Mini balík: ISMS Startup Pack - ENT

Mini balík: ISMS Startup Pack - ENT poskytuje základnú sadu politík pre každú organizáciu, ktorá zavádza alebo zvyšuje zrelosť svojho systému manažérstva informačnej bezpečnosti (ISMS) v súlade s ISO/IEC 27001:2022 a súvisiacimi predpismi. Tento balík obsahuje šesť základných politík: Politika informačnej bezpečnosti, Správa – roly a zodpovednosti, Politika riadenia prístupu, Politika riadenia zmien, Politika riadenia rizík a Zálohovanie a obnova, pričom každá je priamo mapovaná na najnovšie medzinárodné normy vrátane ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53, COBIT 2019, EU GDPR, smernice NIS2 a DORA. Politika informačnej bezpečnosti definuje zastrešujúcu stratégiu organizácie pre riadenie všetkých aspektov dôvernosti, integrity a dostupnosti informácií. Poskytuje strategické smerovanie, vyjadruje bezpečnostný záväzok manažmentu, podporuje merateľné ciele, stanovuje model správy a riadenia informačnej bezpečnosti a slúži ako autoritatívny referenčný bod pre všetku podriadenú dokumentáciu. Jej rozsah je široký a pokrýva všetkých ľudí, technológie, procesy a celý životný cyklus informácií. Prísne požiadavky zabezpečujú, že roly sú jasné, prebiehajúce opatrenia založené na riziku sú vynucované, aktualizácie politík sú riadené a auditovateľnosť je zachovaná. Politika Správa – roly a zodpovednosti ďalej spresňuje zodpovednosť v rámci ISMS a zabezpečuje, že každý účastník – od vrcholového vedenia a manažéra ISMS až po poskytovateľov služieb tretích strán – rozumie svojej funkcii a eskalačným postupom. Udržiavaním registra rolí a zodpovedností a vynucovaním oddelenia povinností táto politika zaručuje, že všetky činnosti ISMS sú formálne priradené, plne sledovateľné a pravidelne preskúmavané na účely auditu. Výslovne sa vyžaduje medzifunkčná integrácia s IT, právnymi záležitosťami a súladom s predpismi a ľudskými zdrojmi (HR) a politika opisuje interné aj outsourcované štruktúry správy. Politika riadenia prístupu poskytuje povinné zásady pre prístup používateľov a systémov vo všetkých prostrediach, so zameraním na riadenie prístupu na základe rolí (RBAC), riadenie životného cyklu prístupov, schvaľovacie pracovné postupy, ochranu privilegovaných účtov a autentifikáciu identít, všetko podporené štvrťročnými revíziami prístupových práv. Táto politika je úzko integrovaná s procesom nástupu a offboardingom HR a dodávateľov, robustnými schvaľovacími reťazcami a automatizovanými kontrolami všade, kde je to možné. Spĺňa nielen požiadavky ISO/IEC 27001 a NIST, ale aj komplexné zákonné povinnosti podľa GDPR a sektorových rámcov. Zabudované je prísne vynucovanie, evidencia orientovaná na audit a mechanizmus oznamovania porušení. Podniková odolnosť je zabezpečená Politikou riadenia zmien. Uplatňuje disciplinované kontroly zohľadňujúce riziká na všetky zmeny technológií a procesov: štandardná zmena, normálna zmena alebo núdzová zmena. Proces vyžaduje podrobnú dokumentáciu žiadosti o zmenu, povinné preskúmanie poradným výborom pre zmeny pre normálne a významné zmeny, testovanie pred implementáciou, zdokumentované plány vrátenia zmien a preskúmanie po implementácii. Prísne kontroly zabraňujú neautorizovaným/neplánovaným zmenám, vynucujú správu verzií a zabezpečujú, že všetky kroky – iniciácia, schválenie, vykonanie – sú oddelené. Tento systematický prístup znižuje riziko neplánovaných výpadkov, neautorizovaných úprav alebo porušení súladu a zároveň podporuje auditnú stopu. Riadenie rizík je operacionalizované opakovateľným, metodickým procesom pre identifikáciu rizík, analýzu rizík, ošetrenie rizík a monitorovanie rizík v súlade s ISO/IEC 27001 doložkou 6.1, ISO/IEC 27005 a ISO 31000. Všetky aktivity riadenia rizík sú zdokumentované v centralizovanom registri rizík a krížovo odkazované s vyhlásením o uplatniteľnosti (SoA) pre jasnú sledovateľnosť ku kontrolám a opatreniam ošetrenia. Tento prístup zabezpečuje, že apetít na riziko organizácie je stanovený na úrovni výkonného vedenia a že všetky významné riziká sú primerane eskalované, ošetrené alebo akceptované s úplnou dokumentáciou a pravidelným preskúmaním. Politika ďalej špecifikuje integráciu s auditnými zisteniami, reakciou na incidenty a strategickými rozhodnutiami organizácie. Napokon, Politika zálohovania a obnovy zaručuje kontinuitu a odolnosť údajov tým, že nariaďuje plánované šifrované zálohy, testovanie obnovy, redundanciu mimo lokality/cloudu a bezpečné nakladanie s médiami, všetko v súlade s regulačnými požiadavkami a požiadavkami posúdení vplyvu na podnikanie. Ciele času obnovy a bodov obnovy (RTO/RPO) sú zdokumentované pre každý systém. Testovanie obnovy sa vykonáva pravidelne, zlyhania záloh sa zaznamenávajú a eskalujú a výnimky sú posudzované z hľadiska rizika a prísne kontrolované. Politika sa vzťahuje aj na poskytovateľov zálohovania tretích strán a vyžaduje zmluvné, technické a súladové ochranné opatrenia. Vyžaduje sa uchovávanie dôkazov pre audit a vyšetrovanie a výslovne je opísané prepojenie na širšie plány reakcie na incidenty. Spoločne tieto politiky tvoria komplexný, podnikovo pripravený „ISMS Starter Kit“ vhodný pre organizácie usilujúce sa o certifikáciu, regulačný súlad a prevádzkovú odolnosť. Každý dokument je so správou verzií, s cyklom preskúmania a obsahuje ustanovenia o vynucovaní a eskalácii pri nesúlade tretích strán aj internom nesúlade, pričom podporuje integrovanú pripravenosť na audit v celom životnom cykle ISMS.