Bezpečnostní politiky
5.1 Bezpečnostní politika informací
Cíl: Definovat směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu
s požadavky organice, příslušnými zákony a regulatorními požadavky.
Vedení organizace by mělo stanovit jasný směr postupu v oblasti bezpečnosti informací, ukázat
její podporu vydáním a aktualizací bezpečnostní politiky informací platné v celé organizaci.
5.1.1 Dokument bezpečnostní politiky informací
Opatření
Dokument bezpečnostní politiky informací by měl být schválen vedením organizace, vydán
a dán na vědomí všem zaměstnancům a relevantním třetím stranám.
Doporučení k realizaci
Dokument bezpečnostní politiky informací by měl obsahovat vyjádření podpory vedení
organizace a měl by definovat zamýšlený přístup k budování bezpečnosti informací.
Dokument by měl obsahovat následující body:
a) definice bezpečnosti informací, její cíle, rozsah a její důležitost - mechanizmus
umožňující sdílení informací (viz Úvod);
b) prohlášení vedení organizace o záměru podporovat cíle a principy bezpečnosti
informací;
c) stručný výklad bezpečnostních zásad, principů a norem a požadavky zvláštní důležitosti pro
organizaci, například:
1. dodržování zákonných, regulatorních a smluvních požadavků;
2. požadavky na vzdělávání, školení a zvyšování povědomí v oblasti bezpečnosti;
3. zásady plánování kontinuity činností organizace;
4. důsledky porušení bezpečnostních zásad;
d) stanovení obecných a konkrétních odpovědností pro oblast řízení bezpečnosti informací
včetně hlášení bezpečnostních incidentů;
e) odkazy na dokumentaci, která může bezpečnostní politiku podporovat, například na
detailnější bezpečnostní politiky a postupy zaměřené na konkrétní informační systémy nebo
bezpečnostní pravidla, která by měli uživatelé dodržovat.
S dokumentem by měli být seznámeni uživatelé v rámci organizace, a to formou, která je
relevantní, přístupná a pochopitelná všem potenciálním příjemcům.
Další informace
Bezpečnostní politika informací může být součástí (hierarchicky podřízena) dokumentu nejvyšší
politiky organizace. V případech, kdy je bezpečnostní politika sdělována mimo organizaci, by
měla být zajištěna ochrana citlivých informací před prozrazením. Další informace lze nalézt
v normě ISO/IEC 13335-1:20043.
5.1.2 Přezkoumání a aktualizace bezpečnostní politiky informací
Opatření
Pro zajištění její neustálé použitelnosti, přiměřenosti a účinnosti by bezpečnostní politika
informací měla být přezkoumávána v plánovaných intervalech a vždy když nastane významná
změna.
Doporučení k realizaci
Bezpečnostní politika informací by měla mít vlastníka (schváleného vedením organizace), odpovědného
za její vytvoření, přezkoumání a aktualizaci. Součástí procesu přezkoumání by mělo být posouzení
možností pro zlepšení bezpečnostní politiky informací. Měl by být posouzen stávající přístup
organizace k řízení informační bezpečnosti jako reakce na změny v organizační či technické
infrastruktuře, změny v legislativě a jiné okolnosti, mající vztah k činnostem organizace.
Při přezkoumání bezpečnostní politiky informací by měly být zohledněny závěry z přezkoumání
provedeného vedením organizace. Měl by být vytvořen postup a plán pravidelného přezkoumání
vedení organizace.
Vstupy pro přezkoumání vedením organizace by měly obsahovat:
a) zpětnou vazbu od zainteresovaných stran;
b) výsledky nezávislých přezkoumání (viz 6.1.8);
c) stav preventivních a nápravných činností (viz 6.1.8 a 15.2.1);
d) výsledky z předchozích přezkoumání vedením organizace;
e) výkonnost procesu a soulad s bezpečnostní politikou;
f) změny, které mohou mít vliv na přístup organizace k řízení bezpečnosti informací,
včetně změn v organizační či technické infrastruktuře, dostupnosti zdrojů, změn
smluvních, regulatorních a legislativních podmínek a jiné další okolnosti mající vztah
k činnostem organizace;
g) trendy v oblasti hrozeb a zranitelností;
h) hlášení bezpečnostních incidentů (viz 13.1);
i) doporučení orgánů veřejné správy (viz 6.1.6).
Výstupy z přezkoumání prováděného vedením organizace by měly obsahovat jakákoliv
rozhodnutí a činnosti mající vztah k následujícímu:
a) změnám a zlepšení přístupu organizace k řízení bezpečnosti informací a procesům
organizace;
b) změnám cílů opatření a jednotlivých opatření;
c) změnám v přidělení zdrojů a odpovědností.
Měly by být udržovány záznamy o provedených přezkoumáních vedením organizace.
Mělo by být získáno od vedení organizace schválení aktualizované verze politiky.