Informační systém organizace představuje souhrn nejrůznějších aktiv, jako jsou data, služby a hmotný majetek. Jejich ztráta, poškození či odcizení představuje pro organizaci nejrůznější rizika. Můžeme jmenovat například omezení fungování, porušení legislativních předpisů nebo „jen“ ztrátu dobrého jména.
Pro minimalizaci těchto rizik je zapotřebí v organizaci zavést systém řízení bezpečnosti. Bezpečnostní politika je zásadním dokumentem právě pro tuto oblast. Stanovuje základní bezpečnostní cíle a definuje postupy k jejich dosažení. Další její nezbytnou součástí je stanovení rolí a odpovědností v informačním systému organizace.
Nutnou podmínkou úspěšné implementace systému řízení bezpečnosti je nutná zainteresovanost nejvyššího vedení organizace.
Bezpečnost informačního systému je nutno chápat komplexně, proto je zapotřebí aby bezpečnostní politika řešila řízení bezpečnosti v celé organizaci, a ne jen v její části. To samozřejmě nevylučuje existenci dílčích bezpečnostních směrnic pro jednotlivé části informačního systému.
Jak probíhá tvorba bezpečnostní politiky?
Prvním krokem je ustanovení pracovní skupiny, jejímž úkolem je sestavení seznamu všech aktiv organizace. Aktivem obvykle rozumíme hmotný a nehmotný majetek, data nebo poskytované či čerpané služby.
Každá položka ze seznamu aktiv je posléze ohodnocena a jsou u ní odhadnuty dopady v případě její ztráty, poškození či nedostupnosti. Na základě tohoto hodnocení pak už jsou přijímána konkrétní opatření, která mají za cíl nežádoucím incidentům zabránit. Této činnosti říkáme analýza rizik.
Na základě zpracované analýzy pak organizace obvykle vypracovává konkrétní interní směrnice, ve kterých jsou definovány postupy jak pro zmenšování rizik, tak postupy pro obnovení provozu informačního systému (nebo jeho části) při havarijních situacích.
Co ještě bezpečnostní politika obsahuje?
Bezpečnostní politika dále ustanovuje bezpečnostní komisi, odpovědnou za řízení bezpečnosti v organizaci. Tato komise pak odpovídá za udržování bezpečnostní politiky v aktuálním stavu a kontroluje plnění požadavků na bezpečnost.
Přílohou bezpečnostní politiky je provozně bezpečnostní dokumentace (systémová příručka, příručka bezpečnostního správce a příručka uživatele).
Námi zpracovaná bezpečnostní politika je v souladu s ISO 27001 – ISMS.
Atestace
Vztahuje-li se na Vás povinnost atestace dle zákona 365/2000Sb. a vyhlášky 529/2006 Sb., zařídíme za Vás veškerou komunikaci s atestačním střediskem a vyřízení veškerých formalit a připomínek až do okamžiku vystavení atestu.