Organizace bezpečnosti
6.1 Interní organizace
Cíl: Řídit bezpečnost informací v organizaci.
Měl by být vytvořen řídící rámec pro zahájení a řízení implementace bezpečnosti informací
v organizaci.
Vedení organizace by mělo schválit politiku bezpečnosti informací, přiřadit role v oblasti bezpečnosti
informací a koordinovat implementaci bezpečnosti v organizaci.
Jestliže je to nutné, pak by měl být v organizaci vytvořen specializovaný zdroj pro oblast
bezpečnosti informací a měl by být dostupný pro celou organizaci. Aby bylo možné udržovat
krok s posledními trendy v odvětví bezpečnosti informací, sledovat standardy, vybírat
nejvhodnější metody a zajistit vhodné styčné body v případech bezpečnostních incidentů, měly by být
uzavřeny smlouvy s externími odborníky v oboru bezpečnosti informací. Měl by být podporován
multi-disciplinární přístup k bezpečnosti informací.
6.1.1 Závazek vedení
Opatření
Vedení organizace by mělo stanovit jasný směr a aktivně podporovat bezpečnost v rámci
organizace. Mělo by demonstrovat svůj závazek a jednoznačně přiřadit a vymezit role v oblasti
bezpečnosti informací.
Doporučení k realizaci
Vedení by mělo:
a) zajistit identifikaci cílů bezpečnosti, jejich soulad s požadavky organizace a integraci do
relevantních procesů;
b) formulovat, přezkoumat a schválit bezpečnostní politiku informací;
c) přezkoumat účinnost implementace bezpečnostní politiky informací;
d) poskytnout jasný směr a viditelnou podporu bezpečnostním iniciativám;
e) zajistit dostatečné zdroje potřebné pro bezpečnost informací;
f) schválit přidělení jednotlivých rolí a odpovědností za bezpečnost informací v rámci
organizace;
g) iniciovat plány a programy na zvyšování bezpečnostního povědomí;
h) zajistit, aby implementace bezpečnostních opatření byla koordinována v rámci celé
organizace (viz 6.1.2).
Vedení organizace by mělo určit potřebnost konzultací od odborníka (interního nebo externího)
na bezpečnost informací a přezkoumat a koordinovat výsledky konzultací v rámci organizace.
V závislosti na velikosti organizace může být tato odpovědnost přesunuta na fórum pro řízení
bezpečnosti informací nebo jiný řídící subjekt, jako například představenstvo.
Další informace
Další informace lze nalézt v normě ISO/IEC 13335-1:20044.
6.1.2 Koordinace bezpečnosti informací
Opatření
Činnosti v oblasti bezpečnosti informací by měly být koordinovány prostřednictvím zástupců
různých útvarů z celé organizace.
Doporučení k realizaci
Koordinace bezpečnosti informací by měla zahrnovat součinnost zástupce vedení organizace,
uživatelů, administrátorů, návrhářů aplikačních programů, auditorů, zaměstnanců oddělení
bezpečnosti a odborníky na specifické oblasti, jako například pojištění, právní otázky, lidské
zdroje, IT anebo řízení rizik.
Koordinace bezpečnosti by měla:
a) zajistit, aby aktivity v oblasti bezpečnosti informací byly prováděny v souladu
s bezpečnostní politikou informací;
b) určit jakým způsobem bude naloženo se zjištěnými nesoulady;
c) schválit specifické metodologie a postupy v oblasti bezpečnosti informací, například
hodnocení rizik, systém bezpečnostní klasifikace;
d) identifikovat významné změny v hrozbách a vystavení informací a prostředkům pro
zpracování informací vůči těmto hrozbám;
e) zajistit podporu vzdělávání v oblasti bezpečnosti informací dotýkající se celé organizace,
například školení a program zvyšování bezpečnostního povědomí;
f) vyhodnotit informace získané z procesu monitorování a přezkoumání bezpečnostních
incidentů a doporučit vhodný způsob reakce na identifikované bezpečnostní incidenty.
Pokud organizace nevyužívá funkce fóra, vytvořeného ze zástupců jednotlivých útvarů, např.
z důvodů velikosti organizace, měly by být veškeré výše popsané aktivity zajištěny jiným
vhodným subjektem nebo určeným členem z vedení organizace.
6.1.3 Přidělení odpovědností v oblasti bezpečnosti informací
Opatření
Měly by být jednoznačně určeny odpovědnosti v oblasti bezpečnosti informací.
Doporučení k realizaci
Přidělení odpovědností v oblasti bezpečnosti informací by mělo být provedeno v souladu
s bezpečnostní politikou informací (viz kapitola 4). Měly by být jednoznačně vymezeny odpovědnosti
za ochranu jednotlivých aktiv a za realizaci určených bezpečnostních procesů. Tam, kde je to
potřebné, by tyto odpovědnosti měly být doplněny o podrobnější interpretaci vztahující se ke
specifickým místům, systémům nebo službám. Měly by být jasně definovány lokální odpovědnosti za
ochranu aktiv a výkon bezpečnostních procesů, například plánování kontinuity činností
organizace.
Jedinci s přidělenou odpovědností mohou jednotlivé činnosti v oblasti bezpečnosti delegovat.
Nicméně v konečném důsledku zůstávají odpovědnými a měly by být schopni zaručit, že
jakékoliv delegované činnosti byly vykonány správně.
Je nezbytné jasně vymezit oblasti odpovědnosti jednotlivých vedoucích; zvlášť by mělo být
provedeno následující.
a) identifikování a jasné vymezení různých aktiv a bezpečnostních postupů spojených
s každým jednotlivým systémem;
b) určení odpovědnosti relevantního subjektu za každé aktivum nebo
bezpečnostní postup, detaily této odpovědnosti by měly být zdokumentovány
(viz také 7.1.2);
c) jednoznačné vymezení a zdokumentování úrovně oprávnění jednotlivých
subjektů.
Další informace
V mnoha organizacích bude jmenován vedoucí zaměstnanec5 odpovědný za bezpečnost
informací, který nese veškerou odpovědnost za vývoj a implementaci bezpečnosti a který
zajišťuje identifikaci opatření.
Avšak odpovědnost za financování a implementaci těchto opatření bude často zůstávat na
vedoucích jednotlivých útvarů organizace. Jedním z obecně používaných postupů je jmenovat
vlastníka pro každé informační aktivum. Ten se pak stane odpovědným za každodenní
bezpečnost svěřeného aktiva.
6.1.4 Schvalovací proces pro prostředky zpracování informací
Opatření
Měl by být ustaven a zaveden postup schvalování (vedoucími zaměstnanci) nových prostředků
pro zpracování informací.
Doporučení k realizaci
V úvahu by měla být vzata následující doporučení:
a) nová zařízení by měla být odsouhlasena jednotlivými vedoucími uživatelských útvarů
organizace, kteří schválí jejich účel a použití. Schválení by také mělo být získáno od
vedoucího zaměstnance odpovědného za bezpečnost provozu informačního systému,
aby se zajistilo, že nebudou porušeny žádné relevantní bezpečnostní politiky
a požadavky;
b) v nutných případech by mělo být zkontrolováno technické a programové vybavení, aby bylo
zajištěno, že je kompatibilní s ostatními systémovými prvky;
c) použití soukromých prostředků zpracovávajících pracovní informace (např. notebooků,
domácích PC nebo kapesních zařízení) by mělo být zvlášť schvalováno a měla by být
přijata veškeré nutná opatření s tím spojená, protože použití těchto prostředků může
znamenat vznik nových zranitelností.
6.1.5 Dohody o ochraně důvěrných informací
Opatření
Měly by být určeny a v pravidelných intervalech přezkoumávány dohody obsahující požadavky
na ochranu důvěrnosti nebo povinnost zachovávat mlčenlivost, reflektující potřeby organizace
na ochranu informací.
Doporučení k realizaci
Dohody o ochraně důvěrnosti nebo o povinnosti zachovávat mlčenlivost by měli zajistit požadavek
na ochranu důvěrné informace s využitím zákonem vymahatelných prostředků. Při určení
požadavků na dohody o ochraně důvěrnosti nebo povinnost zachovávat mlčenlivost by mělo být
bráno v úvahu:
a) určení informace, která má být chráněna (např. důvěrná informace);
b) očekávaná délka dohody, včetně upřesnění případů kdy požadavek na ochranu
důvěrnosti trvá i po jejím vypršení;
c) upřesnění kroků následujících po ukončení dohody;
d) odpovědnosti a kroky, které signatáři dohody podniknou k zamezení neoprávněného
prozrazení informací (např. dodržování principu „oprávněné potřeby znát“ (need to know));
e) vlastnictví informací, obchodní tajemství a ochrana duševního vlastnictví a jakým
způsobem to souvisí s ochranou důvěrných informací;
f) dovolené použití důvěrných informací a práva smluvních stran na jejich použití;
g) právo auditovat a monitorovat činnosti, které zahrnují důvěrné informace;
h) způsob oznámení a podání zprávy o neoprávněném prozrazení nebo porušení
důvěrnosti informace;
i) podmínky za jakých mají být informace po ukončení dohody vráceny nebo zničeny;
j) kroky které budou podniknuty v případě, že dojde k porušení dohody.
V závislosti na bezpečnostních potřebách organizace mohou být dohody o ochraně důvěrných
informací nebo povinnost zachovávat mlčenlivost doplněny o další potřebná ustanovení.
Dohody o ochraně důvěrných informací nebo povinnost zachovávat mlčenlivost by měly být
v souladu s místními zákony a předpisy (viz také 15.1.1).
Požadavky obsažené v dohodách o ochraně důvěrných informací nebo o povinnosti zachovávat
mlčenlivost by měly být v pravidelných intervalech, a v případě jakýchkoliv dalších změn
ovlivňujících tyto požadavky, přezkoumávány.
Další informace
Dohody o ochraně důvěrných informací nebo o povinnosti zachovávat mlčenlivost slouží
k ochraně informací organizace. Zavazují signatáře k odpovědnosti informace chránit, používat
a zveřejňovat je pouze odpovědným a oprávněným způsobem.
V závislosti na konkrétní situaci mohou organizace volit různé formy dohod o ochraně důvěrných
informací nebo o povinnosti zachovávat mlčenlivost.
6.1.6 Kontakt s orgány veřejné správy
Opatření
Měly by být udržovány přiměřené vztahy s orgány veřejné správy.
Doporučení k realizaci
Organizace by měly mít zavedeny postupy, které přesně určují za jakých podmínek a kým by
měly být kontaktovány orgány veřejné správy (např. policie, hasiči, dozorčí orgány) a postupy
včasného hlášení bezpečnostních incidentů v případech, kdy existuje podezření na porušení
zákonů.
V některých případech mohou organizace, které jsou vystaveny útokům z internetu, využít
služeb třetích stran (např. poskytovatelé internetového připojení nebo telekomunikační
operátoři), k podniknutí nápravných opatření.
Další informace
Udržování dobrých vztahů s orgány veřejné zprávy může také patřit mezi požadavky na
podporu zvládání bezpečnostních incidentů (viz 13.2) nebo procesů plánování kontinuity a
obnovy činností po havárii (viz kapitola 14). Dobré kontakty na regulační orgány zase umožní
organizaci předjímat připravované změny v zákonech a předpisech a dopředu se na ně
připravit. Kontakty na další subjekty mohou zahrnovat komunální služby, pohotovostní služby,
inspektoráty bezpečnosti práce, dále pak například hasiče (ve vztahu ke kontinuitě činností
organizace), poskytovatele telekomunikačních služeb (ve vztahu ke směrování a dostupnosti
kabeláže), dodavatele vody (pro potřeby chladících zařízení).
6.1.7 Kontakt se zájmovými skupinami
Opatření
Měly by být udržovány přiměřené vztahy se zájmovými skupinami nebo speciálními fóry na
bezpečnost a profesními sdruženími.
Doporučení k realizaci
Členství ve specializovaných zájmových skupinách a diskusních fórech by mělo být zváženo
z následujících důvodů:
a) rozšiřování znalostí o nejlepších praktikách a nejnovějších trendech v oblasti
bezpečnosti informací;
b) ujištění se, že to jak je chápána bezpečnost informací v organizaci je dostatečné
a odpovídá současným trendům;
c) obdržení včasného varování, získání doporučení a informací o bezpečnostních
záplatách souvisejících s útoky a zranitelnostmi;
d) získání přístupu k doporučením a radám odborníků na bezpečnost informací;
e) sdílení a výměna informací o nejnovějších technologiích, produktech, hrozbách
a zranitelnostech;
f) navázání vhodné spolupráce pří řešení bezpečnostních incidentů (viz také 13.2.1).
Další informace
Pro zlepšení spolupráce a koordinace při řešení záležitostí týkajících se bezpečnosti mohou být
uzavřeny dohody o sdílení informací. Takovéto dohody by měly obsahovat požadavky na
ochranu citlivých informací.
6.1.8 Nezávislá přezkoumání bezpečnosti informací
Opatření
Přístup organizace k řízení a implementaci bezpečnosti informací (tj. cíle opatření, jednotlivá
opatření, politiky, směrnice a postupy) by měly být v pravidelných intervalech (a nebo v případě
jakékoliv významné změny ve vztahu k bezpečnosti) nezávisle přezkoumávány.
Doporučení k realizaci
Vedení organizace by mělo iniciovat nezávislá přezkoumání bezpečnosti informací. Nezávislá
přezkoumání jsou důležitá pro zajištění toho, že přístup organizace k řízení bezpečnosti
informací je vyhovující, přiměřený a dostatečně účinný. Součástí přezkoumání by mělo být
zhodnocení možností pro zlepšení a změny v přístupu k bezpečnosti, včetně přezkoumání
bezpečnostní politiky a cílů opatření.
Tato přezkoumání by měla být prováděna nezávislými subjekty, např. útvar interního auditu,
nezávislý vedoucí zaměstnanec nebo třetí organizace specializující se na tuto činnost, přičemž
potenciální kandidáti na tuto práci musí mít patřičné znalosti a zkušenosti.
Výsledky nezávislých přezkoumání by měly být zaznamenány a měly by s nimi být seznámeni
vedoucí zaměstnanci, kteří přezkoumání iniciovali.
Pokud je v rámci nezávislého přezkoumání zjištěno, že přístup organizace k řízení bezpečnosti
informací jeví nedostatky nebo nesoulad se směrem stanoveným v bezpečnostní politice
informací (viz 5.1.1), měly by být ze strany vedoucích zaměstnanců zváženy kroky k nápravě.
Další informace
Nezávislé přezkoumání může být také zváženo u oblastí, které mají být pravidelně
přezkoumávány vedoucími zaměstnanci (viz 15.2.1). Techniky přezkoumání mohou zahrnovat
rozhovory s vedoucími zaměstnanci, kontrolu záznamů nebo přezkoumání bezpečnostních
politik. ČSN EN ISO 19011, Směrnice pro auditování systému managementu jakosti a/nebo
systému environmentálního managementu, může také poskytnout další užitečné informace o
tom jak provést nezávislé přezkoumání bezpečnosti, včetně ustavení a zavedení programu
přezkoumání. V kapitole 15.3 jsou uvedena opatření týkající se nezávislých přezkoumání
informačních systémů a použití nástrojů pro audit systému.
6.2 Externí subjekty
Cíl: Zachovat bezpečnost informací organizace a zařízení pro zpracování informací, které jsou
přístupné, zpracovávané, sdělované nebo spravované externími subjekty.
Bezpečnost informací a zařízení pro zpracování informací by neměla být snížena při zavedení
produktů a služeb třetích stran.
Přístup externích subjektů k zařízení pro zpracování informací a k informacím by měl být
kontrolován.
Tam, kde z činností organizace vyplývá potřeba přístupu externích subjektů, by mělo být provedeno
hodnocení rizik plynoucích z tohoto přístupu tak, aby se zjistily důsledky z hlediska bezpečnosti
a aby se definovaly požadavky na opatření. Opatření by měla být schválena a definována ve
smlouvě se třetí stranou.
6.2.1 Identifikace rizik plynoucích z přístupu externích subjektů
Opatření
Předtím, než je externím subjektům povolen přístup k informacím organizace a prostředkům pro
zpracování informací, by měla být identifikována rizika a implementována vhodná opatření na
jejich pokrytí.
Doporučení k realizaci
Tam, kde existuje potřeba přístupu externích subjektů k informacím organizace a zařízení pro
zpracování informací, by mělo být provedeno hodnocení rizik (viz také kapitola 4) tak, aby byly
identifikovány požadavky na opatření. Při identifikace rizik spojených s přístupem externích
subjektů by mělo být vzato v potaz následující:
a) identifikace zařízení pro zpracování informací ke kterým je potřebný přístup externích
subjektů;
b) typ přístupu jaký bude mít externí subjekt k zařízení pro zpracování informací, např.:
1. fyzický přístup, např. přístup do kanceláří, do místností s počítači, do kartoték;
2. logický přístup, např. přístup k databázím organizace, do informačních systémů;
3. typ síťového spojení mezi organizací a externím subjektem, např. trvalé spojení,
vzdálený přístup;
4. zda je přístup z prostor organizace a nebo mimo ně;
c) hodnota, citlivost a kritičnost příslušných informací pro organizaci;
d) opatření nutná k ochraně informací, ke kterým nemají mít externí subjekty přístup;
e) identifikace personálu na straně externích subjektů, který bude mít přístup
k informacím;
f) způsob jakým je identifikována organizace nebo personál mající oprávnění k přístupu,
jakým způsobem je toto oprávnění ověřeno a jak často znovu potvrzeno;
g) postupy a opatření používané externími subjekty při ukládání, komunikování, sdílení
a výměně informací;
h) jaký může mít dopad nedostupnost informací a prostředků pro zpracování informací
externím subjektem. Dopad jaký může mít zadání nebo obdržení nepřesných nebo
klamných informací externím subjektem;
i) směrnice a postupy pro řešení bezpečnostních incidentů a potenciálních poškození,
podmínky a okolnosti za jakých bude umožněn přístup externím subjektům v případě
bezpečnostního incidentu;
j) zákonné, regulatorní a jiné relevantní smluvní požadavky ve vztahu k externím
subjektům, které by měly být vzaty v potaz;
k) jaký to může mít vliv na zájmy akcionářů, podílníků a ostatních zájmových skupin.
Přístup třetích stran k informacím a k zařízením pro zpracování informací by neměl být
umožněn do té doby, než jsou implementována přiměřená bezpečnostní opatření a podepsána
dohoda, ve které se vymezí podmínky síťového propojení nebo přístupu třetí strany do prostor
organizace a pracovní podmínky. Obecně, veškeré bezpečnostní požadavky plynoucí
z možnosti přístupu třetí strany nebo interních opatření, musí být v souladu se smlouvou
uzavřenou mezi třetí stranou a organizací (viz také 6.2.2 a 6.2.3).
Další informace
Informace mohou být ohroženy přístupem třetích stran s neadekvátním řízením bezpečnosti. Je
nutné vědět, jaká opatření je nezbytné přijmout v souvislosti se zabezpečením přístupu třetích
stran k zařízením pro zpracování informací. Například v případě potřeby zachování důvěrnosti
informací může být uzavřena dohoda o zachování důvěrnosti.
Organizace mohou být vystaveny rizikům souvisejícím s interními procesy, řízením
a komunikací při zajištění činností organizace formou outsourcingu nebo pokud se spolupráce
dotýká více externích subjektů.
Opatření uvedená v kapitolách 6.2.2 a 6.2.3 pokrývají různé typy externích subjektů
a poskytovaných služeb, jako například:
a) poskytovatele služeb, jako jsou poskytovatelé informačních a síťových služeb, telefonní
služby, služby podpory a údržby;
b) služby správy bezpečnosti;
c) zákazníky;
d) outsourcing zařízení a/nebo provozu, např. informačních systémů a technologií, služeb
sběru dat, provozu call center;
e) konzultanty na řídící a obchodní činnosti a auditory;
f) vývojáře a dodavatele, např. informačních systémů a technologií;
g) úklid, zásobování, bezpečnostní ostraha a další externě zajišťované služby;
h) vykonání studentské praxe a jiné podobné krátkodobé akce.
Takovéto dohody mohou snížit rizika vyplývajících z přístupu externích subjektů.
6.2.2 Bezpečnostní požadavky pro přístup klientů
Opatření
Předtím, než je klientům umožněn přístup k informací a aktivům organizace, by měly být
zjištěny veškeré požadavky na bezpečnost.
Doporučení k realizaci
Předtím než je umožněn přístup zákazníků k aktivům organizace by měly být zváženy
následující požadavky pro zajištění bezpečnosti (v závislosti na typu a rozsahu přístupu nemusí
být všechny aplikovatelné):
a) ochrana aktiv zahrnující:
1. postupy sloužící k ochraně aktiv organizace včetně informací a programového
vybavení a řízení známých zranitelností;
2. postupy sloužící ke zjištění, zda nedošlo ke kompromitaci aktiv, například ztrátě nebo
modifikaci dat;
3. integritu aktiv;
4. omezení kopírování a šíření informací;
b) popis každé služby nebo produktu, které jsou třetí straně zpřístupněny;
c) důvody, požadavky a výhody vyplývající z přístupu umožněného zákazníkům;
d) politika řízení přístupu zahrnující:
1. povolené metody přístupu a jeho kontrola, použití jedinečných identifikátorů, jako
jsou uživatelské identifikátory a hesla;
2. autorizační proces pro přístup uživatele a jeho oprávnění;
3. prohlášení, že každý přístup který není explicitně povolen je zakázán;
4. proces zrušení přístupových práv nebo přerušení spojení mezi systémy;
e) systém hlášení, upozorňování a vyšetřování nepřesností informací (např. osobních údajů),
bezpečnostních incidentů a případů prolomení bezpečnosti;
f) popis každé služby, která je třetí straně zpřístupněna;
g) cílová úroveň služby a neakceptovatelné úrovně služby;
h) právo monitorovat a zakázat aktivity uživatele;
i) konkrétní závazky a odpovědnosti na straně organizace a zákazníka;
j) odpovědnosti vyplývající z právních norem, například z legislativy na ochranu osobních
údajů – zvláště v případech uzavírání smluv mezi stranami z různých států je nutné vzít
v úvahu národní legislativu (viz také 15.1);
k) ochrana duševního vlastnictví a autorské právo (viz15.1.2) a ochrana jakékoliv týmové
práce (viz také 6.1.5).
Další informace
Bezpečnostní požadavky pro zajištění přístupu zákazníků se mohou lišit v závislosti na
informacích a zařízení pro zpracování informací ke kterým má zákazník přístup. Tyto požadavky
mohou být naplněny v rámci dohod uzavřených se zákazníkem, ve kterých jsou identifikována
veškerá rizika a požadavky na bezpečnost (viz také 6.1.5).
Dohody s externími subjekty mohou také zahrnovat další zúčastněné strany. Dohody
umožňující přístup externích subjektů by měly zahrnovat dodatek, ve kterém budou ustanoveni
další případní účastníci, kteří by měli přístup k aktivům organizace, a budou upraveny
požadavky na tento přístup.
6.2.3 Bezpečnostní požadavky v dohodách se třetí stranou
Opatření
Dohody, uzavřené s třetími stranami zahrnující přístup, zpracování, šíření nebo správu
informací organizace nebo správu zařízení pro zpracování informací (případně dodávku
produktů nebo služeb k zařízení pro zpracování informací), by měly pokrývat veškeré relevantní
bezpečnostní požadavky.
Doporučení k realizaci
Dohody by měly zaručit, že mezi organizací a třetí stranou neexistuje nesoulad ve výkladu
předmětu jejich plnění. Organizace by se tímto samy měly pojistit před zproštěním se odpovědnosti
smluvních partnerů.
Doporučuje se zvážit zařazení následujících oblastí pro pokrytí všech identifikovaných
požadavků na bezpečnost (viz 6.2.1):
a) bezpečnostní politika informací;
b) opatření pro zajištění ochrany aktiv, zahrnující:
1. postupy sloužící k ochraně aktiv organizace včetně informací a programového
a technického vybavení;
2. jakákoliv opatření fyzické ochrany a mechanizmy, které zajišťují jejich plnění;
3. opatření k zajištění ochrany před škodlivým programovým vybavením (viz
10.4.1);
4. postup sloužící ke zjištění, zda nedošlo ke kompromitaci aktiv, například ztrátě nebo
modifikaci informací, programového a technické vybavení;
5. opatření zajišťující vrácení či zničení informací/aktiv po ukončení smluvního
vztahu nebo v jeho průběhu;
6. důvěrnost, integritu, dostupnost a další důležité vlastnosti aktiv;
7. omezení kopírování a šíření informací a dodržování dohod o ochraně důvěrných
informací (viz 6.1.5);
c) školení uživatelů a správců v metodách, postupech a v bezpečnosti;
d) zajištění dostatečného povědomí uživatelů o bezpečnosti informací a jejich
odpovědnostech;
e) tam, kde je to vhodné, podmínky přechodu personálu mezi smluvními stranami;
f) odpovědnost za instalaci a údržbu technického a programového vybavení;
g) jasná pravidla hlášení a schválený formát těchto hlášení;
h) jasný a specifikovaný proces řízení změn;
i) politiku řízení přístupu zahrnující:
1. důvody, požadavky a výhody, které činí přístup třetích stran nezbytným;
2. povolené metody přístupu, kontrola a použití jedinečných identifikátorů, jako jsou
uživatelské identifikátory (ID) a hesla;
3. autorizační proces pro přístup uživatele a jeho oprávnění;
4. požadavky na vedení a dostupnost seznamu jednotlivců, kteří jsou vzhledem ke
svým předdefinovaným právům a privilegiím oprávněni využívat nabízené služby;
5. prohlášení, že každý přístup který není explicitně povolen je zakázán;
6. proces zrušení přístupových práv nebo přerušení spojení mezi systémy;
j) systém hlášení, upozorňování a vyšetřování bezpečnostních incidentů a případů prolomení
bezpečnosti, stejně tak jako porušení jakýchkoliv podmínek stanovených v dohodách;
k) popis každé služby, která je třetí straně zpřístupněna a popis každé zpřístupněné
informace včetně bezpečnostní klasifikace (viz 7.2.1);
l) cílová úroveň služby a neakceptovatelné úrovně služby;
m) popis ověřitelných kritérií výkonnosti, způsob jejich sledování a hlášení;
n) právo monitorovat a zakázat jakékoliv aktivity uživatele mající vztah k aktivům
organizace;
o) právo auditovat povinnosti stanovené v dohodách nebo mít právo nechat provést tyto
audity třetí stranou a jmenovitě uvést legitimní práva auditorů;
p) ustavení procesu eskalace při řešení problému;
q) požadavky na kontinuitu služeb, včetně opatření pro zajištění dostupnosti
a spolehlivosti, v souladu se stanovenými prioritami organizace;
r) konkrétní závazky a odpovědnosti na straně organizace a zákazníka;
s) odpovědnosti vyplývající z právních norem, například z legislativy na ochranu osobních
údajů – zvláště v případech uzavírání smluv mezi stranami z různých států je nutné vzít
v úvahu národní legislativu (viz také 15.1);
t) ochrana duševního vlastnictví a autorské právo (viz15.1.2) a ochrana jakékoliv týmové
práce (viz také 6.1.5);
u) spolupráce třetích stran se subdodavateli a bezpečnostní opatření která musí
subdodavatelé přijmout;
v) podmínky obnovení/ukončení dohod:
1. měl by být připraven náhradní plán pro případ, že se některá ze stran rozhodne
ukončit spolupráci před řádným vypršením platné dohody;
2. vyjednání nových podmínek v případě, že dojde ke změně bezpečnostních
požadavků organizace;
3. seznam aktiv, licencí, dohod nebo práv s nimi spojených.
Další informace
Dohody uzavírané mezí organizací a třetími stranami se mohou výrazně lišit. Měl by proto být
kladen důraz na začlenění všech identifikovaných požadavků na bezpečnost. Tam kde je to
potřebné, mohou být požadavky na opatření a postupy podrobněji rozvedeny v plánu řízení
bezpečnosti.
Pokud je bezpečnost informací zajišťována formou outsourcingu, měly by uzavřené dohody
upravovat způsob jakým bude třetí strana zajišťovat odpovídající úroveň bezpečnosti tak, jak bylo určeno v rámci hodnocení rizik. Dále způsob jakým bude udržována úroveň bezpečnosti
a jak budou požadavky na bezpečnost upraveny v případě změn rizik.
Rozdíly v poskytování služeb formou outsourcingu a jinými typy spolupráce s třetími stranami
jsou v otázkách právní závaznosti, plánování přechodných období a plánování pro případ
narušení činností v průběhu přechodných období, plánování kontinuity činností a hloubkové
prověrky (due diligence), sběru a správy informací o bezpečnostních incidentech. Je proto
důležité aby organizace správně plánovala a řídila přechod k outsourcovaným službám a měla
zavedeny postupy řízení změn a obnovy/ukončení dohod o outsourcingu.