Bezpečnost lidských zdrojů

---

Bezpečnost lidských zdrojů je založena na systematickém a plánovaném vzdělávání, jehož součástí je i plán rozvoje bezpečnostního povědomí, který má za cíl zajistit odpovídající vzdělání a prohlubování bezpečnostního povědomí, které napomáhá zajištění kybernetické bezpečnosti. Součástí plánu má být poučení uživatelů, administrátorů, osob zastávající bezpečnostní role a dodavatelů o jejich povinnostech a bezpečnostní politice v předem stanoveném rozsahu a také přehled potřebných teoretických i praktických školení.

Je vhodné provést rozdělení uživatelů do skupin dle požadavků na druh školení (běžní uživatelé – základní, administrátoři – pokročilí / specializovaní,…) a následně určit konkrétní školení pro jednotlivé skupiny.

Plánovaný rozvoj bezpečnostního povědomí by měl odpovídat cílové skupině. Současně by mělo být pružně reagováno na aktuální hrozby vhodnými školeními či informováním o nich.

Pro uživatele zastávající bezpečnostní role jsou v příloze č. 6 VKB uvedeny doporučené certifikace a z tohoto výčtu lze vycházet při plánování vhodných školení.

Plán rozvoje bezpečnostního povědomí

---

Plán rozvoje bezpečnostního povědomí musí obsahovat minimálně formu, obsah a rozsah vzdělávání. V příloze č. 5 VKB jsou uvedeny další doporučené body, které by měl plán rozvoje bezpečnostního povědomí obsahovat:

• Obsah a termíny poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role,
• obsah a termíny poučení nových zaměstnanců,
• identifikace významného dodavatele,
• přehledy, které obsahují předmět jednotlivých školení a seznam osob, které školení absolvovaly,
• formy a způsoby hodnocení plánu.

Dále je potřeba v rámci organizace stanovit zodpovědnost za tvorbu a aktualizaci tohoto plánu i za realizaci jednotlivých činností, které jsou v plánu uvedeny. Současně je potřeba vést evidenci obsahující předmět školení a seznam osob, které školení absolvovaly. Účinnost plánu, provedených školení a činností spojených se zlepšováním bezpečnostního povědomí je nutné pravidelně přezkoumávat a hodnotit.

V praxi se zpravidla tvorbou a aktualizací plánů zabývá přímo manažer kybernetické bezpečnosti. Plány poté bývají ukládány v personálním systému, kde by měl být uveden termín školení, jeho náplň, jestli zaměstnanec školení splnil / nesplnil, popřípadě i to, jestli byl výstupem ze školení test. Školení může být samozřejmě řešeno i dodava­telsky, také v tomto případě by měly být zaznamenávány uvedené body, tedy termín školení, náplň, informace o splnění či nesplnění, informace o testu apod.

Dále je nutné kontrolovat dodržování bezpečnostní politiky a pro případ porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role je potřeba mít určena pravidla a postupy, jak v takovýchto situacích postupovat. Pokud dojde k ukončení smluvního vztahu s administrá­tory nebo osobami zastávajícími bezpečnostní role je nutné zajistit předání odpovědností těchto osob a okamžité odebrání přidělených přístupových oprávnění – blíže se problematikou řízení přístupů zabývá § 12 VKB. Bezpečnost lidských zdrojů je nutné řešit i na straně dodavatelů – seznámit je s bezpečnostními politikami a kontrolovat jejich dodržování.