Kdo naj uporablja ta nabor politik?

Mala in srednje velika podjetja, ki želijo doseči ali ohraniti skladnost z ISO/IEC 27001:2022, GDPR, NIS2, DORA in povezanimi okviri. Idealno za podjetja brez namenskih CISO ali notranjih oddelkov za informacijsko varnost in IT.

Kako ta paket podpira pripravljenost na revizijo?

Vsaka politika zahteva dokumentacijo, nadzor različic, redne preglede in hrambo revizijske sledi. Izjeme in obravnava tveganja se formalno beležijo za zunanje ali certifikacijske revizije.

Kaj naredi ta nabor politik za MSP edinstven?

Vse politike so prilagojene vlogam v MSP, pri čemer je odgovornost pri generalnih direktorjih in vodjih ekip, brez potrebe po specialističnem varnostnem osebju. Uporabljajo kontrolne sezname in poenostavljen jezik, hkrati pa so v celoti skladne z glavnimi standardi.

Ali so vključeni oblak, delo na daljavo in BYOD?

Da. Nabor pokriva uporabo oblaka, oddaljeno/hibridno delo ter politike BYOD/mobilnih naprav z izvršljivimi zahtevami glede nadzora dostopa in varnosti.

Ali se to lahko integrira z zunanjimi dobavitelji?

Da, politike za dobavitelje in zunanje izvajani razvoj zahtevajo, da vsi dobavitelji podpišejo in upoštevajo varnostna določila, vključno z obveščanjem o kršitvah in pogodbenimi pravicami do revizije.

Celovit paket za MSP (P01S–P37S)

Pregled

Celovit paket za MSP (P01S–P37S) zagotavlja popoln, na revizijo pripravljen nabor politik kibernetske varnosti in upravljanja IT, ki pokriva vse zahteve informacijske varnosti za MSP. Vsaka politika je prilagojena vodjem malih podjetij (generalnim direktorjem), izrecno zasnovana za organizacije brez namenskih varnostnih ekip, in je v celoti usklajena z ISO/IEC 27001:2022, GDPR, NIS2, DORA in drugimi okviri.

Popolna skladnost za MSP

Zajema 37 politik in zagotavlja popolno uskladitev z ISO/IEC 27001, GDPR, NIS2, DORA in COBIT za MSP brez velikih ekip IT.

Na revizijo pripravljene kontrole

Vse politike vključujejo zahteve za revizijsko dokumentacijo, nadzor različic, sprožilce pregledov in procese korektivnih ukrepov.

Praktično upravljanje za MSP

Vloge so preslikane na generalnega direktorja in vodje ekip; CISO/SOC ni potreben. Zasnovano za podjetja v lastniškem upravljanju.

Izvršljive, jasne smernice

Pravila po korakih, kontrolni seznami in obravnava izjem za uporabniku prijazne, izvršljive prakse kibernetske varnosti.

Pripravljeno za certifikacijo ISO 27001

Neposredna preslikava na vse klavzule ISO/IEC 27001:2022 in 27002:2022 za zaupanje pri reviziji in certifikaciji.

Preberi celoten pregled

Celovit paket za MSP (P01S–P37S) ponuja celovit nabor politik kibernetske varnosti in upravljanja IT, namensko izdelan za mala in srednje velika podjetja (MSP). V celoti naslavlja stroge zahteve ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA, COBIT 2019 in drugih glavnih okvirov, hkrati pa ostaja praktičen in poenostavljen za organizacije brez namenskih notranjih IT ali varnostnih operacij (kot so CISO ali SOC). Ta nabor politik izstopa kot najbolj primeren za MSP zaradi prilagojene strukture vlog: večina ključnih odgovornosti je dodeljena generalnemu direktorju ali enakovrednemu lastniku podjetja, vključno s potrditvami, delegiranjem, pregledi politik in upravljanjem izjem. Kjer so potrebne tehnične naloge, jasna navodila omogočajo zunanje izvajanje zaupanja vrednim ponudnikom podpore IT ali dodelitev imenovanemu notranjemu osebju ali vodjem oddelkov. Vsaka politika uveljavlja odgovornost s formalnimi dnevniki odobritev, nadzorom različic, dokumentiranimi izjemami in rednimi zahtevami za pregled, zaradi česar je sistem robusten za notranje in zunanje revizije. Uporabniki bodo našli politike, ki pokrivajo vsa ključna področja sodobne informacijske varnosti za MSP. To vključuje: izrecne izjave o obsegu, podrobna pravila sodelovanja za testiranje in dostop (brez zahteve po metodologijah pentestov, ki presegajo navedene politike), jasno dodelitev in prenos odgovornosti (s sprožilci spremljanja in eskalacije), ukrepe za podporo reviziji (dnevniki, zgodovine sprememb, zapisi o opravljenih usposabljanjih), postopke ravnanja s podatki, ki vključujejo pravila zasebnosti in hrambe, skladna z GDPR, tehnične standarde za oblak, BYOD, oddaljeno/hibridno delo ter tudi za fizični in digitalni odziv na incidente, vključno s pravnim zadržanjem in odlogom izbrisa, forenziko in analizo temeljnega vzroka. Struktura je sistematična: vsaka politika določa svoj namen, obseg, cilje, vloge, zahteve upravljanja, korake implementacije, obravnavo tveganja in obravnavo izjem, uveljavljanje in skladnost ter protokole posodabljanja. Poleg tega povezave vsake politike z drugimi dokumenti (npr. nadzor dostopa, odziv na incidente, varstvo podatkov in zasebnost) tvorijo integriran, večplasten model obrambe in upravljanja. Zlasti razdelki za pregled in posodobitev zahtevajo letne preglede politik, verzioniranje in komunikacijo vsem relevantnim zaposlenim in tretjim osebam, kar zagotavlja ažurno pripravljenost, ko se predpisi ali poslovne prakse spremenijo. Izdelek je jasno opredeljen kot nabor politik za MSP (oznaka MSP »S« v številkah dokumentov in omemba procesov, ki jih vodi generalni direktor). Praktičen, izvršljiv pristop v kombinaciji s strogo uskladitvijo z regulativo in certifikacijo ga naredi idealnega za podjetja v lastniškem upravljanju, hitro rastoče scale-upe in organizacije z omejenimi viri, ki morajo doseči ali ohraniti visoke standarde skladnosti in operativne odpornosti, tudi brez specialističnih varnostnih vlog v organizaciji.

Vsebina

Obseg in pravila sodelovanja

Matrika vlog in odgovornosti

Postopki nadzora dostopa in upravljanja sprememb

Pravila varstva podatkov in zasebnosti

Odziv na incidente in ravnanje z dokazi

Procesi presoje, pravne in regulativne skladnosti

Skladnost z okvirom

Okvir	Pokrite klavzule / Kontrole
ISO/IEC 27001:2022	5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32
NIST SP 800-53 Rev.5	PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6
EU GDPR	Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34
EU NIS2 Directive	Article 20Article 21(2)(a–i)Article 23
EU DORA	Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28
COBIT 2019	APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Okvir

Pokrite klavzule / Kontrole

ISO/IEC 27001:2022

5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32

NIST SP 800-53 Rev.5

PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6

EU GDPR

Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34

EU NIS2 Directive

Article 20Article 21(2)(a–i)Article 23

EU DORA

Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28

COBIT 2019

APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Sorodne politike

Politika vlog in odgovornosti upravljanja – MSP

Ta politika opredeljuje, kako se v organizaciji dodeljujejo, delegirajo in upravljajo odgovornosti upravljanja informacijske varnosti, da se zagotovi popolna skladnost z ISO/IEC 27001:2022 in drugimi regulativnimi obveznostmi.

Politika čiste mize in čistega zaslona – MSP

Ta politika vzpostavlja izvršljive smernice za ohranjanje varnega delovnega okolja, tako da zagotavlja, da so mize, delovne postaje in zasloni brez vidnih zaupnih informacij, kadar so brez nadzora.

Politika zaščite končnih točk in zlonamerne programske opreme – MSP

Ta politika opredeljuje minimalne tehnične, postopkovne in vedenjske zahteve za zaščito vseh naprav končnih točk – kot so prenosniki, namizni računalniki, mobilne naprave in prenosni mediji – pred zlonamerno kodo.

Politika informacijske varnosti – MSP

Ta politika prikazuje zavezanost naše organizacije k zaščiti informacij strank in poslovnih informacij z jasnim opredeljevanjem odgovornosti in praktičnih varnostnih ukrepov, primernih za organizacije brez namenskih ekip IT.

Politika sprejemljive uporabe – MSP

Ta politika opredeljuje sprejemljivo, odgovorno in varno uporabo sistemov, naprav, dostopa do interneta, e-pošte, storitev v oblaku in vseh osebnih naprav, ki se uporabljajo za poslovne namene.

Politika nadzora dostopa – MSP

Ta politika opredeljuje, kako organizacija upravlja dostop do sistemov, podatkov in objektov, da se zagotovi, da lahko do informacij dostopajo le pooblaščeni posamezniki na podlagi poslovne potrebe.

Politika upravljanja sprememb – MSP

Ta politika zagotavlja, da so vse spremembe IT sistemov, konfiguracij, poslovnih aplikacij ali storitev v oblaku načrtovane, ocenjene glede tveganja, testirane in odobrene pred implementacijo.

Politika obvladovanja tveganj – MSP

Ta politika opredeljuje, kako organizacija identificira, vrednoti in upravlja tveganja, povezana z informacijsko varnostjo, operacijami, tehnologijo in ponudniki storitev tretjih oseb.

Politika uvajanja in prenehanja – MSP

Ta politika opredeljuje postopek za uvajanje novih zaposlenih ali pogodbenih izvajalcev ter varno odstranitev dostopa, ko posamezniki odidejo ali spremenijo vloge.

Politika ozaveščanja in usposabljanja za informacijsko varnost – MSP

Ta politika zagotavlja, da vsi zaposleni in pogodbeni izvajalci razumejo svoje odgovornosti glede informacijske varnosti.

Politika dela na daljavo – MSP

Ta politika vzpostavlja varnostne zahteve za zaposlene in pogodbene izvajalce, ki delajo na daljavo, vključno od doma, iz skupnih delovnih prostorov ali med potovanjem.

Politika upravljanja uporabniških računov in privilegijev – MSP

Ta politika vzpostavlja pravila za upravljanje uporabniških računov in pravic dostopa na varen, dosleden in sledljiv način.

Politika upravljanja sredstev – MSP

Ta politika opredeljuje, kako organizacija identificira, sledi, ščiti in umika iz uporabe svoja informacijska sredstva, vključno s fizičnimi in digitalnimi komponentami.

Politika razvrščanja in označevanja podatkov – MSP

Ta politika opredeljuje, kako morajo biti vse informacije, s katerimi organizacija ravna, razvrščene in označene, da se ohranjajo zaupnost, celovitost in razpoložljivost skozi celoten življenjski cikel.

Politika hrambe in odstranjevanja podatkov – MSP

Namen te politike je opredeliti izvršljiva pravila za hrambo in varno odstranjevanje informacij v okolju MSP.

Politika varnostnega kopiranja in obnovitve – MSP

Ta politika opredeljuje, kako organizacija izvaja in upravlja varnostne kopije, da zagotovi neprekinjeno poslovanje, zaščito pred izgubo podatkov in pravočasno obnovitev po incidentih.

Politika maskiranja podatkov in psevdonimizacije – MSP

Ta politika opredeljuje izvršljive zahteve za uporabo maskiranja podatkov in psevdonimizacije za zaščito občutljivih, osebnih in zaupnih podatkov v malih in srednje velikih podjetjih (MSP).

Politika varstva podatkov in zasebnosti – MSP

Ta politika opredeljuje, kako organizacija varuje osebne podatke v skladu z zakonskimi obveznostmi, regulativnimi okviri in mednarodnimi varnostnimi standardi.

Politika kriptografskih kontrol – MSP

Ta politika opredeljuje obvezne zahteve za uporabo šifriranja in kriptografskih kontrol za zaščito zaupnosti, celovitosti in avtentičnosti poslovnih in osebnih podatkov.

Politika upravljanja ranljivosti in popravkov – MSP

Ta politika opredeljuje, kako organizacija identificira, vrednoti in zmanjšuje ranljivosti v sistemih, aplikacijah in infrastrukturi.

Politika varnosti omrežja – MSP

Namen te politike je zagotoviti, da so vse notranje in zunanje omrežne komunikacije zaščitene pred nepooblaščenim dostopom, posegi, prisluškovanjem ali zlorabo z jasno opredeljenimi varnostnimi kontrolami.

Politika beleženja in spremljanja – MSP

Ta politika vzpostavlja obvezne kontrole beleženja in spremljanja za zagotavljanje varnosti, odgovornosti in operativne celovitosti IT sistemov organizacije.

Politika časovne sinhronizacije – MSP

Ta politika vzpostavlja obvezne kontrole za ohranjanje natančnega, sinhroniziranega časa v vseh sistemih, ki shranjujejo, prenašajo ali obdelujejo organizacijske podatke.

Politika varnega razvoja – MSP

Ta politika zagotavlja, da so vsa programska oprema, skripte in spletna orodja, ki jih organizacija ali njeni zunanji partnerji ustvarijo ali spremenijo, razvita varno, s čimer se zmanjšuje tveganje ranljivosti.

Politika zahtev za varnost aplikacij – MSP

Ta politika opredeljuje minimalne obvezne kontrole varnosti aplikacij, zahtevane za vso programsko opremo in sistemske rešitve, ki jih organizacija uporablja, ne glede na to, ali so razvite interno ali pridobljene od zunanjih dobaviteljev.

Politika varnosti tretjih oseb in dobaviteljev – MSP

Ta politika vzpostavlja obvezne varnostne zahteve za vključevanje, upravljanje in prenehanje odnosov s tretjimi osebami in dobavitelji, ki dostopajo do podatkov, sistemov ali storitev organizacije ali nanje vplivajo.

Politika uporabe oblaka – MSP

Ta politika opredeljuje, kako se lahko storitve v oblaku varno uporabljajo v organizaciji. Zagotavlja, da so podatki, obdelani ali shranjeni v oblaku, zaščiteni, da je dostop nadzorovan in da se tveganja upravljajo odgovorno.

Politika zunanjega izvajanja razvoja – MSP

Ta politika zagotavlja, da se ves zunanje izvajani razvoj programske opreme – bodisi prek samostojnih izvajalcev, agencij ali ponudnikov storitev tretjih oseb – izvaja varno, pogodbeno nadzorovano in usklajeno z veljavnimi zakonskimi, regulativnimi in revizijskimi zahtevami.

Politika testnih podatkov in testnega okolja – MSP

Ta politika opredeljuje, kako je treba upravljati testne podatke in testna okolja, da se prepreči nenamerna izpostavljenost, kršitve podatkov ali operativne motnje med testiranjem.

Politika odzivanja na incidente – MSP

Ta politika opredeljuje, kako organizacija odkriva, poroča in se odziva na incidente informacijske varnosti, ki vplivajo na njene digitalne sisteme, podatke ali storitve.

Politika zbiranja dokazov in forenzike – MSP

Ta politika opredeljuje, kako organizacija ravna z digitalnimi dokazi, povezanimi z varnostnimi incidenti, kršitvami podatkov ali notranjimi preiskavami.

Politika neprekinjenega poslovanja in obnovitve po nesreči – MSP

Ta politika zagotavlja, da lahko organizacija ohrani poslovne operacije in obnovi ključne IT storitve med in po motečih dogodkih.

Politika spremljanja presoje in skladnosti – MSP

Ta politika vzpostavlja pristop organizacije k izvajanju notranjih revizij, preverjanj varnostnih kontrol in stalnega spremljanja skladnosti s predpisi.

Politika mobilnih naprav in BYOD – MSP

Ta politika opredeljuje obvezne varnostne zahteve za uporabo mobilnih naprav – vključno s pametnimi telefoni, tablicami in prenosniki – pri dostopu do informacij, sistemov ali storitev podjetja.

Politika varnosti IoT/OT – MSP

Ta politika opredeljuje obvezna pravila za varno uporabo in upravljanje naprav interneta stvari (IoT) in sistemov operativne tehnologije (OT) v organizaciji.

Politika družbenih medijev in zunanjih komunikacij – MSP

Ta politika vzpostavlja obvezne smernice za vso javno usmerjeno komunikacijo – vključno z uporabo družbenih medijev, sodelovanjem z mediji in zunanjo digitalno vsebino – pri sklicevanju na podjetje, njegovo osebje, stranke, sisteme ali notranje prakse.

Politika pravne in regulativne skladnosti – MSP

Ta politika opredeljuje pristop organizacije k identifikaciji, izpolnjevanju in dokazovanju skladnosti z zakonskimi, regulativnimi in pogodbenimi obveznostmi.

O pravilnikih Clarysec - Celovit paket za MSP (P01S–P37S)

Generične varnostne politike so pogosto zgrajene za velike korporacije, zaradi česar se mala podjetja težko znajdejo pri uporabi kompleksnih pravil in nejasno opredeljenih vlog. Ta politika je drugačna. Naše politike za MSP so zasnovane od začetka za praktično implementacijo v organizacijah brez namenskih varnostnih ekip. Odgovornosti dodelimo vlogam, ki jih dejansko imate, kot sta generalni direktor in vaš ponudnik IT, ne pa množici specialistov, ki jih nimate. Vsaka zahteva je razčlenjena v enolično oštevilčeno klavzulo (npr. 5.2.1, 5.2.2). To politiko spremeni v jasen kontrolni seznam po korakih, zaradi česar jo je enostavno implementirati, revidirati in prilagoditi brez prepisovanja celotnih razdelkov.

Pogosto zastavljena vprašanja

Zasnovano za vodje, s strani vodij

Ta pravilnik je pripravil varnostni vodja z več kot 25 leti izkušenj pri uvajanju in presojanju ISMS ogrodij za globalna podjetja. Zasnovan ni le kot dokument, temveč kot zagovorno ogrodje, ki prestane presojo revizorjev.

Pripravil strokovnjak z naslednjimi kvalifikacijami:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokritost in teme

🏢 Ciljni oddelki

IT varnost skladnost tveganja zasebnost pravo presoja izvršno vodstvo nabava

🏷️ Tematska pokritost

Politika informacijske varnosti organizacijske vloge in odgovornosti obvladovanje tveganj nadzor dostopa upravljanje incidentov življenjski cikli razvoja sistemov zasebnost podatkov upravljanje neprekinjenega poslovanja obvladovanje tveganj tretjih oseb upravljanje skladnosti center za varnostne operacije (SOC) pravna skladnost usposabljanje za ozaveščanje o varnosti spremljanje in revizijsko beleženje