Prehľad
Tento komplexný súbor obsahuje 37 podnikových politík informačnej bezpečnosti, ochrany údajov a riadenia rizík zosúladených s ISO/IEC 27001:2022, globálnymi predpismi a odvetvovými osvedčenými postupmi. Pokrýva vedenie, IT, právne oblasti, prevádzku, audit, dodávateľov, cloud, reakciu na incidenty, kontinuitu podnikania/obnovu po havárii a ďalšie. Je navrhnutý na dosiahnutie súladu v plnom rozsahu, pripravenosť na audit a podporu neustáleho zlepšovania.
Komplexný rámec súladu
Pokrýva každú doložku ISO 27001:2022, globálne predpisy a všetky kritické oblasti IT, bezpečnosti a podnikania.
Pripravené na audit a certifikáciu
Auditovateľné opatrenia a mapované požiadavky pre ISO, NIS2, DORA, GDPR a ďalšie.
Medziútvarové pokrytie
Zahŕňa politiky pre prevádzku IT, IT a bezpečnostné tímy, riadenie rizík, audit a súlad, právne záležitosti a súlad s predpismi, ľudské zdroje (HR), prevádzku a riadenie dodávateľov.
Správa politík a životný cyklus
Definuje roly, zodpovednosti, verzovanie a procesy neustáleho zlepšovania.
Vynucovanie a štandardy výnimiek
Štruktúrovaná eskalácia, disciplinárne opatrenia a pracovné postupy výnimiek založené na riziku naprieč všetkými oblasťami.
Čítať celý prehľad
Obsah
Kompletné pokrytie ISMS: P1–P37
Právne/regulačné opatrenia a opatrenia ochrany údajov
Politiky pre aktíva, cloud, dodávateľov a vývoj
Audit a nepretržité monitorovanie súladu (ISMS, GDPR, NIS2, DORA)
Reakcia na incidenty, forenzné činnosti, BCP/DR
Bezpečnosť mobilných zariadení, práce na diaľku, sociálnych médií a OT/IoT
Súlad s rámcom
🛡️ Podporované štandardy a rámce
Tento produkt je v súlade s nasledujúcimi rámcami dodržiavania predpisov s podrobnými mapovaniami doložiek a kontrol.
| Rámec | Pokryté doložky / Kontroly |
|---|---|
| ISO/IEC 27001:2022 | |
| ISO/IEC 27002:2022 | |
| NIST SP 800-53 Rev.5 |
AC-1AC-2AC-4AC-5AC-6AC-8AC-17AC-19AU-2AU-6AU-8AU-9AU-12BAI03BAI05BAI07CA-2CA-3CA-5CA-7CM-2CM-6CP-1CP-2CP-9CP-10DSS01DSS02DSS04DSS05DSS06IA-1IA-2IA-4IA-5IR-1IR-4IR-5IR-6IR-9MEAO1MEA03MP-5MP-6PL-1PL-2PL-4PL-8PM-1PM-5PM-11PM-13PM-21PM-23PS-4PS-5PS-7PT-2PT-3RA-3RA-5R-1SA-3SA-4SA-9SA-9(5)SA-10SA-11SA-15SC-7SC-12SC-12(3)SC-13SC-17SC-28SC-28(1)SC-32SC-45SI-2SI-3SI-4SI-10SR-3SR-5
|
| EU GDPR |
Article 5Article 6Article 17Article 24Article 25Article 28Article 30Article 32Article 33Article 34Article 39Recital 39Recital 49Recital 78
|
| EU NIS2 | |
| EU DORA | |
| COBIT 2019 | |
| ISO 31000:2018 |
Leadership commitmentRisk management principlesContinuous improvement
|
| ISO/IEC 27005:2024 |
Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
|
| ISO 22301:2019 |
Business Continuity Management SystemBusiness Impact AnalysisRequirements
|
Súvisiace zásady
Politika synchronizácie času
Zabezpečuje presné meranie času, koreláciu logov a vysledovateľnosť udalostí naprieč všetkými prostrediami.
Politika bezpečného vývoja
Definuje procesy bezpečného SDLC, praktiky kódovania a povinnosti preskúmania kódu pre vývoj softvéru a systémov.
Politika rolí a zodpovedností správy a riadenia
Definuje štruktúru správy a hierarchiu právomocí, na ktoré sa odkazuje v tomto dokumente.
Politika čistého stola a čistej obrazovky
Zavádza opatrenia na ochranu citlivých informácií vyžadovaním bezpečného nakladania s dokumentmi a pracovnými stanicami.
Politika ochrany koncových bodov a škodlivého kódu
Vyžaduje technické antimalvérové opatrenia a hardening zariadení pre koncové body a mobilné zariadenia.
Politika monitorovania auditu a súladu
Podrobne uvádza požiadavky na audit, harmonogramy, sledovanie CAPA a uchovávanie dôkazov pre interný aj externý súlad.
P01 Politika informačnej bezpečnosti
Zriaďuje celkový bezpečnostný program a uvádza zodpovednosti vedenia za schválenie politiky a strategický dohľad.
Politika prijateľného používania
Vynucuje súlad správania a prípustné používanie podnikových aktív.
Politika riadenia prístupu
Operacionalizuje opatrenia súvisiace s prístupom odvodené z tejto nadradenej politiky.
P05 Politika riadenia zmien
Zabezpečuje, že zmeny štruktúr správy, rolí alebo zodpovedností podliehajú zdokumentovanému schváleniu a hodnoteniu rizík súvisiacich so zmenami.
Politika riadenia rizík
Poskytuje kontext rozhodovania založeného na riziku pre výber kontrol a akceptáciu reziduálneho rizika.
Politika nástupu a ukončenia
Vynucuje procesy priradenia kontrol a rušenia prístupov počas zmien v životnom cykle personálu.
Politika povedomia a školenia o informačnej bezpečnosti
Zabezpečuje, že personál si je vedomý bezpečnostných zodpovedností a absolvuje školenia potrebné na ochranu informačných aktív.
Politika práce na diaľku
Rozširuje ustanovenia politiky prijateľného používania na vzdialené a hybridné prostredia práce.
Politika správy používateľských účtov a oprávnení
Riadi technologické opatrenia pre zriaďovanie prístupu a odoberanie prístupových práv na podporu riadenia používateľských účtov.
Politika správy aktív
Podporuje sledovanie a bezpečné nakladanie so zariadeniami a médiami a prepája klasifikáciu aktív s opatreniami.
Politika klasifikácie a označovania údajov
Zriaďuje povinné pravidlá klasifikácie pre aktíva, ktoré určujú označovanie, nakladanie s údajmi a postupy likvidácie.
Politika uchovávania údajov a likvidácie
Definuje požiadavky na uchovávanie a bezpečnú likvidáciu záznamov a zabezpečuje súlad so zákonnými a podnikateľskými potrebami.
Politika zálohovania a obnovy
Zriaďuje požiadavky na zálohovacie systémy a obnovu po havárii na podporu prevádzkovej odolnosti a integrity údajov.
Politika maskovania údajov a pseudonymizácie
Zabezpečuje rozhodnutia o maskovaní a pseudonymizácii pre súlad v oblasti ochrany údajov a znižovanie rizika.
Politika ochrany údajov a ochrany súkromia
Poskytuje základné požiadavky ochrany údajov a ochrany súkromia a integruje ochranu údajov už od návrhu naprieč prevádzkou.
Politika kryptografických opatrení
Uvádza požiadavky na šifrovanie, správu kľúčov a kryptografiu pre všetky podnikové systémy a stavy údajov.
Politika riadenia zraniteľností a záplat
Definuje požiadavky na záplatovanie, nápravné SLA a riadenie zraniteľností pre technickú odolnosť.
Politika bezpečnosti sietí
Zriaďuje požiadavky na ochranu interných a externých sietí a zabezpečenie bezpečnej komunikácie.
Politika zaznamenávania a monitorovania
Špecifikuje generovanie logov, monitorovanie a centralizované upozorňovanie pre všetky systémy v rozsahu ISMS.
Politika požiadaviek na bezpečnosť aplikácií
Ukladá povinné technické požiadavky na bezpečnosť aplikačnej vrstvy, autentifikáciu a bezpečnú integráciu.
Bezpečnostná politika pre dodávateľov
Definuje požiadavky informačnej bezpečnosti na zriaďovanie, riadenie a udržiavanie bezpečných vzťahov s dodávateľmi tretích strán a poskytovateľmi služieb tretích strán.
Politika používania cloudu
Zriaďuje požiadavky na bezpečné, súladné a zodpovedné používanie služieb a platforiem cloudových výpočtových služieb.
Politika outsourcovaného vývoja
Ukladá povinné praktiky SDLC, zmluvné doložky a povinnosti bezpečnosti kódu pre všetok vývoj softvéru/systémov externými dodávateľmi.
Politika testovacích údajov a testovacieho prostredia
Definuje požiadavky na riadenie testovacích prostredí a testovacích údajov na zabezpečenie bezpečnosti, dôvernosti a prevádzkovej integrity.
Politika reakcie na incidenty (P30)
Zriaďuje štruktúru a procesy pre detekciu a eskaláciu incidentov, nahlasovanie incidentov, triáž a poincidentnú revíziu.
Politika zberu dôkazov a forenzných činností
Zriaďuje postupy pre zber digitálnych dôkazov, uchovanie a právny/compliance reťazec držby.
Politika kontinuity podnikania a obnovy po havárii
Definuje organizačné opatrenia pre kontinuitu, odolnosť a plánovanie a vykonávanie obnovy po havárii.
Politika mobilných zariadení a BYOD
Definuje opatrenia pre používanie mobilných a osobných zariadení pri prístupe k podnikovým systémom a údajom.
Politika bezpečnosti IoT/OT
Zriaďuje technické a riadiace požiadavky pre systémy internetu vecí (IoT) a systémy prevádzkových technológií (OT) na prevenciu prevádzkového alebo kybernetického kompromitovania.
Politika sociálnych médií a externej komunikácie
Zriaďuje požiadavky a obmedzenia pre odchádzajúcu komunikáciu, verejné správy a oficiálne vyhlásenia.
Politika právneho a regulačného súladu
Definuje právny, regulačný a zmluvný rámec súladu organizácie a integráciu s prevádzkou ISMS.
O politikách Clarysec - Full Enterprise Pack (P01–P37)
Efektívne riadenie bezpečnosti vyžaduje viac než len slová; vyžaduje jasnosť, zodpovednosť a štruktúru, ktorá sa škáluje s vašou organizáciou. Generické šablóny často zlyhávajú a vytvárajú nejednoznačnosť prostredníctvom dlhých odsekov a nedefinovaných rolí. Táto politika je navrhnutá ako prevádzková chrbtica vášho bezpečnostného programu. Priraďujeme zodpovednosti konkrétnym rolám, ktoré sa nachádzajú v modernom podniku, vrátane riaditeľa informačnej bezpečnosti (CISO), IT a bezpečnostných tímov a relevantných výborov, čím zabezpečujeme jasnú zodpovednosť. Každá požiadavka je jedinečne očíslovaná doložka (napr. 5.1.1, 5.1.2). Táto atómová štruktúra uľahčuje implementáciu politiky, auditovanie voči konkrétnym opatreniam a bezpečné prispôsobenie bez narušenia integrity dokumentu, čím sa z nej stáva dynamický, vykonateľný rámec namiesto statického dokumentu.
Často kladené otázky
Vytvorené pre lídrov, lídrami
Táto politika bola vypracovaná bezpečnostným lídrom s viac ako 25-ročnými skúsenosťami s implementáciou a auditovaním rámcov ISMS pre globálne podniky. Nie je navrhnutá len ako dokument, ale ako obhájiteľný rámec, ktorý obstojí pri audítorskom preskúmaní.
