Zákony a předpisy upravující kybernetickou bezpečnost

Subjekty jsou povinny v rámci ISMS dbát i na bezpečnost lidských zdrojů, jakožto jednoho z aktiv. Jak již bylo uvedeno dříve, člověk bývá zpravidla oním nejslabším článkem v rámci kybernetické bezpečnosti. Zejména jsou tytop subjekty povinny:

• stanovit plán rozvoje bezpečnostního povědomí s cílem zajistit odpovídající vzdělávání a zlepšování bezpečnostního povědomí,
  • tento plán obsahuje formu, obsah a rozsah
  • poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice,
  • potřebných teoretických i praktických školení uživatelů, administrátorů a osob zastávajících bezpečnostní role.
• určit osoby odpovědné za realizaci jednotlivých činností uvedených v plánu,
• zajistit poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení,
• pro osoby zastávající bezpečnostní role zajistit pravidelná odborná školení,
• zajistit pravidelné školení a ověřování bezpečnostního povědomí zaměstnanců v souladu s jejich pracovní náplní,
• zajistit kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role,
• v případě ukončení smluvního vztahu s administrátory a osobami zastávajícími bezpečnostní role zajistit předání odpovědností,
• hodnotit účinnost plánu rozvoje bezpečnostního povědomí, provedených školení a dalších činností spojených se zlepšováním bezpečnostního povědomí,
• určit pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role.

O výše uvedených školeních je povinnost vést přehledy, které obsahují předmět školení a seznam osob, které školení absolvovaly.