Mini paket: ISMS začetni paket – SME

Mini paket: ISMS začetni paket – SME ponuja praktičen, celovit nabor politik kibernetske varnosti, namensko pripravljen za mala in srednje velika podjetja, ki želijo uskladitev z ISO/IEC 27001:2022. Ker SME pogosto nimajo namenskih notranjih ekip za IT, varnost ali skladnost, vsaka politika v tem paketu izrecno dodeli odgovornost in pooblastila poslovnim vlogam, kot so generalni direktor, vodje oddelkov in, kjer je to prisotno, določeno osebje ali zunanji ponudniki storitev tretjih oseb. Vse politike se sklicujejo na poenostavljeno ločevanje dolžnosti; delegiranje s strani generalnega direktorja je podprto, vendar sta revidirljivost in nadzor ves čas ohranjena za skladnost s klavzulo 5.3 ISO/IEC 27001. V ta začetni paket, osredotočen na SME, so vključene: Politika informacijske varnosti, Politika upravljanja vlog in odgovornosti, Politika nadzora dostopa, P05 Politika upravljanja sprememb, Politika obvladovanja tveganj in Politika varnostnega kopiranja in obnove. Vsak dokument pokriva ključne operativne in tehnološke nadzorne ukrepe skozi življenjski cikel informacij, od dodeljevanja dostopa uporabnikom in ocene tveganja do odobritev sprememb in neprekinjenega poslovanja. Skupne zahteve vključujejo vzdrževanje centralnih registrov (za dostop in tveganja), dokumentiranje vseh sprememb in delegiranj, zagotavljanje periodičnih pregledov politik ter uveljavljanje skladnosti z jasnimi posledicami za kršitve ali opustitve. Posebej pomemben je dosleden pristop: vsaka politika zahteva obvezni periodični pregled (letno ali po večjih spremembah), dokumentirano odobritev izjem ali incidentov s strani generalnega direktorja ter enostavno uporabnost tako za notranje osebje kot za ponudnike storitev tretjih oseb, zaradi česar so uveljavljive ne glede na velikost podjetja. Dejavnosti, kot so varnostne kopije sistemov, spremljanje tveganj, upoštevanje politike in upravljanje uporabniškega dostopa, so predpisane na način, združljiv z omejenimi notranjimi zmogljivostmi. Na primer, režimi varnostnega kopiranja in testiranje obnove so upravljani s strani ene odgovorne osebe (generalni direktor ali pooblaščenec), identifikacija tveganj pa se lahko izvaja z uporabo preprostih kontrolnih seznamov namesto naprednih orodij. Vse politike v tem paketu so preslikane na glavne globalne okvire in predpise, vključno z ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 in EU GDPR. Preslikava vključuje klavzule, kot so 5.1–5.3, 6.1, 8.1 za ISO/IEC 27001, relevantne kontrole za ISO/IEC 27002 (npr. kontrole 5.2, 5.15, 8.13) ter specifične člene v okviru GDPR in DORA. Te preslikave, skupaj s kontrolami v jasnem jeziku in procesi, prilagojenimi vlogam, zagotavljajo, da skladnost SME ni le dosegljiva, temveč tudi dokazljiva strankam, presojevalcem in regulatorjem. Politike so medsebojno navzkrižno referencirane; vsaka se povezuje na povezane dokumente znotraj paketa za povezano implementacijo sistema upravljanja informacijske varnosti (ISMS) v manjših organizacijah.