Mini csomag: IBIR indítócsomag – KKV

A Mini Bundle: ISMS Startup Pack - SME egy gyakorlati, végponttól végpontig terjedő kiberbiztonsági szabályzatcsomagot kínál, amelyet kifejezetten az ISO/IEC 27001:2022-vel való összehangolást kereső kis- és középvállalkozások számára készítettek. Felismerve, hogy a KKV-k gyakran nem rendelkeznek dedikált belső IT-, biztonsági vagy megfelelőségi csapatokkal, a csomag minden szabályzata kifejezetten üzleti szerepkörökhöz rendeli a felelősséget és az elszámoltathatóságot, például a vezető ügyvezetőhöz, az osztályvezetőkhöz, valamint – ahol releváns – a kijelölt munkatársakhoz vagy a kiszervezett IT-szolgáltatókhoz. Minden szabályzat hivatkozik a feladatkörök szétválasztásának egyszerűsített megközelítésére; a vezető ügyvezető általi felelősségi körök átruházása támogatott, ugyanakkor az auditálhatóság és a felügyelet mindenkor biztosított az ISO/IEC 27001 5.3 záradékának való megfelelés érdekében. A KKV-kre fókuszáló indítócsomag tartalma: P01 Információbiztonsági szabályzat, Governance Roles & Responsibilities Policy, hozzáférés-vezérlési szabályzat, P05 Változáskezelési szabályzat, kockázatkezelési szabályzat, valamint Backup and Restore Policy. Minden dokumentum lefedi az információ-életcikluson átívelő alapvető operatív és technikai kontrollokat, a hozzáférés-kiosztástól és kockázatértékeléstől a változások jóváhagyásán és üzletmenet-folytonosságon át. A közös követelmények közé tartozik a központi nyilvántartások fenntartása (hozzáférésekhez és kockázatokhoz), minden változás és felelősségi körök átruházásának dokumentálása, az időszakos szabályzat-felülvizsgálatok biztosítása, valamint a szabályzatok betartása egyértelmű következményekkel a szabálysértések vagy mulasztások esetén. Kiemelendő a következetes megközelítés: minden szabályzat kötelező időszakos felülvizsgálatot ír elő (évente vagy jelentős változások után), a kivételek vagy információbiztonsági incidens(ek) dokumentált jóváhagyását a vezető ügyvezető részéről, és egyszerű alkalmazhatóságot biztosít mind a belső munkatársak, mind a harmadik fél szolgáltatók számára, így a szabályzatok a vállalat méretétől függetlenül kikényszeríthetők. Az olyan tevékenységek, mint a biztonsági mentések, kockázatok nyomon követése, szabályzatok betartása és felhasználói hozzáférés-kezelés, korlátozott belső kapacitással is kompatibilis módon kerülnek előírásra. Például a biztonsági mentési rend és a visszaállítási tesztelés egyetlen elszámoltatható személy (vezető ügyvezető vagy kijelölt személy) irányítása alatt áll, a kockázatazonosítás pedig egyszerű ellenőrzőlistákkal is elvégezhető fejlett eszközök helyett. A csomag minden szabályzata leképezésre kerül a főbb globális keretrendszerekre és szabályozásokra, beleértve az ISO/IEC 27001:2022-t, az ISO/IEC 27002:2022-t, a NIST SP 800-53 Rev.5-öt, az EU NIS2-t, az EU DORA-t, a COBIT 2019-et és az EU GDPR-t. A leképezés tartalmazza többek között az ISO/IEC 27001 5.1–5.3, 6.1, 8.1 záradékait, az ISO/IEC 27002 releváns kontrolljait (pl. 5.2, 5.15, 8.13 kontroll), valamint a GDPR és a DORA konkrét cikkeire való hivatkozásokat. Ezek a leképezések, a közérthető kontrollok és a szerepkör-specifikus folyamatok együtt biztosítják, hogy a KKV-megfelelés ne csak elérhető legyen, hanem ügyfelek, auditorok és szabályozó hatóságok számára is igazolható. A szabályzatok egymásra hivatkoznak, és mindegyik kapcsolódó dokumentumokra mutat a csomagon belül, támogatva a kisebb szervezetek összehangolt IBIR-bevezetését.