Politika presoje in spremljanja skladnosti – SME

Politika presoje in spremljanja skladnosti (Dokument P33S) zagotavlja celovit okvir za strukturirane notranje presoje, preverjanja varnostnih kontrol in spremljanje skladnosti s predpisi, posebej prilagojen za mala in srednje velika podjetja (SME). Ker SME pogosto nimajo namenskega osebja za skladnost, ta politika dodeli ključne vloge in odgovornosti generalnemu direktorju, ponudniku IT ali administratorju, vodjem ekip ter po potrebi zunanjim presojevalcem ali svetovalcem. Osrednji cilj je odkrivanje odpovedi kontrol, preprečevanje neskladnosti in stalno dokazovanje skrbnosti v skladu z zahtevami ISO/IEC 27001, GDPR in povezanih industrijskih standardov. Obseg te politike je širok in zajema vse notranje oddelke, zunanje ponudnike storitev, vključene v informacijske sisteme, obdelavo osebnih podatkov, ter vse poslovno kritične storitve. Zahteva redne in strukturirane preglede vseh kontrol in sistemov v okviru sistema upravljanja informacijske varnosti (ISMS). Presoje se lahko sprožijo interno ali na zahtevo strank, regulatorjev ali za namene certificiranja in ponovnega certificiranja. Politika določa, da morata biti zbiranje dokazov in poročanje dobro organizirana, da izpolnjujeta zahteve ISO/IEC 27001, presoje GDPR, skrbni pregled strank ter spreminjajoče se regulativne ali pravne zahteve (kot sta NIS2 in DORA). Ključne zahteve upravljanja vključujejo odobritev letnega načrta presoj s strani generalnega direktorja, z jasno identifikacijo sistemov, kontrol (npr. kontrole iz Priloge A ISO/IEC 27001), procesov, specifičnih za GDPR, zunanje izvajanih storitev in kritičnih poslovnih dejavnosti, ki so predmet letnega ali ad hoc pregleda. Notranje presoje morajo potekati vsaj letno, z višjo pogostostjo za kritična ali visoko tvegana področja. Vse aktivnosti presoj morajo temeljiti na strukturiranih kontrolnih seznamih, vključno s statusom politik, validacijo kontrol, skladnostjo uporabnikov in ustreznim revizijskim beleženjem. Ugotovitve so ocenjene glede na tveganje in spremljane do odprave pomanjkljivosti, pri čemer generalni direktor pregleda in potrdi izvedene popravke. V podporo realnosti SME politika institucionalizira preproste in ponovljive kontrolne sezname presoj, centralizirano hrambo dokazov (z metapodatki in zahtevami hrambe) ter enostaven proces upravljanja izjem in obvladovanja tveganj. Vsem vlogam, od generalnega direktorja prek ponudnika IT do ključnih uporabnikov, so dodeljene jasne, izvedljive odgovornosti, kar omogoča skladnost brez potrebe po namenskem oddelku za skladnost. Rezultati presoj so vključeni v vodstvene preglede ISMS, z zahtevano letno oceno politike ter posodobitvami kot odziv na spremembe predpisov, certifikatov ali večje incidente. Ta politika je izrecno označena kot politika za SME (označeno s številko dokumenta P33S in neposrednim nagovorom generalnega direktorja namesto specialistov za skladnost ali varnost). Zasnovana je tako, da organizacijam omogoča ohranjanje pripravljenosti na certificiranje in operativnega nadzora tudi z omejenimi notranjimi viri ter izpolnjevanje zahtev več globalnih okvirov s praktičnimi, poslovno realističnimi procesi.