Politika informacijske sigurnosti - SME

Ova Politika informacijske sigurnosti (P01S) je kibernetički sigurnosni okvir usmjeren na SME, izrađen za organizacije kojima nedostaju namjenski IT timovi ili specijalističke sigurnosne uloge. Njezina je primarna svrha pokazati predanost organizacije zaštiti informacija kupaca i poslovnih informacija putem provedivih, praktičnih mjera. Politika je osmišljena s jasnim, pojednostavljenim odgovornostima, pri čemu se glavni izvršni direktor ili dodijeljeni delegat određuje kao odgovorna osoba za sva pitanja koja se odnose na informacijsku sigurnost. Ovaj pristup omogućuje manjim poduzećima održavanje snažnih kontrola, strukture i odgovornosti, uz izravnu podršku usklađenosti sa zahtjevima ISO/IEC 27001:2022. Opseg ove politike namjerno je širok te obuhvaća sve pojedince, vlasnike poduzeća, glavne izvršne direktore, zaposlenike, izvođače, pa čak i vanjske pružatelje IT usluga treće strane, koji pristupaju ili upravljaju organizacijskim podacima i sustavima. Uključena su sva okruženja, uključujući uredska, udaljena i okruženja u oblaku, kao i sve vrste informacijske imovine, od digitalne do fizičkih zapisa. Politika navodi izričite ciljeve, kao što su dodjela jasnih odgovornosti, zaštita podataka kupaca i poslovnih podataka, ugrađivanje sigurnosti u poslovne procese te njegovanje kulture podizanja svijesti i odgovornosti među netehničkim osobljem. Jedna od ključnih prednosti politike je praktična razrada uloga i odgovornosti. Za SME-ove, gdje se uloge često preklapaju, glavni izvršni direktor ili vlasnik poduzeća odgovoran je za sigurnosne ishode, osiguravajući nadzor čak i kada su zadaci delegirani. Određeni zaposlenici ili vanjski pružatelji IT usluga mogu provoditi dnevne sigurnosne radnje, ali nadzor ostaje centraliziran kod glavnog izvršnog direktora, čime se osigurava usklađenost s politikom i operativna dosljednost. Odjeljci politike razrađuju ključne elemente upravljanja kao što su redoviti sigurnosni pregledi (najmanje godišnji), dokumentiranje delegiranja, upravljanje pružateljima usluga treće strane te zahtjevi za trenutačnu eskalaciju incidenata glavnom izvršnom direktoru. Implementacija politike zahtijeva obuku o sigurnosnoj svijesti za svo osoblje, s naglaskom na sigurnu uporabu lozinki, sigurno postupanje s podacima, prijavljivanje incidenata te primjenu osnovnih kontrola poput sustava za sigurnosno kopiranje i ažuriranja antivirusnog softvera. Glavni izvršni direktor mora redovito provjeravati i dokumentirati pridržavanje politike u odnosu na ove kontrole. Odjeljak o riziku poziva na jednostavne, rutinske procjene rizika te dopušta dokumentirane iznimke, pod uvjetom da su odobrene i godišnje ponovno pregledane. Provedba je jasna, uz obvezno pridržavanje politike za svo osoblje i treće strane te definirani skup odgovora na kršenja. Glavni izvršni direktor također je zadužen za vođenje godišnjeg pregleda politike radi održavanja usklađenosti s ISO/IEC 27001 te za pravodobnu komunikaciju ažuriranja u cijeloj organizaciji. Važno je istaknuti da je, kao SME politika (naznačeno slovom 'S' u P01S i ulogom glavnog izvršnog direktora), ovaj dokument prilagođen poduzećima bez glavnog službenika za informacijsku sigurnost (CISO), tima Centra za sigurnosne operacije (SOC) ili specijalističkog IT osoblja, a ipak osigurava usklađenost s ISO/IEC 27001:2022. Usko se povezuje s drugim SME politikama o upravljanju, kontroli pristupa, obuci o sigurnosnoj svijesti, privatnosti podataka i odgovoru na incidente, naglašavajući da se potpuna certifikacija i zrelost informacijske sigurnosti mogu postići i u manjim organizacijama provedbom strukturiranih, pristupačnih i dokumentiranih politika.