Kas turėtų naudoti šį politikų rinkinį?

Mažos ir vidutinės įmonės, siekiančios pasiekti arba išlaikyti atitiktį ISO/IEC 27001:2022, BDAR, NIS2, DORA ir susijusioms sistemoms. Idealu įmonėms be dedikuotų CISO ar vidinių IT saugumo padalinių.

Kaip šis paketas padeda pasirengti auditui?

Kiekviena politika įpareigoja dokumentavimą, versijų valdymą, reguliarias peržiūras ir audito pėdsako saugojimą. Išimtys ir rizikos tvarkymas formaliai registruojami išoriniams arba sertifikavimo auditams.

Kuo šis SVĮ politikų rinkinys yra išskirtinis?

Visos politikos pritaikytos SVĮ vaidmenims, atskaitomybę priskiriant generaliniams direktoriams ir komandų vadovams, nereikalaujant specializuoto saugumo personalo. Jose naudojami kontroliniai sąrašai ir supaprastinta kalba, išlaikant pilną atitiktį pagrindiniams standartams.

Ar įtrauktos debesijos, nuotolinio darbo ir BYOD nuostatos?

Taip. Rinkinys apima debesijos naudojimą, nuotolinį / hibridinį darbą ir nuosavų įrenginių naudojimo (BYOD) / mobiliųjų įrenginių politikas su įgyvendinamais prieigos ir saugumo reikalavimais.

Ar tai galima integruoti su išoriniais tiekėjais?

Taip, tiekėjų ir išorinio kūrimo politikos reikalauja, kad visi tiekėjai pasirašytų ir laikytųsi saugumo nuostatų, įskaitant pranešimą apie pažeidimus ir sutartines teises atlikti auditą.

Pilnas SVĮ paketas (P01S–P37S)

Apžvalga

Pilnas SVĮ paketas (P01S–P37S) suteikia pilną, auditui parengtą kibernetinio saugumo ir IT valdysenos politikų rinkinį, apimantį visus SVĮ informacijos saugumo reikalavimus. Kiekviena politika pritaikyta mažų įmonių vadovams (generaliniams direktoriams), aiškiai sukurta organizacijoms be dedikuotų saugumo komandų ir visiškai suderinta su ISO/IEC 27001:2022, BDAR, NIS2, DORA ir kt.

Visapusiška SVĮ atitiktis

Apima 37 politikas, užtikrinant pilną suderinamumą su ISO/IEC 27001, BDAR, NIS2, DORA ir COBIT SVĮ, neturinčioms didelių IT komandų.

Auditui parengtos kontrolės priemonės

Visose politikose pateikti audito dokumentacijos reikalavimai, versijų valdymas, peržiūros paleidikliai ir koreguojamųjų veiksmų procesai.

Praktiška SVĮ valdysena

Vaidmenys susieti su generaliniu direktoriumi ir komandų vadovais; nereikalingi CISO/SOC. Skirta savininko valdomoms įmonėms.

Įgyvendinamos aiškios gairės

Nuoseklios taisyklės, kontroliniai sąrašai ir išimčių tvarkymas, kad kibernetinio saugumo praktikos būtų patogios naudotojams ir įgyvendinamos.

Parengta ISO 27001 sertifikavimui

Tiesioginis susiejimas su visomis ISO/IEC 27001:2022 ir 27002:2022 nuostatomis, užtikrinant pasitikėjimą auditu ir sertifikavimu.

Skaityti visą apžvalgą

Šis Pilnas SVĮ paketas (P01S–P37S) siūlo išsamų kibernetinio saugumo ir IT valdysenos politikų rinkinį, sukurtą mažoms ir vidutinėms įmonėms (SVĮ). Jis pilnai atitinka griežtus ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, ES BDAR, ES NIS2, ES DORA, COBIT 2019 ir kitų pagrindinių sistemų reikalavimus, kartu išlikdamas praktiškas ir supaprastintas organizacijoms be dedikuotų vidinių IT ar saugumo operacijų (pvz., CISO ar SOC). Šis politikų rinkinys išsiskiria kaip geriausiai tinkantis SVĮ dėl pritaikytos vaidmenų struktūros: dauguma pagrindinių atsakomybių priskiriamos generaliniam direktoriui arba lygiaverčiam verslo savininkui, įskaitant patvirtinimą, delegavimą, politikų peržiūrą ir išimčių valdymą. Kai reikalingos techninės užduotys, aiškios instrukcijos leidžia jas perduoti patikimiems IT paslaugų teikėjams arba priskirti įvardytiems vidiniams darbuotojams ar padalinių vadovams. Kiekviena politika užtikrina atskaitomybę per formalius patvirtinimo žurnalus, versijų valdymą, dokumentuotas išimtis ir reguliarių peržiūrų reikalavimus, todėl sistema yra tvirta vidaus ir išoriniams auditams. Viduje naudotojai ras politikas, apimančias kiekvieną kritinę šiuolaikinio SVĮ informacijos saugumo sritį. Tai apima: aiškius ISMS scope aprašus, išsamias testavimo ir prieigos taisykles (nereikalaujant pentest metodikų, viršijančių nurodytas politikas), aiškų atsakomybių priskyrimą ir delegavimą (su stebėsenos ir eskalavimo paleidikliais), auditus palaikančias priemones (žurnalai, pakeitimų istorijos, mokymų įrašai), duomenų tvarkymo procedūras, apimančias BDAR atitinkančias privatumo ir saugojimo taisykles, techninius standartus debesijai, nuosavų įrenginių naudojimui (BYOD), nuotoliniam / hibridiniam darbui, taip pat fiziniam ir skaitmeniniam reagavimui į incidentus, įskaitant teisinį duomenų išsaugojimą ir trinimo sustabdymą, kriminalistiką ir pagrindinės priežasties analizę. Struktūra yra sisteminė: kiekviena politika apibrėžia savo paskirtį, taikymo sritį, tikslus, vaidmenis, valdysenos reikalavimus, įgyvendinimo žingsnius, rizikos tvarkymą ir išimčių tvarkymą, vykdymo užtikrinimą ir atitiktį bei atnaujinimo protokolus. Be to, kiekvienos politikos sąsajos su kitais dokumentais (pvz., Prieigos kontrolės politika, reagavimo į incidentus politika, Duomenų apsaugos politika) sudaro integruotą, sluoksniuotą gynybos ir valdysenos modelį. Pažymėtina, kad peržiūros ir atnaujinimo skyriai įpareigoja metines politikų peržiūras, versijavimą ir komunikaciją visam susijusiam personalui ir trečiosioms šalims, užtikrinant aktualų pasirengimą, kai keičiasi reglamentavimas ar verslo praktikos. Šis produktas aiškiai identifikuojamas kaip SVĮ politikų rinkinys (SVĮ žymuo „S“ dokumentų numeriuose ir generalinio direktoriaus vadovaujamų procesų paminėjimas). Jo praktiškas, įgyvendinamas požiūris, kartu su griežtu suderinamumu su reglamentavimo ir sertifikavimo reikalavimais, daro jį tinkamą savininko valdomoms įmonėms, sparčiai augančioms įmonėms ir ribotų išteklių organizacijoms, kurioms reikia pasiekti arba išlaikyti aukštus atitikties ir veiklos atsparumo standartus, neturint specializuotų saugumo vaidmenų personalo sudėtyje.

Turinys

Taikymo sritis ir įsitraukimo taisyklės

Vaidmenų ir atsakomybių matrica

Prieigos ir pakeitimų kontrolės procedūros

Duomenų apsaugos ir privatumo taisyklės

Reagavimas į incidentus ir įrodymų tvarkymas

Audito, teisinės ir reglamentavimo atitikties procesai

Sistemos atitiktis

Sistema	Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022	5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32
NIST SP 800-53 Rev.5	PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6
EU GDPR	Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34
EU NIS2 Directive	Article 20Article 21(2)(a–i)Article 23
EU DORA	Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28
COBIT 2019	APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Sistema

Aptariamos sąlygos / Kontrolės

ISO/IEC 27001:2022

5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32

NIST SP 800-53 Rev.5

PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6

EU GDPR

Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34

EU NIS2 Directive

Article 20Article 21(2)(a–i)Article 23

EU DORA

Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28

COBIT 2019

APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Susijusios politikos

Valdysenos vaidmenų ir atsakomybių politika – SVĮ

Ši politika apibrėžia, kaip organizacijoje priskiriamos, deleguojamos ir valdomos informacijos saugumo valdysenos atsakomybės, siekiant užtikrinti pilną atitiktį ISO/IEC 27001:2022 ir kitiems reglamentavimo įpareigojimams.

Švaraus stalo ir švaraus ekrano politika – SVĮ

Ši politika nustato įgyvendinamas gaires, kaip palaikyti saugią darbo aplinką, užtikrinant, kad stalai, darbo vietos ir ekranai būtų be matomos konfidencialios informacijos, kai jie paliekami be priežiūros.

Galinių įrenginių apsaugos ir apsaugos nuo kenkėjiškos programinės įrangos politika – SVĮ

Ši politika apibrėžia minimalius techninius, procedūrinius ir elgsenos reikalavimus, skirtus apsaugoti visus galinių įrenginių įrenginius – tokius kaip nešiojamieji kompiuteriai, staliniai kompiuteriai, mobilieji įrenginiai ir nešiojamosios laikmenos – nuo piktavališko kodo.

Informacijos saugos politika – SVĮ

Ši politika parodo organizacijos įsipareigojimą saugoti klientų ir verslo informaciją, aiškiai apibrėžiant atsakomybes ir praktines saugumo priemones, tinkamas organizacijoms be dedikuotų IT komandų.

Priimtino naudojimo politika – SVĮ

Ši politika apibrėžia priimtiną, atsakingą ir saugų įmonės suteiktų sistemų, įrenginių, interneto prieigos, el. pašto, debesijos paslaugų ir bet kokių asmeniškai priklausančių įrenginių, naudojamų verslui, naudojimą.

Prieigos kontrolės politika – SVĮ

Ši politika apibrėžia, kaip organizacija valdo prieigą prie sistemų, duomenų ir patalpų, kad tik įgalioti asmenys galėtų pasiekti informaciją pagal verslo poreikį.

Pakeitimų valdymo politika – SVĮ

Ši politika užtikrina, kad visi IT sistemų, konfigūracijų, verslo taikomųjų programų ar debesijos paslaugų pakeitimai būtų suplanuoti, įvertinti rizikos požiūriu, ištestuoti ir patvirtinti prieš įgyvendinimą.

Rizikos valdymo politika – SVĮ

Ši politika apibrėžia, kaip organizacija identifikuoja, vertina ir valdo rizikas, susijusias su informacijos saugumu, operacijomis, technologijomis ir trečiųjų šalių paslaugomis.

Įdarbinimo ir atleidimo iš darbo politika – SVĮ

Ši politika apibrėžia naujų darbuotojų ar rangovų įvedimo procesą ir saugų prieigos pašalinimą, kai asmenys išeina arba keičia vaidmenis.

Informacijos saugos sąmoningumo ir mokymų politika – SVĮ

Ši politika užtikrina, kad visi darbuotojai ir rangovai suprastų savo atsakomybes, susijusias su informacijos saugumu.

Nuotolinio darbo politika – SVĮ

Ši politika nustato saugumo reikalavimus darbuotojams ir rangovams, dirbantiems nuotoliniu būdu, įskaitant darbą iš namų, bendras darbo erdves ar kelionių metu.

Naudotojų paskyrų ir privilegijų valdymo politika – SVĮ

Ši politika nustato taisykles, kaip valdyti naudotojų paskyras ir prieigos teises saugiai, nuosekliai ir atsekamai.

Turto valdymo politika – SVĮ

Ši politika apibrėžia, kaip organizacija identifikuoja, seka, saugo ir išima iš eksploatacijos savo informacinį turtą, įskaitant fizinius ir skaitmeninius komponentus.

Duomenų klasifikavimo ir ženklinimo politika – SVĮ

Ši politika apibrėžia, kaip visa organizacijos tvarkoma informacija turi būti klasifikuojama ir ženklinama, kad būtų užtikrintas konfidencialumas, vientisumas, prieinamumas per visą jos gyvavimo ciklą.

Duomenų saugojimo ir šalinimo politika – SVĮ

Šios politikos paskirtis – apibrėžti įgyvendinamas taisykles informacijos saugojimui ir saugiam šalinimui SVĮ aplinkoje.

Atsarginių kopijų ir atkūrimo politika – SVĮ

Ši politika apibrėžia, kaip organizacija vykdo ir valdo atsargines kopijas, siekdama užtikrinti veiklos tęstinumą, apsaugoti nuo duomenų praradimo ir sudaryti sąlygas laiku atkūrimui po incidentų.

Duomenų maskavimo ir pseudonimizavimo politika – SVĮ

Ši politika apibrėžia įgyvendinamus reikalavimus duomenų maskavimo ir pseudonimizavimo naudojimui, siekiant apsaugoti jautrius, asmens ir konfidencialius duomenis mažose ir vidutinėse įmonėse (SVĮ).

Duomenų apsaugos ir privatumo politika – SVĮ

Ši politika apibrėžia, kaip organizacija saugo asmens duomenis pagal teisinius įsipareigojimus, reglamentavimo sistemas ir tarptautinius saugumo standartus.

Kriptografinių kontrolės priemonių politika – SVĮ

Ši politika apibrėžia privalomus reikalavimus šifravimui ir kriptografinių kontrolės priemonių naudojimui, siekiant apsaugoti verslo ir asmens duomenų konfidencialumą, vientisumą ir autentiškumą.

Pažeidžiamumų ir pataisų valdymo politika – SVĮ

Ši politika apibrėžia, kaip organizacija identifikuoja, vertina ir mažina pažeidžiamumus sistemose, taikomosiose programose ir infrastruktūroje.

Tinklo saugumo politika – SVĮ

Šios politikos paskirtis – užtikrinti, kad visi vidiniai ir išoriniai tinklo ryšiai būtų apsaugoti nuo nesankcionuotos prieigos, klastojimo, pasiklausymo ar netinkamo naudojimo, taikant aiškiai apibrėžtas saugumo kontrolės priemones.

Žurnalinimo ir stebėsenos politika – SVĮ

Ši politika nustato privalomas registravimo audito žurnale ir stebėsenos kontrolės priemones, siekiant užtikrinti organizacijos IT sistemų saugumą, atskaitomybę ir veiklos vientisumą.

Laiko sinchronizavimo politika – SVĮ

Ši politika nustato privalomas kontrolės priemones tiksliam, sinchronizuotam laikui palaikyti visose sistemose, kurios saugo, perduoda ar apdoroja organizacijos duomenis.

Saugaus kūrimo politika – SVĮ

Ši politika užtikrina, kad visa programinė įranga, skriptai ir žiniatinklio įrankiai, kuriuos organizacija ar jos išoriniai partneriai kuria arba keičia, būtų kuriami saugiai, mažinant pažeidžiamumų riziką.

Taikomųjų programų saugumo reikalavimų politika – SVĮ

Ši politika apibrėžia minimalius privalomus taikomųjų programų saugumo kontrolės reikalavimus visiems programinės įrangos ir sistemų sprendimams, kuriuos naudoja organizacija, nepriklausomai nuo to, ar jie kuriami viduje, ar įsigyjami iš išorinių tiekėjų.

Trečiųjų šalių ir tiekėjų saugumo politika – SVĮ

Ši politika nustato privalomus saugumo reikalavimus įtraukiant, valdant ir nutraukiant santykius su trečiosiomis šalimis ir tiekėjais, kurie turi prieigą prie organizacijos duomenų, sistemų ar paslaugų arba daro joms įtaką.

Debesijos naudojimo politika – SVĮ

Ši politika apibrėžia, kaip organizacijoje gali būti saugiai naudojamos debesijos paslaugos. Ji užtikrina, kad debesijoje apdorojami ar saugomi duomenys būtų apsaugoti, prieiga būtų kontroliuojama, o rizikos būtų valdomos atsakingai.

Išorinio kūrimo politika – SVĮ

Ši politika užtikrina, kad visas išorinis programinės įrangos kūrimas – nesvarbu, ar jį vykdo laisvai samdomi specialistai, agentūros ar trečiųjų šalių paslaugų teikėjai – būtų vykdomas saugiai, sutartiškai kontroliuojamas ir suderintas su taikomais teisiniais, reglamentavimo ir audito reikalavimais.

Testavimo duomenų ir testavimo aplinkos politika – SVĮ

Ši politika apibrėžia, kaip turi būti valdomi testavimo duomenys ir testavimo aplinkos, siekiant išvengti atsitiktinio atskleidimo, duomenų saugumo pažeidimų ar veiklos sutrikimų testavimo veiklų metu.

Reagavimo į incidentus politika – SVĮ

Ši politika apibrėžia, kaip organizacija aptinka, praneša ir reaguoja į informacijos saugumo incidentus, darančius poveikį jos skaitmeninėms sistemoms, duomenims ar paslaugoms.

Įrodymų rinkimo ir kriminalistikos politika – SVĮ

Ši politika apibrėžia, kaip organizacija tvarko skaitmeninius įrodymus, susijusius su saugumo incidentais, duomenų saugumo pažeidimais ar vidiniais tyrimais.

Veiklos tęstinumo ir atkūrimo po katastrofos politika – SVĮ

Ši politika užtikrina, kad organizacija galėtų palaikyti verslo operacijas ir atkurti esmines IT paslaugas sutrikimų metu ir po jų.

Audito ir atitikties stebėsenos politika – SVĮ

Ši politika nustato organizacijos požiūrį į vidaus audito atlikimą, saugumo kontrolės patikras ir reglamentavimo atitikties stebėseną.

Mobiliųjų įrenginių ir nuosavų įrenginių naudojimo (BYOD) politika – SVĮ

Ši politika apibrėžia privalomus saugumo reikalavimus naudojant mobiliuosius įrenginius – įskaitant išmaniuosius telefonus, planšetes ir nešiojamuosius kompiuterius – kai pasiekiama įmonės informacija, sistemos ar paslaugos.

IoT/OT saugumo politika – SVĮ

Ši politika apibrėžia privalomas taisykles saugiam daiktų interneto (IoT) ir operacinių technologijų (OT) įrenginių naudojimui ir valdymui organizacijoje.

Socialinių tinklų ir išorinės komunikacijos politika – SVĮ

Ši politika nustato privalomas gaires visai viešajai komunikacijai – įskaitant socialinių tinklų naudojimą, bendravimą su žiniasklaida ir išorinį skaitmeninį turinį – kai minima įmonė, jos personalas, klientai, sistemos ar vidinės praktikos.

Teisinės ir reglamentavimo atitikties politika – SVĮ

Ši politika apibrėžia organizacijos požiūrį į teisinių, reglamentavimo ir sutartinių įsipareigojimų identifikavimą, laikymąsi ir laikymosi įrodymą.

Apie Clarysec politikas - Pilnas SVĮ paketas (P01S–P37S)

Bendrosios saugumo politikos dažnai kuriamos didelėms korporacijoms, todėl mažoms įmonėms sunku taikyti sudėtingas taisykles ir neapibrėžtus vaidmenis. Ši politika yra kitokia. Mūsų SVĮ politikos sukurtos nuo pagrindų praktiniam įgyvendinimui organizacijose be dedikuotų saugumo komandų. Mes priskiriame atsakomybes vaidmenims, kuriuos jūs iš tikrųjų turite, pavyzdžiui, generaliniam direktoriui ir jūsų IT paslaugų teikėjui, o ne specialistų armijai, kurios neturite. Kiekvienas reikalavimas suskaidytas į unikaliai sunumeruotą punktą (pvz., 5.2.1, 5.2.2). Tai paverčia politiką aiškiu, nuosekliu kontroliniu sąrašu, kurį lengva įgyvendinti, audituoti ir pritaikyti neperrašant ištisų skyrių.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT Saugumas Atitiktis Rizika Privatumas Teisė Auditas Vadovybė Pirkimai

🏷️ Teminė aprėptis

Informacijos saugos politika Organizaciniai vaidmenys ir atsakomybės Rizikos valdymas Prieigos kontrolė Incidentų valdymas Saugus kūrimas Duomenų privatumas Veiklos tęstinumo valdymas Trečiųjų šalių rizikos valdymas Atitikties valdymas Saugumo operacijos Teisinė atitiktis Saugumo sąmoningumas Stebėsena ir registravimas audito žurnale