Mini pakiet: Pakiet startowy SZBI – MŚP

Mini Bundle: ISMS Startup Pack - SME oferuje praktyczny, kompleksowy zestaw polityk cyberbezpieczeństwa opracowanych dla małych i średnich przedsiębiorstw dążących do zgodności z ISO/IEC 27001:2022. Ponieważ MŚP często nie mają dedykowanych wewnętrznych zespołów IT, bezpieczeństwa lub zgodności, każda polityka w tym pakiecie jednoznacznie przypisuje odpowiedzialność i rozliczalność do ról biznesowych, takich jak dyrektor generalny, kierownicy działów oraz — tam, gdzie występują — wyznaczony personel lub outsourcingowani dostawcy usług IT. Wszystkie polityki odwołują się do uproszczonego rozdzielenia obowiązków, wspierają delegowanie przez dyrektora generalnego, przy jednoczesnym zachowaniu audytowalności i nadzoru w każdym czasie, aby spełnić wymagania klauzuli 5.3 normy ISO/IEC 27001. W tym pakiecie startowym skoncentrowanym na MŚP znajdują się: Polityka bezpieczeństwa informacji, Polityka zarządzania rolami i odpowiedzialnościami, Polityka kontroli dostępu, Polityka zarządzania zmianami, Polityka zarządzania ryzykiem oraz Polityka kopii zapasowych i odtwarzania. Każdy dokument obejmuje kluczowe zabezpieczenia operacyjne i techniczne w całym cyklu życia informacji — od nadawania dostępu użytkownikom i oceny ryzyka po autoryzacje zmian i ciągłość działania. Typowe wymagania obejmują utrzymywanie centralnych rejestrów (dla dostępu i ryzyk), dokumentowanie wszystkich zmian i delegowań, zapewnienie okresowych przeglądów polityk oraz egzekwowanie zgodności z jasnymi konsekwencjami za naruszenia lub zaniechania. Na szczególną uwagę zasługuje spójne podejście w całym zestawie: każda polityka wymaga obowiązkowego okresowego przeglądu (corocznie lub po istotnych zmianach), udokumentowanego zatwierdzania wyjątków lub incydentów przez dyrektora generalnego oraz łatwej stosowalności zarówno do personelu wewnętrznego, jak i dostawców usług stron trzecich, co czyni je egzekwowalnymi niezależnie od wielkości firmy. Działania takie jak systemy kopii zapasowych, monitorowanie ryzyka, przestrzeganie polityki oraz zarządzanie dostępem użytkowników są opisane w sposób zgodny z ograniczonymi zasobami wewnętrznymi. Przykładowo, reżimy kopii zapasowych i testy odtwarzania są nadzorowane przez jedną osobę rozliczalną (dyrektor generalny lub osoba wyznaczona), a identyfikacja ryzyka może być realizowana przy użyciu prostych list kontrolnych zamiast zaawansowanych narzędzi. Wszystkie polityki w tym pakiecie są mapowane do głównych globalnych ram i regulacji, w tym ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, UE NIS2, UE DORA, COBIT 2019 oraz UE GDPR. Mapowanie obejmuje klauzule takie jak 5.1–5.3, 6.1, 8.1 dla ISO/IEC 27001, odpowiednie środki kontrolne dla ISO/IEC 27002 (np. środki kontrolne 5.2, 5.15, 8.13) oraz konkretne artykuły w ramach GDPR i DORA. Te mapowania, w połączeniu z zabezpieczeniami w prostym języku i procesami specyficznymi dla ról, zapewniają, że zgodność MŚP jest nie tylko osiągalna, ale także możliwa do wykazania wobec klientów, audytorów i organów regulacyjnych. Polityki są wzajemnie powiązane; każda zawiera odnośniki do dokumentów powiązanych w ramach pakietu, wspierając spójne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w mniejszych organizacjach.