Garant aktiv: Odpovědnosti a znalosti
Publikováno: 18.9.2024
Garant aktiv je zodpovědný za bezpečnost aktiva. Definuje bezpečnostní požadavky, kontroluje jejich plnění a řeší bezpečnostní incidenty.
Garant aktiv je klíčová role v oblasti správy informačních aktiv a kybernetické bezpečnosti. Jedná se o osobu nebo skupinu osob, která je zodpovědná za konkrétní informační aktivum v rámci organizace.
Hlavní odpovědnosti garanta aktiv:
- Identifikace a klasifikace aktiv: Určuje, jaká aktiva spadají do jeho kompetence a jakou mají hodnotu pro organizaci.
- Ochrana aktiv: Zajišťuje, že jsou implementována odpovídající bezpečnostní opatření pro ochranu svěřených aktiv.
- Řízení přístupu: Rozhoduje o tom, kdo má mít přístup k aktivům a v jakém rozsahu.
- Hodnocení rizik: Pravidelně vyhodnocuje rizika spojená s aktivy a navrhuje opatření k jejich zmírnění.
- Aktualizace informací: Udržuje aktuální informace o aktivech v inventáři nebo katalogu aktiv.
- Školení a osvěta: Zajišťuje, že uživatelé aktiv jsou informováni o správném a bezpečném zacházení s nimi.
- Incident management: Spolupracuje při řešení bezpečnostních incidentů týkajících se svěřených aktiv.
Jaké znalosti by měl mít garant aktiva:
- Oblast působnosti aktiva: Detailní znalost aktiva, jeho funkce a návaznost do procesů organizace.
- Hodnocení dopadů: Znalost dopadů, pokud aktivum nebude dostupné, nebo bude obsahovat např. chybná data, nebo pokud budou informace ztraceny.
- Bezpečnostní hrozby a rizika: Povědomí o aktuálních kybernetických hrozbách a rizicích, které by mohly ohrozit dané aktivum.
- Bezpečnostní politika a standardy: Znalost interních bezpečnostních politik, směrnic a standardů organizace, které se vztahují k danému aktivu.
- Legislativní požadavky: Přehled o relevantních zákonech a nařízeních, které se vztahují k ochraně daného typu aktiva (např. GDPR, NIS2).
- Bezpečnostní opatření: Znalost a pochopení fungování základních bezpečnostních opatření, která lze využít k ochraně aktiva (technická, organizační, fyzická).
- Analýza a hodnocení rizik: Schopnost identifikovat a zhodnotit rizika spojená s daným aktivem a navrhnout adekvátní bezpečnostní opatření.
- Plán reakce na incidenty: Znalost postupu pro řešení bezpečnostních incidentů, které by mohly dané aktivum ohrozit.