Teljes vállalati csomag (P01–P37)

A Teljes vállalati csomag (P01–P37) egy szigorúan strukturált, verziókezelt, 37 darab információbiztonsági és kockázatkezelési szabályzatból álló csomag, amely lefedi az ISO/IEC 27001:2022 tanúsításhoz szükséges valamennyi alap-, támogató és specializált funkciót, valamint a vezető nemzetközi szabványokkal és szabályozásokkal (GDPR, EU NIS2, DORA, NIST, COBIT és mások) való folyamatos megfelelést. Minden szabályzat egységes felépítést követ: meghatározza a célt, az alkalmazhatósági hatókört (szervezeti egység-, rendszer- vagy folyamatalapon), a célkitűzéseket, a részletes szerepköröket és felelősségeket, az irányítást, a bevezetési és technikai kontrollkövetelményeket, a kockázatkezelést és a kivételkezelési folyamatokat, az érvényesítési és fegyelmi mechanizmusokat, a felülvizsgálati és frissítési ciklusokat, valamint a szabványokhoz és szabályozási záradékokhoz történő egyértelmű leképezéseket. A támogató szabályzatokra és folyamatdokumentációra mutató kereszthivatkozások részletesek, biztosítva a nyomon követhetőséget és a koherens információbiztonsági irányítási rendszer struktúráját. A szabályzatok a vállalati biztonság minden dimenzióját lefedik: a stratégiai ISMS-irányítástól (P1–P2), a magatartási és hozzáférés-ellenőrzési kontrolloktól (P3–P7), az eszközkezelésen, az adatvédelem és adatosztályozáson át a fejlett technikai témákig, beleértve a kriptográfiát, a sérülékenységkezelést, a biztonságos fejlesztést, a beszállítói/harmadik fél kockázatot, a felhőt, az OT/IoT-t, az incidensreagálást, a bizonyítékkezelést és az üzletmenet-folytonosságot/DR-t (BCP/DR). A specializált lefedettség kiterjed a közösségi médiára/külső kommunikációra, a mobil/BYOD területre, a forenzikára, valamint az audit és jogszabályi megfelelés témáira. A struktúra kötelezővé teszi a folyamatos felülvizsgálatot (minimum évente, vagy incidensek, auditmegállapítások, szabályozási változások esetén), kijelöli a szabályzatgazdákat (információbiztonsági vezető (CISO), jogi és megfelelőség, felső vezetés, folyamatgazdák), és integrálja a fejlesztési és CAPA-eljárásokat. Minden szabályzat biztosít kockázatalapú kivételeket, és előírja, hogy ezek formálisan dokumentáltak, indokoltak, kockázatértékeltek, jóváhagyottak, naplózottak és rögzített időközönként (negyedéves, féléves vagy kiváltó események alapján) újraérvényesítettek legyenek. A meg nem felelés helyesbítő képzést, hozzáférés visszavonását, fegyelmi intézkedéseket, megszüntetést, jogi és szabályozási eszkalációt vagy szerződéses felfüggesztést (harmadik felek esetén) eredményezhet. Az audit, a folyamatos megfelelés-monitorozás, a bizonyítékkezelés és a forenzika folyamatai kifejezetten kodifikáltak, támogatva a belső és külső tanúsításokat, a szabályozói auditokat és a vizsgálatokat. Minden technikai szabályzat hivatkozik az auditnaplózás, a biztonsági eszközök integrációi (pl. SIEM, MDM/CD, sérülékenységvizsgálatok, CSPM), az incidens-/riasztáskezelés és a dokumentummegőrzés követelményeire. A csomagban visszatérő témák a folyamatos fejlesztés, a védhetőség és a kontrolltevékenységek nyomon követhetősége, teljes összhangban az ISO/IEC 27001:2022 operatív integrációra, vezetői elszámoltathatóságra és strukturált kockázati irányításra fókuszáló megközelítésével. Az üzleti, jogi és adatvédelmi kötelezettségekhez (pl. GDPR, DORA) és az operatív szervezeti egységekhez való kapcsolódások biztosítják, hogy ne alakuljanak ki silók vagy hiányosságok. A szabályzatok hivatkoznak és működésbe ültetik a legkisebb jogosultság elvét, a szabályzat-életciklus-kezelést, a feladatkörök szétválasztását és a biztonságtudatos magatartás erősítésének kulcsfogalmait. A Teljes vállalati csomag célja a tanúsítási felkészültség maximalizálása, a tartós megfelelés és a reziliencia biztosítása dinamikus kockázati és szabályozási környezetben, úgy, hogy minden szabályzat leképezett az alkalmazandó keretrendszerekhez és üzletszintű bevezetésre kész.