Uvod
Slovenskim organizacijam se izteka čas za prilagoditev Zakonu o informacijski varnosti. Do junija 2026 morajo urediti celovito dokumentacijo kibernetske varnosti, vendar večina še vedno nima jasnega načrta. Posledice nepripravljenosti so lahko katastrofalne – od visokih glob do popolne ustavitve poslovanja.
Ključne točke:
- ZInfV-1 zahteva celovito dokumentacijo varnostnih politik do junija 2026
- Organizacije potrebujejo hierarhično strukturo politik od splošnih do specifičnih
- Uspešna implementacija zahteva aktivno vključenost vodstva in jasne odgovornosti
- Politike morajo biti živi dokumenti, ki se redno posodabljajo
- Najpogostejše napake so preveč splošne politike in pomanjkljivo usposabljanje
Kazalo vsebine:
- Temelji politik kibernetske varnosti v Sloveniji
- Tehnični in pravni vidiki dokumentacije
- Odgovornost vodstva in upravljanje
- Praktična implementacija in vzdrževanje
- Pogoste napake pri oblikovanju politik
- Pogosti zmoti in napačne interpretacije pri prehodu na ZInfV-1
Ta vodnik je namenjen vodjem IT, CISO-jem in odgovornim osebam za skladnost, ki morajo vzpostaviti ali posodobiti politike kibernetske varnosti. Posebej aktualno je to za organizacije, ki spadajo pod zakon o informacijski varnosti (ZInfV-1) in morajo do konca leta 2026 urediti svojo dokumentacijo.
Po branju boste razumeli zakaj so formalne politike ključne za učinkovito varnost, katere dokumente potrebuje vsaka organizacija, kako strukturirati politike za praktično uporabo in kakšen je proces vzdrževanja ter posodabljanja dokumentacije. Regulatorno okolje se hitro zaostruje, kar organizacije prisili k pregledu svojih varnostnih politik.
ZInfV-1, ki je začel veljati junija 2025, je postavil jasne zahteve za dokumentacijo varnostnih ukrepov. Do 19. junija 2026 morajo obstoječi zavezanci prilagoditi svoje politike, novi zavezanci pa imajo čas do decembra 2026. Večina organizacij se znajde v situaciji, kjer imajo tehnične varnostne ukrepe, vendar jim manjka formalna dokumentacija.
IT ekipe poznajo svoje sisteme in postopke, vendar ti niso zapisani na način, ki bi ustrezal regulatornim zahtevam ali omogočal konsistentno izvajanje. Problem se še posebej pokaže pri revizijah ali incidentih, ko je potrebno hitro dokazati, kaj je bilo storjeno in zakaj. Pomanjkanje jasnih politik povzroča operativne težave, saj zaposleni ne vedo, kako ravnati v specifičnih situacijah, odgovornosti niso jasno razdeljene in varnostni ukrepi se izvajajo nesistematično.
Organizacije morajo najprej urediti inventar vseh sistemov in podatkov, ki jih obdelujejo, določitev odgovorne osebe za informacijsko varnost, oceno tveganj za kritične procese in sisteme, osnovne varnostne politike za dostop in ravnanje s podatki ter plan odzivanja na varnostne incidente. Ključno je razumeti, da gre pri politikah za žive dokumente, ki morajo odražati dejansko stanje in prakse v organizaciji.
Temelji politik kibernetske varnosti v Sloveniji
Politike in dokumentacija za kibernetsko varnost predstavljajo temelj skladnosti z zakonodajo in zaščito pred kibernetskimi grožnjami. V slovenskem prostoru se organizacije soočajo z zahtevami GDPR, Zakona o informacijski varnosti in sektorskih direktiv EU. Ta kombinacija ustvarja kompleksno regulatorno okolje, ki zahteva sistematičen pristop k dokumentaciji.
Zakonski okvir in regulativne zahteve
Slovenski pravni okvir temelji na kombinaciji evropskih direktiv in nacionalne zakonodaje. GDPR zahteva dokumentiranje vseh dejavnosti obdelave osebnih podatkov, medtem ko Zakon o informacijski varnosti pokriva širši spekter varnostnih ukrepov. Organizacije v kritičnih sektorjih se morajo dodatno prilagoditi NIS direktivi, kar pomeni trojno breme dokumentacije.
Sektorske zahteve se razlikujejo glede na dejavnost in velikost organizacije. Finančne institucije sledijo dodatnim smernicam Banke Slovenije, ki vključujejo specifične zahteve za upravljanje operativnih tveganj in kontinuiteto poslovanja. Zdravstvene ustanove pa morajo upoštevati specifične zahteve za medicinske podatke, vključno z zahtevami za anonimizacijo in psevdonimizacijo.
Kompleksnost dokumentacije se povečuje z velikostjo organizacije in obsegom obdelave podatkov. Podrobnejši pregled sektorskih zahtev pokaže, da manjše organizacije potrebujejo vsaj pet temeljnih dokumentov, medtem ko večje korporacije lahko potrebujejo več kot trideset različnih politik in postopkov.
Struktura celovite varnostne politike
Uspešna varnostna politika sledi hierarhični strukturi dokumentov, ki omogoča jasno razdelitev odgovornosti in učinkovito upravljanje. Na vrhu je glavna varnostna politika, ki določa strateške usmeritve in temeljne principe organizacije. Ta dokument mora biti dovolj splošen, da ostane aktualen kljub tehnološkim spremembam, vendar dovolj konkreten, da omogoča praktično uporabo.
Pod glavno politiko so specifične politike za posamezna področja, kot so upravljanje dostopov, varnostno ozaveščanje, odzivanje na incidente, upravljanje dobaviteljev in fizična varnost. Vsaka od teh politik mora biti povezana z glavno politiko in med seboj usklajene. Pomembno je, da se politike ne prekrivajo ali nasprotujejo, kar lahko povzroči zmedo pri implementaciji.
Ključni element je povezovanje s poslovnimi procesi. Politike ne smejo biti ločene od vsakodnevnega delovanja, temveč morajo podpirati doseganje poslovnih ciljev. To pomeni, da mora vsaka politika jasno opredeliti, kako prispeva k poslovni uspešnosti in zakaj je pomembna za organizacijo. Primer dobre prakse je opredelitev vlog in odgovornosti za vsak poslovni proces posebej, vključno z eskalacijskimi postopki in merili uspešnosti.
Prilagajanje specifičnostim slovenskega trga
Slovenske organizacije se pogosto soočajo z izzivom prilagajanja mednarodnih standardov lokalnemu okolju. Večina slovenskih podjetij spada med mala in srednja podjetja, kar zahteva pragmatičen pristop k dokumentaciji. Kompleksne politike velikih korporacij niso primerne za organizacije s 50 zaposlenimi, saj lahko povzročijo administrativno breme, ki presega koristi.
Jezikovni vidik je prav tako pomemben pri pripravi dokumentacije. Smernice pristojnih organov priporočajo dokumentacijo v slovenščini za lažje razumevanje zaposlenih in zmanjšanje tveganja napačne interpretacije. Mnoge organizacije kombinirajo slovenske politike za interno uporabo z angleškimi verzijami za mednarodne partnerje in revizorje.
Kulturni vidik slovenskega poslovnega okolja vpliva na sprejemanje varnostnih politik. Tradicionalno hierarhične organizacije potrebujejo drugačen pristop kot sodobna start-up podjetja. Raziskave o organizacijski kulturi kažejo, da je uspešnost implementacije politik močno odvisna od načina komunikacije in vključevanja zaposlenih v proces priprave.
Tehnični in pravni vidiki dokumentacije
Dokumentacija mora zadostiti tako tehničnim standardom kot pravnim zahtevam, kar predstavlja enega največjih izzivov za organizacije. To vključuje obvezno dokumentacijo po GDPR, implementacijo tehničnih standardov in sistematično dokumentiranje incidentov. Ključno je razumevanje, da se tehnični in pravni vidiki medsebojno dopolnjujejo in ne smejo biti obravnavani ločeno.
Obvezna dokumentacija po GDPR
Register dejavnosti obdelave predstavlja osnovo GDPR skladnosti in hkrati temelj za tehnično implementacijo varnostnih ukrepov. Vsaka organizacija mora voditi natančen pregled vseh obdelav osebnih podatkov, vključno z nameni, kategorijami podatkov, pravnimi podlagami, roki hrambe in tehničnimi varnostnimi ukrepi. V praksi to pomeni sistematičen popis vseh IT sistemov in poslovnih procesov, kar lahko traja več mesecev za večje organizacije.
Ocene učinka na varstvo podatkov so potrebne pri tveganih obdelavah, ki lahko povzročijo visoko tveganje za pravice posameznikov. Tipičen primer je uvedba novega CRM sistema, video nadzora ali sistemov za avtomatsko odločanje. Te ocene morajo vključevati tehnično analizo varnostnih ukrepov in pravno oceno sorazmernosti obdelave.
Dokumentiranje mora biti kontinuiran proces, ne enkratna aktivnost ob uvedbi GDPR. Vsaka sprememba v IT infrastrukturi ali poslovnih procesih lahko vpliva na obdelavo osebnih podatkov in zahteva posodobitev dokumentacije. To vključuje tudi dokumentiranje varnostnih incidentov in ukrepov za njihovo preprečevanje.
Tehnični standardi in certifikacije
ISO 27001 standard predstavlja mednarodno priznano osnovo za upravljanje informacijske varnosti in je postal de facto standard za organizacije, ki želijo dokazati svojo zavezanost varnosti. V Sloveniji ima certifikat približno 200 organizacij, predvsem iz finančnega, IT in javnega sektorja. Standard zahteva sistematičen pristop k upravljanju tveganj, kontinuirnemu izboljševanju in rednim notranjim revizijam.
NIST okvir ponuja alternativni pristop, ki je priljubljen predvsem v javnem sektorju in organizacijah, ki sodelujejo z ameriškimi partnerji. Okvir temelji na petih osnovnih funkcijah: identifikacija, zaščita, odkrivanje, odzivanje in obnovitev. Ta pristop omogoča bolj fleksibilno implementacijo in lažje prilagajanje specifičnim potrebam organizacije.
Kombinacija obeh pristopov omogoča celovito pokritje varnostnih zahtev in lažje izpolnjevanje različnih regulatornih obveznosti. Organizacije pogosto začnejo z NIST okvirom za oceno trenutnega stanja in nato implementirajo ISO 27001 za formalno certifikacijo. Primerjava standardov pokaže, da je ta hibridni pristop najbolj učinkovit za slovenske organizacije.
Dokumentiranje tehničnih ukrepov mora vključevati ne le opis implementiranih rešitev, temveč tudi utemeljitev izbire, pričakovane učinke in načine merjenja uspešnosti. To omogoča lažje vzdrževanje in posodabljanje sistemov ter dokazovanje učinkovitosti pred regulatorji.
Odgovornost vodstva in upravljanje
Uspešna implementacija politik zahteva aktivno vključenost vodstva in jasno organizacijsko strukturo. Brez podpore vodstva tudi najboljše politike ostanejo le papir, saj zaposleni ne dobijo potrebnih virov in pooblastil za njihovo izvajanje. Uprava mora prevzeti odgovornost za strateške odločitve, medtem ko operativno izvajanje poteka preko specializiranih vlog.
Vloga uprave pri oblikovanju politik
Raziskave kažejo, da je v približno 70% slovenskih organizacij vodstvo aktivno vključeno v odločitve o kibernetski varnosti, vendar pogosto le na površinski ravni. To vključuje odobritev proračuna, imenovanje odgovorne osebe in redne preglede učinkovitosti, vendar manjka poglobljeno razumevanje poslovnih posledic varnostnih odločitev.
Uprava mora razumeti, da kibernetska varnost ni le tehnična zadeva, temveč strateška poslovna funkcija, ki vpliva na konkurenčnost, ugled in dolgoročno vzdržnost organizacije. To zahteva redne izobraževalne dejavnosti za člane uprave in vključevanje varnostnih vidikov v vse ključne poslovne odločitve.
Primer dobre prakse je mesečno poročanje o varnostnih kazalnikih na ravni uprave, ki vključuje ne le tehnične metrike, temveč tudi poslovne posledice varnostnih dogodkov in uspešnost preventivnih ukrepov. To omogoča hitro odzivanje na spremembe in zagotavlja kontinuirano podporo varnostnim iniciativam. Mnoge organizacije uporabljajo dashboard sistem za vizualizacijo ključnih metrik, ki omogoča hitro prepoznavanje trendov in problemov.
Organizacijska struktura za varnost
Pooblaščenec za varstvo podatkov (DPO) je obvezen za javne organe in organizacije, ki obsežno obdelujejo občutljive podatke ali sistematično spremljajo posameznike. V praksi to pomeni večino organizacij z več kot 100 zaposlenimi ali tistih, ki obdelujejo posebne kategorije osebnih podatkov. DPO mora imeti neodvisno pozicijo, neposreden dostop do vodstva in zadostno strokovno znanje.
Vloga DPO presega le izpolnjevanje GDPR zahtev in vključuje svetovanje pri vseh vidikih varstva podatkov, usposabljanje zaposlenih, sodelovanje z nadzornimi organi in spremljanje skladnosti. To zahteva kombinacijo pravnega, tehničnega in poslovnega znanja, kar je redko najti v eni osebi.
Manjše organizacije lahko funkcijo DPO zaupajo zunanjemu strokovnjaku, kar je pogosto stroškovno učinkovitejša rešitev, ki omogoča dostop do specializiranega znanja in izkušenj iz različnih sektorjev. Zunanje DPO storitve postajajo vse bolj priljubljene med slovenskimi MSP, vendar zahtevajo skrbno izbiro ponudnika in jasno opredelitev odgovornosti.
Poleg DPO potrebujejo organizacije tudi jasno opredeljene vloge za informacijsko varnost, ki vključujejo CISO ali odgovorno osebo za informacijsko varnost, administratorje sistemov, varnostne analitike in koordinatorje za odzivanje na incidente. Vsaka vloga mora imeti jasno opredeljene naloge, pooblastila in odgovornosti.
Praktična implementacija in vzdrževanje
Uspešna uvedba politik kibernetske varnosti zahteva sistematičen pristop, ki presega zgolj pripravo dokumentov. Organizacije se najpogosteje zataknejo pri prehodu iz teorije v prakso, ko morajo politike integrirati v vsakodnevno delovanje. Ključni izziv je zagotoviti, da politike niso le formalna obveznost, temveč dejansko orodje za izboljšanje varnosti.
Postopek uvedbe novih politik
Implementacija se začne z analizo trenutnega stanja varnostnih procesov, ki mora biti temeljita in objektivna. Mnoga podjetja odkrijejo, da imajo neformalne prakse, ki se razlikujejo od pisnih pravil ali celo nasprotujejo uradnim postopkom. V tej fazi je ključno dokumentirati dejanske postopke, ne le idealnih scenarijev, saj le tako lahko identificiramo resnične vrzeli in potrebe.
Priprava osnutkov zahteva sodelovanje različnih oddelkov in funkcij znotraj organizacije. IT oddelek pozna tehnične omejitve in možnosti, kadrovska služba razume organizacijske procese in kulturo, pravna služba pozna regulatorne zahteve, vodstvo pa določi sprejemljivo raven tveganja in razpoložljive vire. Povprečna organizacija potrebuje 6-8 tednov za pripravo celovitega nabora politik, če ima na voljo izkušeno ekipo.
Postopno uvajanje se je izkazalo za učinkovitejši pristop kot takojšnja implementacija vseh politik hkrati. Organizacije običajno začnejo s politikami za dostop do podatkov in sistemov, ker so te najlažje razumljive in imajo neposredne praktične posledice. Nato dodajo pravila za delo od doma in uporabo osebnih naprav, nazadnje pa specifične tehnične smernice za posamezne sisteme ali procese.
Komunikacija med implementacijo je kritična za uspeh. Zaposleni morajo razumeti ne le kaj morajo početi, temveč tudi zakaj so nova pravila potrebna in kako jim bodo koristila pri njihovem delu. To zahteva prilagojene komunikacijske pristope za različne skupine zaposlenih in redne povratne informacije o uspešnosti implementacije.
Redni pregled in posodabljanje
Politike kibernetske varnosti zastarajo hitreje kot druga organizacijska pravila zaradi hitre evolucije tehnologij, groženj in regulatornega okolja. Tehnološke spremembe, nova tveganja, spremembe v poslovanju in izkušnje iz preteklih incidentov zahtevajo redne prilagoditve dokumentacije. Večina strokovnjakov priporoča letni celovit pregled s trimesečnimi preveritvami aktualnosti ključnih politik.
Testiranje učinkovitosti vključuje preverjanje, ali zaposleni dejansko sledijo politikam in ali politike dosegajo zastavljene cilje. Simulacije phishing napadov, nenapovedane revizije dostopov, testiranje odzivnih časov pri incidentih in analize varnostnih dogodkov pokažejo resnično stanje implementacije. Organizacije pogosto odkrijejo razkorak med zapisanimi pravili in dejansko prakso, kar zahteva bodisi prilagoditev politik bodisi dodatno usposabljanje.
Proces rednega pregleda mora vključevati pregled sprememb v tehnološki infrastrukturi in njihov vpliv na varnostne politike. Uvedba novih sistemov, spremembe v omrežni arhitekturi ali migracija v oblak lahko zahtevajo obsežne prilagoditve obstoječih politik. Analiza novih tveganj in groženj mora temeljiti na aktualnih obveščevalnih podatkih in izkušnjah podobnih organizacij.
Preverjanje skladnosti z zakonodajo zahteva spremljanje sprememb v regulatornem okolju in njihovo interpretacijo v kontekstu specifične organizacije. Ocena učinkovitosti obstoječih kontrol mora vključevati kvantitativne in kvalitativne metrike, ki omogočajo objektivno presojo uspešnosti. Posodobitev na podlagi izkušenj zaposlenih je ključna za ohranjanje praktične uporabnosti politik.
Dokumentiranje sprememb mora vključevati razloge za spremembe, pričakovane učinke, odgovorne osebe in časovnico implementacije. To omogoča sledljivost odločitev, lažje prilagajanje v prihodnje in dokazovanje skrbnosti pred regulatorji ali revizorji.
Pogoste napake pri oblikovanju politik
Organizacije se pri oblikovanju politik kibernetske varnosti soočajo s podobnimi izzivi ne glede na velikost ali sektor delovanja. Prepoznavanje pogostih napak omogoča učinkovitejši pristop k pripravi in implementaciji ter prihrani čas in vire, ki bi bili sicer porabljeni za popravke.
Preveč splošne ali preveč specifične politike
Najčešja napaka je pripravljanje politik, ki so bodisi preširoke bodisi preozke za praktično uporabo. Preveč splošne politike ne nudijo konkretnih smernic za vsakodnevno delo in puščajo preveč prostora za interpretacijo. Zaposleni ne vedo, kako jih aplicirati na specifične situacije, kar vodi v nedosledno izvajanje in povečano tveganje.
Na drugi strani preveč specifične politike hitro zastarajo in ne pokrivajo novih scenarijev ali tehnologij. Politika, ki natančno predpisuje uporabo določene programske opreme ali specifičnih konfiguracij, postane nekoristna ob tehnološki nadgradnji ali spremembi dobavitelja. To povzroča stalno potrebo po posodabljanju in lahko vodi v situacije, kjer dejanska praksa ne ustreza zapisanim pravilom.
Učinkovite politike definirajo načela in cilje, ne pa specifičnih orodij ali postopkov. Namesto “prepovedana je uporaba osebnih naprav za dostop do službenih e-mailov” je bolje zapisati “osebne naprave se lahko uporabljajo za dostop do službenih virov po predhodni odobritvi IT oddelka in namestitvi zahtevanih varnostnih kontrol”. Ta pristop omogoča prilagajanje spreminjajočim se potrebam brez stalnega prepisovanja politik.
Uravnotežene politike vključujejo jasne smernice z možnostjo prilagajanja specifičnim situacijam. To zahteva skrbno načrtovanje strukture dokumentov in jasno razdelitev med splošnimi načeli, specifičnimi pravili in operativnimi postopki.
Pomanjkljiva komunikacija in usposabljanje
Raziskave kažejo, da manj kot 40% zaposlenih pozna varnostne politike svoje organizacije, kar predstavlja kritično varnostno vrzel. Glavni razlog je neustrezna komunikacija ob uvedbi novih pravil in pomanjkanje kontinuiranega usposabljanja. Organizacije pogosto pošljejo e-pošto z dokumentom in pričakujejo, da ga bodo zaposleni prebrali, razumeli in implementirali brez dodatne podpore.
Uspešni programi ozaveščanja vključujejo interaktivne delavnice, praktične primere iz vsakodnevnega dela, simulacije varnostnih scenarijev in redne opomnike o ključnih pravilih. Uradne smernice priporočajo kombinacijo različnih komunikacijskih kanalov in pristopov, prilagojenih različnim skupinam zaposlenih glede na njihove vloge in tehnično znanje.
Pomanjkanje praktičnih primerov je dodatna ovira za razumevanje in implementacijo politik. Zaposleni potrebujejo konkretne scenarije, ki jim pomagajo aplicirati splošna pravila na njihovo specifično delovno okolje. Redko osvežavanje znanja povzroči, da se politike pozabijo, napačno interpretirajo ali ignorirajo zaradi nezavedanja njihove pomembnosti.
Učinkovito usposabljanje mora biti kontinuiran proces, ne enkratna aktivnost. To vključuje redno testiranje znanja, posodobitve ob spremembah politik in prilagajanje novim grožnjam ali tehnologijam. Organizacije morajo tudi zagotoviti, da imajo novi zaposleni ustrezno uvajanje v varnostne politike kot del splošnega procesa onboarding-a.
Pogosti zmoti in napačne interpretacije pri prehodu na ZInfV-1
Prehod na zahteve Zakona o informacijski varnosti prinaša številne izzive, ki izhajajo iz napačnega razumevanja obsega in narave potrebnih sprememb. Organizacije pogosto podcenjujejo kompleksnost implementacije ali se osredotočajo na napačne vidike skladnosti.
Prva in najpogostejša napaka je podcenjevanje obsega potrebne dokumentacije. Mnoge organizacije mislijo, da zadošča nekaj osnovnih politik in postopkov, vendar ZInfV-1 zahteva celovit nabor dokumentov za vse kritične procese, sisteme in podatke. To vključuje ne le varnostne politike, temveč tudi operativne postopke, načrte kontinuitete, dokumentacijo o tveganjih in evidence vseh varnostnih dogodkov.
Druga pogosta napaka je kopiranje generičnih predlog brez ustrezne prilagoditve specifičnim potrebam organizacije. Politike morajo odražati dejanske procese, uporabljene tehnologije, organizacijsko strukturo in specifična tveganja posamezne organizacije. Neustrezno prilagojeni dokumenti ne zagotavljajo praktične uporabnosti in lahko celo povečajo tveganja zaradi neskladja med dokumentiranimi in dejanskimi postopki.
Mnoge organizacije zanemarjajo izobraževanje zaposlenih o novih politikah in postopkih, kar je kritična napaka. Najboljši dokumenti so neuporabni, če jih zaposleni ne poznajo, ne razumejo ali ne znajo implementirati v svoji vsakodnevni praksi. Redna usposabljanja, praktične vaje in kontinuirano ozaveščanje so ključni za uspešno implementacijo novih zahtev.
Četrta značilna napaka je pomanjkanje rednih pregledov in posodabljanja dokumentacije. Organizacije pogosto obravnavajo pripravo politik kot enkratno nalogo, vendar morajo biti politike živ dokument, ki se prilagaja spremembam v organizaciji, tehnološkem okolju in regulatornih zahtevah. Zastareli dokumenti predstavljajo tveganje za skladnost in lahko vodijo v nepotrebne težave pri revizijah ali incidentih.
Dodatna napaka je nerazumevanje vloge in odgovornosti različnih funkcij pri implementaciji ZInfV-1. Mnoge organizacije napačno predpostavljajo, da je to izključno naloga IT oddelka, vendar zahteva zakon interdisciplinarni pristop, ki vključuje vodstvo, pravno službo, kadrovske vire in vse ključne poslovne funkcije.
Naslednji koraki za pripravo
Za uspešno implementacijo ZInfV-1 priporočamo sistematičen pristop k pripravi dokumentacije. Začnite z izvedbo temeljite analize obstoječe dokumentacije in identificirajte vrzeli glede na zakonske zahteve. Ta analiza mora vključevati pregled vseh obstoječih politik, postopkov, tehničnih dokumentov in evidenc varnostnih dogodkov.
Določite odgovorne osebe za pripravo in vzdrževanje posameznih politik ter zagotovite, da imajo potrebno strokovno znanje in pooblastila. Pripravite realistično časovnico za dokončanje vseh potrebnih dokumentov do 19. junija 2026, pri čemer upoštevajte kompleksnost posameznih dokumentov in razpoložljive vire.
Načrtujte celovit program usposabljanj za zaposlene o novih politikah in postopkih, ki bo vključeval različne metode učenja in preverjanja znanja. Program mora biti prilagojen različnim skupinam zaposlenih in njihovim specifičnim vlogam pri implementaciji varnostnih ukrepov.
Potrebujete pomoč pri implementaciji ZInfV-1?
Pomagamo slovenskim podjetjem z GAP analizo za identifikacijo vrzeli v skladnosti z zakonskimi zahtevami, vCISO storitvijo za kontinuiren nadzor in strokovno usmerjanje ter pripravo celovite dokumentacije, ki vključuje politike, postopke in potrebne evidence.