Mini rinkinys: ISVS pradžios paketas – SVV

„Mini rinkinys: ISVS pradžios paketas – SVV“ siūlo praktišką, nuo pradžios iki pabaigos kibernetinio saugumo politikų rinkinį, sukurtą mažoms ir vidutinėms įmonėms, siekiančioms ISO/IEC 27001:2022 suderinimo. Atsižvelgiant į tai, kad SVV dažnai neturi vidinių IT, saugumo ar atitikties komandų, kiekviena šio rinkinio politika aiškiai priskiria atsakomybę ir atskaitomybę verslo vaidmenims, tokiems kaip generalinis direktorius, padalinių vadovai ir, jei taikoma, paskirtas personalas arba išorinės paslaugos. Visose politikose nurodomas supaprastintas pareigų atskyrimas; generalinio direktoriaus delegavimas yra palaikomas, tačiau audituojamumas ir priežiūra visada išlaikomi, kad būtų laikomasi ISO/IEC 27001 5.3 punkto. Į šį SVV orientuotą pradžios paketą įtrauktos: P01 Informacijos saugumo politika, valdysenos vaidmenų ir atsakomybių politika, prieigos kontrolės politika, P05 pakeitimų valdymo politika, rizikos valdymo politika ir atsarginių kopijų ir atkūrimo politika. Kiekvienas dokumentas apima esmines operacines ir technologines kontrolės priemones per visą informacijos gyvavimo ciklą – nuo prieigos suteikimo ir rizikos vertinimo iki pakeitimų patvirtinimų ir veiklos tęstinumo. Dažni reikalavimai apima centrinių registrų palaikymą (prieigai ir rizikoms), visų pakeitimų ir delegavimų dokumentavimą, periodines politikų peržiūras ir politikos laikymosi užtikrinimą su aiškiomis pasekmėmis už pažeidimus ar praleidimus. Ypač svarbus nuoseklus požiūris: kiekviena politika numato privalomą periodinę peržiūrą (kasmet arba po reikšmingų pakeitimų), dokumentuotą išimčių ar incidentų patvirtinimą generalinio direktoriaus ir paprastą taikymą tiek vidiniam personalui, tiek trečiųjų šalių paslaugų teikėjams, todėl jos įgyvendinamos nepriklausomai nuo įmonės dydžio. Tokios veiklos kaip sistemų atsarginės kopijos, rizikos stebėsena, politikos laikymasis ir naudotojų prieigos valdymas aprašomos taip, kad būtų suderinamos su ribotais vidiniais pajėgumais. Pavyzdžiui, atsarginių kopijų režimai ir atkūrimo testavimas valdomi vieno atskaitingo asmens (generalinio direktoriaus arba paskirto asmens), o rizikų identifikavimas gali būti atliekamas naudojant paprastus kontrolinius sąrašus, o ne pažangius įrankius. Visos šio rinkinio politikos susietos su pagrindinėmis pasaulinėmis sistemomis ir reglamentais, įskaitant ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, ES NIS2, ES DORA, COBIT 2019 ir ES BDAR. Susiejimas apima ISO/IEC 27001 punktus, pvz., 5.1–5.3, 6.1, 8.1, atitinkamas ISO/IEC 27002 kontrolės priemones (pvz., 5.2, 5.15, 8.13) ir konkrečius BDAR bei DORA straipsnius. Šie susiejimai, kartu su aiškia kalba aprašytomis kontrolės priemonėmis ir vaidmenims pritaikytais procesais, užtikrina, kad SVV atitiktis būtų ne tik pasiekiama, bet ir įrodoma klientams, auditoriams ir reguliuotojams. Visos politikos yra tarpusavyje susietos; kiekviena nurodo susijusius dokumentus rinkinyje, kad būtų užtikrintas nuoseklus ISVS įgyvendinimas mažesnėse organizacijose.