Incidenskezelési szabályzat – SME

Az incidenskezelési szabályzat (P30S) kifejezetten kis- és középvállalkozások (kkv-k) számára készült, amelyek robusztus, ISO/IEC 27001:2022-kompatibilis protokollokat keresnek anélkül, hogy belső biztonsági műveleti központ (SOC) vagy teljes munkaidős információbiztonsági vezető (CISO) szükséges lenne. Ez a kkv-szabályzat kifejezetten az ügyvezetőhöz (GM) rendeli az incidensek felügyeletéért és a szabályozási értesítésekért viselt elszámoltathatóságot, világos struktúrát adva a korlátozott dedikált IT-erőforrásokkal rendelkező szervezetek számára. A dokumentum részletes követelményeket határoz meg, amelyek lehetővé teszik a kkv-k számára a károk minimalizálását, az érzékeny információk védelmét és a kritikus szabályozási kötelezettségek teljesítését, például a GDPR 72 órás bejelentési határidők betartását. A hatókör széles: kiterjed valamennyi munkatársra (munkavállalók és vállalkozók, külső IT-szolgáltatók), valamennyi technikai eszközre (weboldalak, felhőplatformok, e-mail-fiókok és mobileszközök), valamint az incidensek minden jelentős formájára (a jogosulatlan hozzáféréstől a kártékonykód-fertőzésen és adathalászati kísérleteken át a rendszerkiesésekig és az eszközök elvesztéséig/ellopásáig). A szabályzat részletes célokat rögzít: gyors felismerés, naplózás, eszkaláció, jogi értesítés, hatékony elszigetelés, adat-helyreállítás és gyökérok-alapú megelőzés. Emellett támogatja a kkv-kat az ISO/IEC 27001 auditok sikeres teljesítésében és az ügyfelek, valamint a felügyeleti szervek felé történő megfelelő elszámoltathatóság igazolásában. A szerepkörök és felelősségek a kkv-környezethez igazodva egyszerűsítettek: az ügyvezető viseli az átfogó felelősséget, belső vagy kiszervezett IT-üzemeltetés támogatásával. A munkatársak és vállalkozók utasítást kapnak, hogy bármely incidenst azonnal jelentsenek, és ne kíséreljenek meg jogosulatlan javításokat. A külső beszállítók kötelesek az ügyvezetőt értesíteni, és a szerződéses követelmények szerint támogatni az elszigetelési intézkedéseket, azonos eszkalációs határidők mellett, mint a belső incidensek esetén. A szabályzat strukturált incidensbejelentési eljárásokat ír elő, beleértve az egyértelmű kommunikációs csatornákat (dedikált incidens-e-mail vagy szóbeli bejelentés), a kötelező részleteket (észlelés ideje, jelleg, érintett rendszerek és megfigyelhető hatás), valamint az egy órán belüli kategorizálást. Az incidensnaplók – amelyeket az ügyvezető vezet – a nyilvántartásvezetés központi elemei az auditokhoz. A negyedéves felülvizsgálatok, a gyökérok-elemzések és az incidens utáni frissítések biztosítják a folyamatos eredményességet és az újonnan megjelenő fenyegetésekre való reagálóképességet. A dokumentum részletezi továbbá a tudatossági és képzési követelményeket valamennyi munkatárs számára, a beléptetési folyamatot, az ismétlő képzést és a kötelező incidensbejelentési elvárásokat. Az érvényesítés és megfelelés rendelkezései előírják, hogy minden érintett – beleértve a harmadik feleket is – maradéktalanul megfeleljen: a mulasztások vagy protokollsértések figyelmeztetést, hozzáférés visszavonását, szerződéses szankciókat vagy a beszállítói listákról való eltávolítást eredményezhetnek. Minden naplót és bizonyítékot legalább egy évig meg kell őrizni, és audit esetén rendelkezésre kell bocsátani. Az átfogó felülvizsgálati mechanizmusok biztosítják, hogy a szabályzat összhangban maradjon a fejlődő szabványokkal, a szabályozási változásokkal és az operatív módosulásokkal, így a kkv-k számára releváns és alkalmazható marad.