Tko bi trebao koristiti ovaj skup politika?

Mala i srednja poduzeća koja žele postići ili održati usklađenost s ISO/IEC 27001:2022, GDPR-om, NIS2, DORA-om i povezanim okvirima. Idealno za poduzeća bez namjenskog glavnog službenika za informacijsku sigurnost (CISO) ili internih odjela za IT sigurnost.

Kako ovaj paket podržava spremnost za reviziju?

Svaka politika propisuje dokumentaciju, upravljanje verzijama, redovite preglede i zadržavanje revizijskog traga. Iznimke i Plan obrade rizika formalno se bilježe za vanjske ili certifikacijske revizije.

Što ovaj skup politika za SME čini jedinstvenim?

Sve politike su prilagođene ulogama za SME, stavljajući odgovornost na glavnog izvršnog direktora i voditelje timova, bez potrebe za specijaliziranim sigurnosnim osobljem. Koriste kontrolne liste i pojednostavljen jezik, uz potpunu usklađenost s glavnim standardima.

Jesu li uključeni oblak, rad na daljinu i BYOD?

Da. Skup obuhvaća uporabu oblaka, rad na daljinu/hibridni rad i Politiku korištenja vlastitih uređaja (BYOD) s provedivim zahtjevima za kontrolu pristupa i sigurnost.

Može li se ovo integrirati s vanjskim dobavljačima?

Da, politike za dobavljače i vanjski ugovorene usluge zahtijevaju da svi dobavljači potpišu i poštuju sigurnosne uvjete, uključujući rokove za obavješćivanje o povredama i prava na reviziju.

Puni SME paket (P01S-P37S)

Pregled

Puni SME paket (P01S-P37S) pruža potpun, za reviziju spreman skup politika kibernetičke sigurnosti i IT upravljanja koji pokriva sve zahtjeve informacijske sigurnosti za SME. Svaka politika prilagođena je voditeljima malih poduzeća (glavni izvršni direktor), izričito je dizajnirana za organizacije bez namjenskih sigurnosnih timova te je u potpunosti usklađena s ISO/IEC 27001:2022, GDPR-om, NIS2, DORA-om i drugim okvirima.

Potpuna usklađenost za SME

Obuhvaća 37 politika, osiguravajući potpunu usklađenost s ISO/IEC 27001, GDPR-om, NIS2, DORA-om i COBIT-om za SME bez velikih IT timova.

Kontrole spremne za reviziju

Sve politike uključuju zahtjeve za revizijsku dokumentaciju, upravljanje verzijama, okidače pregleda i tijekove rada korektivnih radnji.

Praktično upravljanje za SME

Uloge mapirane na glavnog izvršnog direktora i voditelje timova; nije potreban glavni službenik za informacijsku sigurnost (CISO) ni Centar za sigurnosne operacije (SOC). Dizajnirano za poduzeća kojima upravlja vlasnik.

Provedive, jasne smjernice

Pravila korak-po-korak, kontrolne liste i postupanje s iznimkama za korisnički prihvatljive, provedive prakse kibernetičke sigurnosti.

Spremno za certifikaciju ISO 27001

Izravno mapiranje na sve odredbe ISO/IEC 27001:2022 i 27002:2022 za sigurnost pri reviziji i certifikaciji.

Pročitaj cijeli pregled

Ovaj Puni SME paket (P01S-P37S) nudi sveobuhvatan paket politika kibernetičke sigurnosti i IT upravljanja namjenski izrađen za mala i srednja poduzeća (SME). U potpunosti adresira stroge zahtjeve ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA, COBIT 2019 i drugih glavnih okvira, uz zadržavanje praktičnosti i jednostavnosti za organizacije bez namjenskih internih IT ili sigurnosnih operacija (kao što su CISO ili SOC). Ovaj skup politika ističe se kao najbolje rješenje za SME zbog prilagođene strukture uloga: većina ključnih odgovornosti dodijeljena je glavnom izvršnom direktoru ili ekvivalentnom vlasniku poduzeća, uključujući potpisivanje, delegiranje odgovornosti, pregled politika i upravljanje iznimkama. Kada su potrebni tehnički zadaci, jasne upute omogućuju vanjsko ugovaranje pouzdanim pružateljima IT podrške ili dodjelu imenovanom internom osoblju ili voditeljima odjela. Svaka politika provodi odgovornost kroz formalne zapise odobrenja, upravljanje verzijama, dokumentirane iznimke i redovite zahtjeve pregleda, čineći sustav robusnim za interne i vanjske revizije. Unutar paketa korisnici će pronaći politike koje obuhvaćaju svako kritično područje suvremene informacijske sigurnosti za SME. To uključuje: izričite izjave o opsegu, detaljna pravila angažmana za testiranje i pristup (bez zahtijevanja metodologija pentesta izvan navedenih politika), jasno dodjeljivanje i delegiranje odgovornosti (s praćenjem i okidačima eskalacije), mjere koje podržavaju reviziju (log-zapisi, povijesti promjena, zapisi o završetku obuke), postupke postupanja s podacima koji obuhvaćaju pravila privatnosti i zadržavanja usklađena s GDPR-om, tehničke standarde za oblak, korištenje vlastitih uređaja (BYOD), rad na daljinu/hibridni rad, pa čak i za fizički i digitalni odgovor na incidente, uključujući pravno zadržavanje i obustavu brisanja, forenziku i analizu temeljnog uzroka. Struktura je sustavna: svaka politika navodi vlastitu svrhu, opseg, ciljeve, uloge, zahtjeve upravljanja, korake implementacije, obradu rizika i postupanje s iznimkama, provedbu i usklađenost te protokole ažuriranja. Dodatno, povezanost svake politike s drugim dokumentima (npr. Politika kontrole pristupa, Politika odgovora na incidente (P30), Politike zaštite podataka) tvori integrirani, slojeviti model obrane u dubini i upravljanja. Posebno, odjeljci pregleda i ažuriranja propisuju godišnje preglede politika, verzioniranje i komunikaciju prema svom osoblju i trećim stranama, osiguravajući ažurnu spremnost kada se propisi ili poslovne prakse promijene. Ovaj proizvod je jasno identificiran kao skup politika za SME (SME oznaka 'S' u brojevima dokumenata i spominjanje procesa koje vodi glavni izvršni direktor). Njegov praktičan, provediv pristup, u kombinaciji sa strogim regulatornim i certifikacijskim usklađivanjem, čini ga idealnim za poduzeća kojima upravlja vlasnik, brzo rastuće scale-up tvrtke i organizacije s ograničenim resursima koje trebaju postići ili održati visoke standarde usklađenosti i operativne otpornosti, čak i bez specijaliziranih sigurnosnih uloga u osoblju.

Sadržaj

Opseg i pravila angažmana

Matrica uloga i odgovornosti

Postupci kontrole pristupa i upravljanja promjenama

Pravila zaštite podataka i privatnosti

Odgovor na incidente i postupanje s dokazima

Procesi revizije, pravne i regulatorne usklađenosti

Usklađenost s okvirom

Okvir	Pokrivene klauzule / Kontrole
ISO/IEC 27001:2022	5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32
NIST SP 800-53 Rev.5	PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6
EU GDPR	Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34
EU NIS2 Directive	Article 20Article 21(2)(a–i)Article 23
EU DORA	Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28
COBIT 2019	APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Okvir

Pokrivene klauzule / Kontrole

ISO/IEC 27001:2022

5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32

NIST SP 800-53 Rev.5

PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6

EU GDPR

Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34

EU NIS2 Directive

Article 20Article 21(2)(a–i)Article 23

EU DORA

Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28

COBIT 2019

APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Povezane politike

Politika uloga i odgovornosti upravljanja – SME

Ova politika definira kako se upravljačke odgovornosti za informacijsku sigurnost dodjeljuju, delegiraju i upravljaju u organizaciji kako bi se osigurala potpuna usklađenost s ISO/IEC 27001:2022 i drugim regulatornim obvezama.

Politika čistog stola i čistog zaslona – SME

Ova politika uspostavlja provedive smjernice za održavanje sigurnog radnog okruženja, osiguravajući da stolovi, radne stanice i zasloni budu bez vidljivih povjerljivih informacija kada su bez nadzora.

Politika zaštite krajnjih točaka i zlonamjernog softvera – SME

Ova politika definira minimalne tehnološke kontrole, postupke i zahtjeve ponašanja za zaštitu svih uređaja krajnjih točaka — kao što su prijenosna računala, stolna računala, mobilni uređaji i prijenosni mediji — od zlonamjernog koda.

Politika informacijske sigurnosti – SME

Ova politika pokazuje predanost naše organizacije zaštiti informacija klijenata i poslovnih informacija jasnim definiranjem odgovornosti i praktičnih sigurnosnih mjera, prikladno za organizacije bez namjenskih IT timova.

Politika prihvatljive uporabe – SME

Ova politika definira prihvatljivu, odgovornu i sigurnu uporabu sustava, uređaja, pristupa internetu, e-pošte, usluga u oblaku i svih osobnih uređaja koji se koriste za poslovanje.

Politika kontrole pristupa – SME

Ova politika definira kako organizacija upravlja pristupom sustavima, podacima i objektima kako bi se osiguralo da samo ovlaštene osobe mogu pristupiti informacijama na temelju poslovne potrebe.

Politika upravljanja promjenama – SME

Ova politika osigurava da su sve promjene IT sustava, konfiguracijskih postavki, poslovnih aplikacija ili usluga u oblaku planirane, procijenjene s aspekta rizika, testirane i odobrene prije implementacije.

Politika upravljanja rizicima – SME

Ova politika definira kako organizacija identificira, vrednuje i upravlja rizicima povezanim s informacijskom sigurnošću, operacijama, tehnologijom i uslugama trećih strana.

Politika uvođenja u posao i prestanka radnog odnosa – SME

Ova politika definira proces za uvođenje u posao novih zaposlenika ili izvođača te sigurno uklanjanje pristupa kada osobe odlaze ili mijenjaju uloge.

Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti – SME

Ova politika osigurava da svi zaposlenici i izvođači razumiju svoje odgovornosti u vezi s informacijskom sigurnošću.

Politika rada na daljinu – SME

Ova politika uspostavlja sigurnosne zahtjeve za zaposlenike i izvođače koji rade na daljinu, uključujući od kuće, iz dijeljenih radnih prostora ili tijekom putovanja.

Politika upravljanja korisničkim računima i privilegijama – SME

Ova politika uspostavlja pravila za upravljanje korisničkim računima i prava pristupa na siguran, dosljedan i sljediv način.

Politika upravljanja imovinom – SME

Ova politika definira kako organizacija identificira, prati, štiti i povlači iz uporabe svoju informacijsku imovinu, uključujući fizičke i digitalne komponente.

Politika klasifikacije i označavanja podataka – SME

Ova politika definira kako sve informacije kojima organizacija rukuje moraju biti klasificirane i označene kako bi se osiguralo da se povjerljivost, cjelovitost i dostupnost održavaju tijekom cijelog životnog ciklusa informacija.

Politika zadržavanja i zbrinjavanja podataka – SME

Svrha ove politike je definirati provediva pravila za zadržavanje i sigurno zbrinjavanje informacija u okruženju SME.

Politika sigurnosnog kopiranja i vraćanja – SME

Ova politika definira kako organizacija provodi i upravlja sustavima za sigurnosno kopiranje kako bi osigurala kontinuitet poslovanja, zaštitila od gubitka podataka i omogućila pravovremeni oporavak nakon incidenata.

Politika maskiranja podataka i pseudonimizacije – SME

Ova politika definira provedive zahtjeve za uporabu maskiranja podataka i pseudonimizacije radi zaštite osjetljivih, osobnih i povjerljivih podataka u malim i srednjim poduzećima (SME).

Politika zaštite podataka i privatnosti – SME

Ova politika definira kako organizacija štiti osobne podatke u skladu s pravnim obvezama, regulatornim okvirima i međunarodnim sigurnosnim standardima.

Politika kriptografskih kontrola – SME

Ova politika definira obvezne zahtjeve za uporabu šifriranja i kriptografskih kontrola radi zaštite povjerljivosti, cjelovitosti i autentičnosti poslovnih i osobnih podataka.

Politika upravljanja ranjivostima i zakrpama – SME

Ova politika definira kako organizacija identificira, vrednuje i ublažava rizike ranjivosti u sustavima, aplikacijama i infrastrukturi.

Politika sigurnosti mreže – SME

Svrha ove politike je osigurati da su sve interne i vanjske mrežne komunikacije zaštićene od neovlaštenog pristupa, manipulacije, prisluškivanja ili zlouporabe kroz jasno definirane sigurnosne kontrole.

Politika bilježenja i praćenja – SME

Ova politika uspostavlja obvezne kontrole revizijskog bilježenja i praćenja kako bi se osigurala sigurnost, odgovornost i operativna cjelovitost IT sustava organizacije.

Politika vremenske sinkronizacije – SME

Ova politika uspostavlja obvezne kontrole za održavanje točnog, sinkroniziranog vremena u svim sustavima koji pohranjuju, prenose ili obrađuju organizacijske podatke.

Politika sigurnog razvoja – SME

Ova politika osigurava da su svi softver, skripte i web-alati koje organizacija ili njezini vanjski partneri stvaraju ili mijenjaju razvijeni u skladu s načelima sigurnog razvoja, uz minimiziranje rizika od ranjivosti.

Politika zahtjeva sigurnosti aplikacija – SME

Ova politika definira minimalne obvezne kontrole sigurnosti aplikacija potrebne za sva softverska i sustavna rješenja koja organizacija koristi, bez obzira razvijaju li se interno ili se nabavljaju od vanjskih dobavljača.

Politika sigurnosti trećih strana i dobavljača – SME

Ova politika uspostavlja obvezne sigurnosne zahtjeve za angažiranje, upravljanje i prestanak odnosa s trećim stranama i dobavljačima koji pristupaju ili utječu na podatke, sustave ili usluge organizacije.

Politika uporabe oblaka – SME

Ova politika definira kako se usluge u oblaku mogu sigurno koristiti unutar organizacije. Osigurava da su podaci koji se obrađuju ili pohranjuju u oblaku zaštićeni, da je kontrola pristupa uspostavljena te da se rizicima upravlja odgovorno.

Politika vanjski ugovorenog razvoja – SME

Ova politika osigurava da je sav vanjski ugovoreni razvoj softvera — bilo da ga provode freelanceri, agencije ili pružatelji usluga treće strane — proveden sigurno, ugovorno kontroliran i usklađen s primjenjivim pravnim, regulatornim i revizijskim zahtjevima.

Politika testnih podataka i testnog okruženja – SME

Ova politika definira kako se testnim podacima i testnim okruženjima mora upravljati kako bi se spriječila slučajna izloženost, povrede podataka ili operativni prekidi tijekom aktivnosti testiranja.

Politika odgovora na incidente – SME

Ova politika definira kako organizacija otkriva, prijavljuje i odgovara na incidente informacijske sigurnosti koji utječu na njezine digitalne sustave, podatke ili usluge.

Politika prikupljanja dokaza i forenzike – SME

Ova politika definira kako organizacija postupa s digitalnim dokazima povezanim sa sigurnosnim incidentima, povredama podataka ili internim istragama.

Politika kontinuiteta poslovanja i oporavka od katastrofe – SME

Ova politika osigurava da organizacija može održati poslovne operacije i oporaviti ključne IT usluge tijekom i nakon disruptivnih događaja.

Politika revizije i praćenja usklađenosti – SME

Ova politika uspostavlja pristup organizacije za provođenje unutarnjih revizija, provjera sigurnosnih kontrola i kontinuiranog praćenja usklađenosti.

Politika mobilnih uređaja i BYOD-a – SME

Ova politika definira obvezne sigurnosne zahtjeve za uporabu mobilnih uređaja — uključujući pametne telefone, tablete i prijenosna računala — pri pristupu informacijama, sustavima ili uslugama tvrtke.

Politika sigurnosti IoT/OT – SME

Ova politika definira obvezna pravila za sigurnu uporabu i upravljanje sustavima Interneta stvari (IoT) i sustavima operativne tehnologije (OT) unutar organizacije.

Politika društvenih mreža i vanjskih komunikacija – SME

Ova politika uspostavlja obvezne smjernice za svu javnu komunikaciju — uključujući uporabu društvenih mreža, odnose s medijima i vanjski digitalni sadržaj — kada se referira na tvrtku, njezino osoblje, klijente, sustave ili interne prakse.

Politika pravne i regulatorne usklađenosti – SME

Ova politika definira pristup organizacije identifikaciji rizika, usklađivanju i dokazivanju pridržavanja pravnih, regulatornih i ugovornih obveza.

O Clarysec politikama - Puni SME paket (P01S-P37S)

Generičke sigurnosne politike često su izrađene za velike korporacije, zbog čega se mala poduzeća muče primijeniti složena pravila i nejasno definirane uloge. Ova politika je drugačija. Naše politike za SME dizajnirane su od temelja za praktičnu implementaciju u organizacijama bez namjenskih sigurnosnih timova. Dodjeljujemo odgovornosti ulogama koje stvarno imate, poput glavnog izvršnog direktora i vašeg pružatelja IT usluga, a ne vojsci specijalista koje nemate. Svaki zahtjev razložen je na jedinstveno numeriranu odredbu (npr. 5.2.1, 5.2.2). Time se politika pretvara u jasan kontrolni popis korak-po-korak, što olakšava implementaciju, reviziju i prilagodbu bez prepisivanja cijelih odjeljaka.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

IT sigurnost usklađenost rizik privatnost pravni poslovi revizija izvršno rukovodstvo nabava

🏷️ Tematska pokrivenost

politika informacijske sigurnosti organizacijske uloge i odgovornosti upravljanje rizicima kontrola pristupa upravljanje incidentima životni ciklusi razvoja sustava privatnost podataka upravljanje kontinuitetom poslovanja upravljanje rizikom trećih strana upravljanje usklađenošću sigurnosne operacije pravna usklađenost obuka o sigurnosnoj svijesti bilježenje i praćenje