Bezpečnost lidských zdrojů

8.1 Před vznikem pracovního vztahu9

Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby

pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu

nebo zneužití prostředků organizace.

Odpovědnosti za bezpečnost by měly být zohledněny v rámci přijímacího řízení, měly by být

zahrnuty v pracovních smlouvách a popisech práce.

Potenciální uchazeči by měli být náležitě prověřeni, zejména v případě citlivých pracovních

míst.

Všichni zaměstnanci, smluvní a třetí strany, využívající zařízení organizace pro zpracování

informací, by měli podepsat dohodu odpovídající jejich rolím a povinnostem.

8.1.1 Role a odpovědnosti

Opatření

Role a odpovědnosti zaměstnanců, smluvních a třetích stran v oblasti bezpečnosti informací by měly

být stanoveny a zdokumentovány v souladu s bezpečnostní politikou organizace.

Doporučení k realizaci

Role a odpovědnosti v oblasti bezpečnosti informací by měly zahrnovat:

a) požadavek na realizaci a dodržování zásad v souladu s bezpečnostní politikou organizace

(viz 5.1);

b) požadavek na ochranu aktiv před neautorizovaným přístupem, prozrazením, modifikací,

zničením nebo narušením;

c) požadavek na vykonávání určitých bezpečnostních postupů nebo činností;

d) požadavek na určení jednoznačné odpovědnosti za provedené činnosti;

e) požadavek hlásit bezpečnostní události nebo jiná bezpečnostní rizika.

V rámci přijímacího řízení by zájemcům o práci měly být jasně sděleny role a odpovědnosti

spojené s místem o které se ucházejí.

Další informace

Popisy pracovních míst mohou být použity k doložení pracovních rolí a odpovědností v oblasti

bezpečnosti informací. Role a odpovědnosti jedinců, kteří nejsou zaměstnanci organizace

(například zaměstnanci třetích stran) by měly být jasně stanoveny a tito by měli být s nimi

seznámeni.

8.1.2 Prověrka

Opatření

Všichni uchazeči o zaměstnání, smluvní a třetí strany by měly být prověřeni dle platných

zákonů, předpisů a v souladu s etikou. Prověření by měla být prováděna na základě požadavků

stanovených organizací, dále s ohledem na klasifikaci informací, ke kterým by měli získat

přístup, ale také z hlediska jejich spolehlivosti10 a potenciálních rizik. Doporučení k realizaci

Při prověřování by měl být brán zřetel na dodržení soukromí a ochranu osobních dat11

a související legislativu12.

Tam, kde je to povoleno, měly by být prověrky prováděny na základě:

a) dostupnosti dvou dostatečných referencí, například profesní a osobní;

b) kontroly životopisu uchazeče (s ohledem na úplnost a přesnost);

c) ověření proklamovaného vzdělání a odborné kvalifikace;

d) nezávislého ověření totožnosti (dalším dokladem, například cestovním pasem);

e) detailnějšího prověření, jako například výpisu z trestního rejstříku, finanční situace, atd..

Tam, kde práce, pracovní pozice vyžaduje přístup k prostředkům zpracovávajícím zejména citlivé

informace (finanční nebo vysoce důvěrné), by organizace měla provést také detailnější prověrky

spolehlivosti.

Měly by být stanoveny přesné postupy vymezující kritéria a omezení, např. kdo a jak je

oprávněn prověrky provádět, kdy a jakým způsobem by měly prověrky probíhat.

Podobné prověrky by měly být provedeny také u externích pracovníků a pracovníků třetích

stran. Tam, kde jsou smluvní strany zajišťovány agenturou, by smlouva s agenturou měla jasně

specifikovat odpovědnost agentury za prověrky a také způsob, jakým agentura upozorní

organizaci na skutečnost, že prověrka nebyla dokončena nebo že její výsledky vzbuzují

podezření či pochybnosti. Obdobným způsobem by také dohody uzavřené se třetími stranami

(viz také 6.2.3) měly jasně specifikovat veškeré odpovědnosti a povinnosti ve vztahu

k prověrkám.

S informacemi o všech uchazečích (potenciální zaměstnanci, smluvní a třetí strany), které jsou

získány v rámci prověrek by mělo být nakládáno v souladu s existujícími právními normami.

Pokud to zákon vyžaduje, měly by být uchazeči informováni o tom, že budou prověřováni.

8.1.3 Podmínky výkonu pracovní činnosti

Opatření

Pracovní smlouvy uzavřené se zaměstnanci, smluvními a třetími stranami by měly obsahovat

ustanovení o jejich odpovědnostech za bezpečnost informací.

Doporučení k realizaci

Pracovní smlouvy by měly být v souladu s bezpečnostní politiku organizace a mimo to také

upřesňovat a obsahovat následující:

a) všichni zaměstnanci, smluvní a třetí strany by měli, předtím než je jim umožněn přístup

k citlivým informacím a zařízení pro zpracování informací, podepsat smlouvu o ochraně

informací nebo o zachování mlčenlivosti;

b) práva a právní odpovědnost zaměstnanců, smluvních stran a ostatních uživatelů

(například ve vztahu k autorskému zákonu nebo zákonu na ochranu osobních údajů);

c) odpovědnost za klasifikaci a správu aktiv spojených s informačním systémem

a službami zaměstnavatele (viz také 7.2.1 a 10.7.3);

d) odpovědnosti zaměstnanců, smluvních a třetích stran pro nakládaní s informacemi

obdrženými od jiných společností a zúčastněných stran;

e) odpovědnosti organizace při nakládání s osobními údaji, včetně těch údajů, které byly

vytvořeny v průběhu pracovního poměru;

f) rozšíření odpovědností i mimo objekt organizace a mimo normální pracovní dobu

(například v případě vzdálené práce z domova, viz také 9.2.5 a 11.7.1);

Neschopnost nadřízených dostatečně motivovat a řídit své podřízené může vést

u zaměstnanců k pocitu, že jejich práce není dostatečně oceněná a důležitá, což může vyústit

až v negativní dopad na organizaci.

Špatné vedení může například vést k zanedbání bezpečnosti a nebo ke zneužití aktiv

organizace.

8.2.2 Povědomí, vzdělávání a školení v oblasti bezpečnosti informací

Opatření

Všichni zaměstnanci organizace, a je-li to důležité i pracovníci smluvních a třetích stran, by měli

s ohledem na svoji pracovní náplň, projít odpovídajícím a pravidelně se opakujícím školením

v oblasti bezpečnosti informací, bezpečnostní politiky a směrnicím organizace.

Doporučení k realizaci

Předtím, než je jim udělen přístup k aktivům nebo službám organizace, měli by se dotčení

seznámit s bezpečnostní politikou, požadavky a očekáváními v oblasti bezpečnosti a absolvovat

školení.

Součástí pravidelných školení by mělo být zvyšování povědomí o bezpečnostních požadavcích,

právní odpovědnosti a organizačních opatřeních. Zaměstnanci by také měli absolvovat školení

zaměřené na správné použití prostředků pro zpracování informací, např. přihlašovací postupy,

použití programových balíků a měli by získat informace o disciplinárním řízení (viz 8.2.3).

Další informace

Školení, vzdělávání a zvyšování bezpečnostního povědomí by mělo být uzpůsobeno roli,

odpovědnostem a schopnostem dotčené osoby. Mělo by také zahrnovat informaci o známých

hrozbách a postupech při hlášení bezpečnostních incidentů (viz také 13.1).

Cílem zvyšování bezpečnostního povědomí v rámci školení je naučit jednotlivce rozpoznávat

bezpečnostní incidenty a problémy a reagovat na ně způsobem, který odpovídá jejich roli.

8.2.3 Disciplinární řízení

Opatření

Mělo by existovat formalizované disciplinární řízení vůči zaměstnancům, kteří se dopustili

narušení bezpečnosti.

Doporučení k realizaci

Disciplinární řízení by nemělo být zahájeno bez předchozí ověření, že se opravdu jedná

o narušení bezpečnosti (viz také 13.2.2).

Formální disciplinární řízení by mělo zajistit korektní a spravedlivé zacházení se zaměstnanci

podezřelými z narušení bezpečnosti. Formální disciplinární řízení vedené proti narušiteli by

mělo odpovídat povaze narušení a jeho dopadu na organizaci. Mělo by být vzato do úvahy zda

se jedná o první nebo opakované narušení, zda byl narušitel dostatečně proškolen, dále by

měly být vzaty do úvahy odpovídající legislativa, existující smlouvy a další relevantní okolnosti.

V závažných případech by měl být narušitel okamžitě zbaven svých povinností, přístupových

práv a výsad. Pokud je to nutné měl by být co nejrychleji a v doprovodu vyveden mimo prostory

organizace.

Další informace

Disciplinární řízení by mělo působit jako odstrašující prostředek odrazující zaměstnance,

pracovníky smluvních a třetích stran od porušení bezpečnostních politik, směrnic a od narušení

bezpečnosti.

8.3 Ukončení nebo změna pracovního vztahu

Cíl: Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích

stran proběhla řádným způsobem.

Měly by být určeny jednoznačné odpovědnosti za řádný průběh ukončení pracovního vztahu

zaměstnanců, smluvních a třetích stran, za odevzdání přiděleného vybavení a odejmutí

přístupových práv.

Změna odpovědností a pracovního vztahu v rámci organizace by měla probíhat jako by se

jednalo o odebrání odpovědností nebo ukončení pracovního vztahu, tedy tak, jak je popsáno

v této kapitole. Při uzavření nového pracovního vztahu by se mělo postupovat tak, jak je

popsáno v kapitole 8.1.

8.3.1 Odpovědnosti za ukončení pracovního vztahu

Opatření

Měly by být jasně definovány a přiděleny odpovědnosti pro případ ukončení nebo změny

pracovního vztahu.

Doporučení k realizaci

Ukončení pracovního vztahu by mělo respektovat stávající bezpečnostní požadavky a právní

odpovědnosti, pokud je to vhodné, požadavky obsažené v dohodách o ochraně důvěrných

informací (viz 6.1.5), podmínky obsažené v pracovních smlouvách (viz 8.1.3), které jsou platné

i po skončení pracovního vztahu.

Odpovědnosti a povinnosti platné i po skončení pracovního vztahu by měly být obsaženy ve

smlouvách uzavřených se zaměstnanci, smluvními a třetími stranami.

Případné změny odpovědností nebo pracovního vztahu by měly být řízeny stejným způsobem

jako v případě jejich ukončení. Přidělení nových odpovědností nebo uzavření nového

pracovního vztahu by měly probíhat způsobem popsaným v kapitole 8.1.

Další informace

Za proces a náležitosti spojené s ukončení pracovního vztahu je zpravidla odpovědné

personální oddělení, které spolupracuje s nadřízeným pracovníka opouštějícího organizaci tak,

aby byly dodrženy veškeré aspekty bezpečnosti a odpovídající postupy. V případě, že se jedná

o ukončení pracovního vztahu se smluvní stranou, může být odpovědnost za ukončení

pracovního vztahu na straně zprostředkovatelské agentury. V případě ostatních pracovníků

(pracovníci třetích stran) je tato odpovědnost zpravidla na straně jejich domovské organizace.

V některých případech může být nutné informovat zaměstnance, zákazníky, smluvní nebo třetí

strany o provozních a personálních změnách.

8.3.2 Navrácení zapůjčených předmětů

Opatření

Při ukončení pracovního vztahu by měli zaměstnanci, pracovníci smluvních a třetích stran

odevzdat veškeré jim svěřené předměty, které jsou majetkem organizace.

Doporučení k realizaci

Celý proces ukončení pracovního vztahu by měl být formalizovaný a měl by zahrnovat

navrácení poskytnutého programového vybavení, dokumentů a vybavení, které jsou majetkem

organizace. Opomenuty by neměly být také další předměty, jako například mobilní výpočetní

prostředky, kreditní karty, přístupové karty, programová dokumentace a informace uložené na

elektronických mediích.

Mělo by být zajištěno zálohování a bezpečné smazání informací (viz také 10.7.1) uložených na

zařízení, které bylo odkoupeno nebo je majetkem zaměstnance, smluvní nebo třetí strany.

V případech kdy zaměstnanci, smluvní nebo třetí strany mají znalosti, důležité z hlediska

stávajícího provozu, mělo by být zajištěno jejich zadokumentování a předání organizaci.

8.3.3 Odebrání přístupových práv

Opatření

Při ukončení pracovního vztahu by měla být uživatelům, smluvním a třetím stranám odejmuta

nebo pozměněna přístupová práva k informacím a prostředkům pro zpracováním informací.

Doporučení k realizaci

Při ukončení pracovního vztahu by měla být přezkoumána přístupová práva k aktivům

spojeným s informačními systémy a službami. V rámci těchto přezkoumání by mělo být určeno

zda je odejmutí přístupových práv nezbytné. Přístupová práva, která nebyla schválena jako

součást nového pracovního vztahu by měla být odebrána. Odebrání nebo změna přístupových

práv zahrnuje fyzický a logický přístup, klíče, identifikační karty, zařízení pro zpracování

informací (viz také 11.2.4), předplatné a odstranění jakékoliv informace, která tyto pracovníky

identifikuje jako stávající členy organizace. Při odchodu nebo změně pracovního nebo

smluvního vztahu zaměstnance, smluvní nebo třetí strany by měla být změněna veškerá jim

známá hesla k aktivním účtům.

Před ukončením nebo změnou pracovního vztahu, by měla být odebrána nebo omezena

přístupová práva k informačním aktivům a prostředkům pro zpracování informací. Při

rozhodování by měly být zváženy následující rizikové faktory:

a) zda se jedná o změnu nebo ukončení pracovního vztahu iniciovanou ze strany

zaměstnance, smluvní nebo třetí strany nebo naopak o změnu iniciovanou ze strany

organizace a jaké jsou pro to důvody;

b) stávající odpovědnosti zaměstnance, pracovníka smluvní nebo třetí strany;

c) hodnota aktiv ke kterým mají přístup.

Další informace

V některých případech mohou být přístupová práva sdílena mezi více uživateli, pracovníky

smluvních nebo třetích stran, například skupinové ID. V těchto případech by měli být uživatelé

opouštějící organizaci vyjmuti ze všech seznamů skupinových přístupových práv, a všem

ostatním zaměstnancům a pracovníkům smluvních a třetích stran by mělo být zakázáno sdílet

informace s odcházející osobou.

V případě, že je pracovní vztah ukončen ze strany organizace, existuje možnost, že se

nespokojený zaměstnanec, pracovník smluvní nebo třetí strany, pokusí záměrně poškodit

informace a nebo zařízení pro jejich zpracování. Osoba opouštějící organizaci na vlastní žádost

se zase může pokusit shromáždit interní informace pro budoucí použití.