Politika bezpečnosti informací

Politika bezpečnosti informací společnosti definuje základní strategii a zásady týkající se managementu zabezpečení informací (ISMS) v souladu s ČSN ISO/IEC 27001, určuje základní bezpečnostní pravidla pro provoz, používání a údržbu informačních a komunikačních technologií s cílem zajistit požadovanou dostupnost a ochranu informací a minimalizaci škod vzniklých v důsledku možných bezpečnostních incidentů.

Hlavní zásady práce s informacemi a způsob jejich zabezpečení

  • zajistit odpovídající ochranu osobních údajů v souladu s platnou legislativou,
  • vytvářet a prosazovat systém řízeného přístupu k informacím,
  • začleňovat zabezpečení informací do odpovědnosti za práci, 
  • zajišťovat systematické vzdělávání a zvyšování kvalifikace zaměstnanců v oblasti bezpečnosti informací,
  • provádět stálou identifikaci bezpečnostních incidentů a přijímat účinná opatření pro zlepšování bezpečnosti informací,
  • zpracovávat soubory opatření pro zachování kontinuity pro případy závažného výpadku v oblasti informací, tato opatření pravidelně přezkušovat a ověřovat,
  • zabezpečovat informační systémy, internet, elektronickou poštu a další způsoby výměny informací přístupných veřejnosti,
  • zabezpečovat systém fyzického přístupu do prostor pro snížení ohrožení informačního majetku,
  • prosazovat politiku bezpečného pracoviště: čistý stůl, prázdné obrazovky a odpadkové koše,
  • prosazovat bezpečnostní pravidla pro přenosná počítačová zařízení a jiné nosiče informací,
  • zajišťovat spolehlivou kontrolu celé interní sítě proti působení zlomyslného softwaru,
  • udržovat, chránit a rozvíjet informační majetky, spolehlivě zálohovat informační systémy,
  • pravidelně monitorovat a vyhodnocovat bezpečnostní rizika a incidenty,
  • zabezpečit požadavky vyplývající ze smluvních závazků a obecně závazných právních předpisů,
  • zabezpečit včasnou dostupnost informací - doba kritické dostupnosti informací musí být stanovena, a to v souladu s jejich významem,
  • zamezit nežádoucí modifikaci informací,
  • zamezit zneužití nebo ztráty informací - musí být definována odpovědnost a způsob ochrany při přístupu k informacím a do prostor kde se nachází informační majetky.

Odpovědnost zaměstnanců

  • každý zaměstnanec, kterému byl umožněn přístup k informačním prostředkům pro potřeby výkonu pracovní činnosti, přebírá odpovědnost za bezpečné nakládání s těmito prostředky a za ochranu informací ve své působnosti,
  • politika bezpečnosti informací a související dokumentace je závazná pro všechny zaměstnance s přístupem k informacím, a to bez ohledu na zastávanou funkci, pozici či roli ve společnosti. Všichni zaměstnanci nesou v souladu s platnou legislativou a předpisy svůj díl zodpovědnosti za dodržení, resp. porušení pravidel, s nimiž byli seznámeni. Všichni zaměstnanci jsou povinni předepsaným způsobem reagovat na závady, poruchy a bezpečnostní incidenty, které se vyskytnou a upozornit na ně v souladu s příslušnými zásadami a směrnicemi.

Následky porušení informační politiky

  • porušování zásad této politiky bezpečnosti informací ze strany zaměstnanců i dodavatelů je chápáno jako bezpečnostní incident, který má vliv na bezpečnost informací a v těchto intencích musí být řešen,
  • příčiny porušení pravidel se musí analyzovat a přijímat účinná opatření s cílem učení se z těchto událostí.