Celovit paket za podjetja (P01–P37)

Celovit paket za podjetja (P01–P37) je strogo strukturiran, verzijsko nadzorovan nabor 37 politik informacijske varnosti in obvladovanja tveganj, ki pokriva vsako ključno, podporno in specializirano funkcijo, potrebno za certificiranje ISO/IEC 27001:2022 in stalno skladnost z vodilnimi mednarodnimi standardi in predpisi (GDPR, EU NIS2, DORA, NIST, COBIT in drugi). Vsaka politika sledi enotni obliki: opredeli namen, obseg uporabnosti (na ravni oddelka, sistema ali procesa), cilje, podrobne vloge in odgovornosti, upravljanje, zahteve za implementacijo in tehnološke nadzorne ukrepe, obravnavo tveganja in procese izjem, mehanizme uveljavljanja in disciplinske mehanizme, cikle pregleda in posodobitve ter izrecne preslikave na standarde in regulativne klavzule. Podrobno so navedene navzkrižne reference na podporne politike in procesno dokumentacijo, kar zagotavlja sledljivost in kohezivno strukturo sistema upravljanja informacijske varnosti (ISMS). Politike obravnavajo vse dimenzije, potrebne za varnost podjetja: od upravljanja ISMS na strateški ravni (P1–P2), vedenjskih kontrol in nadzora dostopa (P3–P7), upravljanja sredstev, zasebnosti podatkov in razvrščanja podatkov do naprednih tehničnih tem, vključno s kriptografijo, upravljanjem ranljivosti, varnim razvojem, tveganjem dobavitelja/odvisnosti od tretjih oseb, oblakom, sistemi interneta stvari (IoT)/sistemi operativne tehnologije (OT), odzivom na incidente, upravljanjem dokazov in neprekinjenim poslovanjem/obnovitvijo po nesreči (BCP/DR). Specializirana pokritost vključuje družbena omrežja/zunanje komunikacije, mobilne naprave/uporabo lastnih naprav (BYOD), forenziko ter presojo in pravno/regulatorno skladnost. Struktura zahteva nenehen pregled (najmanj letno ali kot odziv na incidente, ugotovitve presoje, regulativne spremembe), dodeli lastnike politik (vodja informacijske varnosti (CISO), pravo, izvršno vodstvo, lastniki na ravni procesov) ter integrira postopke izboljšav in CAPA. Vsaka politika omogoča izjeme na podlagi tveganj in zahteva, da so formalno dokumentirane, utemeljene, ocenjene z oceno tveganja, odobrene, zabeležene in letno ponovno potrjene v določenih intervalih (četrtletno, polletno ali ob sprožilnih dogodkih). Neskladnost lahko povzroči korektivno usposabljanje, preklic dostopa, disciplinske ukrepe, prenehanje, pravno/regulatorno eskalacijo ali začasno ustavitev pogodbe (za tretje osebe). Presoja, stalno spremljanje skladnosti, upravljanje dokazov in forenzika so izrecno kodificirani, kar podpira notranja in zunanja certificiranja, regulatorne revizije in preiskave. Vse tehnične politike se sklicujejo na zahteve za revizijske dnevnike, integracije varnostnih orodij (npr. SIEM, MDM/CD, skeniranje ranljivosti, CSPM), odziv na incidente/samodejna opozorila ter hrambo dokumentov. V celotnem naboru se ponavljajoče teme osredotočajo na nenehno izboljševanje, obrambno utemeljljivost in sledljivost vseh dejavnosti kontrol, v polni uskladitvi s poudarkom ISO/IEC 27001:2022 na operativni integraciji, odgovornosti vodstva in strukturiranem upravljanju tveganj. Povezave s poslovnimi, pravnimi in zasebnostnimi zahtevami (kot sta GDPR, DORA) ter operativnimi enotami zagotavljajo, da ne nastajajo niti silosi niti vrzeli. Politike se sklicujejo na in operacionalizirajo ključne koncepte, kot so načelo najmanjših privilegijev, upravljanje življenjskega cikla politik, ločevanje dolžnosti in varnostno ozaveščeno vedenje. Celovit paket za podjetja je zasnovan za maksimalno pripravljenost na certificiranje, trajno skladnost in odpornost v dinamičnih okoljih tveganj in predpisov, pri čemer je vsaka politika preslikana na ustrezne okvire in pripravljena za uvedbo v celotnem podjetju.