Plný balík pre SME (P01S–P37S)

Plný balík pre SME (P01S–P37S) ponúka komplexný balík politík kybernetickej bezpečnosti a správy IT, účelovo vytvorený pre malé a stredné podniky (SME). Plne pokrýva prísne požiadavky ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA, COBIT 2019 a ďalších hlavných rámcov, pričom zostáva praktický a zjednodušený pre organizácie bez vyhradenej prevádzky IT alebo bezpečnostných operácií (napr. CISO alebo centrum bezpečnostných operácií (SOC)). Tento súbor politík sa odlišuje ako najvhodnejšie riešenie pre SME vďaka prispôsobenej štruktúre rolí: väčšina kľúčových zodpovedností je priradená generálnemu manažérovi alebo ekvivalentnému vlastníkovi podniku vrátane schvaľovania, delegovania, preskúmania politík a riadenia výnimiek. Tam, kde sú potrebné technické úlohy, jasné pokyny umožňujú outsourcing dôveryhodným poskytovateľom IT podpory alebo priradenie menovaným interným zamestnancom alebo vedúcim útvarov. Každá politika vynucuje zodpovednosť prostredníctvom formálnych záznamov o schválení, správy verzií, zdokumentovaných výnimiek a pravidelných požiadaviek na preskúmanie, čím je systém robustný pre interné aj externé audity. Používatelia vnútri nájdu politiky, ktoré pokrývajú každú kritickú oblasť súčasnej informačnej bezpečnosti SME. Patria sem: explicitné vyhlásenia o rozsahu, podrobné pravidlá zapojenia pre testovanie a prístup (bez požiadavky na metodiky pentestov nad rámec uvedených politík), jasné priradenie a delegovanie zodpovedností (s monitorovaním a spúšťačmi eskalácie), opatrenia podporujúce audit (záznamy, histórie zmien, záznamy o absolvovaní školení), postupy pri nakladaní s údajmi zahŕňajúce pravidlá ochrany údajov a uchovávania v súlade s GDPR, technické normy pre cloud, používanie vlastných zariadení (BYOD), prácu na diaľku/hybridnú prácu a aj pre fyzickú a digitálnu reakciu na incidenty vrátane právneho uchovania a pozastavenia výmazu, forenzných dôkazov a analýzy základnej príčiny. Štruktúra je systematická: každá politika uvádza svoj účel, rozsah, ciele, roly, požiadavky správy a riadenia, kroky implementácie, ošetrenie rizík a ošetrenie výnimiek, vynucovanie a súlad a protokoly aktualizácie. Okrem toho prepojenie každej politiky na iné dokumenty (napr. Politika riadenia prístupu, Politika reakcie na incidenty (P30), Ochrana a minimalizácia údajov) vytvára integrovaný, vrstvený model obrany do hĺbky a správy a riadenia. Sekcie preskúmania a aktualizácie najmä vyžadujú ročné preskúmania politík, verzovanie a komunikáciu všetkým relevantným zamestnancom a tretím stranám, čím sa zabezpečuje aktuálna pripravenosť pri zmenách predpisov alebo podnikových postupov. Tento produkt je jasne identifikovaný ako súbor politík pre SME (označenie SME „S“ v číslovaní dokumentov a uvedenie procesov vedených generálnym manažérom). Jeho praktický, vynútiteľný prístup v kombinácii s prísnym zosúladením s predpismi a certifikáciou z neho robí ideálne riešenie pre podniky vedené vlastníkmi, rýchlo rastúce scale-upy a organizácie s obmedzenými zdrojmi, ktoré potrebujú dosiahnuť alebo udržať vysoké štandardy súladu a prevádzkovej odolnosti aj bez špecializovaných bezpečnostných rolí v personále.