ISO 27001 a vyhláška upravující Zákon o kybernetické bezpečnosti uvádějí potřebu proškolit zaměstnance

ISO 27001 a vyhláška upravující Zákon o kybernetické bezpečnosti uvádějí potřebu proškolit zaměstnance

05. 02. 2020
Organizace, které mají ISO 27001 nebo se na ně vztahují dle Zákona 181/2014 Sb. o kybernetické bezpečnosti práva a povinnosti, musí zajistit bezpečnostní proškolení zaměstnanců. Nicméně i ostatní organizace, kterým to zákon neukládá, by měly své zaměstnance proškolit o bezpečnosti v IT prostředí včetně e-mailu a internetu, a to zejména kvůli jejich vlastní ochraně dat a reputaci.

Jste držiteli certifikace ISO 27001?

Dle ČSN ISO/IEC 27001:2014 musí mít organizace přehled o tom, že osoby s vlivem na výkonnost bezpečnosti informací mají odpovídající vzdělání, školení či zkušenosti. Důraz je kladen na budování bezpečnostního povědomí, kdy v kapitole 7.3 normy je uvedeno, že osoby pracující pro organizaci si musí být vědomy politiky bezpečnosti informací, svého přínosu k efektivnosti systému řízení bezpečnosti informací a důsledků nepřizpůsobení se požadavkům tohoto systému.

Opatření A.7.2.2 o „Povědomí, vzdělávání a školení bezpečnosti informací“ dále organizacím ukládá povinnost zajistit patřičným zaměstnancům odpovídající vzdělávání a školení vedoucí ke zvyšování povědomí o bezpečnosti informací. Pro aplikaci opatření je tedy nutné absolvovat školení v rámci systému řízení bezpečnosti informací a ti samí zaměstnanci musí být také pravidelně informováni o změnách v politikách a postupech bezpečnosti informací. Samostatnou kapitolou je pak bezpečnostní vzdělávání pro osoby zastávající role v ISMS, které je nezbytné pro naplnění příslušných kompetencí.

 

Co říká vyhláška o kybernetické bezpečnosti?

Vyhláška o kybernetické bezpečnosti (Vyhláška č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat) upravuje Zákon o kybernetické bezpečnosti a zahrnuje celé řízení a provoz systému řízení bezpečnosti informací organizace. Jeho nedílnou součástí je i zajištění bezpečnosti lidských zdrojů.

Povinná osoba v rámci řízení bezpečnosti lidských zdrojů musí kromě jiného také stanovit plán rozvoje bezpečnostního povědomí.

To zjednodušeně znamená, že pro určité uživatele, administrátory, osoby zastávající bezpečnostní role a dodavatele musí organizace zajistit vhodné vzdělávání a zlepšovat jejich bezpečnostní povědomí. To vše zákonem stanovenou formou, obsahem a rozsahem.

 

Vedle jiných povinností osob řídících bezpečnost lidských zdrojů musí patřičné osoby v souladu s plánem rozvoje bezpečnostního povědomí zajistit pravidelné školení týkající se ověřování bezpečnostního povědomí zaměstnanců a následně vést o školení přehledy obsahující předmět školení a seznam osob, které školení absolvovali.

 

Shrnutí

Oba systémy požadují v podstatě to samé. Zajistit, aby byli zaměstnanci seznámeni s bezpečnostními požadavky a dopady jejich narušení. Mělo by se jednat o systém budování bezpečnostního povědomí, který zahrnuje pravidelná školení všech zaměstnanců, mimořádná školení při změnách a zavedení nových systémů, ale i vzdělávání osob v bezpečnostních rolích. Součástí by měl být i systém včasného upozornění na řešení incidentů a zjištěných událostí.

Jen komplexní a udržovaný systém bezpečnostního povědomí může přinést výsledky a nebýt jen otravnou povinností.

Naše společnost NGSS pomáhá firmám vytvořit bezpečnostní strategii, která nejvíc vyhovuje jejich potřebám. Pro naše klienty připravujeme školení pro zaměstnance o informační a kybernetické bezpečnosti a nemusíte se bát, že byste mu neporozuměli, na toto téma školíme i děti ze základky (viz článek na blogu). :)

 

 

 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.