Vytisknout jednu kapitoluVytisknout jednu kapitolu

Řízení ostatních faktorů

2. Řízení změn

V rámci řízení změn se provádí přezkoumávání možných dopadů změn a určování významných změn. Cílem je identifikovat změny, které jsou podstatné z hlediska bezpečnosti a mohou ji pozitivně nebo negativně ovlivnit.

Významná změna je podle VKB taková změna, která má nebo může mít vliv na kybernetickou bezpečnost a představuje vysoké riziko. Posouzení, zda se jedná o významnou změnu či nikoliv je na konkrétní organizaci.

Příklad: Za významnou změnu lze považovat změnu, která by mohla ovlivnit funkčnost systému nebo bezpečnost v organizaci (např. akvizice nového systému/modulu).

Náležitosti u významných změn

U významných změn je třeba zajistit níže uvedené kroky:

  • dokumentovat jejich řízení,
  • provádět analýzu rizik,
  • přijmout opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,
  • aktualizovat relevantní bezpečnostní politiku a bezpečnostní dokumentaci,
  • zajistit jejich testování,
  • zajistit možnost navrácení do původního stavu (tzv. roll-back),
  • rozhodnout na základě výše zmíněné analýzy rizik o provedení penetračního testování nebo testování zranitelností (v rozsahu aktiv dotčených významnou změnou).