Organizace bezpečnosti

6.1 Interní organizace

Cíl: Řídit bezpečnost informací v organizaci.

Měl by být vytvořen řídící rámec pro zahájení a řízení implementace bezpečnosti informací

v organizaci.

Vedení organizace by mělo schválit politiku bezpečnosti informací, přiřadit role v oblasti bezpečnosti

informací a koordinovat implementaci bezpečnosti v organizaci.

Jestliže je to nutné, pak by měl být v organizaci vytvořen specializovaný zdroj pro oblast

bezpečnosti informací a měl by být dostupný pro celou organizaci. Aby bylo možné udržovat

krok s posledními trendy v odvětví bezpečnosti informací, sledovat standardy, vybírat

nejvhodnější metody a zajistit vhodné styčné body v případech bezpečnostních incidentů, měly by být

uzavřeny smlouvy s externími odborníky v oboru bezpečnosti informací. Měl by být podporován

multi-disciplinární přístup k bezpečnosti informací.

6.1.1 Závazek vedení

Opatření

Vedení organizace by mělo stanovit jasný směr a aktivně podporovat bezpečnost v rámci

organizace. Mělo by demonstrovat svůj závazek a jednoznačně přiřadit a vymezit role v oblasti

bezpečnosti informací.

Doporučení k realizaci

Vedení by mělo:

a) zajistit identifikaci cílů bezpečnosti, jejich soulad s požadavky organizace a integraci do

relevantních procesů;

b) formulovat, přezkoumat a schválit bezpečnostní politiku informací;

c) přezkoumat účinnost implementace bezpečnostní politiky informací;

d) poskytnout jasný směr a viditelnou podporu bezpečnostním iniciativám;

e) zajistit dostatečné zdroje potřebné pro bezpečnost informací;

f) schválit přidělení jednotlivých rolí a odpovědností za bezpečnost informací v rámci

organizace;

g) iniciovat plány a programy na zvyšování bezpečnostního povědomí;

h) zajistit, aby implementace bezpečnostních opatření byla koordinována v rámci celé

organizace (viz 6.1.2).

Vedení organizace by mělo určit potřebnost konzultací od odborníka (interního nebo externího)

na bezpečnost informací a přezkoumat a koordinovat výsledky konzultací v rámci organizace.

V závislosti na velikosti organizace může být tato odpovědnost přesunuta na fórum pro řízení

bezpečnosti informací nebo jiný řídící subjekt, jako například představenstvo.

Další informace

Další informace lze nalézt v normě ISO/IEC 13335-1:20044.

6.1.2 Koordinace bezpečnosti informací

Opatření

Činnosti v oblasti bezpečnosti informací by měly být koordinovány prostřednictvím zástupců

různých útvarů z celé organizace.

Doporučení k realizaci

Koordinace bezpečnosti informací by měla zahrnovat součinnost zástupce vedení organizace,

uživatelů, administrátorů, návrhářů aplikačních programů, auditorů, zaměstnanců oddělení

bezpečnosti a odborníky na specifické oblasti, jako například pojištění, právní otázky, lidské

zdroje, IT anebo řízení rizik.

Koordinace bezpečnosti by měla:

a) zajistit, aby aktivity v oblasti bezpečnosti informací byly prováděny v souladu

s bezpečnostní politikou informací;

b) určit jakým způsobem bude naloženo se zjištěnými nesoulady;

c) schválit specifické metodologie a postupy v oblasti bezpečnosti informací, například

hodnocení rizik, systém bezpečnostní klasifikace;

d) identifikovat významné změny v hrozbách a vystavení informací a prostředkům pro

zpracování informací vůči těmto hrozbám;

e) zajistit podporu vzdělávání v oblasti bezpečnosti informací dotýkající se celé organizace,

například školení a program zvyšování bezpečnostního povědomí;

f) vyhodnotit informace získané z procesu monitorování a přezkoumání bezpečnostních

incidentů a doporučit vhodný způsob reakce na identifikované bezpečnostní incidenty.

Pokud organizace nevyužívá funkce fóra, vytvořeného ze zástupců jednotlivých útvarů, např.

z důvodů velikosti organizace, měly by být veškeré výše popsané aktivity zajištěny jiným

vhodným subjektem nebo určeným členem z vedení organizace.

6.1.3 Přidělení odpovědností v oblasti bezpečnosti informací

Opatření

Měly by být jednoznačně určeny odpovědnosti v oblasti bezpečnosti informací.

Doporučení k realizaci

Přidělení odpovědností v oblasti bezpečnosti informací by mělo být provedeno v souladu

s bezpečnostní politikou informací (viz kapitola 4). Měly by být jednoznačně vymezeny odpovědnosti

za ochranu jednotlivých aktiv a za realizaci určených bezpečnostních procesů. Tam, kde je to

potřebné, by tyto odpovědnosti měly být doplněny o podrobnější interpretaci vztahující se ke

specifickým místům, systémům nebo službám. Měly by být jasně definovány lokální odpovědnosti za

ochranu aktiv a výkon bezpečnostních procesů, například plánování kontinuity činností

organizace.

Jedinci s přidělenou odpovědností mohou jednotlivé činnosti v oblasti bezpečnosti delegovat.

Nicméně v konečném důsledku zůstávají odpovědnými a měly by být schopni zaručit, že

jakékoliv delegované činnosti byly vykonány správně.

Je nezbytné jasně vymezit oblasti odpovědnosti jednotlivých vedoucích; zvlášť by mělo být

provedeno následující.

a) identifikování a jasné vymezení různých aktiv a bezpečnostních postupů spojených

s každým jednotlivým systémem;

b) určení odpovědnosti relevantního subjektu za každé aktivum nebo

bezpečnostní postup, detaily této odpovědnosti by měly být zdokumentovány

(viz také 7.1.2);

c) jednoznačné vymezení a zdokumentování úrovně oprávnění jednotlivých

subjektů.

Další informace

V mnoha organizacích bude jmenován vedoucí zaměstnanec5 odpovědný za bezpečnost

informací, který nese veškerou odpovědnost za vývoj a implementaci bezpečnosti a který

zajišťuje identifikaci opatření.

Avšak odpovědnost za financování a implementaci těchto opatření bude často zůstávat na

vedoucích jednotlivých útvarů organizace. Jedním z obecně používaných postupů je jmenovat

vlastníka pro každé informační aktivum. Ten se pak stane odpovědným za každodenní

bezpečnost svěřeného aktiva.

6.1.4 Schvalovací proces pro prostředky zpracování informací

Opatření

Měl by být ustaven a zaveden postup schvalování (vedoucími zaměstnanci) nových prostředků

pro zpracování informací.

Doporučení k realizaci

V úvahu by měla být vzata následující doporučení:

a) nová zařízení by měla být odsouhlasena jednotlivými vedoucími uživatelských útvarů

organizace, kteří schválí jejich účel a použití. Schválení by také mělo být získáno od

vedoucího zaměstnance odpovědného za bezpečnost provozu informačního systému,

aby se zajistilo, že nebudou porušeny žádné relevantní bezpečnostní politiky

a požadavky;

b) v nutných případech by mělo být zkontrolováno technické a programové vybavení, aby bylo

zajištěno, že je kompatibilní s ostatními systémovými prvky;

c) použití soukromých prostředků zpracovávajících pracovní informace (např. notebooků,

domácích PC nebo kapesních zařízení) by mělo být zvlášť schvalováno a měla by být

přijata veškeré nutná opatření s tím spojená, protože použití těchto prostředků může

znamenat vznik nových zranitelností.

6.1.5 Dohody o ochraně důvěrných informací

Opatření

Měly by být určeny a v pravidelných intervalech přezkoumávány dohody obsahující požadavky

na ochranu důvěrnosti nebo povinnost zachovávat mlčenlivost, reflektující potřeby organizace

na ochranu informací.

Doporučení k realizaci

Dohody o ochraně důvěrnosti nebo o povinnosti zachovávat mlčenlivost by měli zajistit požadavek

na ochranu důvěrné informace s využitím zákonem vymahatelných prostředků. Při určení

požadavků na dohody o ochraně důvěrnosti nebo povinnost zachovávat mlčenlivost by mělo být

bráno v úvahu:

a) určení informace, která má být chráněna (např. důvěrná informace);

b) očekávaná délka dohody, včetně upřesnění případů kdy požadavek na ochranu

důvěrnosti trvá i po jejím vypršení;

c) upřesnění kroků následujících po ukončení dohody;

d) odpovědnosti a kroky, které signatáři dohody podniknou k zamezení neoprávněného

prozrazení informací (např. dodržování principu „oprávněné potřeby znát“ (need to know));

e) vlastnictví informací, obchodní tajemství a ochrana duševního vlastnictví a jakým

způsobem to souvisí s ochranou důvěrných informací;

f) dovolené použití důvěrných informací a práva smluvních stran na jejich použití;

g) právo auditovat a monitorovat činnosti, které zahrnují důvěrné informace;

h) způsob oznámení a podání zprávy o neoprávněném prozrazení nebo porušení

důvěrnosti informace;

i) podmínky za jakých mají být informace po ukončení dohody vráceny nebo zničeny;

j) kroky které budou podniknuty v případě, že dojde k porušení dohody.

V závislosti na bezpečnostních potřebách organizace mohou být dohody o ochraně důvěrných

informací nebo povinnost zachovávat mlčenlivost doplněny o další potřebná ustanovení.

Dohody o ochraně důvěrných informací nebo povinnost zachovávat mlčenlivost by měly být

v souladu s místními zákony a předpisy (viz také 15.1.1).

Požadavky obsažené v dohodách o ochraně důvěrných informací nebo o povinnosti zachovávat

mlčenlivost by měly být v pravidelných intervalech, a v případě jakýchkoliv dalších změn

ovlivňujících tyto požadavky, přezkoumávány.

Další informace

Dohody o ochraně důvěrných informací nebo o povinnosti zachovávat mlčenlivost slouží

k ochraně informací organizace. Zavazují signatáře k odpovědnosti informace chránit, používat

a zveřejňovat je pouze odpovědným a oprávněným způsobem.

V závislosti na konkrétní situaci mohou organizace volit různé formy dohod o ochraně důvěrných

informací nebo o povinnosti zachovávat mlčenlivost.

6.1.6 Kontakt s orgány veřejné správy

Opatření

Měly by být udržovány přiměřené vztahy s orgány veřejné správy.

Doporučení k realizaci

Organizace by měly mít zavedeny postupy, které přesně určují za jakých podmínek a kým by

měly být kontaktovány orgány veřejné správy (např. policie, hasiči, dozorčí orgány) a postupy

včasného hlášení bezpečnostních incidentů v případech, kdy existuje podezření na porušení

zákonů.

V některých případech mohou organizace, které jsou vystaveny útokům z internetu, využít

služeb třetích stran (např. poskytovatelé internetového připojení nebo telekomunikační

operátoři), k podniknutí nápravných opatření.

Další informace

Udržování dobrých vztahů s orgány veřejné zprávy může také patřit mezi požadavky na

podporu zvládání bezpečnostních incidentů (viz 13.2) nebo procesů plánování kontinuity a

obnovy činností po havárii (viz kapitola 14). Dobré kontakty na regulační orgány zase umožní

organizaci předjímat připravované změny v zákonech a předpisech a dopředu se na ně

připravit. Kontakty na další subjekty mohou zahrnovat komunální služby, pohotovostní služby,

inspektoráty bezpečnosti práce, dále pak například hasiče (ve vztahu ke kontinuitě činností

organizace), poskytovatele telekomunikačních služeb (ve vztahu ke směrování a dostupnosti

kabeláže), dodavatele vody (pro potřeby chladících zařízení).

6.1.7 Kontakt se zájmovými skupinami

Opatření

Měly by být udržovány přiměřené vztahy se zájmovými skupinami nebo speciálními fóry na

bezpečnost a profesními sdruženími.

Doporučení k realizaci

Členství ve specializovaných zájmových skupinách a diskusních fórech by mělo být zváženo

z následujících důvodů:

a) rozšiřování znalostí o nejlepších praktikách a nejnovějších trendech v oblasti

bezpečnosti informací;

b) ujištění se, že to jak je chápána bezpečnost informací v organizaci je dostatečné

a odpovídá současným trendům;

c) obdržení včasného varování, získání doporučení a informací o bezpečnostních

záplatách souvisejících s útoky a zranitelnostmi;

d) získání přístupu k doporučením a radám odborníků na bezpečnost informací;

e) sdílení a výměna informací o nejnovějších technologiích, produktech, hrozbách

a zranitelnostech;

f) navázání vhodné spolupráce pří řešení bezpečnostních incidentů (viz také 13.2.1).

Další informace

Pro zlepšení spolupráce a koordinace při řešení záležitostí týkajících se bezpečnosti mohou být

uzavřeny dohody o sdílení informací. Takovéto dohody by měly obsahovat požadavky na

ochranu citlivých informací.

6.1.8 Nezávislá přezkoumání bezpečnosti informací

Opatření

Přístup organizace k řízení a implementaci bezpečnosti informací (tj. cíle opatření, jednotlivá

opatření, politiky, směrnice a postupy) by měly být v pravidelných intervalech (a nebo v případě

jakékoliv významné změny ve vztahu k bezpečnosti) nezávisle přezkoumávány.

Doporučení k realizaci

Vedení organizace by mělo iniciovat nezávislá přezkoumání bezpečnosti informací. Nezávislá

přezkoumání jsou důležitá pro zajištění toho, že přístup organizace k řízení bezpečnosti

informací je vyhovující, přiměřený a dostatečně účinný. Součástí přezkoumání by mělo být

zhodnocení možností pro zlepšení a změny v přístupu k bezpečnosti, včetně přezkoumání

bezpečnostní politiky a cílů opatření.

Tato přezkoumání by měla být prováděna nezávislými subjekty, např. útvar interního auditu,

nezávislý vedoucí zaměstnanec nebo třetí organizace specializující se na tuto činnost, přičemž

potenciální kandidáti na tuto práci musí mít patřičné znalosti a zkušenosti.

Výsledky nezávislých přezkoumání by měly být zaznamenány a měly by s nimi být seznámeni

vedoucí zaměstnanci, kteří přezkoumání iniciovali.

Pokud je v rámci nezávislého přezkoumání zjištěno, že přístup organizace k řízení bezpečnosti

informací jeví nedostatky nebo nesoulad se směrem stanoveným v bezpečnostní politice

informací (viz 5.1.1), měly by být ze strany vedoucích zaměstnanců zváženy kroky k nápravě.

Další informace

Nezávislé přezkoumání může být také zváženo u oblastí, které mají být pravidelně

přezkoumávány vedoucími zaměstnanci (viz 15.2.1). Techniky přezkoumání mohou zahrnovat

rozhovory s vedoucími zaměstnanci, kontrolu záznamů nebo přezkoumání bezpečnostních

politik. ČSN EN ISO 19011, Směrnice pro auditování systému managementu jakosti a/nebo

systému environmentálního managementu, může také poskytnout další užitečné informace o

tom jak provést nezávislé přezkoumání bezpečnosti, včetně ustavení a zavedení programu

přezkoumání. V kapitole 15.3 jsou uvedena opatření týkající se nezávislých přezkoumání

informačních systémů a použití nástrojů pro audit systému.

6.2 Externí subjekty

Cíl: Zachovat bezpečnost informací organizace a zařízení pro zpracování informací, které jsou

přístupné, zpracovávané, sdělované nebo spravované externími subjekty.

Bezpečnost informací a zařízení pro zpracování informací by neměla být snížena při zavedení

produktů a služeb třetích stran.

Přístup externích subjektů k zařízení pro zpracování informací a k informacím by měl být

kontrolován.

Tam, kde z činností organizace vyplývá potřeba přístupu externích subjektů, by mělo být provedeno

hodnocení rizik plynoucích z tohoto přístupu tak, aby se zjistily důsledky z hlediska bezpečnosti

a aby se definovaly požadavky na opatření. Opatření by měla být schválena a definována ve

smlouvě se třetí stranou.

6.2.1 Identifikace rizik plynoucích z přístupu externích subjektů

Opatření

Předtím, než je externím subjektům povolen přístup k informacím organizace a prostředkům pro

zpracování informací, by měla být identifikována rizika a implementována vhodná opatření na

jejich pokrytí.

Doporučení k realizaci

Tam, kde existuje potřeba přístupu externích subjektů k informacím organizace a zařízení pro

zpracování informací, by mělo být provedeno hodnocení rizik (viz také kapitola 4) tak, aby byly

identifikovány požadavky na opatření. Při identifikace rizik spojených s přístupem externích

subjektů by mělo být vzato v potaz následující:

a) identifikace zařízení pro zpracování informací ke kterým je potřebný přístup externích

subjektů;

b) typ přístupu jaký bude mít externí subjekt k zařízení pro zpracování informací, např.:

1. fyzický přístup, např. přístup do kanceláří, do místností s počítači, do kartoték;

2. logický přístup, např. přístup k databázím organizace, do informačních systémů;

3. typ síťového spojení mezi organizací a externím subjektem, např. trvalé spojení,

vzdálený přístup;

4. zda je přístup z prostor organizace a nebo mimo ně;

c) hodnota, citlivost a kritičnost příslušných informací pro organizaci;

d) opatření nutná k ochraně informací, ke kterým nemají mít externí subjekty přístup;

e) identifikace personálu na straně externích subjektů, který bude mít přístup

k informacím;

f) způsob jakým je identifikována organizace nebo personál mající oprávnění k přístupu,

jakým způsobem je toto oprávnění ověřeno a jak často znovu potvrzeno;

g) postupy a opatření používané externími subjekty při ukládání, komunikování, sdílení

a výměně informací;

h) jaký může mít dopad nedostupnost informací a prostředků pro zpracování informací

externím subjektem. Dopad jaký může mít zadání nebo obdržení nepřesných nebo

klamných informací externím subjektem;

i) směrnice a postupy pro řešení bezpečnostních incidentů a potenciálních poškození,

podmínky a okolnosti za jakých bude umožněn přístup externím subjektům v případě

bezpečnostního incidentu;

j) zákonné, regulatorní a jiné relevantní smluvní požadavky ve vztahu k externím

subjektům, které by měly být vzaty v potaz;

k) jaký to může mít vliv na zájmy akcionářů, podílníků a ostatních zájmových skupin.

Přístup třetích stran k informacím a k zařízením pro zpracování informací by neměl být

umožněn do té doby, než jsou implementována přiměřená bezpečnostní opatření a podepsána

dohoda, ve které se vymezí podmínky síťového propojení nebo přístupu třetí strany do prostor

organizace a pracovní podmínky. Obecně, veškeré bezpečnostní požadavky plynoucí

z možnosti přístupu třetí strany nebo interních opatření, musí být v souladu se smlouvou

uzavřenou mezi třetí stranou a organizací (viz také 6.2.2 a 6.2.3).

Další informace

Informace mohou být ohroženy přístupem třetích stran s neadekvátním řízením bezpečnosti. Je

nutné vědět, jaká opatření je nezbytné přijmout v souvislosti se zabezpečením přístupu třetích

stran k zařízením pro zpracování informací. Například v případě potřeby zachování důvěrnosti

informací může být uzavřena dohoda o zachování důvěrnosti.

Organizace mohou být vystaveny rizikům souvisejícím s interními procesy, řízením

a komunikací při zajištění činností organizace formou outsourcingu nebo pokud se spolupráce

dotýká více externích subjektů.

Opatření uvedená v kapitolách 6.2.2 a 6.2.3 pokrývají různé typy externích subjektů

a poskytovaných služeb, jako například:

a) poskytovatele služeb, jako jsou poskytovatelé informačních a síťových služeb, telefonní

služby, služby podpory a údržby;

b) služby správy bezpečnosti;

c) zákazníky;

d) outsourcing zařízení a/nebo provozu, např. informačních systémů a technologií, služeb

sběru dat, provozu call center;

e) konzultanty na řídící a obchodní činnosti a auditory;

f) vývojáře a dodavatele, např. informačních systémů a technologií;

g) úklid, zásobování, bezpečnostní ostraha a další externě zajišťované služby;

h) vykonání studentské praxe a jiné podobné krátkodobé akce.

Takovéto dohody mohou snížit rizika vyplývajících z přístupu externích subjektů.

6.2.2 Bezpečnostní požadavky pro přístup klientů

Opatření

Předtím, než je klientům umožněn přístup k informací a aktivům organizace, by měly být

zjištěny veškeré požadavky na bezpečnost.

Doporučení k realizaci

Předtím než je umožněn přístup zákazníků k aktivům organizace by měly být zváženy

následující požadavky pro zajištění bezpečnosti (v závislosti na typu a rozsahu přístupu nemusí

být všechny aplikovatelné):

a) ochrana aktiv zahrnující:

1. postupy sloužící k ochraně aktiv organizace včetně informací a programového

vybavení a řízení známých zranitelností;

2. postupy sloužící ke zjištění, zda nedošlo ke kompromitaci aktiv, například ztrátě nebo

modifikaci dat;

3. integritu aktiv;

4. omezení kopírování a šíření informací;

b) popis každé služby nebo produktu, které jsou třetí straně zpřístupněny;

c) důvody, požadavky a výhody vyplývající z přístupu umožněného zákazníkům;

d) politika řízení přístupu zahrnující:

1. povolené metody přístupu a jeho kontrola, použití jedinečných identifikátorů, jako

jsou uživatelské identifikátory a hesla;

2. autorizační proces pro přístup uživatele a jeho oprávnění;

3. prohlášení, že každý přístup který není explicitně povolen je zakázán;

4. proces zrušení přístupových práv nebo přerušení spojení mezi systémy;

e) systém hlášení, upozorňování a vyšetřování nepřesností informací (např. osobních údajů),

bezpečnostních incidentů a případů prolomení bezpečnosti;

f) popis každé služby, která je třetí straně zpřístupněna;

g) cílová úroveň služby a neakceptovatelné úrovně služby;

h) právo monitorovat a zakázat aktivity uživatele;

i) konkrétní závazky a odpovědnosti na straně organizace a zákazníka;

j) odpovědnosti vyplývající z právních norem, například z legislativy na ochranu osobních

údajů – zvláště v případech uzavírání smluv mezi stranami z různých států je nutné vzít

v úvahu národní legislativu (viz také 15.1);

k) ochrana duševního vlastnictví a autorské právo (viz15.1.2) a ochrana jakékoliv týmové

práce (viz také 6.1.5).

Další informace

Bezpečnostní požadavky pro zajištění přístupu zákazníků se mohou lišit v závislosti na

informacích a zařízení pro zpracování informací ke kterým má zákazník přístup. Tyto požadavky

mohou být naplněny v rámci dohod uzavřených se zákazníkem, ve kterých jsou identifikována

veškerá rizika a požadavky na bezpečnost (viz také 6.1.5).

Dohody s externími subjekty mohou také zahrnovat další zúčastněné strany. Dohody

umožňující přístup externích subjektů by měly zahrnovat dodatek, ve kterém budou ustanoveni

další případní účastníci, kteří by měli přístup k aktivům organizace, a budou upraveny

požadavky na tento přístup.

6.2.3 Bezpečnostní požadavky v dohodách se třetí stranou

Opatření

Dohody, uzavřené s třetími stranami zahrnující přístup, zpracování, šíření nebo správu

informací organizace nebo správu zařízení pro zpracování informací (případně dodávku

produktů nebo služeb k zařízení pro zpracování informací), by měly pokrývat veškeré relevantní

bezpečnostní požadavky.

Doporučení k realizaci

Dohody by měly zaručit, že mezi organizací a třetí stranou neexistuje nesoulad ve výkladu

předmětu jejich plnění. Organizace by se tímto samy měly pojistit před zproštěním se odpovědnosti

smluvních partnerů.

Doporučuje se zvážit zařazení následujících oblastí pro pokrytí všech identifikovaných

požadavků na bezpečnost (viz 6.2.1):

a) bezpečnostní politika informací;

b) opatření pro zajištění ochrany aktiv, zahrnující:

1. postupy sloužící k ochraně aktiv organizace včetně informací a programového

a technického vybavení;

2. jakákoliv opatření fyzické ochrany a mechanizmy, které zajišťují jejich plnění;

3. opatření k zajištění ochrany před škodlivým programovým vybavením (viz

10.4.1);

4. postup sloužící ke zjištění, zda nedošlo ke kompromitaci aktiv, například ztrátě nebo

modifikaci informací, programového a technické vybavení;

5. opatření zajišťující vrácení či zničení informací/aktiv po ukončení smluvního

vztahu nebo v jeho průběhu;

6. důvěrnost, integritu, dostupnost a další důležité vlastnosti aktiv;

7. omezení kopírování a šíření informací a dodržování dohod o ochraně důvěrných

informací (viz 6.1.5);

c) školení uživatelů a správců v metodách, postupech a v bezpečnosti;

d) zajištění dostatečného povědomí uživatelů o bezpečnosti informací a jejich

odpovědnostech;

e) tam, kde je to vhodné, podmínky přechodu personálu mezi smluvními stranami;

f) odpovědnost za instalaci a údržbu technického a programového vybavení;

g) jasná pravidla hlášení a schválený formát těchto hlášení;

h) jasný a specifikovaný proces řízení změn;

i) politiku řízení přístupu zahrnující:

1. důvody, požadavky a výhody, které činí přístup třetích stran nezbytným;

2. povolené metody přístupu, kontrola a použití jedinečných identifikátorů, jako jsou

uživatelské identifikátory (ID) a hesla;

3. autorizační proces pro přístup uživatele a jeho oprávnění;

4. požadavky na vedení a dostupnost seznamu jednotlivců, kteří jsou vzhledem ke

svým předdefinovaným právům a privilegiím oprávněni využívat nabízené služby;

5. prohlášení, že každý přístup který není explicitně povolen je zakázán;

6. proces zrušení přístupových práv nebo přerušení spojení mezi systémy;

j) systém hlášení, upozorňování a vyšetřování bezpečnostních incidentů a případů prolomení

bezpečnosti, stejně tak jako porušení jakýchkoliv podmínek stanovených v dohodách;

k) popis každé služby, která je třetí straně zpřístupněna a popis každé zpřístupněné

informace včetně bezpečnostní klasifikace (viz 7.2.1);

l) cílová úroveň služby a neakceptovatelné úrovně služby;

m) popis ověřitelných kritérií výkonnosti, způsob jejich sledování a hlášení;

n) právo monitorovat a zakázat jakékoliv aktivity uživatele mající vztah k aktivům

organizace;

o) právo auditovat povinnosti stanovené v dohodách nebo mít právo nechat provést tyto

audity třetí stranou a jmenovitě uvést legitimní práva auditorů;

p) ustavení procesu eskalace při řešení problému;

q) požadavky na kontinuitu služeb, včetně opatření pro zajištění dostupnosti

a spolehlivosti, v souladu se stanovenými prioritami organizace;

r) konkrétní závazky a odpovědnosti na straně organizace a zákazníka;

s) odpovědnosti vyplývající z právních norem, například z legislativy na ochranu osobních

údajů – zvláště v případech uzavírání smluv mezi stranami z různých států je nutné vzít

v úvahu národní legislativu (viz také 15.1);

t) ochrana duševního vlastnictví a autorské právo (viz15.1.2) a ochrana jakékoliv týmové

práce (viz také 6.1.5);

u) spolupráce třetích stran se subdodavateli a bezpečnostní opatření která musí

subdodavatelé přijmout;

v) podmínky obnovení/ukončení dohod:

1. měl by být připraven náhradní plán pro případ, že se některá ze stran rozhodne

ukončit spolupráci před řádným vypršením platné dohody;

2. vyjednání nových podmínek v případě, že dojde ke změně bezpečnostních

požadavků organizace;

3. seznam aktiv, licencí, dohod nebo práv s nimi spojených.

Další informace

Dohody uzavírané mezí organizací a třetími stranami se mohou výrazně lišit. Měl by proto být

kladen důraz na začlenění všech identifikovaných požadavků na bezpečnost. Tam kde je to

potřebné, mohou být požadavky na opatření a postupy podrobněji rozvedeny v plánu řízení

bezpečnosti.

Pokud je bezpečnost informací zajišťována formou outsourcingu, měly by uzavřené dohody

upravovat způsob jakým bude třetí strana zajišťovat odpovídající úroveň bezpečnosti tak, jak bylo určeno v rámci hodnocení rizik. Dále způsob jakým bude udržována úroveň bezpečnosti

a jak budou požadavky na bezpečnost upraveny v případě změn rizik.

Rozdíly v poskytování služeb formou outsourcingu a jinými typy spolupráce s třetími stranami

jsou v otázkách právní závaznosti, plánování přechodných období a plánování pro případ

narušení činností v průběhu přechodných období, plánování kontinuity činností a hloubkové

prověrky (due diligence), sběru a správy informací o bezpečnostních incidentech. Je proto

důležité aby organizace správně plánovala a řídila přechod k outsourcovaným službám a měla

zavedeny postupy řízení změn a obnovy/ukončení dohod o outsourcingu.