Mini paket: ISMS Startup Pack - ENT

Mini paket: ISMS Startup Pack - ENT zagotavlja temeljni nabor politik za vsako organizacijo, ki vzpostavlja ali zori svoj sistem upravljanja informacijske varnosti (ISMS) v skladu z ISO/IEC 27001:2022 in povezanimi predpisi. Paket vključuje šest ključnih politik: P01 Politika informacijske varnosti, model upravljanja, register vlog in odgovornosti, politika nadzora dostopa, P05 Politika upravljanja sprememb, okvir za obvladovanje tveganj ter zahteve za varnostno kopiranje in obnovitev, pri čemer je vsaka neposredno preslikana na najnovejše mednarodne standarde, vključno z ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53, COBIT 2019, EU GDPR, Direktivo NIS2 in DORA. P01 Politika informacijske varnosti opredeljuje krovno strategijo organizacije za upravljanje vseh vidikov zaupnosti, celovitosti in razpoložljivosti. Zagotavlja strateško usmeritev, izraža zavezanost vodstva varnosti, podpira merljive cilje, določa model upravljanja informacijske varnosti in deluje kot avtoritativna referenčna točka za vso podrejeno dokumentacijo. Obseg je širok in pokriva vse osebje, tehnologije, poslovne procese in celoten življenjski cikel informacij. Stroge zahteve zagotavljajo, da so vloge jasne, da se izvajajo stalni ukrepi na podlagi tveganj, da se upravlja posodabljanje politik in da se ohranja revidirljivost. Politika upravljanja, register vlog in odgovornosti dodatno pojasnjuje pooblastila in odgovornosti znotraj ISMS ter zagotavlja, da vsak udeleženec – od najvišjega vodstva in vodje ISMS do ponudnikov storitev tretjih oseb – razume svojo funkcijo ter medsebojne odvisnosti in eskalacijske poti. Z vzdrževanjem registra vlog in odgovornosti ter uveljavljanjem ločevanja dolžnosti (SoD) politika zagotavlja, da so vse dejavnosti ISMS formalno dodeljene, v celoti sledljive in periodično pregledane za potrebe presoje. Izrecno je zahtevana medorganizacijska integracija z IT, pravom in skladnostjo ter človeškimi viri (HR), politika pa opredeljuje tako notranje kot zunanje izvajane strukture upravljanja. Politika nadzora dostopa določa obvezna načela za uporabniški in sistemski dostop v vseh okoljih, s poudarkom na nadzoru dostopa na podlagi vlog (RBAC), upravljanju življenjskega cikla dostopov, odobritvenih delovnih tokovih, zaščiti privilegiranih računov in avtentikaciji, vse podprto s periodičnimi pregledi pravic dostopa. Politika je tesno integrirana z uvajanjem dobaviteljev ter postopkom izstopa, robustnimi verigami odobritev in avtomatiziranimi kontrolami, kjer je to mogoče. Izpolnjuje ne le zahteve ISO/IEC 27001 in NIST, temveč tudi celovite zakonske obveznosti v okviru GDPR in sektorskih okvirov. Vključeni so strogo uveljavljanje, revizijsko usmerjeno vodenje zapisov ter mehanizem za prijavo nepravilnosti pri kršitvah. Odpornost podjetja zagotavlja P05 Politika upravljanja sprememb. Uvaja disciplinirane kontrole na podlagi tveganj za vse tehnološke in procesne spremembe: standardna sprememba, normalna sprememba ali nujna sprememba. Proces zahteva podrobno dokumentacijo zahtevka za spremembo, obvezni svetovalni odbor za spremembe in pregled za normalne in večje spremembe, testiranje pred implementacijo, dokumentirane načrte povrnitve in pregled po implementaciji. Stroge kontrole preprečujejo nepooblaščene/nenačrtovane spremembe, uveljavljajo sisteme za nadzor različic in zagotavljajo, da so vsi koraki – začetek, odobritev, izvedba – ločeni. Ta sistematični pristop zmanjšuje tveganje nenačrtovanih izpadov, nepooblaščenih sprememb ali kršitev skladnosti ter podpira revizijsko sled. Obvladovanje tveganj je operacionalizirano s ponovljivim, metodološkim procesom za identifikacijo tveganj, analizo tveganj, obravnavo tveganj in spremljanje tveganj v skladu z ISO/IEC 27001, klavzulo 6.1, ISO/IEC 27005 in ISO 31000. Vse dejavnosti so dokumentirane v centraliziranem registru tveganj in navzkrižno povezane z izjavo o uporabnosti (SoA) za jasno sledljivost do kontrol in ukrepov obravnave. Pristop zagotavlja, da je apetit po tveganju določen na ravni najvišjega vodstva ter da so vsa pomembna tveganja ustrezno eskalirana, obravnavana ali sprejeta s popolno dokumentacijo in periodičnim pregledom. Politika dodatno določa integracijo z ugotovitvami presoje, odzivom na incidente in strateškimi organizacijskimi odločitvami. Nazadnje Politika varnostnega kopiranja in obnovitve zagotavlja neprekinjenost in odpornost podatkov, z zahtevo po šifriranih varnostnih kopijah po urniku, testiranju obnovitve, redundanci izven lokacije/v oblaku ter varnem ravnanju z mediji, vse v skladu z regulativnimi zahtevami in ocenami vpliva na poslovanje. Cilji Recovery Time in Recovery Point (RTO/RPO) so dokumentirani po sistemih. Testiranje obnovitve se izvaja redno, odpovedi varnostnih kopij se beležijo in eskalirajo, izjeme pa se ocenijo na podlagi tveganj in strogo nadzorujejo. Politika se razširi tudi na ponudnike varnostnega kopiranja tretjih oseb, z zahtevo po pogodbenih, tehničnih in skladnostnih varovalnih ukrepih. Zahtevana je hramba dokazov za presojo in preiskavo, povezava s širšimi načrti odzivanja na incidente pa je izrecno opisana. Skupaj te politike tvorijo celovit, za velika podjetja pripravljen »ISMS začetni komplet«, primeren za organizacije, ki iščejo certifikacijo, skladnost s predpisi in operativno odpornost. Vsak dokument je v sistemih za nadzor različic, ima cikle pregledov ter vključuje klavzule uveljavljanja in eskalacije za neskladnost tretjih oseb in notranjo neskladnost, hkrati pa podpira integrirano pripravljenost na revizijo skozi celoten življenjski cikel ISMS.