Komu je ta paket namenjen?

Ta paket je zasnovan za SME, ki potrebujejo robustne, vendar poenostavljene politike varstva podatkov in zasebnosti podatkov, usklajene z ISO/IEC 27001:2022, GDPR, NIS2 in drugimi vodilnimi standardi.

Ali so te politike uporabne, če nimamo namenske ekipe za IT/varnost?

Da, vse politike so prilagojene za SME, za organizacije brez namenskih vlog za upravljanje IT ali varnosti, kar omogoča, da generalni direktor prevzame primarni nadzor.

Katera področja življenjskega cikla podatkov pokriva ta paket?

Politike obravnavajo celoten življenjski cikel informacij, vključno z razvrščanjem podatkov, označevanjem, hrambo podatkov, varnim odstranjevanjem, maskiranjem, zasebnostjo podatkov, politiko varnosti dobaviteljev in revizijami skladnosti.

Ali paket zagotavlja zahteve za upravljanje dobaviteljev?

Da, politika varnosti dobaviteljev zahteva preverjanje dobaviteljev, pogodbene klavzule, nadzor dostopa, spremljanje, upravljanje izjem in varen postopek izstopa za vse dobavitelje.

Mini paket: Varstvo podatkov in zasebnost

Pregled

Ta paket, osredotočen na SME, zagotavlja šest medsebojno povezanih politik, ki pokrivajo razvrščanje podatkov, hrambo podatkov, maskiranje, zasebnost podatkov, politiko varnosti dobaviteljev in stalno spremljanje skladnosti, usklajeno z ISO/IEC 27001:2022 in GDPR, z vlogami, prilagojenimi organizacijam brez namenskega IT/varnostnega osebja.

Integrirano varstvo podatkov

Poenotene politike za razvrščanje podatkov, hrambo podatkov, zasebnost podatkov in politiko varnosti dobaviteljev zagotavljajo robustno zaščito podatkov za SME.

Skladnost SME z 27001:2022

Prilagojeno za SME s poenostavljenimi vlogami; politike so usklajene z ISO/IEC 27001:2022 in zahtevami GDPR.

Kontrole življenjskega cikla podatkov od začetka do konca

Kontrole pokrivajo razvrščanje podatkov, označevanje, hrambo podatkov, anonimizacijo in presojo v vseh formatih in sistemih.

Uveljavljena varnost tretjih oseb

Zahteve za upravljanje dobaviteljev in politika varnosti dobaviteljev ščitijo vaše podatke pred zunanjim tveganjem in zagotavljajo pogodbeno skladnost.

Pripravljeno za presojo in zagotavljanje

Vključuje ponovljive kontrolne sezname in zahteve za presojo za operativni nadzor in zunanje certifikate informacijske varnosti.

Preberi celoten pregled

»Mini paket: Varstvo podatkov in zasebnost – SME« je celovit nabor šestih tesno integriranih politik, zasnovanih za mala in srednje velika podjetja, da izpolnijo ključne zahteve glede varstva podatkov, zasebnosti podatkov in skladnosti. Vse politike v tem paketu so izrecno prilagojene za SME (kar je razvidno iz številčenja politik z »S« in uporabe vloge generalnega direktorja kot glavne vloge odgovornosti), ob upoštevanju omejenih kadrovskih virov ali odsotnosti velikih, namenskih oddelkov za IT, varnost ali skladnost. Kljub tem strukturnim omejitvam so bile politike skrbno pripravljene tako, da izpolnjujejo stroge zahteve standardov ISO/IEC 27001:2022, ISO/IEC 27002:2022, EU GDPR, Direktive EU NIS2, Uredbe EU DORA, NIST SP 800-53 Rev. 5 in COBIT 2019. Ta paket zagotavlja pokritost celotnega življenjskega cikla podatkov od začetka do konca. Politika razvrščanja podatkov in označevanja (P13S) vzpostavlja za SME primeren, uveljavljiv tristopenjski model razvrščanja, vključno z zahtevami za označevanje in tehnološkimi nadzornimi ukrepi. Določa jasne vloge za generalnega direktorja, upravljavce podatkov, IT-podporo (interno/zunanje izvajane storitve) ter zaposlene in pogodbene izvajalce, s poudarkom na praktični vidnosti (glave dokumentov, vodni žigi, oznake) in obveznosti skladnosti. Tesno povezana Politika hrambe podatkov in odstranjevanja (P14S) določa zakonsko in poslovno utemeljena obdobja hrambe s centralno vodenim registrom hrambe, izrecne tehnike varnega odstranjevanja (rezanje, digitalni izbris, kriptografsko brisanje) ter strogo dokumentiranje izjem in pravno zadržanje, pri čemer je nadzor politike izvedljiv tudi v majhnih organizacijah. Za minimizacijo podatkov in obdelavo zunaj produkcijskega okolja Politika maskiranja podatkov in psevdonimizacije (P16S) zahteva, da se resnični osebni ali občutljivi podatki nikoli ne uporabljajo, kadar to ni nujno potrebno, na primer pri testiranju ali analitični uporabi, z uveljavljanjem kontrol transformacije (maskiranje, tokenizacija, psevdonimizacija). Vsi procesi transformacije morajo biti revidirljivi, z uporabo izključno IT-odobrenih orodij z dnevniki in upravljanjem gesel, kar zagotavlja sledljivost do posameznih naborov podatkov in dogodkov. Osrednji del paketa je Politika varstva podatkov in zasebnosti (P17S), ki zajema vse zakonske obveznosti za osebne podatke, vključno z evidencami zaposlenih, strank in tretjih oseb. Uveljavlja varstvo podatkov v zasnovi in privzeto, zakonito zbiranje in minimizacijo, varno hrambo, jasen pregled dostopov ter obravnavo pravic posameznikov, na katere se nanašajo osebni podatki. Odgovornosti so jasno razdeljene med generalnega direktorja (kot odgovorno osebo za DPO/zasebnost podatkov), koordinatorja za zasebnost (interno/zunanje izvajane storitve), ponudnika IT in vse operativno osebje. Usposabljanje, soglasje, eskalacija in časovni roki za obveščanje o kršitvah so integrirani, prav tako preverjanja usklajenosti s povezanimi politikami razvrščanja, hrambe, maskiranja in obravnavanja incidentov. Za upravljanje zunanjih tveganj Politika varnosti dobaviteljev (P26S) določa obvezne zahteve za preverjanje dobaviteljev, analizo tveganja, omejevanje dostopa, pogodbene klavzule (vključno s SLA za obveščanje in pravice do revizije) ter stalni nadzor. Obravnava tipične scenarije tretjih oseb pri SME (IT, SaaS, poslovne aplikacije itd.) ter zahteva sprejem pogodbenih pogojev, redne preglede in varen postopek izstopa ali uničenje podatkov po prenehanju. Nazadnje Politika spremljanja presoje in skladnosti (P33S) poenostavi proces notranjih revizij, preverjanj varnostnih kontrol in regulativni pregled. Zasnovana je za uporabo brez specialističnih presojevalcev ter omogoča, da generalni direktor in ponudnik IT uporabljata kontrolne sezname in vodita revizijske dokaze za zagotavljanje operativne pripravljenosti za certifikacijo ISO/IEC 27001 ali skrbni pregled dobaviteljev. Revizijske sledi, dokumentacija korektivnih ukrepov in dokazi o skladnosti morajo biti centralizirani in na voljo najmanj dve leti, kar podpira zagovarljivo upravljanje tudi pri SME z minimalnimi viri za skladnost. Skupaj ta mini paket operacionalizira vodilne standarde in zakone o zasebnosti v izvedljive, poslovno praktične kontrole ter zagotavlja robusten, na presojo pripravljen režim varstva podatkov in zasebnosti podatkov, ki ga SME lahko enostavno uvedejo in vzdržujejo.

Vsebina

Zahteve za razvrščanje podatkov in označevanje

Pravila hrambe podatkov in varnega odstranjevanja

Maskiranje podatkov in psevdonimizacija

Celovito varstvo podatkov in zasebnost podatkov

Politika varnosti dobaviteljev in pogodbene klavzule

Notranja revizija in stalno spremljanje skladnosti

Skladnost z okvirom

Okvir	Pokrite klavzule / Kontrole
ISO/IEC 27001:2022	5.1 5.3 6.1.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12
NIST SP 800-53 Rev.5	AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12
EU GDPR	Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34
EU NIS2	Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)
EU DORA	Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)
COBIT 2019	APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Okvir

Pokrite klavzule / Kontrole

ISO/IEC 27001:2022

5.1 5.3 6.1.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12

NIST SP 800-53 Rev.5

AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12

EU GDPR

Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34

EU NIS2

Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)

EU DORA

Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)

COBIT 2019

APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Sorodne politike

Politika razvrščanja podatkov in označevanja – SME

Ta politika opredeljuje, kako je treba vse informacije, s katerimi organizacija ravna, razvrstiti in označiti, da se skozi njihov življenjski cikel ohranijo zaupnost, celovitost in razpoložljivost.

Politika hrambe podatkov in odstranjevanja – SME

Namen te politike je opredeliti uveljavljiva pravila za hrambo podatkov in varno odstranjevanje informacij v okolju SME.

Politika maskiranja podatkov in psevdonimizacije – SME

Ta politika opredeljuje uveljavljive zahteve za uporabo maskiranja podatkov in psevdonimizacije za zaščito občutljivih, osebnih in zaupnih podatkov v malih in srednje velikih podjetjih (SME).

Politika varstva podatkov in zasebnosti – SME

Ta politika opredeljuje, kako organizacija varuje osebne podatke v skladu z zakonskimi obveznostmi, regulativnimi okviri in mednarodnimi varnostnimi standardi.

Politika varnosti tretjih oseb in dobaviteljev – SME

Ta politika določa obvezne varnostne zahteve za vključevanje, upravljanje in prenehanje odnosov s tretjimi osebami in dobavitelji, ki dostopajo do podatkov, sistemov ali storitev organizacije ali nanje vplivajo.

Politika spremljanja presoje in skladnosti – SME

Ta politika določa pristop organizacije k izvajanju notranjih revizij, preverjanj varnostnih kontrol in stalnemu spremljanju skladnosti s predpisi.

O pravilnikih Clarysec - Mini paket: Varstvo podatkov in zasebnost – SME

Generične varnostne politike so pogosto zasnovane za velike korporacije, zato se mala podjetja težko znajdejo pri uporabi kompleksnih pravil in nejasno opredeljenih vlog. Ta politika je drugačna. Naše politike za SME so zasnovane od začetka za praktično implementacijo v organizacijah brez namenskih varnostnih ekip. Odgovornosti dodelimo vlogam, ki jih dejansko imate, kot sta generalni direktor in vaš ponudnik IT, ne pa množici specialistov, ki jih nimate. Vsaka zahteva je razčlenjena v enolično oštevilčeno klavzulo (npr. 5.2.1, 5.2.2). To politiko spremeni v jasen kontrolni seznam po korakih, kar olajša implementacijo, presojo in prilagajanje brez prepisovanja celotnih razdelkov.

Pogosto zastavljena vprašanja

Zasnovano za vodje, s strani vodij

Ta pravilnik je pripravil varnostni vodja z več kot 25 leti izkušenj pri uvajanju in presojanju ISMS ogrodij za globalna podjetja. Zasnovan ni le kot dokument, temveč kot zagovorno ogrodje, ki prestane presojo revizorjev.

Pripravil strokovnjak z naslednjimi kvalifikacijami:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokritost in teme

🏢 Ciljni oddelki

IT varnost skladnost zasebnost pravo nabava

🏷️ Tematska pokritost

razvrščanje podatkov ravnanje s podatki zasebnost podatkov pravice posameznikov, na katere se nanašajo osebni podatki obvladovanje tveganj tretjih oseb upravljanje dobaviteljev upravljanje življenjskega cikla politik upravljanje skladnosti zakonska skladnost

Mini paket: Varstvo podatkov in zasebnost – SME