Organizační bezpečnost: Výbor kybernetické bezpečnosti a úvod do bezpečnostních rolí

Výbor kybernetické bezpečnosti je tvořen osobami s příslušnými pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj ISMS a osobami významně se na ISMS a koordinaci souvisejících činnostech podílející.

Alespoň jedním ze členů výboru kybernetické bezpečnosti musí být zástupce vrcholového vedení, nebo jím pověřená osoba, a manažer kybernetické bezpečnosti.

Vzhledem k rozhodovací pravomoci vrcholového vedení by spolu měli vrcholové vedení a manažer kybernetické bezpečnosti úzce komunikovat.

Bezpečnostní role

Vyhláška definuje tyto bezpečnostní role:
• manažer kybernetické bezpečnosti,
• architekt kybernetické bezpečnosti,
• auditor kybernetické bezpečnosti,
• garant aktiva.

Správce a provozovatel významného informačního systému (ve smyslu § 3 písm. e ZKB) určí minimálně bezpečnostní role manažera kybernetické bezpečnostní a garantů aktiv, přičemž u manažera kybernetické bezpečnosti zajistí zastupitelnost. Ostatní bezpečnostní role určí přiměřeně vzhledem k rozsahu a potřebám ISMS.

Správce a provozovatel informačního systému kritické informační infrastruktury, správce a provozovatel komunikačního systému kritické informační infrastruktury a správce a provozovatel informačního systému základní služby určí všechny bezpečnostní role, přičemž zajistí zastupitelnost bezpečnostních rolí manažer kybernetické bezpečnosti a architekt kybernetické bezpečnosti.
Požadavek na zastupitelnost reaguje na poznatky z prováděných kontrol dodržování ZKB, kdy bylo zjištěno, že osoby zajišťující výkon povinných bezpečnostních rolí nemají v organizaci adekvátní zástup. Tato skutečnost může mít mimo jiné vliv na zajištění kontinuity některých činností organizace.
Pro zajištění patřičné zastupitelnosti je možné rozložit povinnosti a kompetence mezi více osob.
Pro zastupující osoby se požadavky kladené na odbornou způsobilost a praxi použijí přiměřeně.