Koje standarde pokriva ISMS Startup Pack - ENT?

Politike su usklađene s ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53, EU GDPR, EU NIS2, EU DORA i COBIT 2019.

Je li ovaj paket prikladan za organizacije koje traže ISO 27001 certifikaciju?

Da. Paket je osmišljen da zadovolji zahtjeve ISO/IEC 27001:2022, uz izravno mapiranje na obvezne odredbe, kontrole i potrebe revizije.

Kako ove politike obrađuju odgovornosti trećih strana i dobavljača?

Svaka politika definira obveze trećih strana, odredbe provedbe, postupanje sa sigurnosnim kopijama i postupke eskalacije za nesukladnost.

Jesu li potrebni periodični pregledi i ažuriranja?

Da. Sve uključene politike zahtijevaju najmanje godišnji pregled i reviziju nakon regulatornih ili promjena okruženja.

Koja su područja sigurnosti obuhvaćena paketom?

Upravljanje, operativni pristup, upravljanje promjenama, upravljanje rizicima, kontinuirano praćenje usklađenosti te kontinuitet/sigurnosno kopiranje obuhvaćeni su sveobuhvatno.

Mini paket: ISMS Startup Pack - ENT

Pregled

Paket ISMS Startup Pack - ENT isporučuje ključne temeljne politike za upravljanje informacijskom sigurnošću, upravljanje korisničkim pristupom, upravljanje rizicima, upravljanje promjenama te sigurnosno kopiranje/obnovu, osmišljene za spremnost za reviziju i usklađenost s propisima u skladu s ISO/IEC 27001:2022 i glavnim okvirima.

Sveobuhvatna sigurnosna osnova

Pokriva sve kritične domene: upravljanje, kontrola pristupa, upravljanje promjenama, upravljanje rizicima i sustavi za sigurnosno kopiranje, spremno za certifikaciju 27001:2022.

Usklađeno s vodećim standardima

Politike se izravno mapiraju na ISO/IEC 27001:2022, NIS2, DORA, GDPR, COBIT i NIST radi regulatornog i klijentskog osiguranja.

Dokumentacija spremna za reviziju

Centralizirano, uz sustave za upravljanje verzijama i sljedivo, za brze revizije i neometanu usklađenost kroz sve glavne okvire.

Jasne uloge i odgovornosti

Definira ovlasti i odgovornosti na svakoj razini: najviše rukovodstvo, IT, krajnji korisnici, revizija i treće strane.

Spremno za implementaciju

Strukturirani predlošci spremni za implementaciju za ubrzanu uspostavu sustava upravljanja informacijskom sigurnošću (ISMS), prilagođeni za enterprise okruženja.

Pročitaj cijeli pregled

Mini paket: ISMS Startup Pack - ENT pruža temeljni skup politika za svaku organizaciju koja uspostavlja ili unaprjeđuje svoj sustav upravljanja informacijskom sigurnošću (ISMS) u skladu s ISO/IEC 27001:2022 i povezanim propisima. Ovaj paket uključuje šest ključnih politika: Politiku informacijske sigurnosti, model upravljanja ulogama i odgovornostima, Politiku kontrole pristupa, Politiku upravljanja promjenama, okvir za upravljanje rizicima i zahtjeve za sigurnosno kopiranje i obnovu, pri čemu je svaka izravno mapirana na najnovije međunarodne standarde, uključujući ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53, COBIT 2019, EU GDPR, Direktivu NIS2 i DORA. Politika informacijske sigurnosti definira krovnu strategiju organizacije za upravljanje svim aspektima povjerljivosti, cjelovitosti i dostupnosti informacija. Pruža strateški smjer, izražava sigurnosnu predanost uprave, podržava mjerljive ciljeve, postavlja model upravljanja sigurnošću informacija i djeluje kao autoritativna referentna točka za svu podređenu dokumentaciju. Njezin je opseg širok, obuhvaća sve ljude, tehnologije, procese i puni životni ciklus informacija. Strogi zahtjevi osiguravaju da su uloge jasne, da se provode kontinuirane radnje temeljene na riziku, da se upravlja izmjenama politika i da se održava revizivost. Politika upravljanja ulogama i odgovornostima dodatno pojašnjava ovlasti i odgovornosti unutar sustava upravljanja informacijskom sigurnošću (ISMS), osiguravajući da svaki sudionik, od višeg rukovodstva i voditelja ISMS-a do pružatelja usluga trećih strana, razumije svoju funkciju i putove eskalacije. Održavanjem registra uloga i odgovornosti i provedbom razdvajanja dužnosti, ova politika jamči da su sve aktivnosti sustava upravljanja informacijskom sigurnošću (ISMS) formalno dodijeljene, potpuno sljedive i periodično pregledavane u svrhu revizije. Izričito se zahtijeva međufunkcionalna koordinacija s IT-jem, pravnim poslovima, usklađenošću i ljudskim resursima (HR), a politika opisuje i interne i vanjski ugovorene strukture upravljanja. Politika kontrole pristupa isporučuje obvezna načela za korisnički i sistemski pristup u svim okruženjima, s naglaskom na kontrolu pristupa na temelju uloga (RBAC), upravljanje životnim ciklusom pristupa, radne tokove odobravanja, zaštitu povlaštenih računa i mehanizme autentifikacije identiteta, uz tromjesečne preglede pristupa. Ova je politika usko integrirana s uvođenjem dobavljača i izlaznim procesom, robusnim lancima odobravanja i automatiziranim okidačima gdje god je moguće. Ne zadovoljava samo zahtjeve ISO/IEC 27001 i NIST-a, već i sveobuhvatne pravne obveze prema GDPR-u i sektorskim okvirima. Ugrađeni su stroga provedba, revizijski orijentirano vođenje evidencije i mehanizam prijave nepravilnosti za kršenja. Otpornost poduzeća osigurava Politika upravljanja promjenama. Primjenjuje disciplinirane kontrole temeljene na riziku na sve promjene tehnologije i procesa: standardne promjene, normalne promjene ili hitne promjene. Proces zahtijeva detaljnu dokumentaciju zahtjeva za promjenu, obvezni pregled Savjetodavnog odbora za promjene za normalne i velike promjene, testiranje prije implementacije, dokumentirane planove povrata i postimplementacijski pregled. Stroge kontrole sprječavaju neovlaštene/neplanirane promjene, provode sustave za upravljanje verzijama i osiguravaju da su svi koraci — iniciranje, odobravanje i izvršenje — razdvojeni. Ovaj sustavni pristup smanjuje rizik od neplaniranih prekida rada, neovlaštenih izmjena ili povreda usklađenosti, uz podršku snažnom revizijskom tragu. Upravljanje rizicima operacionalizira se ponovljivim, metodičnim procesom za identifikaciju rizika, analizu rizika, obradu rizika i praćenje rizika u skladu s ISO/IEC 27001 Odredbom 6.1, ISO/IEC 27005 i ISO 31000. Sve aktivnosti upravljanja rizicima dokumentiraju se u centraliziranom registru rizika i unakrsno se referenciraju s Izjavom o primjenjivosti (SoA) radi jasne sljedivosti prema kontrolama i radnjama obrade. Ovaj pristup osigurava da se apetit za rizik utvrđuje na razini izvršnog menadžmenta te da se svi značajni rizici odgovarajuće eskaliraju, obrađuju ili prihvaćaju uz potpunu dokumentaciju i periodični pregled. Politika dodatno specificira integraciju s nalazima revizije, odgovorom na incidente i strateškim organizacijskim odlukama. Na kraju, Politika sigurnosnog kopiranja i obnove jamči kontinuitet i otpornost podataka, propisujući šifrirane sigurnosne kopije prema rasporedu, testiranje obnove, redundanciju izvan lokacije/u oblaku i sigurno postupanje s medijima, sve u skladu s regulatornim zahtjevima i procjenama utjecaja na poslovanje. Ciljevi vremena oporavka i točke oporavka (RTO/RPO) dokumentiraju se po sustavu. Testiranje obnove provodi se redovito, neuspjesi sigurnosnog kopiranja bilježe se i eskaliraju, a iznimke se procjenjuju rizikom i strogo kontroliraju. Politika se također odnosi na pružatelje sigurnosnog kopiranja trećih strana, zahtijevajući ugovorne, tehničke i usklađujuće zaštitne mjere. Za reviziju i istragu zahtijeva se zadržavanje dokaza, a veza s planovima odgovora na incidente izričito je opisana. Zajedno, ove politike čine sveobuhvatan, enterprise-spreman “ISMS Starter Kit” prikladan za organizacije koje traže certifikaciju, usklađenost s propisima i operativnu otpornost. Svaki dokument je pod sustavima za upravljanje verzijama, ima ciklus pregleda te sadrži odredbe provedbe i eskalacije za nesukladnost trećih strana i interne nesukladnosti, uz podršku integriranoj spremnosti za reviziju kroz životni ciklus sustava upravljanja informacijskom sigurnošću.

Sadržaj

Formalna Politika informacijske sigurnosti

Model upravljanja uloga i odgovornosti

Kontrola pristupa i upravljanje identitetom i pristupom (IAM)

Proces upravljanja promjenama

Okvir za upravljanje rizicima

Zahtjevi za sigurnosno kopiranje i obnovu

Usklađenost s okvirom

Okvir	Pokrivene klauzule / Kontrole
ISO/IEC 27001:2022	5.1 5.2 5.3 5.15 5.17 6.1 6.1.3 8.1 8.32 10
ISO/IEC 27002:2022	Control 5.1 Control 5.2 Control 5.28 Control 8.13
NIST SP 800-53 Rev.5	PL-1 PL-2 PL-3 PL-4 PM-1 PM-2 PM-3 PM-4 PM-5 PM-6 PM-7 PM-8 PM-9 PM-10 PM-11 PM-12 PM-13 AC-1 AC-2 AC-3 AC-4 AC-5 AC-6 AC-7 AC-8 AC-9 AC-10 AC-11 AC-12 AC-13 AC-14 AC-15 AC-16 AC-17 AC-18 AC-19 AC-20 IA-1 IA-2 IA-3 IA-4 IA-5 IA-6 IA-7 IA-8 CM-2 CM-3 CM-4 CM-5 CM-6 CM-7 CM-8 CM-9 CM-10 CM-11 CM-12 CM-13 CM-14 CP-9 CP-10 SI-12 MP-6 AU-2 AU-6 AU-12 RA-3 RA-5
EU GDPR	Article 5(1)(f)Article 5(2)Article 24Article 25Article 32Recital 39Recital 49Recital 78
EU NIS2	Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(d)Article 21(2)(e)
EU DORA	Article 5 Article 5(2)Article 6 Article 8 Article 9(2)Article 10 Article 11 Article 12
COBIT 2019	EDM01 EDM02 APO01 APO07 APO12 BAI02 BAI03 BAI06 DSS01 DSS04 DSS05 MEA01 MEA03
ISO/IEC 27005:2024	Full risk lifecycle methodology
ISO 31000:2018	Risk management principles and framework
NIST SP 800-30 Rev.1
NIST SP 800-39

Okvir

Pokrivene klauzule / Kontrole

ISO/IEC 27001:2022

5.1 5.2 5.3 5.15 5.17 6.1 6.1.3 8.1 8.32 10

ISO/IEC 27002:2022

Control 5.1 Control 5.2 Control 5.28 Control 8.13

NIST SP 800-53 Rev.5

EU GDPR

Article 5(1)(f)Article 5(2)Article 24Article 25Article 32Recital 39Recital 49Recital 78

EU NIS2

Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(d)Article 21(2)(e)

EU DORA

Article 5 Article 5(2)Article 6 Article 8 Article 9(2)Article 10 Article 11 Article 12

COBIT 2019

EDM01 EDM02 APO01 APO07 APO12 BAI02 BAI03 BAI06 DSS01 DSS04 DSS05 MEA01 MEA03

ISO/IEC 27005:2024

Full risk lifecycle methodology

ISO 31000:2018

Risk management principles and framework

NIST SP 800-30 Rev.1

NIST SP 800-39

Povezane politike

Politika upravljanja ulogama i odgovornostima

Ova politika definira model upravljanja, organizacijske uloge i odgovornosti potrebne za rad učinkovitog sustava upravljanja informacijskom sigurnošću (ISMS).

Politika informacijske sigurnosti

Ova politika definira krovnu predanost organizacije informacijskoj sigurnosti kroz uspostavu formalnog sustava upravljanja informacijskom sigurnošću (ISMS).

Politika kontrole pristupa

Ova politika uspostavlja obvezna načela, odgovornosti i zahtjeve kontrola za upravljanje pristupom informacijskim sustavima, aplikacijama, fizičkim objektima i informacijskom imovinom kroz organizaciju.

Politika upravljanja promjenama

Ova politika uspostavlja formalni okvir za iniciranje, procjenu, odobravanje, implementaciju i pregled promjena u informacijskim sustavima, infrastrukturi, aplikacijama i povezanim procesima organizacije.

Politika upravljanja rizicima

Ova politika uspostavlja jedinstven i formaliziran okvir za identifikaciju rizika, analizu rizika, vrednovanje, obradu rizika, praćenje rizika i pregled rizika informacijske sigurnosti kroz organizaciju.

Politika sigurnosnog kopiranja i obnove

Svrha ove politike je definirati obvezne zahtjeve za sigurnosno kopiranje i obnovu podataka, sustava i aplikacija radi podrške operativnoj otpornosti, cjelovitosti podataka i kontinuitetu poslovanja.

O Clarysec politikama - Mini paket: ISMS Startup Pack - ENT

Učinkovito upravljanje sigurnošću zahtijeva više od samih riječi; zahtijeva jasnoću, ovlasti i odgovornosti te strukturu koja se skalira s vašom organizacijom. Generički predlošci često ne uspijevaju, stvarajući nejasnoće dugim odlomcima i nedefiniranim ulogama. Ova je politika osmišljena kao operativna okosnica vašeg sigurnosnog programa. Dodjeljujemo odgovornosti specifičnim ulogama koje se nalaze u modernom enterprise okruženju, uključujući glavnog službenika za informacijsku sigurnost (CISO), IT i sigurnosne timove te relevantne odbore, osiguravajući jasne ovlasti i odgovornosti. Svaki je zahtjev jedinstveno numerirana odredba (npr. 5.1.1, 5.1.2). Ova atomska struktura čini politiku jednostavnom za implementaciju, reviziju prema specifičnim kontrolama i sigurno prilagođavanje bez utjecaja na cjelovitost dokumenta, pretvarajući je iz statičnog dokumenta u dinamičan, provediv okvir.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

IT Sigurnost Usklađenost Rizik Izvršni menadžment Revizija Upravljanje

🏷️ Tematska pokrivenost

P01 Politika informacijske sigurnosti Organizacijske uloge i odgovornosti Politika kontrole pristupa P05 Politika upravljanja promjenama Politika upravljanja rizicima Upravljanje kontinuitetom poslovanja Upravljanje usklađenošću