Politika časovne sinhronizacije – SME

Ta politika časovne sinhronizacije (P23S) določa jasne, obvezne zahteve za konfiguriranje in vzdrževanje natančne časovne sinhronizacije na vseh organizacijskih sistemih, ki sodelujejo pri shranjevanju, prenosu ali obdelavi poslovno pomembnih podatkov. Kot politika za SME je P23S zasnovana posebej za organizacije s poenostavljenimi vlogami IT, kot sta generalni direktor in ponudnik IT podpore, hkrati pa dosega skladnost z ISO/IEC 27001:2022, GDPR, NIS2, DORA in drugimi okviri. Namen te politike je ohranjati celovitost dnevnikov sistemov, omogočiti natančno preiskavo incidentov ter zagotoviti zagovarljivost pri presojah z doslednim uveljavljanjem kontrol avtomatizirane časovne sinhronizacije. Zahteva, da se vsa IT sredstva podjetja, oddaljeni dostop in sistemi, gostovani v oblaku, vključno z uporabniškimi končnimi točkami, strežniki, požarnimi zidovi in platformami SaaS, opirajo na zaupanja vredne, kriptografsko zavarovane časovne vire (npr. avtenticirani strežniki NTP ali orodja ponudnika oblaka). Naprave se morajo sinhronizirati vsaj dvakrat dnevno in ostati znotraj določenih pragov (±5 sekund za delovne postaje; ±1 sekunda za strežnike in varnostne naprave). Časovna odstopanja zunaj pragov sprožijo samodejna opozorila in jih je treba nemudoma odpraviti, da se preprečijo grožnje sledljivosti podatkov ali regulativnemu položaju. Politika dodeljuje odgovornosti generalnemu direktorju, ponudniku IT podpore ter koordinatorju zasebnosti ali pooblaščencu za pravne in skladnostne zadeve. Generalni direktor nadzira in odobri politiko ali morebitne izjeme, medtem ko IT podpora konfigurira, spremlja in dokumentira status časovne sinhronizacije. Zaposlenim in pogodbenim izvajalcem je strogo prepovedano spreminjati nastavitve časa na napravah; morebitne težave s sinhronizacijo je treba takoj eskalirati. Redni pregledi zdravja sistemov in periodični pregledi pomagajo zagotavljati stalno skladnost, medtem ko sta upravljanje izjem in nadomestne kontrole skrbno upravljana in dokumentirana. Časovna sinhronizacija je izrecno povezana z drugimi ključnimi politikami za SME, vključno s politiko beleženja in spremljanja, politiko odzivanja na incidente (P30), varstvom in minimizacijo podatkov, upravljanjem sredstev in politiko varnosti dobaviteljev. Skupaj te politike zagotavljajo usklajeno pokritost in zagotavljajo, da so dnevniki, uporabljeni za skladnost, spremljanje varnosti ali odziv na kršitve, natančni tako po vsebini kot po časovnem žigu. Dokument poudarja strog postopek pregleda in posodobitve ter zahteva letno ponovno ocenjevanje s strani generalnega direktorja, IT in vlog zasebnosti, pri čemer posodobitve sprožijo tehnološke spremembe ali nove regulativne obveznosti. Ta celovit pristop SME omogoča upoštevanje varnostnih standardov na ravni velikih podjetij brez potrebe po kompleksnih, z viri intenzivnih strukturah nadzora.