Izrada sigurnosne politike

Sigurnosna politika koja se stvarno provodi

Sigurnosna politika je krovni dokument informacijske sigurnosti: određuje što štitite, tko je za što odgovoran i koja pravila vrijede za pristup, lozinke, backup, rad na daljinu, dobavljače i incidente. U Zadar ICT d.o.o. izrađujemo je po mjeri vaše tvrtke, zajedno s pratećim politikama i procedurama, tako da opisuje vaše stvarne sustave i ljude, a ne tuđi predložak.

Zašto vam treba sigurnosna politika

ISO/IEC 27001 u točki 5.2 traži da najviše vodstvo uspostavi politiku informacijske sigurnosti, a kontrola A.5.1 da se politike definiraju, odobre i redovito preispituju. NIS2 direktiva i hrvatski Zakon o kibernetičkoj sigurnosti (NN 84/24) s Uredbom (NN 135/24) politike sigurnosti informacijskih sustava svrstavaju među obvezne mjere za ključne i važne subjekte. I kad propis ne obvezuje izravno, politiku sve češće traže klijenti u sigurnosnim upitnicima i osiguravatelji kod ugovaranja kibernetičkih polica. A kad se dogodi incident, upravo politika određuje tko što radi, umjesto improvizacije u panici. Više o samoj temi pišemo u članku o sigurnosnoj politici.

Što dobivate

  • Krovna sigurnosna politika. Dokument uprave usklađen sa strukturom ISO 27001 i zahtjevima ZKS-a, kratak i razumljiv, s jasnim opsegom i odgovornostima.
  • Prateće politike. Kontrola pristupa, lozinke i autentikacija, backup, rad na daljinu i vlastiti uređaji, odnosi s dobavljačima, prihvatljivo korištenje opreme i odgovor na incidente.
  • Procedure i zaduženja. Za svako pravilo jasno je tko ga odobrava, tko provodi i tko o njemu izvještava upravu, pa politika ne ostaje mrtvo slovo.
  • Edukacija i provjera svjesnosti. Zaposlenike educiramo, a poznavanje politike provjeravamo i dokumentiramo kroz Portal svjesnosti, točno onako kako to traže točka 7.3 i kontrola A.6.3.
  • Godišnja revizija. Politiku pregledavamo i ažuriramo jednom godišnje te nakon većih promjena, s dokumentiranim zapisom revizije za audit.

Kako radimo

  • Snimka stanja i rizika. Kroz razgovor i procjenu rizika utvrđujemo što stvarno imate, što je najranjivije i što propisi od vas traže.
  • Nacrt politika. Pišemo dokumente prilagođene vašim sustavima i načinu rada, bez generičkih pravila koja se kod vas ne mogu provesti.
  • Usklađivanje s upravom. Radionica na kojoj se pravila prilagođavaju praksi i potvrđuju odgovornosti, jer politiku donosi uprava, a ne IT.
  • Usvajanje i edukacija. Politika se objavljuje, zaposlenici prolaze edukaciju i evidentiranu provjeru znanja.
  • Revizija i održavanje. Jednom godišnje ili nakon veće promjene politiku pregledavamo, ažuriramo i ponovno provjeravamo svjesnost.

Cijena i trajanje

Cijena ovisi o veličini tvrtke, broju sustava i tome koliko pratećih politika trebate. Nakon kratkog razgovora šaljemo fiksnu ponudu, a za manje tvrtke posao od snimke stanja do usvojene politike obično traje dva do tri tjedna. Ako planirate certifikaciju, politike izrađujemo tako da se bez prerade uklapaju u implementaciju ISO 27001.

Često postavljana pitanja

Što je sigurnosna politika?

Krovni dokument kojim uprava propisuje kako se u tvrtki štite informacije: što se štiti, tko je za što odgovoran i koja pravila vrijede za pristup, lozinke, backup, rad na daljinu, dobavljače i incidente. Detalji se razrađuju u pratećim politikama i procedurama.

Je li sigurnosna politika zakonski obvezna?

Za ključne i važne subjekte po Zakonu o kibernetičkoj sigurnosti politike sigurnosti informacijskih sustava među obveznim su mjerama. Za ostale tvrtke obveza dolazi posredno: GDPR traži organizacijske mjere zaštite podataka, a sve više klijenata i osiguravatelja politiku traži kao uvjet suradnje.

Trebamo li ISO 27001 certifikat da bismo imali sigurnosnu politiku?

Ne. Politika ima smisla i samostalno, jer uređuje stvarna pravila zaštite. Ako kasnije krenete prema certifikaciji, politika izrađena po strukturi ISO 27001 već je usklađena, pa certifikacijski projekt kreće s gotovim temeljem.

Koliko često se sigurnosna politika ažurira?

Najmanje jednom godišnje te nakon svake veće promjene: novi sustavi, novi način rada, ozbiljan incident ili novi propis. Politika koja se ne održava brzo prestane opisivati stvarnost i na auditu radi više štete nego koristi.

Kako dokazati da zaposlenici politiku poznaju?

Potpis na listi nije dokaz znanja. Norme i auditori traže evidentiranu provjeru svjesnosti, a nju najlakše provodite kroz naš Portal svjesnosti: ispiti se izrađuju iz vaših politika, rezultati se evidentiraju, a potvrde i Excel evidencija spremni su za auditora.

Politika vam je zastarjela ili je uopće nemate?

Zatražite izradu sigurnosne politike


Vrati se na vrh
Sigurni sustavi za poslovanje bez zastoja. Vaš partner koji sagledava cijelu sliku i uvodi red u sigurnost, infrastrukturu i procese.
Kontakt podatci
Zapratite nas za najnovije vijesti i tehnologije