Bezpečnost lidských zdrojů je založena na systematickém a plánovaném vzdělávání, jehož součástí je i plán rozvoje bezpečnostního povědomí, který má za cíl zajistit odpovídající vzdělání a prohlubování bezpečnostního povědomí, které napomáhá zajištění kybernetické bezpečnosti.

Je vhodné provést rozdělení uživatelů do skupin dle požadavků na druh školení (běžní uživatelé – základní, administrátoři / vrcholné vedení – pokročilí / specializovaní, …) a následně určit konkrétní školení pro jednotlivé skupiny.

Plánovaný rozvoj bezpečnostního povědomí by měl odpovídat cílové skupině. Současně by mělo být pružně reagováno na aktuální hrozby, a to informováním o nich či např. uspořádáním vhodných, relevantních školení.

Plán rozvoje bezpečnostního povědomí

---

Plán rozvoje bezpečnostního povědomí musí obsahovat minimálně formu, obsah a rozsah poučení a školení. Organizace by do něj měla zahrnout:

• poučení vrcholného vedení o jeho povinnostech a bezpečnostní politice, zejména v oblastech ISMS a řízení rizik,
• poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice,
• potřebná teoretická i praktická školení uživatelů, administrátorů a osob zastávajících bezpečnostní role,
• pravidla tvorby bezpečných hesel v souladu s § 19 vyhlášky,
• relevantní témata uvedená v příloze č. 6 k této vyhlášce.

V příloze č. 6 vyhlášky jsou uvedena doporučená témata, která by měl plán rozvoje bezpečnostního povědomí obsahovat např.:

• zásady zabezpečení uživatelských účtů,
• vícefaktorová autentizace,
• techniky sociálního inženýrství,
• používání vzdáleného připojení (VPN),
• aktuální hrozby v kybernetické bezpečnosti.

Poučení a školení cílových skupin

---

Poučení a školení s cílem zajistit potřebnou úroveň bezpečnostního povědomí a odborných znalostí musí být přizpůsobeno konkrétní cílové skupině a musí být prokazatelné (ověřitelné pro kontrolní účely). Tato poučení a školení probíhají v souladu se stanoveným plánem rozvoje bezpečnostního povědomí.

• Vrcholné vedení musí být poučeno formou vstupních a pravidelných školení o svých povinnostech a o bezpečnostní politice, zejména v oblasti ISMS, řízení rizik a řízení kontinuity činností, s cílem získat znalosti a dovednosti potřebné k určování rizik a k posouzení vhodnosti zvolených postupů při řízení rizik a jejich dopadů na regulovanou službu.
• Uživatelé, administrátoři a osoby zastávající bezpečnostní role musí být poučeni o svých povinnostech a bezpečnostní politice formou vstupních a pravidelných školení.
• Osoby zastávající bezpečnostní role vyžadují pravidelná odborná školení, která vychází z aktuálních potřeb organizace v oblasti kybernetické bezpečnosti.
• Organizace zajišťuje pravidelná školení a ověřování bezpečnostního povědomí zaměstnanců v souladu s jejich pracovní náplní nebo služebním zařazením.

Dále je potřeba v rámci organizace stanovit osoby odpovědné za realizaci jednotlivých činností uvedených v plánu rozvoje bezpečnostního povědomí. Současně je potřeba vést evidenci obsahující předmět školení a seznam osob, které školení absolvovaly. Účinnost plánu, provedených školení a činností spojených se zlepšováním bezpečnostního povědomí je nutné pravidelně hodnotit.

V praxi se zpravidla rozvojem bezpečnostního povědomí zabývá přímo manažer kybernetické bezpečnosti. Přehledy školení poté bývají ukládány v personálním systému, kde by měl být uveden termín školení, jeho náplň, jestli zaměstnanec školení splnil / nesplnil, popřípadě i to, jaký byl výstup ze školení, např. test. školení může být samozřejmě řešeno i dodavatelsky, také v tomto případě by měly být zaznamenávány uvedené body, tedy termín školení, náplň, informace o splnění či nesplnění, informace o testu apod.

Dále je nutné kontrolovat dodržování bezpečnostní politiky a pro případ porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role je potřeba mít určena pravidla a postupy, jak v takových situacích postupovat. Pokud dojde k ukončení smluvního vztahu s administrátory nebo osobami zastávajícími bezpečnostní role, je nutné zajistit plynulost výkonu činností a okamžité odebrání přidělených přístupových oprávnění – blíže se problematikou řízení přístupů zabývá § 13 vyhlášky. Bezpečnost lidských zdrojů je nutné řešit i na straně dodavatelů – seznámit je s bezpečnostními politikami a kontrolovat jejich dodržování.