KVVV: 12

Výbor pro řízení kybernetické bezpečnosti je orgánem zřízeným za účelem koordinace, rozvoje a monitoringu ISMS v organizaci. Mezi jeho hlavní povinnosti patří:

• Stanovování a přezkoumávání politik a plnění plánovaných cílů. • Dohled nad implementací a stavem bezpečnostních opatření v souladu s platnou legislativou a normami.

• Hodnocení výsledků auditů, analýz rizik a incidentů v oblasti kybernetické bezpečnosti.

• Podpora kontinuálního zlepšování ISMS. 

Členové výboru: 

Povinní členové:

• Zástupce vrcholového managementu organizace nebo osoba jím pověřená, zajišťující vazbu na rozhodovací procesy a podporu ze strany vedení.

• Manažer kybernetické bezpečnosti, odpovědný za implementaci a dohled nad ISMS.

Dále doporučujeme v případě potřeby účast těchto osob:

• Další bezpečnostní role (architekt KB a auditor KB).

• Odborníci na informační technologie a kybernetickou bezpečnost, případně zástupci zodpovědní za konkrétní aktiva (garanti aktiv).

• Další členové dle specifických potřeb organizace (například zástupci právního, provozního nebo finančního oddělení).

Pravidla scházení:

• Výbor se schází pravidelně a ad-hoc v případě potřeby (např. při závažných kybernetických bezpečnostních incidentech).

• Ze všech schůzí je veden dokumentovaný záznam obsahující všechna rozhodnutí, návrhy opatření a jejich stav realizace.

• Zajištění zastupitelnosti klíčových rolí, zejména manažera kybernetické bezpečnosti, aby byla zachována kontinuita činností výboru.