Organizační bezpečnost: Úvod do organizační bezpečnosti

Kybernetickou bezpečnost je nutné zajistit i organizačně s ohledem na rozsah ISMS. Organizace musí mít definované a přidělené odpovědnosti a pravomoci ve vztahu k ISMS.
To se týká jak vrcholového vedení, tak výboru kybernetické bezpečnosti a bezpečnostních rolí, jejichž stanovení ukládá VKB.

Ze strany vedení organizace je vyžadována zejména:

• zajistit stanovení bezpečnostní politiky a cílů ISMS slučitelných se strategickým směrováním organizace a integraci ISMS do všech souvisejících procesů v rámci organizace
• zajistit dostupnost zdrojů (např. lidských, finančních)
• informovat zaměstnance o významu ISMS a významu dosažení shody s jeho požadavky se všemi dotčenými stranami
• zajistit podporu k dosažení zamýšlených výstupů ISMS
• vést zaměstnance k rozvíjení efektivity ISMS a podporovat je při tomto rozvíjení
• prosazovat neustálé zlepšování ISMS
• podporovat osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti
• zajistit stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role a zajistit, aby byla zachována mlčenlivost administrátorů a osob zastávajících bezpečnostní role,
• pro osoby zastávající bezpečnostní role zajistit příslušné pravomoci a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů
• zajistit testování plánů kontinuity činností, obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.

Vrcholové vedení organizace by mělo být zapojeno do testování plánů kontinuity činností, obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů

Hlavním důvodem zapojení vrcholového vedení do testování těchto plánů je především účast všech zainteresovaných stran proto, aby byla zajištěna úplná simulace průběhu nastalé krizové situace a její řešení aktivací plánů zpracovaných ke zvládání těchto situací. V rámci testů je nezbytné testovat také rozhodovací schopnosti, je tedy nezbytné, aby byly do testů zapojeny osoby s potřebnými pravomocemi.

Proces zvládání řízení kontinuity by měl být zautomatizovaný a všichni účastnící musí vědět, jaký je jejich úkol.

Nedílným požadavkem je taktéž zajištění stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role. Například do relevantních směrnic, organizačních řádů a smluv s konkrétními fyzickými osobami zapracovat ustanovení o bezpečnosti informací – dohody o mlčenlivosti, o zachování důvěrnosti apod.