Za koga je ovaj paket namijenjen?

Ovaj paket je namijenjen SME organizacijama kojima su potrebne snažne, ali pojednostavljene politike zaštite podataka i privatnosti podataka usklađene s ISO/IEC 27001:2022, EU GDPR-om, EU NIS2 Direktivom i drugim vodećim standardima.

Jesu li ove politike primjenjive ako nemamo namjenski IT/sigurnosni tim?

Da, sve politike su prilagođene SME organizacijama bez namjenskih uloga za IT ili upravljanje sigurnošću, što omogućuje da glavni izvršni direktor preuzme primarni nadzor.

Koja područja životnog ciklusa podataka ovaj paket pokriva?

Politike obuhvaćaju cijeli životni ciklus informacija, uključujući klasifikaciju podataka, označavanje, zadržavanje podataka, sigurno zbrinjavanje, maskiranje podataka, privatnost podataka, Politiku sigurnosti dobavljača i revizije usklađenosti.

Pruža li paket zahtjeve za upravljanje dobavljačima?

Da, Politika sigurnosti dobavljača i pružatelja usluga treće strane nalaže provjeru dobavljača, ugovorne klauzule, kontrole pristupa, praćenje, upravljanje iznimkama i siguran izlazni proces za sve dobavljače.

Mini paket: Zaštita podataka i privatnost

Pregled

Ovaj paket usmjeren na SME isporučuje šest međusobno povezanih politika koje pokrivaju klasifikaciju podataka, zadržavanje podataka, maskiranje podataka, privatnost podataka, Politiku sigurnosti dobavljača te kontinuirano praćenje usklađenosti, usklađeno s ISO/IEC 27001:2022 i EU GDPR-om, uz uloge prilagođene organizacijama bez namjenskog IT/sigurnosnog osoblja.

Integrirana zaštita podataka

Objedinjene politike za klasifikaciju podataka, Politika zadržavanja podataka, Privatnost podataka i Politika sigurnosti dobavljača osiguravaju snažnu zaštitu podataka za SME.

Usklađenost SME s 27001:2022

Prilagođeno za SME uz pojednostavljene uloge; ove politike usklađene su s ISO/IEC 27001:2022 i obvezama iz EU GDPR-a.

Kontrole životnog ciklusa podataka od početka do kraja

Kontrole obuhvaćaju klasifikaciju podataka, označavanje, zadržavanje podataka, anonimizaciju i reviziju, kroz sve formate i informacijske sustave.

Provedena sigurnost trećih strana

Zahtjevi za upravljanje dobavljačima i pružateljima usluga štite vaše podatke od vanjskog rizika dobavljača i osiguravaju ugovornu usklađenost.

Spremno za reviziju i osiguranje

Uključuje ponovljive kontrolne liste i zahtjeve za reviziju za operativnu kontrolu i vanjske certifikacije.

Pročitaj cijeli pregled

„Mini paket: Zaštita podataka i privatnost – SME” je sveobuhvatan skup od šest usko integriranih politika osmišljenih za mala i srednja poduzeća radi ispunjavanja ključnih zahtjeva za zaštitu podataka, privatnost podataka i usklađenost. Sve politike u ovom paketu izričito su prilagođene za SME (što je naznačeno numeriranjem politika sa „S” i korištenjem glavnog izvršnog direktora kao glavne uloge odgovornosti), uzimajući u obzir ograničene kadrovske resurse ili izostanak velikih, namjenskih odjela za IT, sigurnost ili usklađenost. Unatoč tim strukturnim ograničenjima, politike su izrađene kako bi zadovoljile stroge zahtjeve ISO/IEC 27001:2022, ISO/IEC 27002:2022, EU GDPR-a, EU NIS2 Direktive, EU DORA Uredbe, NIST SP 800-53 Rev. 5 i COBIT 2019. Ovaj paket osigurava pokrivenost od početka do kraja za cijeli životni ciklus informacija. Politika klasifikacije i označavanja podataka (P13S) uspostavlja provediv, za SME prikladan model klasifikacije u tri razine, uključujući zahtjeve za označavanje i tehnološke kontrole. Pruža jasne uloge za glavnog izvršnog direktora, upravitelje podataka, IT podršku (internu/vanjski ugovorene usluge) i svo osoblje/zaposlenike i ugovorne izvođače, s naglaskom na praktičnu vidljivost (zaglavlja, vodeni žigovi, oznake) i obveze usklađenosti. Usko povezana, Politika zadržavanja podataka i zbrinjavanja (P14S) nalaže razdoblja zadržavanja vođena pravnim i poslovnim zahtjevima uz centralno vođen Registar zadržavanja, izričite tehnike sigurnog zbrinjavanja (usitnjavanje, digitalno brisanje, kriptografsko brisanje) te strogu dokumentaciju iznimaka i pravno zadržavanje i obustavu brisanja, uz nadzor politike izvediv i u malim organizacijama. Za minimizaciju podataka i obradu izvan produkcijskog okruženja, Politika maskiranja podataka i pseudonimizacije (P16S) zahtijeva da se stvarni osobni ili osjetljivi podaci nikada ne koriste kada to nije strogo potrebno, primjerice u testiranju ili analitičkoj uporabi, provedbom kontrola transformacije (maskiranje podataka, tokenizacija, pseudonimizacija). Svi procesi transformacije moraju biti revizibilni, uz korištenje samo IT-odobrenih alata s log-zapisima i upravljanjem ključevima, čime se osigurava sljedivost do pojedinačnih skupova podataka i događaja. Središnja u paketu, Politika zaštite podataka i privatnosti podataka (P17S) obuhvaća sve pravne obveze za osobne podatke, uključujući zapise o osoblju, klijentima i trećim stranama. Provodi privatnost po dizajnu i po zadanim postavkama, zakonito prikupljanje i minimizaciju, sigurno zadržavanje podataka, jasne preglede pristupa te postupanje s pravima ispitanika. Odgovornosti su jasno raspodijeljene između glavnog izvršnog direktora (kao odgovorne osobe za privatnost), koordinatora privatnosti (interno/vanjski ugovorene usluge), IT pružatelja i svog operativnog osoblja. Obuka, privola, eskalacija i obavješćivanje o povredama podataka integrirani su, kao i provjere usklađenosti s povezanim politikama klasifikacije, zadržavanja podataka, maskiranja podataka i postupanja s incidentima. Za upravljanje vanjskim rizicima, Politika sigurnosti dobavljača i pružatelja usluga treće strane (P26S) postavlja obvezne zahtjeve za provjeru dobavljača, analizu rizika, ograničavanje pristupa, ugovorne klauzule (uključujući sporazume o razini usluge (SLA) za povrede i prava na reviziju) te kontinuirani nadzor. Obuhvaća tipične SME scenarije trećih strana (IT, SaaS, poslovne operacije itd.), zahtijevajući prihvaćanje ugovornih uvjeta, redovite preglede te siguran izlazni proces ili uništavanje podataka nakon prestanka. Naposljetku, Politika revizije i kontinuiranog praćenja usklađenosti (P33S) pojednostavljuje proces unutarnjih revizija, provjera sigurnosnih kontrola i regulatornog pregleda. Osmišljena za uporabu bez specijaliziranih revizora, omogućuje glavnom izvršnom direktoru i IT pružatelju da koriste kontrolne liste i vode dnevnike dokaza kako bi osigurali spremnost za reviziju za certifikaciju ISO/IEC 27001 ili dubinsku analizu dobavljača od strane kupaca/dobavljača. Revizijski tragovi, dokumentacija korektivnih radnji i revizijski dokazi moraju biti centralizirani i dostupni najmanje dvije godine, podupirući obrambeno upravljanje čak i za SME s minimalnim resursima za usklađenost. Zajedno, ovaj mini paket operacionalizira vodeće standarde i zakone o privatnosti u provedive, poslovno praktične kontrole, pružajući snažan, spreman za reviziju režim zaštite podataka i privatnosti podataka koji je SME organizacijama jednostavan za implementaciju i održavanje.

Sadržaj

Zahtjevi za klasifikaciju i označavanje podataka

Pravila zadržavanja i sigurnog zbrinjavanja

Maskiranje podataka i pseudonimizacija

Sveobuhvatna zaštita podataka i privatnost podataka

Politika sigurnosti dobavljača i ugovorne klauzule

Unutarnja revizija i kontinuirano praćenje usklađenosti

Usklađenost s okvirom

Okvir	Pokrivene klauzule / Kontrole
ISO/IEC 27001:2022	5.1 5.3 6.1.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12
NIST SP 800-53 Rev.5	AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12
EU GDPR	Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34
EU NIS2	Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)
EU DORA	Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)
COBIT 2019	APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Okvir

Pokrivene klauzule / Kontrole

ISO/IEC 27001:2022

5.1 5.3 6.1.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12

NIST SP 800-53 Rev.5

AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12

EU GDPR

Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34

EU NIS2

Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)

EU DORA

Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)

COBIT 2019

APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Povezane politike

Politika klasifikacije i označavanja podataka – SME

Ova politika definira kako se sve informacije kojima organizacija rukuje moraju klasificirati i označiti kako bi se osigurala povjerljivost, cjelovitost i dostupnost tijekom njihovog životnog ciklusa.

Politika zadržavanja podataka i zbrinjavanja – SME

Svrha ove politike je definirati provediva pravila za zadržavanje podataka i sigurno zbrinjavanje informacija u SME okruženju.

Politika maskiranja podataka i pseudonimizacije – SME

Ova politika definira provedive zahtjeve za uporabu maskiranja podataka i pseudonimizacije radi zaštite osjetljivih, osobnih i povjerljivih podataka u malim i srednjim poduzećima (SME).

Politika zaštite podataka i privatnosti podataka – SME

Ova politika definira kako organizacija štiti osobne podatke u skladu s pravnim obvezama, regulatornim okvirima i međunarodnim sigurnosnim standardima.

Politika sigurnosti trećih strana i dobavljača – SME

Ova politika uspostavlja obvezne sigurnosne zahtjeve za angažiranje, upravljanje i prestanak odnosa s trećim stranama i dobavljačima koji pristupaju ili utječu na podatke, sustave ili usluge organizacije.

Politika revizije i kontinuiranog praćenja usklađenosti – SME

Ova politika uspostavlja pristup organizacije za provođenje unutarnjih revizija, provjera sigurnosnih kontrola i praćenja regulatorne usklađenosti.

O Clarysec politikama - Mini paket: Zaštita podataka i privatnost – SME

Generičke sigurnosne politike često su izrađene za velike korporacije, zbog čega se mala poduzeća teško snalaze u primjeni složenih pravila i nejasno definiranih uloga. Ova politika je drugačija. Naše SME politike osmišljene su od temelja za praktičnu implementaciju u organizacijama bez namjenskih sigurnosnih timova. Odgovornosti dodjeljujemo ulogama koje stvarno imate, poput glavnog izvršnog direktora i vašeg IT pružatelja, a ne vojsci specijalista koje nemate. Svaki zahtjev razložen je u jedinstveno numeriranu odredbu (npr. 5.2.1, 5.2.2). Time se politika pretvara u jasan, korak-po-korak kontrolni popis, što olakšava implementaciju, reviziju i prilagodbu bez prepisivanja cijelih odjeljaka.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

IT Sigurnost Usklađenost Privatnost Pravni poslovi i usklađenost Nabava

🏷️ Tematska pokrivenost

klasifikacija podataka postupanje s podacima Privatnost podataka prava ispitanika upravljanje rizicima trećih strana upravljanje dobavljačima Upravljanje životnim ciklusom politika upravljanje usklađenošću pravna usklađenost

Mini paket: Zaštita podataka i privatnost – SME