2. Znalostní báze
  3. Řízení shody NIS2
  4. Organizační opatření pro NIS2

Organizační opatření pro NIS2

Datum poslední aktualizace: 07. 10. 2024
Pomohl Vám tento článek?
2 z celkových 2 článek pomohl.

Jaká organizační opatření jsou pro naši firmu vhodná?

Konkrétní organizační opatření musí přirozeně vycházet z konkrétní situace a potřeb a velikosti vaší organizace a provedené analýzy rizik. Jiná organizační opatření bude mít malá rodinná firma o pár lidech a jiná firma s tisíci zaměstnanci.

Zavedení většiny z nich poměrně snadné a v kombinaci s technickými opatřeními vám pomůže proti nejběžnějším IT rizikům.

Základní oblasti organizačních opatření pro NIS2

Uvedený seznam nejlepších opatření a nástrojů je založený na nejlepší praxi a obsahuje pouze základní výčet opatření, které praxe ukázala jako ty s největším dopadem.  

Organizační opatření pro NIS2 vycházejí z požadavků normy ISO 27001 a zákona znamenají zavedení nějakého procesu, systému řízení, kontrolních mechanismů, zavedení směrnice, nebo pracovního postupu nebo stanovení požadavků na dodavatele a podobně. Organizační opatření znamená změnu chování lidí nebo změnu procesů.

Zavedení politik bezpečnosti


Řízení rizik - hodnocení a řízení

  • Vytváří opatření
  • dává priority

Zajištění a řízení přístupu k informacím - Access management

  • přidělování a odebírání opervnění na základě role dan
  • a pak IDM - ověřování identiti

Řízení bezpečnosti informací

  • mazání
  • komunikace a předáván
  • přenos (Technické)

HR procesy - přověřování 

  • prověřování (screening) před nástupem
  • nástup zaměstnance
  • podpis mslouvy  - viz právní
  • změny
  • odchod - mlčenlivost

Vzdělávání lidí

  • Je zavedené vstupní školení zaměstnanců (v rámci onboardingu)
  • Je zavedený pravidelný trénink a školení stávajících zaměstnanců
  • Školicí procesy jsou plánované a dokumentované
  • Školení obsahuje znalosti informační gramotnosti, rizik informační a kybernetické bezpečnosti
  • Zaměstnanci jsou pravidelně a průběžně seznamováni s vnitřními předpisy a novinkami

Řízení IT aktiv (řízení Informačních technologií) - ITSM / ITAM

  • .. viz ITSM, ITAM
  • pořízení - volba správné a bezpečné technologie
  • údržba
  • zálohování 
  • monitoring
  • retirement / mazání
  • sítě 
  • Akvizice, vývoj a údržba 
  • Řízení provozu a komunikací

Využití šifrování

  • při komunikaci
  • při ukládání
  • u záloh

Zajištění fyzické bezpečnosti

  • místbnosti, 
  • serverovny

Organizační bezpečnost (provozní bezpečnost)

  • ??

Řízení dodavatelů nakupovaných služeb

  • SLA
  • NDA
  • EXIT

Zvládání incidentů a řízení kontinuity

  • obnova, reakce na havárie
  • reakce dovnitř
  • obnova procesů

Řízení změn

  • změny oprávnění
  • změny technologií (nezvládnutý proces = výpadek)

Zajištění kontroly systému (Audit kybernetické bezpečnosti)


Organizace - Bezpečnostní role