Document name

Politika organizační bezpečnosti

Short Description

Tato politika určuje v rámci VVŠ složení výboru pro řízení kybernetické bezpečnosti a bezpečnostní role, jejich odpovědnosti a jejich práva a povinnosti související se systémem řízení bezpečnosti informací.

Owner

Jan Povolný (User)

Version

1.0

Reviewer

Jan Povolný (User)

Published Date

2024-02-19

Last Review

2024-02-19

Next Review

2025-02-19

Label

-

1. Význam a benefity

Systém řízení bezpečnosti informací (SŘBI) v oblasti organizační bezpečnosti dle vyhlášky určuje platná Směrnice rektora č. 7/2023 "Systém řízení bezpečnosti informací".

2. Rozsah

Tato politika určuje v rámci VVŠ složení výboru pro řízení kybernetické bezpečnosti a bezpečnostní role, jejich odpovědnosti a jejich práva a povinnosti související se systémem řízení bezpečnosti informací.

Vyhláška č. 82/2018 Sb. o kybernetické bezpečnosti § 7.

3. Informační vyhlášení

Politika je formulována do vnitřní směrnice organizace - Směrnice rektora č. 1/2023 "Statut a jednací řád Výboru pro kybernetickou bezpečnost UJEP".

a) Určení bezpečnostních rolí a jejich práv a povinností

Za účelem celkového řízení a rozvoje SŘBI musí být ustanoven Výbor pro řízení kybernetické bezpečnosti a jeho předseda.

V souvislosti se zavedením SŘBI se musí určit bezpečnostní role:

             Manažer kybernetické bezpečnosti,

             Architekt kybernetické bezpečnosti,

             Auditor kybernetické bezpečnosti,

             Garant aktiva

VVŠ musí pro osoby zastávající bezpečnostní role zajistit příslušné pravomoci a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů a zajistí testování plánů kontinuity činností, obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.

Členství předsedy a/nebo místopředsedy ve Výboru zaniká dnem skončení funkčního období, odvoláním nebo vzdáním se funkce.

Členství ostatních členů Výboru zaniká dnem jejich odvolání na návrh rektora po předchozím projednání ve Výboru, případně odstoupením.

Administrativní činnosti Výboru zajišťuje tajemník Výboru, kterým je zaměstnanec VVŠ pověřený předsedou Výboru. Tajemník není členem Výboru.

b) Požadavky na oddělení výkonu činností jednotlivých bezpečnostních rolí

Manažer kybernetické bezpečnosti je bezpečnostní role odpovědná za systém řízení bezpečnosti informací, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací

1.          po dobu nejméně tří let, nebo

2.          po dobu jednoho roku, pokud absolvovala studium na vysoké škole,

odpovídá za pravidelné informování vrcholového vedení o

1.          činnostech vyplývajících z rozsahu jeho odpovědnosti a

2.          stavu systému řízení bezpečnosti informací a

3.          nesmí být pověřen výkonem rolí odpovědných za provoz informačního a komunikačního systému.

Architekt kybernetické bezpečnosti je bezpečnostní role odpovědná za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura informačního a komunikačního systému, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním architektury bezpečnosti

1.          po dobu nejméně tří let, nebo

2.          po dobu jednoho roku, pokud absolvovala studium na vysoké škole.

Garant aktiva je bezpečnostní role odpovědná za zajištění rozvoje, použití a bezpečnost aktiva.

Auditor kybernetické bezpečnosti je bezpečnostní role odpovědná za provádění auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací

1.          po dobu nejméně tří let, nebo

2.          po dobu jednoho roku, pokud absolvovala studium na vysoké škole, a

3.          zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné, a

4.          nesmí být pověřen výkonem jiných bezpečnostních rolí.

Popis doporučených požadavků na oddělení výkonu činností jednotlivých bezpečnostních rolí je k dispozici v příloze č. 6 vyhlášky č. 82/2018 Sb.

c) Požadavky na oddělení výkonu bezpečnostních a provozních rolí

Role Manažera kybernetické bezpečnosti není slučitelná s rolemi odpovědnými za provoz informačního a komunikačního systému a s dalšími provozními či řídicími rolemi.

VVŠ musí zajistit, aby byla zachována mlčenlivost osob zastávajících provozní role v rámci SŘBI.

Download PDFClose