VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti
Yüklə 467,67 Kb. Pdf görüntüsü
|
32
Příloha č. 4 k vyhlášce č. …/2014 Sb. STRUKTURA BEZPEČNOSTNÍ DOKUMENTACE
Tato příloha obsahuje doporučený obsah bezpečnostní dokumentace. Navrhované struktury jednotlivých dokumentů zahrnují témata, která by měly jednotlivé dokumenty podle vyhlášky pokrývat, přičemž uvedené struktury dokumentů nejsou závazné a je na orgánu nebo osobě uvedené v § 3 písm. c) až e) zákona, jaký přístup k tvorbě bezpečnostní dokumentace použije. Přípustná je i změna názvů jednotlivých dokumentů nebo integrování více témat do jednoho dokumentu.
Struktura bezpečnostní politiky 1. Politika systému řízení bezpečnosti informací * [§ 5 odst. 1 písm. a), § 5 odst. 2 písm. a)] a. Cíle, principy a potřeby řízení bezpečnosti informací b. Rozsah a hranice systému řízení bezpečnosti informací c. Pravidla a postupy pro řízení dokumentace d. Pravidla a postupy pro řízení zdrojů a provozu systému řízení bezpečnosti informací e. Pravidla a postupy pro provádění auditů kybernetické bezpečnosti f. Pravidla a postupy pro přezkoumání systému řízení bezpečnosti informací g. Pravidla a postupy pro nápravná opatření a zlepšování systému řízení bezpečnosti informací 2. Politika organizační bezpečnosti ** [§ 5 odst. 1 písm. b), § 5 odst. 2 písm. b)] a. Určení bezpečnostních rolí a jejich práv a povinností
Práva a povinnosti manažera kybernetické bezpečnosti Práva a povinnosti architekta kybernetické bezpečnosti
Práva a povinnosti auditora kybernetické bezpečnosti Práva a povinnosti garanta aktiv
Práva a povinnosti výboru pro řízení kybernetické bezpečnosti b. Požadavky na oddělení odpovědností 3. Politika řízení dodavatelů ** [§ 5 odst. 1 písm. c), § 5 odst. 2 písm. c)] a. Pravidla a principy pro výběr dodavatelů b. Pravidla pro hodnocení rizik dodavatelů c. Náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti d. Pravidla pro provádění kontroly zavedení bezpečnostních opatření e. Pravidla pro hodnocení dodavatelů 33
Politika klasifikace aktiv ** [§ 5 odst. 1 písm. d), § 5 odst. 2 písm. d)] a. Identifikace, hodnocení a evidence primárních aktiv
Určení a evidence jednotlivých primárních aktiv včetně určení jejich garanta Hodnocení důležitosti primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti
Určení a evidence jednotlivých podpůrných aktiv včetně určení jejich garanta
Určení vazeb mezi primárními a podpůrnými aktivy c. Pravidla ochrany jednotlivých úrovní aktiv
Způsoby rozlišování jednotlivých úrovní aktiv Pravidla pro manipulaci a evidenci aktiv podle úrovní aktiv
Přípustné způsoby používání aktiv d. Způsoby spolehlivého smazání nebo ničení paměťových médií 5. Politika bezpečnosti lidských zdrojů ** [§ 5 odst. 1 písm. e), § 5 odst. 2 písm. e)] a. Pravidla rozvoje bezpečnostního povědomí a způsoby jeho hodnocení
způsoby a formy poučení uživatelů způsoby a formy poučení garantů aktiv
způsoby a formy poučení administrátorů způsoby a formy poučení dalších osob zastávajících bezpečnostní role b. Bezpečnostní školení nových zaměstnanců c. Pravidla pro řešení případů porušení bezpečnostní politiky systému řízení bezpečnosti informací d. Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice
vrácení svěřených aktiv a odebrání práv při ukončení pracovního vztahu změna přístupových oprávnění při změně pracovní pozice 6. Politika řízení provozu a komunikací ** [§ 5 odst. 1 písm. f), § 5 odst. 2 písm. f)] a. Pravomoci a odpovědnosti spojené s bezpečným provozem b. Postupy bezpečného provozu c. Požadavky a standardy bezpečného provozu d. Řízení technických zranitelností e. Pravidla a omezení pro provádění auditů kybernetické bezpečnosti a bezpečnostních testů 7. Politika řízení přístupu ** [§ 5 odst. 1 písm. g), § 5 odst. 2 písm. g)] a. Princip minimálních oprávnění/potřeba znát (need to know) b. Požadavky na řízení přístupu Yüklə 467,67 Kb. Dostları ilə paylaş:
|