Zákony a předpisy upravující kybernetickou bezpečnost
Completion requirements
5. Systém řízení bezpečnosti informací
5.3. Bezpečnostní politika
Bezpečnostní politikou rozumí soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv.
Bezpečnostní politiky standardně spočívá v tom, že určené subjekty s ohledem na systém řízení bezpečnosti informací jsou povinny:
a) stanovit bezpečnostní politiku a vést bezpečnostní dokumentaci zahrnující oblasti následující politiky:[1]
- systému řízení bezpečnosti informací,
- řízení aktiv,
- organizační bezpečnosti,
- řízení dodavatelů,
- bezpečnosti lidských zdrojů,
- řízení provozu a komunikací,
- řízení přístupu,
- bezpečného chování uživatelů,
- zálohování a obnovy a dlouhodobého ukládání,
- bezpečného předávání a výměny informací,
- řízení technických zranitelností,
- bezpečného používání mobilních zařízení,
- akvizice, vývoje a údržby,
- ochrany osobních údajů,
- fyzické bezpečnosti,
- bezpečnosti komunikační sítě,
- ochrany před škodlivým kódem,
- nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí,
- bezpečného používání kryptografické ochrany,
- řízení změn,
- zvládání kybernetických bezpečnostních incidentů,
- řízení kontinuity činností.
Dále je stanoven obsah bezpečnostní dokumentace, jež musí zahrnovat:
- zprávu z auditu kybernetické bezpečnosti,
- zprávu z přezkoumání systému řízení bezpečnosti informací,
- metodiku pro identifikaci a hodnocení aktiv a pro hodnocení rizik,
- zprávu o hodnocení aktiv a rizik,
- prohlášení o aplikovatelnosti,
- plán zvládání rizik,
- plán rozvoje bezpečnostního povědomí,
- evidenci změn,
- hlášené kontaktní údaje,
- přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků,
- další doporučenou dokumentaci (např. topologii infrastruktury, přehled síťových zařízení).
b) pravidelně přezkoumávat bezpečnostní politiku a bezpečnostní dokumentaci,
c) zajistit, aby byla bezpečnostní politika a bezpečnostní dokumentace aktuální.
Bezpečnostní politika a bezpečnostní dokumentace musí být:
- dostupná v listinné nebo elektronické podobě,
- komunikována v rámci povinné osoby,
- přiměřeně dostupná dotčeným stranám,
- řízena,
- chráněna z pohledu důvěrnosti, integrity a dostupnosti,
- vedena tak, aby informace v nich obsažené byly úplné, čitelné, snadno identifikovatelné a snadno vyhledatelné.