Mini komplekts: ISMS uzsākšanas pakotne – ENT

Mini komplekts: ISMS uzsākšanas pakotne – ENT nodrošina pamatpolitiku kopumu jebkurai organizācijai, kas izveido vai pilnveido savu informācijas drošības pārvaldības sistēmu (ISMS) saskaņā ar ISO/IEC 27001:2022 un saistītajiem regulējumiem. Šajā komplektā ir sešas būtiskas politikas: informācijas drošības politika, lomu un atbildību reģistrs, piekļuves kontroles politika, P05 izmaiņu pārvaldības politika, risku pārvaldības politika un Backup and Restore Policy, un katra no tām ir tieši sasaistīta ar jaunākajiem starptautiskajiem standartiem, tostarp ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53, COBIT 2019, ES GDPR, NIS2 direktīvu un DORA. Informācijas drošības politika definē organizācijas vispārējo stratēģiju visu informācijas konfidencialitātes, integritātes un pieejamības aspektu pārvaldībai. Tā nodrošina stratēģisko virzienu, pauž vadības drošības apņemšanos, atbalsta izmērāmus mērķus, nosaka drošības pārvaldības modeli un kalpo kā autoritatīvs atskaites punkts visai pakārtotajai dokumentācijai. Tās darbības joma ir plaša, aptverot visus cilvēkus, tehnoloģijas, procesus un pilnu informācijas dzīves ciklu. Stingras prasības nodrošina, ka lomas ir skaidras, tiek īstenotas pastāvīgas uz risku balstītas darbības, tiek pārvaldīti politikas grozījumi un tiek uzturēta auditējamība. Governance Roles & Responsibilities Policy papildus precizē pārskatatbildību ISMS ietvaros, nodrošinot, ka katrs dalībnieks — no augstākās vadības un ISMS vadības komitejas līdz trešo pušu pakalpojumu sniedzējiem — saprot savu funkciju un savstarpējās atkarības un eskalācijas ceļus. Uzturot lomu un atbildību reģistru un īstenojot pienākumu nodalīšanu, šī politika garantē, ka visas ISMS darbības ir formāli piešķirtas, pilnībā izsekojamas un periodiski pārskatītas audita vajadzībām. Ir skaidri noteikta starpdisciplināra integrācija ar IT, juridiskajām lietām un atbilstību, atbilstību un cilvēkresursiem (HR), un politika apraksta gan iekšējās, gan ārpakalpojumu pārvaldības struktūras. Piekļuves kontroles politika nosaka obligātos principus lietotāju un sistēmu piekļuvei visās vidēs, izceļot lomu balstītu piekļuvi, piekļuves dzīves cikla pārvaldību, apstiprināšanas darbplūsmas, priviliģēto kontu aizsardzību un lietotāja autentifikāciju, ko atbalsta piekļuves tiesību periodiska pārskatīšana reizi ceturksnī. Šī politika ir cieši integrēta ar cilvēkresursiem (HR) un piegādātāju uzņemšanas/darbinieka atiešanas procesu, stingrām apstiprināšanas ķēdēm un automatizētām kontrolēm, kur vien iespējams. Tā atbilst ne tikai ISO/IEC 27001 un NIST prasībām, bet arī visaptverošiem juridiskajiem pienākumiem saskaņā ar GDPR un nozaru ietvariem. Ir iekļauta stingra izpilde, uz auditu orientēta ierakstu uzturēšana un trauksmes celšanas mehānisms pārkāpumu gadījumiem. Uzņēmuma noturību nodrošina P05 izmaiņu pārvaldības politika. Tā piemēro disciplinētas, uz risku balstītas kontroles visām tehnoloģiju un procesu izmaiņām: standarta, normāla izmaiņa vai ārkārtas izmaiņa. Process prasa detalizētu izmaiņu pieprasījuma dokumentēšanu, obligātu izmaiņu konsultatīvās padomes pārskatīšanu normālām un būtiskām izmaiņām, pirmsieviešanas testēšanu, dokumentētus izmaiņu atcelšanas plānus un pēcieviešanas pārskatīšanu. Stingras kontroles novērš nesankcionētas/neplānotas izmaiņas, nodrošina versiju kontroli un garantē, ka visi soļi — uzsākšana, apstiprināšana, izpilde — ir nodalīti. Šī sistemātiskā pieeja samazina neplānotu dīkstāvju, nesankcionētu modifikāciju vai atbilstības pārkāpumu risku, vienlaikus atbalstot audita pēdas. Risku pārvaldība tiek īstenota ar atkārtojamu, metodisku procesu: risku identificēšanu, riska analīzi, riska apstrādi un riska uzraudzību saskaņā ar ISO/IEC 27001 6. kontroli, ISO/IEC 27005 un ISO 31000. Visas risku pārvaldības darbības tiek dokumentētas centralizētā risku reģistrā un savstarpēji sasaistītas ar piemērojamības deklarāciju (SoA), lai nodrošinātu skaidru izsekojamību līdz kontrolēm un riska apstrādes darbībām. Šī pieeja nodrošina, ka riska apetīte tiek noteikta izpildu līmenī un ka visi būtiskie riski tiek atbilstoši eskalēti, apstrādāti vai pieņemti ar pilnu dokumentāciju un periodisku pārskatīšanu. Politika papildus nosaka integrāciju ar audita konstatējumiem, reaģēšanu uz incidentiem un stratēģiskiem organizācijas lēmumiem. Visbeidzot, Backup and Restore Policy garantē nepārtrauktību un datu noturību, nosakot grafikos balstītas šifrētas rezerves kopijas, atjaunošanas testēšanu, ārpus objekta/mākoņa redundanci un drošu datu nesēju apstrādi saskaņā ar regulatīvajām un biznesa ietekmes prasībām. Atjaunošanas laika un atjaunošanas punkta mērķi (RTO/RPO) tiek dokumentēti katrai sistēmai. Atjaunošanas testēšana tiek veikta regulāri, rezerves kopiju atteices tiek reģistrētas un eskalētas, un izņēmumi tiek novērtēti pēc riska un stingri kontrolēti. Politika attiecas arī uz trešo pušu rezerves kopiju pakalpojumu sniedzējiem, pieprasot līgumiskus, tehniskus un atbilstības drošības pasākumus. Ir noteikta pierādījumu glabāšana auditam un izmeklēšanai, un ir skaidri aprakstīta saikne ar plašākiem incidentu reaģēšanas plāniem. Kopumā šīs politikas veido visaptverošu, uzņēmuma mēroga “ISMS sākuma komplektu”, kas piemērots organizācijām, kuras tiecas pēc sertifikācijas, regulatīvās atbilstības un operatīvās noturības. Katrs dokuments ir ar versiju kontroli, pārskatīšanas ciklu un ietver izpildes un eskalācijas klauzulas trešo pušu un iekšējās neatbilstības gadījumiem, vienlaikus atbalstot integrētu audita gatavību visā ISMS dzīves ciklā.