Bezpečnost lidských zdrojů
8.1 Před vznikem pracovního vztahu9
Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby
pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu
nebo zneužití prostředků organizace.
Odpovědnosti za bezpečnost by měly být zohledněny v rámci přijímacího řízení, měly by být
zahrnuty v pracovních smlouvách a popisech práce.
Potenciální uchazeči by měli být náležitě prověřeni, zejména v případě citlivých pracovních
míst.
Všichni zaměstnanci, smluvní a třetí strany, využívající zařízení organizace pro zpracování
informací, by měli podepsat dohodu odpovídající jejich rolím a povinnostem.
8.1.1 Role a odpovědnosti
Opatření
Role a odpovědnosti zaměstnanců, smluvních a třetích stran v oblasti bezpečnosti informací by měly
být stanoveny a zdokumentovány v souladu s bezpečnostní politikou organizace.
Doporučení k realizaci
Role a odpovědnosti v oblasti bezpečnosti informací by měly zahrnovat:
a) požadavek na realizaci a dodržování zásad v souladu s bezpečnostní politikou organizace
(viz 5.1);
b) požadavek na ochranu aktiv před neautorizovaným přístupem, prozrazením, modifikací,
zničením nebo narušením;
c) požadavek na vykonávání určitých bezpečnostních postupů nebo činností;
d) požadavek na určení jednoznačné odpovědnosti za provedené činnosti;
e) požadavek hlásit bezpečnostní události nebo jiná bezpečnostní rizika.
V rámci přijímacího řízení by zájemcům o práci měly být jasně sděleny role a odpovědnosti
spojené s místem o které se ucházejí.
Další informace
Popisy pracovních míst mohou být použity k doložení pracovních rolí a odpovědností v oblasti
bezpečnosti informací. Role a odpovědnosti jedinců, kteří nejsou zaměstnanci organizace
(například zaměstnanci třetích stran) by měly být jasně stanoveny a tito by měli být s nimi
seznámeni.
8.1.2 Prověrka
Opatření
Všichni uchazeči o zaměstnání, smluvní a třetí strany by měly být prověřeni dle platných
zákonů, předpisů a v souladu s etikou. Prověření by měla být prováděna na základě požadavků
stanovených organizací, dále s ohledem na klasifikaci informací, ke kterým by měli získat
přístup, ale také z hlediska jejich spolehlivosti10 a potenciálních rizik. Doporučení k realizaci
Při prověřování by měl být brán zřetel na dodržení soukromí a ochranu osobních dat11
a související legislativu12.
Tam, kde je to povoleno, měly by být prověrky prováděny na základě:
a) dostupnosti dvou dostatečných referencí, například profesní a osobní;
b) kontroly životopisu uchazeče (s ohledem na úplnost a přesnost);
c) ověření proklamovaného vzdělání a odborné kvalifikace;
d) nezávislého ověření totožnosti (dalším dokladem, například cestovním pasem);
e) detailnějšího prověření, jako například výpisu z trestního rejstříku, finanční situace, atd..
Tam, kde práce, pracovní pozice vyžaduje přístup k prostředkům zpracovávajícím zejména citlivé
informace (finanční nebo vysoce důvěrné), by organizace měla provést také detailnější prověrky
spolehlivosti.
Měly by být stanoveny přesné postupy vymezující kritéria a omezení, např. kdo a jak je
oprávněn prověrky provádět, kdy a jakým způsobem by měly prověrky probíhat.
Podobné prověrky by měly být provedeny také u externích pracovníků a pracovníků třetích
stran. Tam, kde jsou smluvní strany zajišťovány agenturou, by smlouva s agenturou měla jasně
specifikovat odpovědnost agentury za prověrky a také způsob, jakým agentura upozorní
organizaci na skutečnost, že prověrka nebyla dokončena nebo že její výsledky vzbuzují
podezření či pochybnosti. Obdobným způsobem by také dohody uzavřené se třetími stranami
(viz také 6.2.3) měly jasně specifikovat veškeré odpovědnosti a povinnosti ve vztahu
k prověrkám.
S informacemi o všech uchazečích (potenciální zaměstnanci, smluvní a třetí strany), které jsou
získány v rámci prověrek by mělo být nakládáno v souladu s existujícími právními normami.
Pokud to zákon vyžaduje, měly by být uchazeči informováni o tom, že budou prověřováni.
8.1.3 Podmínky výkonu pracovní činnosti
Opatření
Pracovní smlouvy uzavřené se zaměstnanci, smluvními a třetími stranami by měly obsahovat
ustanovení o jejich odpovědnostech za bezpečnost informací.
Doporučení k realizaci
Pracovní smlouvy by měly být v souladu s bezpečnostní politiku organizace a mimo to také
upřesňovat a obsahovat následující:
a) všichni zaměstnanci, smluvní a třetí strany by měli, předtím než je jim umožněn přístup
k citlivým informacím a zařízení pro zpracování informací, podepsat smlouvu o ochraně
informací nebo o zachování mlčenlivosti;
b) práva a právní odpovědnost zaměstnanců, smluvních stran a ostatních uživatelů
(například ve vztahu k autorskému zákonu nebo zákonu na ochranu osobních údajů);
c) odpovědnost za klasifikaci a správu aktiv spojených s informačním systémem
a službami zaměstnavatele (viz také 7.2.1 a 10.7.3);
d) odpovědnosti zaměstnanců, smluvních a třetích stran pro nakládaní s informacemi
obdrženými od jiných společností a zúčastněných stran;
e) odpovědnosti organizace při nakládání s osobními údaji, včetně těch údajů, které byly
vytvořeny v průběhu pracovního poměru;
f) rozšíření odpovědností i mimo objekt organizace a mimo normální pracovní dobu
(například v případě vzdálené práce z domova, viz také 9.2.5 a 11.7.1);
Neschopnost nadřízených dostatečně motivovat a řídit své podřízené může vést
u zaměstnanců k pocitu, že jejich práce není dostatečně oceněná a důležitá, což může vyústit
až v negativní dopad na organizaci.
Špatné vedení může například vést k zanedbání bezpečnosti a nebo ke zneužití aktiv
organizace.
8.2.2 Povědomí, vzdělávání a školení v oblasti bezpečnosti informací
Opatření
Všichni zaměstnanci organizace, a je-li to důležité i pracovníci smluvních a třetích stran, by měli
s ohledem na svoji pracovní náplň, projít odpovídajícím a pravidelně se opakujícím školením
v oblasti bezpečnosti informací, bezpečnostní politiky a směrnicím organizace.
Doporučení k realizaci
Předtím, než je jim udělen přístup k aktivům nebo službám organizace, měli by se dotčení
seznámit s bezpečnostní politikou, požadavky a očekáváními v oblasti bezpečnosti a absolvovat
školení.
Součástí pravidelných školení by mělo být zvyšování povědomí o bezpečnostních požadavcích,
právní odpovědnosti a organizačních opatřeních. Zaměstnanci by také měli absolvovat školení
zaměřené na správné použití prostředků pro zpracování informací, např. přihlašovací postupy,
použití programových balíků a měli by získat informace o disciplinárním řízení (viz 8.2.3).
Další informace
Školení, vzdělávání a zvyšování bezpečnostního povědomí by mělo být uzpůsobeno roli,
odpovědnostem a schopnostem dotčené osoby. Mělo by také zahrnovat informaci o známých
hrozbách a postupech při hlášení bezpečnostních incidentů (viz také 13.1).
Cílem zvyšování bezpečnostního povědomí v rámci školení je naučit jednotlivce rozpoznávat
bezpečnostní incidenty a problémy a reagovat na ně způsobem, který odpovídá jejich roli.
8.2.3 Disciplinární řízení
Opatření
Mělo by existovat formalizované disciplinární řízení vůči zaměstnancům, kteří se dopustili
narušení bezpečnosti.
Doporučení k realizaci
Disciplinární řízení by nemělo být zahájeno bez předchozí ověření, že se opravdu jedná
o narušení bezpečnosti (viz také 13.2.2).
Formální disciplinární řízení by mělo zajistit korektní a spravedlivé zacházení se zaměstnanci
podezřelými z narušení bezpečnosti. Formální disciplinární řízení vedené proti narušiteli by
mělo odpovídat povaze narušení a jeho dopadu na organizaci. Mělo by být vzato do úvahy zda
se jedná o první nebo opakované narušení, zda byl narušitel dostatečně proškolen, dále by
měly být vzaty do úvahy odpovídající legislativa, existující smlouvy a další relevantní okolnosti.
V závažných případech by měl být narušitel okamžitě zbaven svých povinností, přístupových
práv a výsad. Pokud je to nutné měl by být co nejrychleji a v doprovodu vyveden mimo prostory
organizace.
Další informace
Disciplinární řízení by mělo působit jako odstrašující prostředek odrazující zaměstnance,
pracovníky smluvních a třetích stran od porušení bezpečnostních politik, směrnic a od narušení
bezpečnosti.
8.3 Ukončení nebo změna pracovního vztahu
Cíl: Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích
stran proběhla řádným způsobem.
Měly by být určeny jednoznačné odpovědnosti za řádný průběh ukončení pracovního vztahu
zaměstnanců, smluvních a třetích stran, za odevzdání přiděleného vybavení a odejmutí
přístupových práv.
Změna odpovědností a pracovního vztahu v rámci organizace by měla probíhat jako by se
jednalo o odebrání odpovědností nebo ukončení pracovního vztahu, tedy tak, jak je popsáno
v této kapitole. Při uzavření nového pracovního vztahu by se mělo postupovat tak, jak je
popsáno v kapitole 8.1.
8.3.1 Odpovědnosti za ukončení pracovního vztahu
Opatření
Měly by být jasně definovány a přiděleny odpovědnosti pro případ ukončení nebo změny
pracovního vztahu.
Doporučení k realizaci
Ukončení pracovního vztahu by mělo respektovat stávající bezpečnostní požadavky a právní
odpovědnosti, pokud je to vhodné, požadavky obsažené v dohodách o ochraně důvěrných
informací (viz 6.1.5), podmínky obsažené v pracovních smlouvách (viz 8.1.3), které jsou platné
i po skončení pracovního vztahu.
Odpovědnosti a povinnosti platné i po skončení pracovního vztahu by měly být obsaženy ve
smlouvách uzavřených se zaměstnanci, smluvními a třetími stranami.
Případné změny odpovědností nebo pracovního vztahu by měly být řízeny stejným způsobem
jako v případě jejich ukončení. Přidělení nových odpovědností nebo uzavření nového
pracovního vztahu by měly probíhat způsobem popsaným v kapitole 8.1.
Další informace
Za proces a náležitosti spojené s ukončení pracovního vztahu je zpravidla odpovědné
personální oddělení, které spolupracuje s nadřízeným pracovníka opouštějícího organizaci tak,
aby byly dodrženy veškeré aspekty bezpečnosti a odpovídající postupy. V případě, že se jedná
o ukončení pracovního vztahu se smluvní stranou, může být odpovědnost za ukončení
pracovního vztahu na straně zprostředkovatelské agentury. V případě ostatních pracovníků
(pracovníci třetích stran) je tato odpovědnost zpravidla na straně jejich domovské organizace.
V některých případech může být nutné informovat zaměstnance, zákazníky, smluvní nebo třetí
strany o provozních a personálních změnách.
8.3.2 Navrácení zapůjčených předmětů
Opatření
Při ukončení pracovního vztahu by měli zaměstnanci, pracovníci smluvních a třetích stran
odevzdat veškeré jim svěřené předměty, které jsou majetkem organizace.
Doporučení k realizaci
Celý proces ukončení pracovního vztahu by měl být formalizovaný a měl by zahrnovat
navrácení poskytnutého programového vybavení, dokumentů a vybavení, které jsou majetkem
organizace. Opomenuty by neměly být také další předměty, jako například mobilní výpočetní
prostředky, kreditní karty, přístupové karty, programová dokumentace a informace uložené na
elektronických mediích.
Mělo by být zajištěno zálohování a bezpečné smazání informací (viz také 10.7.1) uložených na
zařízení, které bylo odkoupeno nebo je majetkem zaměstnance, smluvní nebo třetí strany.
V případech kdy zaměstnanci, smluvní nebo třetí strany mají znalosti, důležité z hlediska
stávajícího provozu, mělo by být zajištěno jejich zadokumentování a předání organizaci.
8.3.3 Odebrání přístupových práv
Opatření
Při ukončení pracovního vztahu by měla být uživatelům, smluvním a třetím stranám odejmuta
nebo pozměněna přístupová práva k informacím a prostředkům pro zpracováním informací.
Doporučení k realizaci
Při ukončení pracovního vztahu by měla být přezkoumána přístupová práva k aktivům
spojeným s informačními systémy a službami. V rámci těchto přezkoumání by mělo být určeno
zda je odejmutí přístupových práv nezbytné. Přístupová práva, která nebyla schválena jako
součást nového pracovního vztahu by měla být odebrána. Odebrání nebo změna přístupových
práv zahrnuje fyzický a logický přístup, klíče, identifikační karty, zařízení pro zpracování
informací (viz také 11.2.4), předplatné a odstranění jakékoliv informace, která tyto pracovníky
identifikuje jako stávající členy organizace. Při odchodu nebo změně pracovního nebo
smluvního vztahu zaměstnance, smluvní nebo třetí strany by měla být změněna veškerá jim
známá hesla k aktivním účtům.
Před ukončením nebo změnou pracovního vztahu, by měla být odebrána nebo omezena
přístupová práva k informačním aktivům a prostředkům pro zpracování informací. Při
rozhodování by měly být zváženy následující rizikové faktory:
a) zda se jedná o změnu nebo ukončení pracovního vztahu iniciovanou ze strany
zaměstnance, smluvní nebo třetí strany nebo naopak o změnu iniciovanou ze strany
organizace a jaké jsou pro to důvody;
b) stávající odpovědnosti zaměstnance, pracovníka smluvní nebo třetí strany;
c) hodnota aktiv ke kterým mají přístup.
Další informace
V některých případech mohou být přístupová práva sdílena mezi více uživateli, pracovníky
smluvních nebo třetích stran, například skupinové ID. V těchto případech by měli být uživatelé
opouštějící organizaci vyjmuti ze všech seznamů skupinových přístupových práv, a všem
ostatním zaměstnancům a pracovníkům smluvních a třetích stran by mělo být zakázáno sdílet
informace s odcházející osobou.
V případě, že je pracovní vztah ukončen ze strany organizace, existuje možnost, že se
nespokojený zaměstnanec, pracovník smluvní nebo třetí strany, pokusí záměrně poškodit
informace a nebo zařízení pro jejich zpracování. Osoba opouštějící organizaci na vlastní žádost
se zase může pokusit shromáždit interní informace pro budoucí použití.