Mini csomag: IBIR indítócsomag – ENT

A Mini csomag: IBIR indítócsomag – ENT olyan alapozó szabályzatcsomagot biztosít, amely bármely szervezet számára alkalmas az információbiztonsági irányítási rendszer (ISMS) létrehozásához vagy érettségének növeléséhez az ISO/IEC 27001:2022 és a kapcsolódó szabályozások szerint. A csomag hat alapvető szabályzatot tartalmaz: P01 Információbiztonsági szabályzat, Szerepek és felelősségek nyilvántartása, hozzáférés-vezérlési szabályzat, P05 Változáskezelési szabályzat, kockázatkezelési keretrendszer, valamint biztonsági mentési és helyreállítási követelmények; mindegyik közvetlenül megfeleltetve a legfrissebb nemzetközi szabványoknak, beleértve az ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53, COBIT 2019, EU GDPR, NIS2 irányelv és DORA követelményeit. A P01 Információbiztonsági szabályzat meghatározza a szervezet átfogó stratégiáját az információk bizalmasságának, sértetlenségének és rendelkezésre állásának kezelésére. Stratégiai iránymutatást ad, kifejezi a vezetés biztonsági elkötelezettségét, támogatja a mérhető célkitűzéseket, rögzíti a biztonsági irányítási modellt, és hiteles hivatkozási pontként szolgál minden alárendelt dokumentáció számára. Hatóköre széles: lefedi az összes személyt, technológiát, folyamatot és a teljes információ-életciklust. Szigorú követelmények biztosítják, hogy a szerepkörök egyértelműek legyenek, a folyamatos kockázatalapú intézkedések kikényszeríthetők legyenek, a szabályzatmódosítások kezeltek legyenek, és az auditálhatóság fennmaradjon. A Szerepkörök meghatározása és dokumentálása szabályzat tovább pontosítja az elszámoltathatóságot az ISMS-en belül, biztosítva, hogy minden résztvevő – a felső vezetéstől és az IBIR-vezetőtől a harmadik fél szolgáltatókig – értse a feladatát és az eszkalációs útvonalakat. A szerepek és felelősségek nyilvántartása fenntartásával és a feladatkörök szétválasztásának érvényesítésével a szabályzat garantálja, hogy minden ISMS-tevékenység formálisan hozzárendelt, teljes mértékben nyomon követhető, és auditcélból időszakosan felülvizsgált. Az IT, jogi és megfelelőségi, valamint emberi erőforrások területekkel való funkciók közötti koordináció kifejezetten előírt, és a szabályzat rögzíti a belső és a kiszervezett irányítási struktúrákat is. A hozzáférés-vezérlési szabályzat kötelező elveket biztosít a felhasználói és rendszerszintű hozzáféréshez minden környezetben, kiemelve a szerepköralapú hozzáférés-vezérlés, a hozzáférési életciklus-kezelés, a jóváhagyási munkafolyamatok, a kiemelt jogosultságú fiókok védelme és a hitelesítés területeit, mindezt negyedéves hozzáférés-felülvizsgálatok támogatásával. A szabályzat szorosan integrált a humánerőforrás-folyamatokkal és a beszállítói beléptetés/kiléptetés folyamataival, robusztus jóváhagyási láncokkal és ahol lehetséges, automatizált kontrollokkal. Nemcsak az ISO/IEC 27001 és NIST követelményeinek felel meg, hanem a GDPR és ágazati keretrendszerek szerinti átfogó jogi kötelezettségeknek is. Beépített a szigorú érvényesítés és megfelelés, az audit-orientált nyilvántartásvezetés, valamint a visszaélés-bejelentési mechanizmus a szabálysértésekhez. A vállalati ellenállóképességet a P05 Változáskezelési szabályzat biztosítja. Fegyelmezett, kockázatalapú kontrollokat alkalmaz minden technológiai és folyamati változtatásra: standard változás, normál változás vagy sürgősségi változtatás. A folyamat részletes dokumentációt ír elő a változtatási kérelem esetén, kötelező Változáskezelési Bizottság általi felülvizsgálatot a normál változás és a jelentős változtatások esetén, bevezetés előtti tesztelést, dokumentált visszaállítási tervet, valamint bevezetés utáni felülvizsgálatot. A szigorú kontrollok megakadályozzák a jogosulatlan vagy nem ütemezett változtatásokat, kikényszerítik a verziókezelő rendszerek használatát, és biztosítják, hogy minden lépés – kezdeményezés, jóváhagyás, végrehajtás – a feladatkörök szétválasztása szerint történjen. Ez a szisztematikus megközelítés csökkenti a nem tervezett kiesések, jogosulatlan módosítások vagy megfelelési sérülések kockázatát, miközben támogatja az ellenőrzési nyomvonal fenntartását. A kockázatkezelés egy ismételhető, módszeres folyamattal kerül operacionalizálásra a kockázatazonosítás, kockázatelemzés, kockázatkezelés és kockázatok nyomon követése területén, összhangban az ISO/IEC 27001 6.1 záradékával, az ISO/IEC 27005 és az ISO 31000 iránymutatásaival. Minden kockázatkezelési tevékenység dokumentált egy központosított kockázati nyilvántartásban, és kereszthivatkozott az Alkalmazhatósági nyilatkozat (SoA) dokumentummal a kontrollokhoz és kockázatkezelési tevékenységekhez való egyértelmű nyomon követhetőség érdekében. Ez a megközelítés biztosítja, hogy a kockázatvállalási hajlandóság felső vezetési szinten meghatározott legyen, és hogy minden jelentős kockázat megfelelően eszkalált, kezelt vagy kockázatelfogadás keretében, teljes dokumentációval és időszakos felülvizsgálattal kerüljön rendezésre. A szabályzat továbbá előírja az integrációt az auditmegállapításokkal, az incidensreagálás folyamataival és a stratégiai szervezeti döntésekkel. Végül a biztonsági mentési és helyreállítási követelmények biztosítják a folytonosságot és az adatok ellenállóképességét, előírva az ütemezett, titkosított biztonsági mentéseket, a helyreállítási tesztelést, a telephelyen kívüli/felhőredundanciát és a biztonságos adathordozó-kezelést, összhangban a szabályozási és üzleti hatásvizsgálatok követelményeivel. A helyreállítási idő- és helyreállítási pont célértékek (RTO/RPO) rendszerenként dokumentáltak. A helyreállítási tesztelés rendszeres, a mentési hibák naplózottak és eszkaláltak, a kivételek pedig kockázatértékelés alá esnek és szigorúan kontrolláltak. A szabályzat kiterjed a harmadik fél biztonsági mentési szolgáltatókra is, szerződéses, technikai és megfelelési védelmi intézkedéseket előírva. Audit és vizsgálat céljára bizonyítékmegőrzés szükséges, és a kapcsolódás a szélesebb incidenskezelési tervekhez kifejezetten rögzített. Ezek a szabályzatok együttesen átfogó, vállalati környezetre kész „IBIR indítókészletet” alkotnak, amely alkalmas tanúsításra törekvő szervezetek, jogszabályi megfelelés és operatív ellenállóképesség támogatására. Minden dokumentum verziókezelt, felülvizsgálati ciklushoz kötött, és érvényesítési és eszkalációs záradékokat tartalmaz harmadik fél és belső meg nem felelés esetére, miközben az ISMS életciklusa során végig támogatja az integrált auditfelkészültséget.