Mini paket: ISMS Startup Pack - SME

Mini paket: ISMS Startup Pack - SME nudi praktičan, cjelovit skup politika kibernetičke sigurnosti namjenski izrađen za mala i srednja poduzeća koja traže usklađivanje s ISO/IEC 27001:2022. Uvažavajući da mala i srednja poduzeća često nemaju namjenske interne timove za IT, sigurnost ili usklađenost, svaka politika u ovom paketu izričito dodjeljuje odgovornost i ovlasti poslovnim ulogama kao što su glavni izvršni direktor, rukovoditelji odjela te, gdje je primjenjivo, imenovano osoblje ili vanjski pružatelji IT usluga. Sve politike upućuju na pojednostavljeno razdvajanje dužnosti; podržano je delegiranje od strane glavnog izvršnog direktora, ali se revizivost i nadzor u svakom trenutku održavaju radi usklađenosti s odredbom 5.3 norme ISO/IEC 27001. U ovaj početni paket usmjeren na mala i srednja poduzeća uključeni su: politika informacijske sigurnosti, politika uloga i odgovornosti upravljanja, politika kontrole pristupa, politika upravljanja promjenama, politika upravljanja rizicima te politika sigurnosnog kopiranja i vraćanja. Svaki dokument pokriva ključne operativne i tehnološke kontrole kroz životni ciklus informacija, od dodjele pristupa i procjene rizika do odobravanja promjena i kontinuiteta poslovanja. Uobičajeni zahtjevi obuhvaćaju održavanje središnjih registara (za pristup i rizike), dokumentiranje svih promjena i delegiranja, osiguravanje periodičnih pregleda politika te provedbu usklađenosti uz jasne posljedice za kršenja ili propuste. Posebno je važan dosljedan pristup kroz cijeli paket: svaka politika propisuje obvezni periodični pregled (godišnje ili nakon većih promjena), dokumentirano odobravanje iznimaka ili incidenata od strane glavnog izvršnog direktora te jednostavnu primjenjivost i na interno osoblje i na pružatelje usluga treće strane, čime su provedive neovisno o veličini poduzeća. Aktivnosti poput sigurnosnog kopiranja sustava, praćenja rizika, pridržavanja politike i upravljanja korisničkim pristupom propisane su na način kompatibilan s ograničenim internim kapacitetima. Primjerice, režimi sigurnosnog kopiranja i testiranje vraćanja pod upravljanjem su jedne odgovorne osobe (glavni izvršni direktor ili imenovana osoba), a identifikacija rizika može se provoditi jednostavnim kontrolnim listama umjesto naprednih alata. Sve politike u ovom paketu mapirane su na glavne globalne okvire i propise, uključujući ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 i EU GDPR. Mapiranje uključuje odredbe kao što su 5.1–5.3, 6.1, 8.1 za ISO/IEC 27001, relevantne kontrole za ISO/IEC 27002 (npr. kontrole 5.2, 5.15, 8.13) te specifične članke u okviru GDPR-a i DORA-e. Ova mapiranja, u kombinaciji s kontrolama na jasnom jeziku i procesima specifičnima za uloge, osiguravaju da usklađenost malih i srednjih poduzeća nije samo ostvariva, nego i dokaziva kupcima, revizorima i regulatorima. Politike su međusobno unakrsno referencirane; svaka povezuje povezane dokumente unutar paketa radi povezane implementacije sustava upravljanja informacijskom sigurnošću (ISMS) za manje organizacije.