Politica de răspuns la incidente - IMM

Politica de răspuns la incidente (P30S) este concepută special pentru întreprinderi mici și mijlocii (IMM-uri) care urmăresc protocoale robuste, conforme cu ISO/IEC 27001:2022, fără a necesita un centru de operațiuni de securitate intern sau un ofițer-șef pentru securitatea informațiilor (CISO) cu normă întreagă. Această politică pentru IMM-uri atribuie în mod explicit responsabilitatea pentru supravegherea incidentelor și notificările de reglementare Directorului general (DG), oferind o structură clară adecvată organizațiilor cu resurse IT dedicate limitate. Documentul detaliază cerințe care permit IMM-urilor să minimizeze daunele, să protejeze informațiile sensibile și să îndeplinească obligații de reglementare critice, cum ar fi regula de notificare în 72 de ore a încălcării securității datelor din GDPR. Domeniul de aplicare este larg și acoperă întregul personal (angajați și contractori, furnizori terți de servicii IT), toate activele tehnice (site-uri web, platforme cloud, conturi de e-mail și dispozitive mobile) și fiecare formă semnificativă de incident (de la acces neautorizat la infecție cu malware, atacuri de tip phishing, întreruperi de sistem și pierderea/furtul dispozitivelor). Politica stabilește obiective detaliate: recunoaștere rapidă, jurnalizare, escaladare, notificare legală, conținere eficace, recuperarea datelor și prevenire bazată pe cauza rădăcină. De asemenea, sprijină IMM-urile în trecerea auditurilor ISO/IEC 27001 și în demonstrarea responsabilității adecvate față de clienți și autorități de reglementare. Rolurile și responsabilitățile specifice sunt simplificate pentru a se adapta contextului IMM: DG păstrează responsabilitatea generală, sprijinit fie de administrare IT internă, fie externalizată. Personalul și contractanții sunt instruiți să raporteze orice incident imediat, fără a încerca remedieri neautorizate. Furnizorii externi au obligația de a notifica DG și de a sprijini acțiunile de conținere conform obligațiilor de conformitate contractuale, fiind supuși acelorași termene de escaladare ca incidentele interne. Politica stabilește proceduri structurate de raportare, inclusiv canale de comunicare clare (e-mail dedicat pentru incidente sau raport verbal), detalii obligatorii (ora descoperirii, natura, sistemele afectate și impactul observabil) și clasificare în termen de o oră. Jurnalele de incidente, menținute de DG, sunt esențiale pentru păstrarea evidențelor pentru audituri. Revizuiri trimestriale, analize ale cauzei rădăcină și actualizări post-incident asigură atât eficacitatea continuă, cât și reacția la amenințările emergente. Documentul detaliază, de asemenea, cerințele de instruire și conștientizare pentru întregul personal, înrolare, sesiuni de instruire de reîmprospătare și așteptări obligatorii de raportare. Prevederile de aplicare impun ca toate entitățile, inclusiv terții, să respecte integral: eșecurile sau încălcările de protocol pot duce la avertismente, revocarea accesului, penalități contractuale sau eliminarea din listele de furnizori. Toate dovezile și jurnalele trebuie păstrate cel puțin un an și furnizate pentru audituri, după cum este necesar. Mecanismele cuprinzătoare de revizuire asigură că politica rămâne aliniată la standardele în evoluție, schimbările de reglementare și schimbările operaționale, rămânând receptivă și relevantă pentru IMM-uri.