje i pravni/usklađenost lanac skrbništva.
Politika kontinuiteta poslovanja i oporavka od katastrofe
Definira organizacijske kontrole za kontinuitet, otpornost te planiranje i provedbu oporavka od katastrofe.
Politika mobilnih uređaja i BYOD
Definira kontrole za uporabu mobilnih i osobnih uređaja pri pristupu korporativnim sustavima i podacima.
Politika sigurnosti IoT i OT
Uspostavlja tehnološke i upravljačke zahtjeve za sustave Interneta stvari (IoT) i sustave operativne tehnologije (OT) radi sprječavanja operativnog ili kibernetičkog kompromitiranja.
Politika društvenih mreža i vanjskih komunikacija
Uspostavlja zahtjeve i ograničenja za izlazne komunikacije, javne poruke i službene izjave.
Politika pravne i regulatorne usklađenosti
Definira pravni, regulatorni i ugovorni okvir usklađenosti organizacije te integraciju s operacijama sustava upravljanja informacijskom sigurnošću (ISMS).
O Clarysec politikama - Puni paket za poduzeća (P01–P37)
Učinkovito upravljanje sigurnošću zahtijeva više od samih riječi; zahtijeva jasnoću, odgovornost i strukturu koja se skalira s vašom organizacijom. Generički predlošci često ne uspijevaju, stvarajući nejasnoće s dugim odlomcima i nedefiniranim ulogama. Ova politika je osmišljena kao operativna okosnica vašeg sigurnosnog programa. Dodjeljujemo odgovornosti specifičnim ulogama prisutnima u modernom poduzeću, uključujući glavnog službenika za informacijsku sigurnost (CISO), IT i sigurnosne timove te relevantne odbore, osiguravajući jasnu odgovornost. Svaki zahtjev je jedinstveno numerirana odredba (npr. 5.1.1, 5.1.2). Ova atomska struktura čini politiku jednostavnom za implementaciju, reviziju prema specifičnim kontrolama i sigurno prilagođavanje bez utjecaja na cjelovitost dokumenta, pretvarajući je iz statičnog dokumenta u dinamičan, provediv okvir.
Često postavljana pitanja
Izrađeno za lidere, od lidera
Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.
