Co jsou organizační opatření
Organizační opatření znamenají zavedení nějakého procesu, systému řízení, kontrolních mechanismů, zavedení směrnice, nebo pracovního postupu, stanovení požadavků na dodavatele a podobně. Zahrnují také vzdělávání uživatelů. Organizační opatření znamená změnu chování lidí nebo změnu procesů.
- Organizační opatření jsou založená na změnách procesů nebo organizace práce.
- Pro změnu chování uživatelů je nezbytný tréning, školení, a vzdělávání lidí
Jaká organizační opatření jsou pro naši firmu vhodná?
Konkrétní organizační opatření musí přirozeně vycházet z konkrétní situace a potřeb a velikosti vaší organizace a provedené analýzy rizik. Jiná organizační opatření bude mít malá rodinná firma o pár lidech a jiná firma s tisíci zaměstnanci. Zavedení většiny z nich poměrně snadné a v kombinaci s technickými opatřeními vám pomůže proti nejběžnějším IT rizikům.
Základní oblasti organizačních opatření pro NIS2
Uvedený seznam nejlepších opatření a nástrojů je založený na nejlepší praxi a obsahuje pouze základní výčet opatření, které praxe ukázala jako ty s největším dopadem.
Organizační opatření pro NIS2 vycházejí z požadavků normy ISO 27001 a zákona znamenají zavedení nějakého procesu, systému řízení, kontrolních mechanismů, zavedení směrnice, nebo pracovního postupu nebo stanovení požadavků na dodavatele a podobně. Organizační opatření znamená změnu chování lidí nebo změnu procesů.
Zavedení politik bezpečnosti
Řízení rizik - hodnocení a řízení
- Vytváří opatření
- dává priority
Zajištění a řízení přístupu k informacím - Access management
- přidělování a odebírání opervnění na základě role dan
- a pak IDM - ověřování identiti
Řízení bezpečnosti informací
- mazání
- komunikace a předáván
- přenos (Technické)
HR procesy - prověřování
- prověřování (screening) před nástupem
- nástup zaměstnance
- podpis smlouvy - viz právní
- změny
- odchod - mlčenlivost
Vzdělávání lidí
- Je zavedené vstupní školení zaměstnanců (v rámci onboardingu)
- Je zavedený pravidelný trénink a školení stávajících zaměstnanců
- Školicí procesy jsou plánované a dokumentované
- Školení obsahuje znalosti informační gramotnosti, rizik informační a kybernetické bezpečnosti
- Zaměstnanci jsou pravidelně a průběžně seznamováni s vnitřními předpisy a novinkami
- Zaměřte se jak na vstupní, tak i průběžné vzdělávání
Řízení IT aktiv (řízení Informačních technologií) - ITSM / ITAM
- .. viz ITSM, ITAM
- pořízení - volba správné a bezpečné technologie
- údržba
- zálohování
- monitoring
- retirement / mazání
- sítě
- Akvizice, vývoj a údržba
- Řízení provozu a komunikací
Využití šifrování
- při komunikaci
- při ukládání
- u záloh
Zajištění fyzické bezpečnosti
- místbnosti,
- serverovny
Organizační bezpečnost (provozní bezpečnost)
- ??
Řízení dodavatelů nakupovaných služeb
- SLA
- NDA
- EXIT
Zvládání incidentů a řízení kontinuity
- obnova, reakce na havárie
- reakce dovnitř
- obnova procesů
Řízení změn
- změny oprávnění
- změny technologií (nezvládnutý proces = výpadek)
Zajištění kontroly systému (Audit kybernetické bezpečnosti)
Organizace - Bezpečnostní role
Procesy kolem zaměstnanců
- • Mějte pod kontrolou kompletní nástup nových zaměstnanců. Jejich prověřování, nástup, vzdělávání a přidělování oprávnění v souladu s jejich pracovním zařazením
- • Mějte pod kontrolou odchod zaměstnanců, zejména odebírání oprávnění k firemním aplikacím
- • Ve smlouvách se zaměstnanci, mějte ochranu dat, intelektuálního vlastnictví a případně konkurenční doložky
- • Vynuťte přiměřenou politiku hesel. Zajistěte, aby všechny důležité počítače a telefony byly chráněné heslem
- • Mějte pod kontrolou přidělování oprávnění zaměstnancům k citlivým a kritickým datům a systémům
- • Zajistěte řízení přístupu v souladu s pracovním zařazením, pravomocemi a oprávněním
Procesy správy IT
- • Provádějte pravidelné zálohy důležitých dat
- • Provádějte pravidelně aktualizace software, a firemních aplikací
- • Spolupracujte s HR na řízení přístupu, přidělování a odebírání oprávnění zaměstnancům
- • Veďte provozní deník nad jednotlivými prvky vašeho IT
- • Mějte aktuální informace o vašem IT prostředí
- • Mějte pod kontrolou změny ve vašem IT prostředí (musíte znát dopady změn)
- • Mějte pod kontrolou požadavky uživatelů a hlášení incidentů
- • Buďte připraveni na obnovu po havárii (útoku, přírodní katastrofě nebo selhání technologií)
- • Mějte pod kontrolou vývoj a pořizování nových informačních technologií
Procesy řízení dodavatelů
- • Mějte ošetřené smlouvy s dodavateli
- • Tam kde je třeba, mějte podepsané NDA
- • Mějte pod kontrolou dodavatele IT, kteří mohou přistupovat k vašim datů