Kokius standartus apima ISVS paleidimo paketas – ENT?

Politikos suderintos su ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53, ES GDPR, ES NIS2, ES DORA ir COBIT 2019.

Ar šis rinkinys tinka organizacijoms, siekiančioms ISO 27001 sertifikavimo?

Taip. Paketas sukurtas taip, kad atitiktų ISO/IEC 27001:2022 reikalavimus, tiesiogiai susiejant su privalomomis nuostatomis, kontrolėmis ir audito poreikiais.

Kaip šios politikos apibrėžia trečiųjų šalių ir tiekėjų atsakomybes?

Kiekviena politika apibrėžia trečiųjų šalių įsipareigojimus, vykdymo užtikrinimo nuostatas, atsarginių kopijų tvarkymą ir eskalavimo procedūras dėl neatitikties.

Ar reikalingos periodinės peržiūros ir atnaujinimai?

Taip. Visos įtrauktos politikos reikalauja bent kasmetinės peržiūros ir peržiūros / atnaujinimo pasikeitus reglamentavimo ar aplinkos sąlygoms.

Kokios saugumo sritys apimamos pakete?

Išsamiai apimama valdysena, operacinė prieiga, pokyčių valdymas, rizika, nuolatinė atitikties stebėsena ir tęstinumas / atsarginės kopijos.

Mini rinkinys: ISVS paleidimo paketas

Apžvalga

ISVS paleidimo paketas – ENT pateikia pagrindines politikos priemones informacijos saugumo valdysenai, naudotojų prieigos valdymui, rizikai, pokyčių valdymui ir atsarginių kopijų darymui / atkūrimui, skirtas pasirengimui auditui ir atitikčiai reglamentavimo reikalavimams pagal ISO/IEC 27001:2022 ir pagrindinius pagrindus.

Išsamus saugumo pagrindas

Apima visas kritines sritis: valdyseną, prieigos kontrolę, pokyčių valdymą, rizikos valdymą ir atsargines kopijas, parengta ISO/IEC 27001:2022 sertifikavimui.

Suderinta su pirmaujančiais standartais

Politikos tiesiogiai susiejamos su ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, COBIT 2019 ir NIST SP 800-53, siekiant reglamentavimo ir klientų užtikrinimo.

Auditui parengta dokumentacija

Centralizuota, valdoma versijomis ir atsekama, kad auditai vyktų greitai ir atitiktis būtų nuosekli visuose pagrindiniuose pagrinduose.

Aiškūs vaidmenys ir atsakomybės

Apibrėžia atskaitomybę kiekviename lygyje: aukščiausioji vadovybė, IT, galutiniai naudotojai, auditas ir atitiktis bei trečiųjų šalių paslaugų teikėjai.

Parengta diegti

Struktūrizuoti, įgyvendinimui parengti šablonai greitam ISVS įgyvendinimui, pritaikyti įmonių aplinkoms.

Skaityti visą apžvalgą

Mini rinkinys: ISVS paleidimo paketas – ENT suteikia bazinį politikų rinkinį bet kuriai organizacijai, kuri kuria arba brandina savo informacijos saugumo valdymo sistemą (ISVS) pagal ISO/IEC 27001:2022 ir susijusį reglamentavimą. Šį rinkinį sudaro šešios esminės politikos: P01 Informacijos saugumo politika, Valdysenos vaidmenų ir atsakomybių politika, Prieigos kontrolės politika, P05 Pakeitimų valdymo politika, Rizikos valdymo politika ir Atsarginių kopijų ir atkūrimo politika; kiekviena jų tiesiogiai susieta su naujausiais tarptautiniais standartais, įskaitant ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53, COBIT 2019, ES GDPR, NIS2 direktyvą ir DORA. P01 Informacijos saugumo politika apibrėžia organizacijos bendrą strategiją, kaip valdyti visus informacijos konfidencialumo, vientisumo ir prieinamumo aspektus. Ji suteikia strateginę kryptį, išreiškia vadovybės įsipareigojimą saugumui, palaiko išmatuojamus tikslus, nustato saugumo valdysenos modelį ir veikia kaip autoritetingas atskaitos taškas visai pavaldžiai dokumentacijai. Taikymo sritis yra plati – apima visus žmones, technologijas, procesus ir visą informacijos gyvavimo ciklą. Griežti reikalavimai užtikrina, kad vaidmenys būtų aiškūs, būtų vykdomi nuolatiniai rizika pagrįsti veiksmai, būtų valdomi politikos atnaujinimai ir būtų išlaikomas audituojamumas. Valdysenos vaidmenų ir atsakomybių politika papildomai patikslina atskaitomybę ISVS, užtikrindama, kad kiekvienas dalyvis – nuo aukščiausiosios vadovybės ir ISVS vadovo iki trečiųjų šalių paslaugų teikėjų – suprastų savo funkciją ir tarpusavio priklausomybes bei eskalavimo kelius. Palaikant vaidmenų ir atsakomybių registrą ir užtikrinant pareigų atskyrimą, ši politika garantuoja, kad visos ISVS veiklos yra formaliai priskirtos, visiškai atsekamos ir periodiškai peržiūrimos audito tikslais. Aiškiai reikalaujama tarpdalykinės integracijos su IT, teise ir atitiktimi bei žmogiškaisiais ištekliais, o politika apibrėžia tiek vidines, tiek išorinių paslaugų valdysenos struktūras. Prieigos kontrolės politika pateikia privalomus principus naudotojų ir sistemų prieigai visose aplinkose, akcentuodama vaidmenimis grindžiamą prieigos kontrolę, prieigos gyvavimo ciklo valdymą, patvirtinimo darbo eigas, privilegijuotų paskyrų apsaugą ir naudotojo autentifikavimą, visa tai palaikoma ketvirtinėmis prieigos peržiūromis. Ši politika glaudžiai integruota su žmogiškųjų išteklių procesais ir tiekėjų įtraukimu / darbo santykių nutraukimo procesu, tvirtomis patvirtinimo grandinėmis ir, kur įmanoma, automatizuotomis kontrolėmis. Ji atitinka ne tik ISO/IEC 27001 ir NIST reikalavimus, bet ir išsamius teisinius įsipareigojimus pagal GDPR ir sektorinius pagrindus. Įdiegtas griežtas vykdymo užtikrinimas, auditui orientuotas įrašų tvarkymas ir pranešimų apie pažeidimus teikimo mechanizmas pažeidimams. Įmonės atsparumą užtikrina P05 Pakeitimų valdymo politika. Ji taiko disciplinuotas, rizika grindžiamas kontrolės priemones visiems technologijų ir procesų pakeitimams: standartiniams pakeitimams, įprastiems pakeitimams arba skubiems pakeitimams. Procesas reikalauja išsamios pakeitimo prašymo dokumentacijos, privalomos pakeitimų patariamosios tarybos peržiūros įprastiems ir dideliems pakeitimams, testavimo prieš įgyvendinimą, dokumentuotų grįžimo į ankstesnę būseną planų ir po įgyvendinimo peržiūros. Griežtos kontrolės priemonės užkerta kelią nesankcionuotiems / nesuplanuotiems pakeitimams, užtikrina versijų valdymą ir reikalauja, kad visi žingsniai – inicijavimas, patvirtinimas, vykdymas – būtų atskirti. Šis sisteminis požiūris mažina neplanuotų sutrikimų, nesankcionuotų modifikacijų ar atitikties pažeidimų riziką, kartu palaikydamas audito pėdsaką. Rizikos valdymas įgyvendinamas pasikartojančiu, metodišku procesu: rizikų identifikavimu, rizikos analize, rizikos tvarkymu ir rizikos stebėsena pagal ISO/IEC 27001 6.1 nuostatą, ISO/IEC 27005 ir ISO 31000. Visos rizikos valdymo veiklos dokumentuojamos centralizuotame rizikų registre ir susiejamos su taikomumo pareiškimu (SoA), kad būtų aiškus atsekamumas iki kontrolės priemonių ir tvarkymo veiksmų. Šis požiūris užtikrina, kad rizikos apetitas būtų nustatytas vykdomuoju lygmeniu ir kad visos reikšmingos rizikos būtų tinkamai eskaluojamos, tvarkomos arba priimamos su pilna dokumentacija ir periodine peržiūra. Politika taip pat nurodo integraciją su audito išvadomis, reagavimu į incidentus ir strateginiais organizacijos sprendimais. Galiausiai, Atsarginių kopijų ir atkūrimo politika užtikrina tęstinumą ir duomenų atsparumą, nustatydama grafiku pagrįstas šifruotas atsargines kopijas, atkūrimo testavimą, atsargą už organizacijos ribų / debesijoje ir saugų laikmenų tvarkymą pagal reglamentavimo ir verslo poveikio reikalavimus. Kiekvienai sistemai dokumentuojami atkūrimo laiko ir atkūrimo taško tikslai (RTO/RPO). Atkūrimo testavimas atliekamas reguliariai, atsarginių kopijų gedimai registruojami žurnaluose ir eskaluojami, o išimtys vertinamos pagal riziką ir griežtai kontroliuojamos. Politika taip pat taikoma trečiųjų šalių atsarginių kopijų teikėjams, reikalaujant sutartinių, techninių ir atitikties apsaugos priemonių. Reikalaujamas įrodymų saugojimas auditui ir tyrimui, o ryšys su reagavimo į incidentus planais aiškiai aprašytas. Kartu šios politikos sudaro išsamų, įmonėms parengtą „ISVS pradinį rinkinį“, tinkamą organizacijoms, siekiančioms sertifikavimo, atitikties reglamentavimo reikalavimams ir veiklos atsparumo. Kiekvienas dokumentas yra valdomas versijomis, peržiūrimas cikliškai ir apima vykdymo užtikrinimo bei eskalavimo nuostatas trečiųjų šalių ir vidinei neatitikčiai, kartu palaikant integruotą pasirengimą auditui per visą ISVS gyvavimo ciklą.

Turinys

Formali informacijos saugumo politika

Vaidmenų ir atsakomybių matrica valdysenai

Prieigos kontrolė ir tapatybės valdymas

Pokyčių valdymo procesas

Rizikos valdymo sistema

Atsarginių kopijų ir atkūrimo reikalavimai

Sistemos atitiktis

Sistema	Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022	5.1 5.2 5.3 5.15 5.17 6.1 6.1.3 8.1 8.32 10
ISO/IEC 27002:2022	Control 5.1 Control 5.2 Control 5.28 Control 8.13
NIST SP 800-53 Rev.5	PL-1 PL-2 PL-3 PL-4 PM-1 PM-2 PM-3 PM-4 PM-5 PM-6 PM-7 PM-8 PM-9 PM-10 PM-11 PM-12 PM-13 AC-1 AC-2 AC-3 AC-4 AC-5 AC-6 AC-7 AC-8 AC-9 AC-10 AC-11 AC-12 AC-13 AC-14 AC-15 AC-16 AC-17 AC-18 AC-19 AC-20 IA-1 IA-2 IA-3 IA-4 IA-5 IA-6 IA-7 IA-8 CM-2 CM-3 CM-4 CM-5 CM-6 CM-7 CM-8 CM-9 CM-10 CM-11 CM-12 CM-13 CM-14 CP-9 CP-10 SI-12 MP-6 AU-2 AU-6 AU-12 RA-3 RA-5
EU GDPR	Article 5(1)(f)Article 5(2)Article 24Article 25Article 32Recital 39Recital 49Recital 78
EU NIS2	Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(d)Article 21(2)(e)
EU DORA	Article 5 Article 5(2)Article 6 Article 8 Article 9(2)Article 10 Article 11 Article 12
COBIT 2019	EDM01 EDM02 APO01 APO07 APO12 BAI02 BAI03 BAI06 DSS01 DSS04 DSS05 MEA01 MEA03
ISO/IEC 27005:2024	Full risk lifecycle methodology
ISO 31000:2018	Risk management principles and framework
NIST SP 800-30 Rev.1
NIST SP 800-39

Sistema

Aptariamos sąlygos / Kontrolės

ISO/IEC 27001:2022

5.1 5.2 5.3 5.15 5.17 6.1 6.1.3 8.1 8.32 10

ISO/IEC 27002:2022

Control 5.1 Control 5.2 Control 5.28 Control 8.13

NIST SP 800-53 Rev.5

EU GDPR

Article 5(1)(f)Article 5(2)Article 24Article 25Article 32Recital 39Recital 49Recital 78

EU NIS2

Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(d)Article 21(2)(e)

EU DORA

Article 5 Article 5(2)Article 6 Article 8 Article 9(2)Article 10 Article 11 Article 12

COBIT 2019

EDM01 EDM02 APO01 APO07 APO12 BAI02 BAI03 BAI06 DSS01 DSS04 DSS05 MEA01 MEA03

ISO/IEC 27005:2024

Full risk lifecycle methodology

ISO 31000:2018

Risk management principles and framework

NIST SP 800-30 Rev.1

NIST SP 800-39

Susijusios politikos

Valdysenos vaidmenų ir atsakomybių politika

Ši politika apibrėžia valdymo modelį, organizacinius vaidmenis ir atsakomybes, reikalingas veiksmingai informacijos saugumo valdymo sistemai (ISVS) eksploatuoti.

Informacijos saugumo politika

Ši politika apibrėžia organizacijos bendrą įsipareigojimą informacijos saugumui, nustatant formalią informacijos saugumo valdymo sistemą (ISVS).

Prieigos kontrolės politika

Ši politika nustato privalomus principus, atsakomybes ir kontrolės reikalavimus prieigai prie informacinės sistemos, taikomosios programos, fizinės infrastruktūros ir duomenų turto valdyti visoje organizacijoje.

Pakeitimų valdymo politika

Ši politika nustato formalią sistemą pakeitimams organizacijos informacinei sistemai, IT infrastruktūrai, taikomajai programai ir susijusiems procesams inicijuoti, vertinti, tvirtinti, įgyvendinti ir peržiūrėti.

Rizikos valdymo politika

Ši politika nustato vieningą ir formalizuotą sistemą informacijos saugos rizikoms identifikuoti, analizuoti, įvertinti, tvarkyti, stebėti ir peržiūrėti visoje organizacijoje.

Atsarginių kopijų ir atkūrimo politika

Šios politikos tikslas – apibrėžti privalomus reikalavimus duomenų, sistemų ir taikomųjų programų atsarginių kopijų darymui ir atkūrimui, siekiant užtikrinti veiklos atsparumą, duomenų vientisumą ir veiklos tęstinumą.

Apie Clarysec politikas - Mini rinkinys: ISVS paleidimo paketas – ENT

Veiksminga saugumo valdysena reikalauja daugiau nei tik žodžių; ji reikalauja aiškumo, atskaitomybės ir struktūros, kuri auga kartu su organizacija. Bendriniai šablonai dažnai nepasiteisina, nes sukuria dviprasmybes dėl ilgų pastraipų ir neapibrėžtų vaidmenų. Ši politika sukurta kaip operacinis jūsų saugumo programos pagrindas. Mes priskiriame atsakomybes konkretiems vaidmenims, būdingiems šiuolaikinei įmonei, įskaitant vyriausiąjį informacijos saugumo pareigūną (CISO), IT ir informacijos saugumo komandas bei atitinkamus komitetus, užtikrindami aiškią atskaitomybę. Kiekvienas reikalavimas yra unikaliu numeriu pažymėta nuostata (pvz., 5.1.1, 5.1.2). Ši atomizuota struktūra leidžia politiką lengvai įgyvendinti, audituoti pagal konkrečias kontrolės priemones ir saugiai pritaikyti nepaveikiant dokumento vientisumo, paverčiant ją iš statinio dokumento į dinamišką, įgyvendinamą sistemą.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT saugumas atitiktis rizika vykdomoji vadovybė auditas valdysena

🏷️ Teminė aprėptis

P01 Informacijos saugumo politika organizaciniai vaidmenys ir atsakomybės Prieigos kontrolė Pokyčių valdymas Rizikos valdymas veiklos tęstinumo valdymas atitikties valdymas

Mini rinkinys: ISVS paleidimo paketas – ENT