Koja je ciljana publika ovog paketa?

Ovaj paket je namijenjen SME-ovima koji žele implementirati kibernetičke sigurnosne kontrole usklađene s ISO 27001:2022 bez potrebe za namjenskim odjelom za IT sigurnost.

Kako su zahtjevi SME odraženi u ovim politikama?

Naglašene su uloge kao što su glavni izvršni direktor i vanjski dobavljači, čime se osigurava da su politike operativne za organizacije s pojednostavljenim strukturama.

Zadovoljava li ovaj paket usklađenost s ISO 27001:2022?

Da. Sve uključene politike izravno su mapirane prema ključnim zahtjevima ISO 27001:2022 i 27002:2022, kako je prikazano u mapiranjima usklađenosti.

Obuhvaćaju li ove politike i IT i regulatorne zahtjeve?

Da. Politike podržavaju usklađenost s ISO 27001:2022, GDPR-om, EU NIS2, EU DORA, NIST SP 800-53 Rev.5 i COBIT 2019.

Mini paket: kontrola pristupa i sigurnost mreže

Pregled

Mini paket: kontrola pristupa i sigurnost mreže – SME nudi šest ključnih politika koje pokrivaju politiku kontrole pristupa, račune, upravljanje ranjivostima, zaštitu od zlonamjernog softvera, mreže te revizijsko bilježenje i praćenje, prilagođeno za SME kako bi ispunili ISO/IEC 27001:2022 i regulatorne obveze uz praktične dodjele uloga i kontrole spremne za reviziju.

Potpuni obuhvat sigurnosti za SME

Šest temeljnih politika koje u jednom usklađenom paketu pokrivaju kontrolu pristupa, mreže, krajnje točke, račune, ranjivosti i revizijsko bilježenje.

ISO 27001:2022 spremno za SME

Politike su mapirane i pojednostavljene za SME bez namjenskih sigurnosnih timova, uz korištenje uloga kao što su glavni izvršni direktor i vanjski dobavljači.

Jasne uloge i revizijski tragovi

Dizajnirano za operativnu jasnoću, s dokumentiranim ciklusima pregleda, upravljanjem rizicima i izvješćivanjem o usklađenosti.

Pročitaj cijeli pregled

Mini paket: kontrola pristupa i sigurnost mreže – SME pruža robustan, unaprijed usklađen skup od šest dokumenata za upravljanje kibernetičkom sigurnošću izrađenih posebno za mala i srednja poduzeća (SME). Prepoznajući jedinstvene izazove organizacija bez namjenskih IT ili sigurnosnih odjela, svaka politika u paketu pojednostavljena je tako da koristi uloge koje su uobičajeno prisutne u SME-ovima, kao što su glavni izvršni direktor, rukovoditelji odjela i vanjski dobavljači. Svi dokumenti pažljivo su mapirani na najnovije zahtjeve ISO/IEC 27001:2022 i ISO/IEC 27002:2022, kao i na povezane okvire poput NIST SP 800-53 Rev.5, EU GDPR-a, EU NIS2, EU DORA i COBIT 2019. Ovaj paket uključuje politiku kontrole pristupa, koja propisuje kako se pristup IT sustavima, objektima i podacima upravlja kroz jasne postupke odobravanja, formalne preglede i provedbu načela najmanjih privilegija. Politika upravljanja korisničkim računima i privilegijama nadograđuje to osiguravajući snažne kontrole nad dodjelom pristupa, izmjenama i ukidanjem pristupnih prava, zabranjujući dijeljene vjerodajnice te zahtijevajući jedinstvene, sljedive identitete, uz podršku revizijskog traga i revizijskog bilježenja. Obje su napisane za organizacije u kojima glavni izvršni direktor ili vanjska IT funkcija djeluje kao vlasnik sustava ili ovlaštenik za odobravanje, smanjujući složenost i osiguravajući da se kontrola može održavati i uz ograničene interne resurse. Politika upravljanja ranjivostima i zakrpama definira očekivanja za identifikaciju rizika, procjenu i korektivne radnje za ranjivosti u cijeloj korporativnoj IT imovini, uključujući radne stanice, poslužitelje, IT infrastrukturu u oblaku i softver. Pravodobno zakrpavanje, tromjesečno izvješćivanje i jasni postupci upravljanja iznimkama su obvezni, uz podijeljene odgovornosti između glavnog izvršnog direktora i IT pružatelja. Za zaštitu infrastrukture krajnjih točaka, Politika zaštite krajnjih točaka – zaštita od zlonamjernog softvera propisuje zahtjeve za antivirusni softver, korištenje vlastitih uređaja (BYOD), praćenje i odgovor na incidente, uz tehničke i proceduralne upute prilagođene SME kontekstu, uključujući korištenje neodobrenih alata (zabranjeno) i redovitu obuku o sigurnosnoj svijesti o zlonamjernom softveru. Kritične mrežne kontrole obrađene su u Politici sigurnosti mreže, koja detaljno opisuje dizajn, segmentaciju mreže, praćenje i provedbu sigurnih žičanih, bežičnih i kanala udaljenog pristupa. Politika pokriva i fizičke i logičke mreže, zahtijevajući snažne konfiguracije vatrozida, korištenje virtualne privatne mreže (VPN) uz višefaktorsku autentifikaciju (MFA), redovite sigurnosne revizije i prijavljivanje neovlaštenog pristupa ili anomalnog mrežnog ponašanja. Politika bilježenja i praćenja osigurava da se sve kritične aktivnosti, od administrativnih promjena do automatiziranih upozorenja, bilježe, zadržavaju i redovito pregledavaju, omogućujući SME-ovima da ispune i operativne i pravne obveze za odgovornost, istragu povreda i revizije usklađenosti. Kao SME-specifične politike (što je vidljivo po 'S' u njihovom numeriranju i referencama na uloge), svaki dokument naglašava praktičnu, realističnu implementaciju, koristeći registre, jednostavne radne tokove odobravanja i kontrolne liste umjesto struktura velikih timova ili specijaliziranih pozicija. Zajedno, ovaj paket pruža sveobuhvatnu, provedivu i revizibilnu osnovu najboljih praksi kibernetičke sigurnosti u malim i srednjim poduzećima.

Sadržaj

Politika kontrole pristupa

Politika upravljanja korisničkim računima i privilegijama

Politika upravljanja ranjivostima i zakrpama

Zaštita krajnjih točaka – Politika zaštite od zlonamjernog softvera

Politika sigurnosti mreže

Politika bilježenja i praćenja

Usklađenost s okvirom

Okvir	Pokrivene klauzule / Kontrole
ISO/IEC 27001:2022	5.3 5.15 8.1
ISO/IEC 27002:2022	5.15 5.16 8.7 8.8 8.15 8.16 8.20
NIST SP 800-53 Rev.5	AC-1 AC-2 AC-4 AC-5 AC-6 SC-7 SI-2 SI-3 SI-4 AU-2 AU-3 AU-4 AU-5 AU-6 AU-7 AU-8 AU-9 AU-10 AU-11 AU-12 RA-5 CM-2
EU GDPR	Article 5(1)(f)Article 32Article 32(1)(b)Article 33
EU NIS2	Article 21(2)(b)Article 21(2)(d)Article 21(2)(e)Article 23
EU DORA	Article 8(1)Article 9 Article 9(2)(b)Article 10 Article 10(1)Article 10(2)Article 15
COBIT 2019	APO07 APO12.01 APO13.01 DSS01.03 DSS01.04 DSS05.02 DSS05.03 DSS05.04

Okvir

Pokrivene klauzule / Kontrole

ISO/IEC 27001:2022

5.3 5.15 8.1

ISO/IEC 27002:2022

5.15 5.16 8.7 8.8 8.15 8.16 8.20

NIST SP 800-53 Rev.5

AC-1 AC-2 AC-4 AC-5 AC-6 SC-7 SI-2 SI-3 SI-4 AU-2 AU-3 AU-4 AU-5 AU-6 AU-7 AU-8 AU-9 AU-10 AU-11 AU-12 RA-5 CM-2

EU GDPR

Article 5(1)(f)Article 32Article 32(1)(b)Article 33

EU NIS2

Article 21(2)(b)Article 21(2)(d)Article 21(2)(e)Article 23

EU DORA

Article 8(1)Article 9 Article 9(2)(b)Article 10 Article 10(1)Article 10(2)Article 15

COBIT 2019

APO07 APO12.01 APO13.01 DSS01.03 DSS01.04 DSS05.02 DSS05.03 DSS05.04

Povezane politike

Politika zaštite krajnjih točaka i zlonamjernog softvera – SME

Ova politika definira minimalne tehničke, proceduralne i ponašajne zahtjeve za zaštitu svih uređaja krajnjih točaka — kao što su prijenosna računala, stolna računala, mobilni uređaji i prijenosni mediji — od zlonamjernog koda.

Politika kontrole pristupa – SME

Ova politika definira kako organizacija upravlja pristupom sustavima, podacima i objektima kako bi osigurala da samo ovlaštene osobe mogu pristupiti informacijama na temelju poslovne potrebe.

Politika upravljanja korisničkim računima i privilegijama – SME

Ova politika uspostavlja pravila za upravljanje korisničkim računima i pravima pristupa na siguran, dosljedan i sljediv način.

Politika upravljanja ranjivostima i zakrpama – SME

Ova politika definira kako organizacija identificira, vrednuje i ublažava ranjivosti u sustavima, aplikacijama i infrastrukturi.

Politika sigurnosti mreže – SME

Svrha ove politike je osigurati da su sve interne i eksterne mrežne komunikacije zaštićene od neovlaštenog pristupa, manipulacije, prisluškivanja ili zlouporabe kroz jasno definirane sigurnosne kontrole.

Politika bilježenja i praćenja – SME

Ova politika uspostavlja obvezne kontrole bilježenja i praćenja kako bi se osigurala sigurnost, odgovornost i operativna cjelovitost IT sustava organizacije.

O Clarysec politikama - Mini paket: kontrola pristupa i sigurnost mreže – SME

Generičke sigurnosne politike često su izrađene za velike korporacije, zbog čega se mala poduzeća muče primijeniti složena pravila i nejasno definirane uloge. Ova politika je drugačija. Naše SME politike dizajnirane su od temelja za praktičnu implementaciju u organizacijama bez namjenskih sigurnosnih timova. Dodjeljujemo odgovornosti ulogama koje stvarno imate, poput glavnog izvršnog direktora i vašeg IT pružatelja, a ne vojsci specijalista koje nemate. Svaki zahtjev razložen je u jedinstveno numeriranu odredbu (npr. 5.2.1, 5.2.2). Time se politika pretvara u jasan kontrolni popis korak-po-korak, što olakšava implementaciju, reviziju i prilagodbu bez prepisivanja cijelih odjeljaka.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

IT Sigurnost Usklađenost Rizik

🏷️ Tematska pokrivenost

Politika kontrole pristupa upravljanje identitetom autentifikacija upravljanje privilegiranim pristupom (PAM) Sigurnost mreže Centar za sigurnosne operacije (SOC) praćenje i revizijsko bilježenje upravljanje ranjivostima Upravljanje zakrpama i firmverom

Mini paket: kontrola pristupa i sigurnost mreže – SME