Ochrana primárních a podpůrných aktiv: Hodnocení aktiv

Hodnocení aktiv provádějí garanti aktiva ve spolupráci s manažerem kybernetické bezpečnosti. Výsledkem je katalog aktiv s přiřazeným hodnocením:

Zdroj: demog.moodlepartner.cz

Při hodnocení aktiv jsou klíčová primární aktiva, u který je nutné posoudit především níže uvedené nejdůležitější faktory, které jsou však vždy specifické dle dané organizace, zároveň platí, že všechna aktiva nemusí být relevantní pro všechny typy organizací:

• rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů nebo obchodního tajemství,
• rozsah dotčených právních povinností nebo jiných závazků,
• rozsah narušení vnitřních řídicích a kontrolních činností,
• poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztráty,
• dopady na poskytování důležitých služeb,
• rozsah narušení běžných činností,
• dopady na zachování dobrého jména nebo ochranu dobré pověsti,
• dopady na bezpečnost a zdraví osob,
• dopady na mezinárodní vztahy a
• dopady na uživatele informačního a komunikačního systému.

Určení vazeb mezi primárními a podpůrnými aktivy

Dále je nutné posoudit eventuální vazby mezi primárními a podpůrnými aktivy, přičemž platí, že několik primárních aktiv může být závislých na jednom podpůrném aktivu, taková vazba pak má vliv na hodnotu daného podpůrného aktiva. Tyto vazby je nutné dále evidovat a hodnotit důsledky těchto závislostí.

Klasifikace aktiv

V návaznosti na hodnocení aktiv je nezbytné zavést příslušná pravidla ochrany pro zabezpečení těchto aktiv. Jedná se zejména o vymezení přípustných způsobů používání aktiv, vymezení pravidel pro manipulaci s těmito aktivy a pravidel pro bezpečné elektronické a fyzické sdílení/přenos. Dále je vymezen způsob likvidace dat, provozních údajů, informací, případně jejich kopií nebo likvidaci technických nosičů dat.