12
Neopominutelné §
Mezi neopominutelné § vyhlášky, tedy §, kterými se musíte v přiměřené míře vždy řídit, se řadí:
§ 4 – Systém zajišťování minimální kybernetické bezpečnosti
1. Zpracování přehledu bezpečnostních opatření:
o Seznam zavedených opatření a jejich popis.
o Seznam opatření k zavedení (termíny, priority, odpovědné osoby).
o Odůvodnění nezavedení některých opatření.
2. Vyhodnocování účinnosti opatření:
o Provádět minimálně jednou ročně a dokumentovat.
3. Osoba pověřená kybernetickou bezpečností
o Určení, školení nebo ověření odborné způsobilosti.
4. Bezpečnostní politika a dokumentace:
o Stanovení, pravidelná aktualizace a vynucování dodržování.
5. Řízení technických aktiv:
o Stanovit pravidla pro používání a manipulaci.
6. Dodavatelské smlouvy:
o Zahrnutí bezpečnostních požadavků podle přílohy č. 2.
7. Bezpečnost při akvizici a vývoji:
o Stanovit bezpečnostní požadavky pro aktiva a jejich dodržování.
§ 5 – Požadavky na vrcholový management
1. Absolvování školení o kybernetické bezpečnosti.
2. Zajištění zdrojů pro zavedení opatření.
3. Seznamování se stavem plnění opatření.
4. Podpora zlepšování bezpečnosti a osoby pověřené kybernetickou bezpečností.
5. Stanovení priorit obnovy primárních aktiv.
§ 6 – Bezpečnost lidských zdrojů
1. Politika bezpečného chování uživatelů:
o Tvorba pravidel, rozvoj povědomí a heslových pravidel.
2. Školení:
o Vstupní a pravidelná školení uživatelů, administrátorů a vedení.
3. Řešení porušení bezpečnostní politiky:
o Stanovení postupů pro řešení porušení.
4. Evidence školení a proškolených osob.
§ 7 – Řízení kontinuity činností
1. Stanovení priorit obnovy technických aktiv.
2. Definování odpovědností a povinností pro kontinuitu činností.
3. Pravidelné zálohování nezbytných dat, konfigurací a nastavení.
§ 11 – Řešení kybernetických bezpečnostních incidentů
1. Oznamování incidentů:
o Zaměstnanci mají povinnost oznamovat podezřelé chování technických aktiv.
2. Metodika posuzování incidentů:
o Hodnocení významnosti dopadu a řešení incidentů.
3. Detekce a hlášení incidentů:
o Zajištění detekce, hlášení a zpracování závěrečných zpráv.
4. Závěrečná zpráva:
o Popis příčin a vyřešení incidentu s významným dopadem.