Významná změna

---

Organizace při řízení změn u aktiv stanoví pravidla, postupy a kritéria pro určení významných změn. Organizace určuje změny, které mají nebo mohou mít vliv na kybernetickou bezpečnost a u těchto změn dále určuje, zda se jedná o významné změny podle výše stanovených pravidel, postupů a kritérií. 

Za významnou změnu lze např. považovat následující:

---

• akvizice nového systému nebo modulu (např. nasazení Single Sign On nebo pořízení Data Loss Protection modulu),
• změna významného dodavatele, se kterým správce dosud nemá zkušenosti (např. změna poskytovatele servisních služeb),
• varování Úřadu před kybernetickou bezpečnostní hrozbou (např. varování ohledně aktuální supply-chain zranitelnosti),
• změna v organizační struktuře (např. jmenování nového manažera kybernetické bezpečnosti),
• úprava topologie v síti (např. zavedení nového síťového segmentu v podobě demilitarizované zóny),
• výměna či pořízení nových bezpečnostních nástrojů jako firewall, SIEM, antivir, DDoS pračky, síťové sondy nebo výměna či pořízení nového hardwaru jako server, switch atp.

Náležitosti u významných změn

---

U významných změn je třeba:

• dokumentovat jejich řízení,
• řídit rizika spojená s významnými změnami,
• přijmout bezpečnostní opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,
• aktualizovat bezpečnostní a provozní dokumentaci,
• zajistit jejich testování před uvedením do provozu,
• zajistit možnost navrácení do původního stavu (tzv. roll-back),
• rozhodnout na základě výše zmíněného řízení rizik o provedení penetračního testování.

V případě rozhodnutí o provedení penetračního testu je třeba postupovat podle § 24 odst. 5 vyhlášky.