Vytisknout jednu kapitoluVytisknout jednu kapitolu

Řízení dodavatelů v kontextu kybernetické bezpečnosti

4. Bezpečnost lidských zdrojů

Bezpečnost lidských zdrojů je založena na systematickém a plánovaném vzdělávání, jehož součástí je i plán rozvoje bezpečnostního povědomí, který má za cíl zajistit odpovídající vzdělání a prohlubování bezpečnostního povědomí, které napomáhá zajištění kybernetické bezpečnosti. Součástí plánu má být poučení uživatelů, administrátorů, osob zastávající bezpečnostní role a dodavatelů o jejich povinnostech a bezpečnostní politice v předem stanoveném rozsahu a také přehled potřebných teoretických i praktických školení.

Související doporučení:

  • Je vhodné provést rozdělení uživatelů do skupin dle požadavků na druh školení (běžní uživatelé – základní, administrátoři – pokročilé/specializované,...) a následně určit konkrétní školení pro jednotlivé skupiny.
  • Plánovaný rozvoj bezpečnostního povědomí by měl odpovídat cílové skupině. Současně by mělo být pružně reagováno na aktuální hrozby vhodnými školeními či informováním o nich.
  • Pro uživatele zastávající bezpečnostní role jsou v příloze č. 6 VKB uvedeny doporučené certifikace a z tohoto výčtu lze vycházet při plánování vhodných školení.

Plán rozvoje bezpečnostního povědomí musí obsahovat minimálně formu, obsah a rozsah vzdělávání.

  • obsah a termíny poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role,
  • obsah a termíny poučení nových zaměstnanců,
  • přehledy, které obsahují předmět jednotlivých školení a seznam osob, které školení absolvovaly,
  • formy a způsoby hodnocení plánu.

Dále je potřeba v rámci organizace stanovit zodpovědnost za tvorbu a aktualizaci tohoto plánu i za realizaci jednotlivých činností, které jsou v plánu uvedeny. Současně je potřeba vést evidenci obsahující předmět školení a seznam osob, které školení absolvovaly.

Účinnost plánu, provedených školení a činností spojených se zlepšováním bezpečnostního povědomí je nutné pravidelně přezkoumávat a hodnotit.

Dále je nutné kontrolovat dodržování bezpečnostní politiky a pro případ porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role je potřeba mít určena pravidla a postupy, jak v takovýchto situacích postupovat.

Pokud dojde k ukončení smluvního vztahu s administrátory nebo osobami zastávajícími bezpečnostní role je nutné zajistit předání odpovědností těchto osob a okamžité odebrání přidělených přístupových oprávnění – blíže se problematikou řízení přístupů zabývá § 12 VKB.

Bezpečnost lidských zdrojů je nutné řešit i na straně dodavatelů – seznámit je s bezpečnostními politikami a kontrolovat jejich dodržování.