Toto je objekt systému MBI.

MBI (Management Byznys Informatiky) je portál obsahující zobecněná řešení v řízení provozu a rozvoje IT, resp. podnikové informatiky.

Pokud máte zájem získat více informací o tomto objektu (vazby na další objekty, přílohy, apod.), ale i získat mnoho dalších užitečných materiálů, můžete tak učinit ZDE / (registrace je bezplatná).

Úloha : Formulace bezpečnostní politiky
Formulace bezpečnostní politiky
Kód úlohy

Standardní kód úlohy v MBI.

:
U161A
Autor návrhu úlohy

Jméno a příjmení autora úlohy

:
MBI tým
Předpokládaná pravděpodobnost užití v praxi

Předpokládaná pravděpodobnost užití úlohy v praxi, hodnoty 0 - 1. Např. 0,7 - úlohu lze využít v 7 z 10 podniků. Hodnoty jsou průběžně testovány a upřesňovány na základě anket a průzkumů.

:
0.75
Charakteristiky úlohy

Charakteristiky úlohy

1. “Formulace bezpečnostní politiky“ – cíl, účel

Cílem úlohy je definovat úroveň a rozsah požadavků na bezpečnost a určit základní přístupy k jejímu zajištění.

2. Obsah úlohy

Bezpečnostní politika určuje, jaký stupeň zajištění bezpečnostních požadavků má být na podnikovou informatiku aplikován. Je to je soubor zásad a pravidel, s jejichž pomocí organizace chrání svá aktiva. Bezpečnostní politika se musí průběžně aktualizovat v souladu se změnami podnikového i technologického prostředí. Zahrnuje např.:

  1. politiku přípustného užívání aktiv,
  2. specifikaci vzdělávacího procesu zaměstnanců v oblasti ochrany aktiv,
  3. objasnění způsobu uskutečňování a vynucování bezpečnostních opatření,
  4. proceduru vyhodnocení účinnosti politiky vedoucí k provedení její změny.
3. Vstupy úlohy:
  • Informační strategie (D001A ),
  • Organizační a řídící dokumenty podniku (DQ002A ),
  • Katalog požadavků na IT (D042A ),
  • Katalog IT služeb (D111A ),
  • Aplikační architektura (D053A ),
  • Technologická architektura (D054A ),
  • SWOT analýza řízení informatiky podniku (D013A ),
  • Analýza stavu informatiky podniku (D021A ).
4. Výstupy úlohy:
  • Bezpečnostní politika v IT (D141A ).
5. Podmínky úspěšnosti úlohy
  • Identifikace aktiv, které je potřeba chránit - klasifikace potřebných informací,
  • Identifikace možných hrozeb - stanovení rizik pro identifikované hrozby,
  • Stanovení dopadů jednotlivých hrozeb.
6. Doporučené praktiky

Pro tvorbu bezpečnostní politiky je možné využít řadu norem ISO/IEC 27000, které komplexně pokrývají oblast řízení bezpečnosti informací. Oblast bezpečnosti informací zahrnuje nejen bezpečnost ICT proto by měla bezpečnostní politika pokrývat i oblasti, které nejsou vyloženě vázány ICT. Při formulaci bezpečnostní politiky je nutné neopomenut oblasti, jako jsou: Bezpečnost z hlediska lidských zdrojů nebo Fyzická bezpečnost a bezpečnost prostředí.

Pro zavádění změn v oblasti řízení bezpečnosti informací se používá PDCA cyklus. PDCA cyklus se skládá z čtyř fází - Plánuj (Plan), Dělej (Do), Kontroluj (Check), Jednej (Act) Aby bylo možné PDCA cyklus v praxi využívat je nutné:

  • Identifikovat procesy,
  • Identifikované procesy zdokumentovat,
  • Řídit procesy na základě dokumentace,
  • Průběh procesů optimalizovat.
7. Obsah balíčku ke stažení

text TX1603: Radvan, M. (M solutions, s.r.o., Praha): Dotazník: Stav informační bezpečnosti v organizaci.

8. “Formulace bezpečnostní politiky“ - klíčové aktivity

8.1. Specifikace bezpečnostních požadavků podniku

Specifikace vazeb bezpečnostní politiky IT na řešení bezpečnosti v podniku jako celku a definování pravidel pro aktualizaci bezpečnostní politiky.

8.2. Vyhodnocení účinnosti současné bezpečnostní politiky

Určení hlavní problémů v dodržování bezpečnosti, specifikace nároků na změny v bezpečnostní politice.

8.3. Definování pravidel užívání IT aktiv

Zahrnuje autentizaci a autorizaci uživatelů a nastavení uživatelských práv.

8.4. Zajištění IT bezpečnosti na úrovni organizačních, technických i personálních opatření

Nastavení způsobu uskutečňování a vynucování bezpečnostních opatření.

8.5. Určení obsahu bezpečnostních školení

Určení jejich rozsahu, určení okruhu účastníků školení a způsobů ověřování znalostí, posouzení a realizace možností eLearningu v oblasti bezpečnosti.

8.6. Vyhodnocení

Vyhodnocení ekonomické náročnosti realizace bezpečnostní politiky a opatření vzhledem k požadavkům podniku na bezpečnost.