Zákony a předpisy upravující kybernetickou bezpečnost
Požadavky na absolvování
5. Systém řízení bezpečnosti informací
5.7. Řízení kontinuity činností
Řízení kontinuity činností (Business Continuity Management - BCM) představuje proces spočívající identifikaci klíčových prvků (systémů a procesů) v organizaci a následném nastavení procesů a postupů umožňujících zajištění kontinuity či obnovy těchto prvků, na předem definované úrovni, na které bude ještě možno plnit základní úlohy organizace.
V případě řízení kontinuity činností je třeba provést hodnocení rizik a analýzu stávajících informačních a komunikačních systémů a služeb a na základě takto získaných dat stanovit:
- minimální úroveň poskytovaných služeb, která je přijatelná pro užívání, provoz a správu informačního a komunikačního systému,
- dobu obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb informačního a komunikačního systému,
- bod obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání.
Povinná osoba dále v rámci řízení kontinuity činností:
- stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role,
- pomocí hodnocení rizik a analýzy dopadů vyhodnotí a dokumentuje možné dopady kybernetických bezpečnostních incidentů a posoudí možná rizika související s ohrožením kontinuity činností,
- stanoví politiku řízení kontinuity činností,
- vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a havarijní plány související s provozováním informačního a komunikačního systému a souvisejících služeb,
- realizuje opatření pro zvýšení odolnosti informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům a omezením dostupnosti.