Sigurnosna politika koja se stvarno provodi
Sigurnosna politika je krovni dokument informacijske sigurnosti: određuje što štitite, tko je za što odgovoran i koja pravila vrijede za pristup, lozinke, backup, rad na daljinu, dobavljače i incidente. U Zadar ICT d.o.o. izrađujemo je po mjeri vaše tvrtke, zajedno s pratećim politikama i procedurama, tako da opisuje vaše stvarne sustave i ljude, a ne tuđi predložak.
Zašto vam treba sigurnosna politika
ISO/IEC 27001 u točki 5.2 traži da najviše vodstvo uspostavi politiku informacijske sigurnosti, a kontrola A.5.1 da se politike definiraju, odobre i redovito preispituju. NIS2 direktiva i hrvatski Zakon o kibernetičkoj sigurnosti (NN 84/24) s Uredbom (NN 135/24) politike sigurnosti informacijskih sustava svrstavaju među obvezne mjere za ključne i važne subjekte. I kad propis ne obvezuje izravno, politiku sve češće traže klijenti u sigurnosnim upitnicima i osiguravatelji kod ugovaranja kibernetičkih polica. A kad se dogodi incident, upravo politika određuje tko što radi, umjesto improvizacije u panici. Više o samoj temi pišemo u članku o sigurnosnoj politici.
Što dobivate
Kako radimo
Cijena i trajanje
Cijena ovisi o veličini tvrtke, broju sustava i tome koliko pratećih politika trebate. Nakon kratkog razgovora šaljemo fiksnu ponudu, a za manje tvrtke posao od snimke stanja do usvojene politike obično traje dva do tri tjedna. Ako planirate certifikaciju, politike izrađujemo tako da se bez prerade uklapaju u implementaciju ISO 27001.
Često postavljana pitanja
Što je sigurnosna politika?
Krovni dokument kojim uprava propisuje kako se u tvrtki štite informacije: što se štiti, tko je za što odgovoran i koja pravila vrijede za pristup, lozinke, backup, rad na daljinu, dobavljače i incidente. Detalji se razrađuju u pratećim politikama i procedurama.
Je li sigurnosna politika zakonski obvezna?
Za ključne i važne subjekte po Zakonu o kibernetičkoj sigurnosti politike sigurnosti informacijskih sustava među obveznim su mjerama. Za ostale tvrtke obveza dolazi posredno: GDPR traži organizacijske mjere zaštite podataka, a sve više klijenata i osiguravatelja politiku traži kao uvjet suradnje.
Trebamo li ISO 27001 certifikat da bismo imali sigurnosnu politiku?
Ne. Politika ima smisla i samostalno, jer uređuje stvarna pravila zaštite. Ako kasnije krenete prema certifikaciji, politika izrađena po strukturi ISO 27001 već je usklađena, pa certifikacijski projekt kreće s gotovim temeljem.
Koliko često se sigurnosna politika ažurira?
Najmanje jednom godišnje te nakon svake veće promjene: novi sustavi, novi način rada, ozbiljan incident ili novi propis. Politika koja se ne održava brzo prestane opisivati stvarnost i na auditu radi više štete nego koristi.
Kako dokazati da zaposlenici politiku poznaju?
Potpis na listi nije dokaz znanja. Norme i auditori traže evidentiranu provjeru svjesnosti, a nju najlakše provodite kroz naš Portal svjesnosti: ispiti se izrađuju iz vaših politika, rezultati se evidentiraju, a potvrde i Excel evidencija spremni su za auditora.
Politika vam je zastarjela ili je uopće nemate?
Zatražite izradu sigurnosne politike


