Politika bezpečnosti informací
Publikováno: 21.4.2022
Politika bezpečnosti informací je vrcholný dokument, který určuje, jak společnost hodlá čelit rizikům pro bezpečnost svých informací.
Politika bezpečnosti informací popisuje, proč se organizace rozhodla problematice věnovat, a definuje cíle, jichž chce na tomto poli dosáhnout. Formuluje závazky ke splnění určených požadavků a k trvalému zdokonalování řízení bezpečnosti informací.
Dokument musí být srozumitelný a dostupný všem zaměstnancům organizace. Problematice musí být věnována trvalá pozornost např. formou pravidelných školení zaměstnanců. O zásadách politiky bezpečnosti musí být informovány také třetí strany, aby ani jejich vlivem nedošlo k ohrožení informací, které bezpečnostní politice podléhají.
Politika bezpečnosti informací je klíčovým nástrojem ochrany informačních aktiv organizace. Absence jasně formulované politiky vede k nahodilé a méně účinné prevenci hrozeb pro ochranu dat, ochranu know-how a stabilitu společnosti.
Typický obsah dokumentu politiky bezpečnosti informací:
- Důvody, cíle a způsoby zabezpečení informací
- Organizační zajištění bezpečnosti (směrnice)
- Politika mobilních zařízení a práce na dálku
- Personální bezpečnost
- Klasifikace a řízení informačních aktiv
- Fyzické zajištění bezpečnosti (mříže, ostraha) a bezpečnosti prostředí (klimatizace serverovny)
- Vyjasnění práv přístupu k IT systémům
- Minimální požadavky na vývoj a údržbu systémů
- Potřeby a způsoby šifrování
- Způsob zajištění kontinuity činností (business continuity process, BCP)
- Způsob zajištění souladu s legislativou (ISO 27000, GDPR, kybernetický zákon)