5. Systém řízení bezpečnosti informací

5.3. Bezpečnostní politika

Bezpečnostní politikou rozumí soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv.

Bezpečnostní politiky standardně spočívá v tom, že určené subjekty s ohledem na systém řízení bezpečnosti informací jsou povinny:

a)      stanovit bezpečnostní politiku a vést bezpečnostní dokumentaci zahrnující oblasti  následující politiky:[1]

  • systému řízení bezpečnosti informací,
  • řízení aktiv,
  • organizační bezpečnosti,
  • řízení dodavatelů,
  • bezpečnosti lidských zdrojů,
  • řízení provozu a komunikací,
  • řízení přístupu,
  • bezpečného chování uživatelů,
  • zálohování a obnovy a dlouhodobého ukládání,
  • bezpečného předávání a výměny informací,
  • řízení technických zranitelností,
  • bezpečného používání mobilních zařízení,
  • akvizice, vývoje a údržby,
  • ochrany osobních údajů,
  • fyzické bezpečnosti,
  • bezpečnosti komunikační sítě,
  • ochrany před škodlivým kódem,
  • nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí,
  • bezpečného používání kryptografické ochrany,
  • řízení změn,
  • zvládání kybernetických bezpečnostních incidentů,
  • řízení kontinuity činností.

Dále je stanoven obsah bezpečnostní dokumentace, jež musí zahrnovat:

  • zprávu z auditu kybernetické bezpečnosti,
  • zprávu z přezkoumání systému řízení bezpečnosti informací,
  • metodiku pro identifikaci a hodnocení aktiv a pro hodnocení rizik,
  • zprávu o hodnocení aktiv a rizik,
  • prohlášení o aplikovatelnosti,
  • plán zvládání rizik,
  • plán rozvoje bezpečnostního povědomí,
  • evidenci změn,
  • hlášené kontaktní údaje,
  • přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků,
  • další doporučenou dokumentaci (např. topologii infrastruktury, přehled síťových zařízení).

b)      pravidelně přezkoumávat bezpečnostní politiku a bezpečnostní dokumentaci,

c)      zajistit, aby byla bezpečnostní politika a bezpečnostní dokumentace aktuální.

Bezpečnostní politika a bezpečnostní dokumentace musí být:

  • dostupná v listinné nebo elektronické podobě,
  • komunikována v rámci povinné osoby,
  • přiměřeně dostupná dotčeným stranám,
  • řízena,
  • chráněna z pohledu důvěrnosti, integrity a dostupnosti,
  • vedena tak, aby informace v nich obsažené byly úplné, čitelné, snadno identifikovatelné a snadno vyhledatelné.


[1] Blíže viz příloha č. 5 VoKB