Bezpečnostní politiky

5.1 Bezpečnostní politika informací

Cíl: Definovat směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu

s požadavky organice, příslušnými zákony a regulatorními požadavky.

Vedení organizace by mělo stanovit jasný směr postupu v oblasti bezpečnosti informací, ukázat

její podporu vydáním a aktualizací bezpečnostní politiky informací platné v celé organizaci.

5.1.1 Dokument bezpečnostní politiky informací

Opatření

Dokument bezpečnostní politiky informací by měl být schválen vedením organizace, vydán

a dán na vědomí všem zaměstnancům a relevantním třetím stranám.

Doporučení k realizaci

Dokument bezpečnostní politiky informací by měl obsahovat vyjádření podpory vedení

organizace a měl by definovat zamýšlený přístup k budování bezpečnosti informací.

Dokument by měl obsahovat následující body:

a) definice bezpečnosti informací, její cíle, rozsah a její důležitost - mechanizmus

umožňující sdílení informací (viz Úvod);

b) prohlášení vedení organizace o záměru podporovat cíle a principy bezpečnosti

informací;

c) stručný výklad bezpečnostních zásad, principů a norem a požadavky zvláštní důležitosti pro

organizaci, například:

1. dodržování zákonných, regulatorních a smluvních požadavků;

2. požadavky na vzdělávání, školení a zvyšování povědomí v oblasti bezpečnosti;

3. zásady plánování kontinuity činností organizace;

4. důsledky porušení bezpečnostních zásad;

d) stanovení obecných a konkrétních odpovědností pro oblast řízení bezpečnosti informací

včetně hlášení bezpečnostních incidentů;

e) odkazy na dokumentaci, která může bezpečnostní politiku podporovat, například na

detailnější bezpečnostní politiky a postupy zaměřené na konkrétní informační systémy nebo

bezpečnostní pravidla, která by měli uživatelé dodržovat.

S dokumentem by měli být seznámeni uživatelé v rámci organizace, a to formou, která je

relevantní, přístupná a pochopitelná všem potenciálním příjemcům.

Další informace

Bezpečnostní politika informací může být součástí (hierarchicky podřízena) dokumentu nejvyšší

politiky organizace. V případech, kdy je bezpečnostní politika sdělována mimo organizaci, by

měla být zajištěna ochrana citlivých informací před prozrazením. Další informace lze nalézt

v normě ISO/IEC 13335-1:20043.

5.1.2 Přezkoumání a aktualizace bezpečnostní politiky informací

Opatření

Pro zajištění její neustálé použitelnosti, přiměřenosti a účinnosti by bezpečnostní politika

informací měla být přezkoumávána v plánovaných intervalech a vždy když nastane významná

změna.

Doporučení k realizaci

Bezpečnostní politika informací by měla mít vlastníka (schváleného vedením organizace), odpovědného

za její vytvoření, přezkoumání a aktualizaci. Součástí procesu přezkoumání by mělo být posouzení

možností pro zlepšení bezpečnostní politiky informací. Měl by být posouzen stávající přístup

organizace k řízení informační bezpečnosti jako reakce na změny v organizační či technické

infrastruktuře, změny v legislativě a jiné okolnosti, mající vztah k činnostem organizace.

Při přezkoumání bezpečnostní politiky informací by měly být zohledněny závěry z přezkoumání

provedeného vedením organizace. Měl by být vytvořen postup a plán pravidelného přezkoumání

vedení organizace.

Vstupy pro přezkoumání vedením organizace by měly obsahovat:

a) zpětnou vazbu od zainteresovaných stran;

b) výsledky nezávislých přezkoumání (viz 6.1.8);

c) stav preventivních a nápravných činností (viz 6.1.8 a 15.2.1);

d) výsledky z předchozích přezkoumání vedením organizace;

e) výkonnost procesu a soulad s bezpečnostní politikou;

f) změny, které mohou mít vliv na přístup organizace k řízení bezpečnosti informací,

včetně změn v organizační či technické infrastruktuře, dostupnosti zdrojů, změn

smluvních, regulatorních a legislativních podmínek a jiné další okolnosti mající vztah

k činnostem organizace;

g) trendy v oblasti hrozeb a zranitelností;

h) hlášení bezpečnostních incidentů (viz 13.1);

i) doporučení orgánů veřejné správy (viz 6.1.6).

Výstupy z přezkoumání prováděného vedením organizace by měly obsahovat jakákoliv

rozhodnutí a činnosti mající vztah k následujícímu:

a) změnám a zlepšení přístupu organizace k řízení bezpečnosti informací a procesům

organizace;

b) změnám cílů opatření a jednotlivých opatření;

c) změnám v přidělení zdrojů a odpovědností.

Měly by být udržovány záznamy o provedených přezkoumáních vedením organizace.

Mělo by být získáno od vedení organizace schválení aktualizované verze politiky.