Politika odgovora na incidente – SME

Politika odgovora na incidente (P30S) namjenski je izrađena za mala i srednja poduzeća (SME) koja traže robusne protokole usklađene s ISO/IEC 27001:2022, bez potrebe za internim Centrom za sigurnosne operacije (SOC) ili stalno zaposlenim glavnim službenikom za informacijsku sigurnost (CISO). Ova SME politika izričito pripisuje odgovornost za nadzor incidenata i regulatorna obavještavanja glavnom izvršnom direktoru (GM), pružajući jasnu strukturu prikladnu za organizacije s ograničenim namjenskim IT resursima. Dokument detaljno opisuje zahtjeve koji SME omogućuju minimiziranje štete, zaštitu osjetljivih informacija i ispunjavanje ključnih regulatornih obveza, kao što je GDPR pravilo obavještavanja o povredi u roku od 72 sata. Opseg je širok i obuhvaća svo osoblje (zaposlenike, izvođače, vanjsko ugovorene usluge), svu tehničku imovinu (web-stranice, oblačne platforme, račune e-pošte i mobilne uređaje) te svaki značajan oblik incidenta (od neovlaštenog pristupa do infekcije zlonamjernim softverom, phishing napada, prekida rada sustava te gubitka/krađe uređaja). Politika uspostavlja detaljne ciljeve: brzo prepoznavanje, revizijsko bilježenje, eskalaciju, pravno obavještavanje, učinkovito ograničavanje, oporavak podataka i prevenciju temeljenu na analizi temeljnog uzroka. Također podržava SME u prolasku revizija ISO/IEC 27001 i demonstriranju dužne odgovornosti prema klijentima i regulatorima. Specifične uloge i odgovornosti pojednostavljene su kako bi se prilagodile SME kontekstu: GM zadržava ukupnu odgovornost, uz podršku interne ili vanjske IT administracije. Osoblju i izvođačima nalaže se da odmah prijave svaki incident bez pokušaja neovlaštenih ispravaka. Vanjski dobavljači obvezni su obavijestiti GM i podržati radnje ograničavanja prema obvezama trećih strana, uz iste rokove eskalacije kao i za interne incidente. Politika propisuje strukturirane postupke prijavljivanja incidenata, uključujući jasne komunikacijske kanale (namjenska e-pošta za incidente ili usmena prijava), potrebne detalje (vrijeme otkrivanja, priroda, zahvaćeni sustavi i uočljiv utjecaj) te kategorizaciju unutar jednog sata. Dnevnici incidenata, koje vodi GM, u središtu su vođenja evidencija za revizije. Tromjesečni pregledi, analize temeljnog uzroka i ažuriranja nakon incidenta osiguravaju i kontinuiranu učinkovitost i odziv na nove prijetnje. Dokument također detaljno opisuje zahtjeve za obuku i sigurnosnu svijest za svo osoblje, uvođenje u posao, obnovnu obuku i obvezna očekivanja prijavljivanja. Odredbe provedbe zahtijevaju da svi subjekti, uključujući treće strane, u potpunosti poštuju politiku: neuspjesi ili kršenja protokola mogu rezultirati upozorenjima, opozivom pristupa, ugovornim kaznama ili uklanjanjem s popisa dobavljača. Svi dokazi i log-zapisi moraju se zadržati najmanje jednu godinu i dostaviti za revizije prema potrebi. Sveobuhvatni mehanizmi pregleda osiguravaju da politika ostane usklađena s razvojem standarda, regulatornim promjenama i operativnim promjenama te ostane relevantna za SME.