Kam šis komplekts ir paredzēts?

Šis komplekts ir paredzēts MVU, kuriem nepieciešamas stabilas, bet vienkāršotas datu aizsardzības un privātuma politikas, kas saskaņotas ar ISO/IEC 27001:2022, GDPR, NIS2 un citiem vadošajiem standartiem.

Vai šīs politikas ir piemērojamas, ja mums nav specializētas IT/drošības komandas?

Jā, visas politikas ir pielāgotas MVU organizācijām bez specializētām IT vai drošības pārvaldības lomām, ļaujot ģenerāldirektoram uzņemties primāro uzraudzību.

Kādas datu dzīves cikla jomas šis komplekts aptver?

Politikas aptver visu informācijas dzīves ciklu, tostarp datu klasifikāciju, marķēšanu, uzglabāšanu, drošu likvidēšanu, maskēšanu, datu privātumu, piegādātāju drošību un atbilstības auditus.

Vai komplekts nodrošina prasības piegādātāju pārvaldībai?

Jā, Trešo pušu un piegādātāju drošības politika nosaka pienācīgu pārbaudi, līguma klauzulas, piekļuves kontroli, uzraudzību, izņēmumu pārvaldību un drošu darbinieka aiziešanas procesu visiem piegādātājiem.

Mini komplekts: Datu aizsardzība un privātums

Pārskats

Šis uz MVU vērstais komplekts nodrošina sešas savstarpēji saistītas politikas, kas aptver datu klasifikāciju, uzglabāšanu, maskēšanu, datu privātumu, trešo pušu drošību un nepārtrauktu atbilstības uzraudzību, saskaņotas ar ISO/IEC 27001:2022 un GDPR, ar lomām, kas pielāgotas organizācijām bez specializēta IT/drošības personāla.

Integrēta datu aizsardzība

Vienotas politikas datu klasifikācijai, uzglabāšanai, datu privātumam un piegādātāju drošībai nodrošina stabilu MVU datu aizsardzību.

27001:2022 MVU atbilstība

Pielāgots MVU ar vienkāršotām lomām; šīs politikas ir saskaņotas ar ISO/IEC 27001:2022 un GDPR prasībām.

Pilna cikla datu dzīves cikla kontroles

Kontroles aptver datu klasifikāciju, marķēšanu, uzglabāšanu, anonimizāciju un auditu visos formātos un sistēmās.

Nodrošināta trešo pušu drošība

Piegādātāju pārvaldības prasības aizsargā jūsu datus no ārējā riska un nodrošina atbilstību līgumsaistībām.

Gatavs auditam un apliecinājumam

Ietver atkārtojamus kontrolsarakstus un audita prasības operatīvai kontrolei un ārējām sertifikācijām.

Lasīt pilnu pārskatu

“Mini komplekts: Datu aizsardzība un privātums – MVU” ir visaptverošs sešu cieši integrētu politiku kopums, kas izstrādāts mazajiem un vidējiem uzņēmumiem, lai izpildītu kritiskās datu aizsardzības, privātuma un atbilstības prasības. Visas šī komplekta politikas ir tieši pielāgotas MVU (kā norādīts politiku numerācijā ar “S” un ģenerāldirektora izmantošanā kā galvenajā pārskatatbildības lomā), ņemot vērā ierobežotus personāla resursus vai lielu, specializētu IT, drošības vai atbilstības struktūrvienību neesamību. Neraugoties uz šiem strukturālajiem ierobežojumiem, politikas ir rūpīgi izstrādātas, lai atbilstu ISO/IEC 27001:2022, ISO/IEC 27002:2022, ES GDPR, ES NIS2 direktīvas, ES DORA regulas, NIST SP 800-53 Rev.5 un COBIT 2019 stingrajām prasībām. Šis komplekts nodrošina pilna cikla pārklājumu visam datu dzīves ciklam. Datu klasifikācijas un marķēšanas politika (P13S) izveido MVU piemērotu, izpildāmu trīs līmeņu klasifikācijas modeli, tostarp marķēšanas prasības un tehnoloģiskos kontrolpasākumus. Tā nosaka skaidras lomas ģenerāldirektoram, datu pārvaldniekiem, IT atbalstam (iekšējam/ārpakalpojumam) un visiem darbiniekiem/līgumslēdzējiem, uzsverot praktisku redzamību (galvenes, ūdenszīmes, tagi) un atbilstības pienākumus. Cieši saistīta, Datu uzglabāšanas un likvidēšanas politika (P14S) nosaka juridiski un biznesa vajadzībās balstītus uzglabāšanas termiņus ar centralizēti pārvaldītu uzglabāšanas reģistru, skaidri definētas drošas likvidēšanas metodes (smalcināšana, digitālā dzēšana, kriptogrāfiska dzēšana) un stingru izņēmumu un tiesiskās saglabāšanas dokumentēšanu, atkal nodrošinot politikas uzraudzību, kas ir īstenojama arī mazās organizācijās. Datu minimizēšanai un apstrādei ārpus ražošanas vides Datu maskēšanas un pseidonimizācijas politika (P16S) nosaka, ka reāli personas dati vai sensitīvi dati nekad netiek izmantoti, ja tas nav stingri nepieciešams, piemēram, testēšanā vai analītiskā izmantošanā, ieviešot transformācijas kontroles (maskēšana, tokenizācija, pseidonimizācija). Visiem transformācijas procesiem jābūt auditējamiem, izmantojot tikai IT apstiprinātus rīkus ar žurnāliem un atslēgu pārvaldību, nodrošinot izsekojamību līdz atsevišķām datu kopām un notikumiem. Komplekta pamatā Datu aizsardzības un privātuma politika (P17S) ietver visus juridiskos pienākumus attiecībā uz personas datiem, aptverot personāla, klientu un trešo pušu ierakstus. Tā nodrošina privātumu pēc noklusējuma un integrētu drošību, likumīgu vākšanu un minimizēšanu, drošu uzglabāšanu, skaidru piekļuves tiesību pārskatīšanu un datu subjekta tiesību apstrādi. Atbildības ir skaidri sadalītas starp ģenerāldirektoru (kā DPO/privātuma pārskatatbildīgo), privātuma koordinatoru (iekšēju/ārpakalpojumu), IT pakalpojumu sniedzēju un visu operatīvo personālu. Ir integrēta apmācība, piekrišana, eskalācija un paziņošanas termiņi par pārkāpumiem, kā arī saskaņošanas pārbaudes ar saistītajām klasifikācijas, uzglabāšanas, maskēšanas un incidentu apstrādes politikām. Ārējo risku pārvaldībai Trešo pušu un piegādātāju drošības politika (P26S) nosaka obligātas prasības piegādātāju pienācīgai pārbaudei, riska analīzei, piekļuves ierobežošanai, līguma klauzulām (tostarp pakalpojumu līmeņa vienošanās (SLA) par pārkāpumiem un audita tiesībām) un pastāvīgai uzraudzībai. Tā aptver tipiskos MVU trešo pušu scenārijus (IT, SaaS, biznesa operācijas u. c.), nosakot piegādātāju pienākumu pieņemt līguma noteikumus, regulāras pārskatīšanas un drošu darbinieka aiziešanas procesu vai datu iznīcināšanu pēc izbeigšanas. Visbeidzot, Audita un atbilstības uzraudzības politika (P33S) vienkāršo iekšējā audita, drošības kontroles pārbaudes un normatīvo prasību pārskatīšanas procesu. Izstrādāta izmantošanai bez specializētiem auditoriem, tā pilnvaro ģenerāldirektoru un IT pakalpojumu sniedzēju izmantot kontrolsarakstus un uzturēt pierādījumu žurnālus, lai nodrošinātu operatīvu gatavību ISO/IEC 27001 sertifikācijai vai klientu/piegādātāju pienācīgai pārbaudei. Audita pēdas, koriģējošās darbības dokumentācija un atbilstības pierādījumi ir jācentralizē un jābūt pieejamiem vismaz divus gadus, atbalstot aizstāvamu pārvaldību arī MVU ar minimālu atbilstības personālu. Kopumā šis mini komplekts operacionalizē vadošos standartus un privātuma tiesību aktus praktiski īstenojamās, biznesam piemērotās kontrolēs, nodrošinot stabilu, auditam gatavu datu aizsardzības un privātuma režīmu, ko MVU ir viegli ieviest un uzturēt.

Saturs

Datu klasifikācijas un marķēšanas prasības

Uzglabāšanas un drošas likvidēšanas noteikumi

Datu maskēšana un pseidonimizācija

Visaptveroša datu aizsardzība un privātums

Piegādātāju drošība un līguma klauzulas

Iekšējais audits un nepārtraukta atbilstības uzraudzība

Atbilstība ietvaram

Ietvars	Aplūkotās klauzulas / Kontroles
ISO/IEC 27001:2022	5.1 5.3 6.1.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12
NIST SP 800-53 Rev.5	AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12
EU GDPR	Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34
EU NIS2	Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)
EU DORA	Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)
COBIT 2019	APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Ietvars

Aplūkotās klauzulas / Kontroles

ISO/IEC 27001:2022

5.1 5.3 6.1.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12

NIST SP 800-53 Rev.5

AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12

EU GDPR

Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34

EU NIS2

Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)

EU DORA

Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)

COBIT 2019

APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Saistītās politikas

Datu klasifikācijas un marķēšanas politika – MVU

Šī politika nosaka, kā visa organizācijas apstrādātā informācija ir jāklasificē un jāmarķē, lai tās konfidencialitāte, integritāte un pieejamība tiktu uzturēta visā tās dzīves ciklā.

Datu uzglabāšanas un likvidēšanas politika – MVU

Šīs politikas mērķis ir definēt izpildāmus noteikumus informācijas uzglabāšanai un drošai likvidēšanai MVU vidē.

Datu maskēšanas un pseidonimizācijas politika – MVU

Šī politika nosaka izpildāmas prasības datu maskēšanas un pseidonimizācijas izmantošanai, lai aizsargātu sensitīvus, personas un konfidenciālus datus mazajos un vidējos uzņēmumos (MVU).

Datu aizsardzības un privātuma politika – MVU

Šī politika nosaka, kā organizācija aizsargā personas datus saskaņā ar juridiskajiem pienākumiem, regulatīvajiem ietvariem un starptautiskajiem drošības standartiem.

Trešo pušu un piegādātāju drošības politika – MVU

Šī politika nosaka obligātās drošības prasības trešo pušu un piegādātāju iesaistei, pārvaldībai un attiecību izbeigšanai, ja tie piekļūst vai ietekmē organizācijas datus, sistēmas vai pakalpojumus.

Audita un atbilstības uzraudzības politika – MVU

Šī politika nosaka organizācijas pieeju iekšējā audita veikšanai, drošības kontroles pārbaudēm un regulatīvās atbilstības uzraudzībai.

Par Clarysec politikām - Mini komplekts: Datu aizsardzība un privātums – MVU

Vispārīgas drošības politikas bieži tiek veidotas lielām korporācijām, atstājot mazos uzņēmumus cīņā ar sarežģītiem noteikumiem un nedefinētām lomām. Šī politika ir citāda. Mūsu MVU politikas ir izstrādātas no pamatiem praktiskai ieviešanai organizācijās bez specializētām drošības komandām. Mēs piešķiram atbildības lomām, kas jums patiešām ir, piemēram, ģenerāldirektoram un jūsu IT pakalpojumu sniedzējam, nevis speciālistu komandai, kuras jums nav. Katra prasība ir sadalīta unikāli numurētā klauzulā (piem., 5.2.1, 5.2.2). Tas pārvērš politiku skaidrā, soli pa solim kontrolsarakstā, padarot to viegli ieviešamu, auditējamu un pielāgojamu, nepārrakstot veselas sadaļas.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

IT Drošība Atbilstība Datu privātums Juridiskās lietas un atbilstība Iepirkums

🏷️ Tematiskais pārklājums

Datu klasifikācija Datu apstrāde Datu privātums Datu subjekta tiesības Trešo pušu risku pārvaldība Piegādātāju pārvaldība Politiku un procedūru dzīvescikla pārvaldība Atbilstības pārvaldība Regulatīvā atbilstība

Mini komplekts: Datu aizsardzība un privātums – MVU