Mini komplekts: ISMS uzsākšanas pakotne – MVU

Mini komplekts: ISMS uzsākšanas pakotne – MVU piedāvā praktisku, pilna cikla kiberdrošības politiku kopumu, kas mērķtiecīgi izstrādāts mazajiem un vidējiem uzņēmumiem, kuri vēlas ISO/IEC 27001:2022 saskaņojumu. Ņemot vērā, ka MVU bieži nav specializētu iekšējo IT, drošības vai atbilstības komandu, katra politika šajā komplektā skaidri piešķir atbildību un pārskatatbildību biznesa lomām, piemēram, ģenerāldirektoram, struktūrvienību vadītājiem un, ja tādi ir, norīkotam personālam vai ārpakalpojuma IT pakalpojumu sniedzējiem. Visās politikās ir atsauce uz vienkāršotu pienākumu nodalīšanu; ģenerāldirektora deleģēšana ir atbalstīta, taču auditējamība un uzraudzība tiek saglabāta vienmēr, lai atbilstu ISO/IEC 27001 5.3. klauzulai. Šajā MVU startera pakotnē ir iekļautas: P01 Informācijas drošības politika, Pārvaldības lomu un pienākumu politika, Piekļuves kontroles politika, P05 Izmaiņu pārvaldības politika, Risku pārvaldības politika un Rezerves kopēšanas un atjaunošanas politika. Katrs dokuments aptver būtiskus operatīvos un tehnoloģiskos kontrolpasākumus visā informācijas dzīves ciklā — no piekļuves tiesību piešķiršanas un riska novērtēšanas līdz izmaiņu apstiprināšanai un biznesa nepārtrauktībai. Kopīgās prasības ietver centrālo reģistru uzturēšanu (piekļuvei un riskiem), visu izmaiņu un deleģējumu dokumentēšanu, periodisku politiku pārskatīšanu un atbilstības nodrošināšanu ar skaidrām sekām pārkāpumu vai neizpildes gadījumā. Īpaši jāizceļ konsekventā pieeja visā komplektā: katra politika nosaka obligātu periodisku pārskatīšanu (reizi gadā vai pēc būtiskām izmaiņām), dokumentētu izņēmumu vai incidentu apstiprināšanu no ģenerāldirektora puses, kā arī vienkāršu piemērojamību gan iekšējam personālam, gan trešo pušu pakalpojumu sniedzējiem, padarot tās izpildāmas neatkarīgi no uzņēmuma lieluma. Tādas darbības kā sistēmu rezerves kopijas, riska uzraudzība, politikas ievērošana un lietotāju piekļuves pārvaldība ir noteiktas veidā, kas ir saderīgs ar ierobežotu iekšējo kapacitāti. Piemēram, rezerves kopēšanas režīmi un atjaunošanas testēšana tiek pārvaldīta ar vienu atbildīgo personu (ģenerāldirektors vai norīkotā persona), un risku identificēšana var tikt veikta, izmantojot vienkāršus kontrolsarakstus, nevis sarežģītus rīkus. Visas politikas šajā komplektā ir kartētas pret galvenajiem globālajiem ietvariem un regulējumiem, tostarp ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, ES NIS2, ES DORA, COBIT 2019 un ES GDPR. Kartēšana ietver tādas klauzulas kā 5.1–5.3, 6.1, 8.1 ISO/IEC 27001 ietvarā, attiecīgās ISO/IEC 27002 kontroles (piem., kontroles 5.2, 5.15, 8.13) un konkrētus GDPR un DORA pantus. Šīs kartēšanas, kopā ar vienkāršā valodā formulētiem kontrolpasākumiem un lomaspecifiskiem procesiem, nodrošina, ka MVU atbilstība ir ne tikai sasniedzama, bet arī pierādāma klientiem, auditoriem un regulatoriem. Politikas ir savstarpēji sasaistītas; katra norāda uz saistītajiem dokumentiem komplekta ietvarā, nodrošinot vienotu ISMS ieviešanu mazākām organizācijām.