Bezpečnostní politika

To, že má stále více organizací podle nejrůznějších průzkumů stavu informační bezpečnosti bezpečnostní politiku, ještě neznamená, že se zvyšuje bezpečnostní povědomí zaměstnanců těchto organizací.

Bohužel, mnohé organizace vydaly bezpečnostní politiku jen proto, aby splnily požadavek zákona nebo auditora. Tyto politiky, zpravidla vytvořené prostým opsáním doporučení uvedených v ISO/IEC 27002, pak nejsou v praxi příliš dodržovány. Ať už proto, že o nich v dané organizaci téměř nikdo neví nebo prostě proto, že jsou nepoužitelné. Na tomto místě bych rád zdůraznil, že kvalitní bezpečnostní politika může vzniknout jedině na základě provedené analýzy rizik. Na následujícím obrázku je zachyceno, jak při tvorbě bezpečnostní politiky postupovat.

Bezpečnostní politika

Ponechme nyní stranou, zda tyto výše uvedené činnosti provádět interně nebo externě, což je jistě také zajímavé téma, a zaměřme se spíše na obsah jednotlivých fází.

Porozumění business cílům

V prvé řadě je třeba vzít v úvahu, jaké jsou business cíle dané organizace, v jakém oboru podniká, jaké je její  vnitřní a vnější prostředí.

Řízení informační bezpečnosti

V okamžiku, kdy známe dostatečně dobře business cíle, můžeme je promítnout do strategie řízení informační bezpečnosti (Information Security Governance).

Provedení analýzy rizik

Dalším krokem je analýza rizik, jejímž cílem je identifikovat pro danou organizaci kritická a citlivá aktiva, potenciální hrozby a možné zranitelnosti a následně vybrat vhodná opatření, která by vedla ke snížení rizik.

Sepsání bezpečnostní politiky

Teprve nyní, kdy známe kritická a citlivá aktiva, potenciální hrozby a možné zranitelnosti, můžeme začít sepisovat bezpečnostní politiku a související dokumenty.

Implementace bezpečnostní politiky

Vzhledem k tomu, že bezpečnostní politiku nevytváříme proto, abychom ji mohli předložit auditorovi, ale aby se jí naši zaměstnanci mohli skutečně řídit, musí logicky přijít i fáze implementace bezpečnostní politiky. V rámci této fáze by měli být všichni zaměstnanci s bezpečnostní politikou prokazatelně seznámeni.

Monitoring a audit

Abychom si ověřili, že zaměstnanci politice rozumí a dodržují zásady v ní uvedené, měli bychom provádět kontroly formou monitoringu a auditu.

Poznámka: Všimněte si, že v kterékoliv fázi je možné se vrátit zpět do jakékoliv předchozí fáze. Pozornému čtenáři, který se o problematiku řízení informační bezpečnosti zajímá, jistě neuniklo, že šipka směřuje i k business cílům, což je něco, s čím se asi zatím v jiných odborných příspěvcích na toto téma nesetkal. Nejedná se ale o chybu, je třeba si uvědomit, že se může objevit i takové riziko, které nelze zvládat jinak, než že se mu vyhneme, a to si vyžádá právě změnu business cílů. Bohužel na tento první krok spousta organizací zapomíná a nezřídka i ty, co své služby v této oblasti nabízejí a snaží se tak o vytvoření bezpečnostní politiky bez detailního porozumění cílům organizace.

Závěr: Kvalitní bezpečnostní politika může vzniknout pouze na základě provedené analýzy rizik a porozumění cílům organizace. Bezpečnostní politika je z výše uvedeného důvodu specifická pro konkrétní organizaci, a pokud má plnit svůj účel, nemůže vzniknout pouhým okopírováním bezpečnostní politiky jiné společnosti. Bezpečnostní politika je dokument pokrývající všechny významné oblasti informační bezpečnosti. Měla by odpovědět na otázky, co musí být chráněno, kdo za to nese odpovědnost, a jak bude dodržování politiky vynuceno a kontrolováno a jak se bude postupovat v případě, že někdo bude jednat v rozporu s touto politikou a bude porušovat zásady v ní uvedené.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Bezpečnostní politika” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: