Bezpečnostní politika

Bezpečnostní politika stanovuje efektivní ochranu informační bezpečnosti v organizaci.

Konzultanti ENLOGIT mají zkušenosti s návrhem a zaváděním bezpečnostních politik v malých, středních i velkých organizacích.

Vložil/a Admin, 22. 3. 2010

Bezpečnostní politika

Co je bezpečnostní politika

Stále existuje mnoho organizací bez koncepce zajištění bezpečnosti. Za informační bezpečnost nikdo neodpovídá, bezpečnostní opatření se realizují "ad-hoc" podle momentální potřeby. U bezpečnostních incidentů není jasná odpovědnost.

Správnou cestou pro zavedení koncepční ochrany je zpracování analýzy rizik a bezpečnostní politiky.

Při ustanovení bezpečnostní politiky konzultant navrhne a zdokumentuje systém ochrany informací. Postupuje shora - od obecných dokumentů stanovujících základní pravidla a odpovědnosti až k podrobným standardům pro jednotlivé kroky zajišťující bezpečnost.

Co je analýza rizik

Analýza rizik je postup pro zjištění kompletního výčtu informačních rizik, které organizaci hrozí. Analýza rizik je nutným předpokladem efektivní bezpečnostní politiky.

ukázka analýzy rizik

Rizika jsou ohodnocena podle míry ohrožení (ukázka). To umožňuje vybrat finančně efektivní protiopatření.

Díky analýze rizik víte proti čemu se máte chránit.

Díky analýze rizik je ochrana finančně efektivní, protože největší prostředky jsou vynaloženy na největší rizika.

Díky analýze rizik neplýtváte úsilím na zanedbatelná rizika.

Další informace o bezpečnostní politice

Zvažujete zavedení bezpečnostní politiky ve vaší organizaci? Doporučujeme prostudovat oblasti, které bezpečnostní politika pokrývá, postup používaný společností ENLOGIT a časovou náročnost.

ENLOGIT nabízí pomoc s analýzou rizik, návrhem bezpečnostní politiky i jejím zavedením. Podívejte se na reference firmy ENLOGIT a sjednejte si s námi osobní schůzku.
ondrej suchy picture

Kontakt na produktového manažera

Další informace o bezpečnostní politice zodpoví Ondřej Suchý.
474 745 159, ondrej.suchy@enlogit.cz, další kontakty

Obsah a součásti

Bezpečnostní politika obvykle nesouvisí pouze s IT. Proto obsahuje celou řadu kapitol, které kompletně pokrývají všechny součásti, které mají na bezpečnost vliv.

Obsah bezpečnostní politiky

Konzultanti ENLOGIT při tvorbě bezpečnostní politiky vycházejí z mezinárodního standardu ISO 17799 Code of practice for information security management, pokrývající následující oblasti:

  • Bezpečnostní politika
  • Organizace informační bezpečnosti
  • Řízení aktiv
  • Bezpečnost lidských zdrojů
  • Fyzická bezpečnost a bezpečnost prostředí
  • Řízení komunikací a provozu
  • Řízení přístupu
  • Získávání, vývoj a údržba informačních systémů
  • Řízení bezpečnostních incidentů
  • Řízení kontinuity provozu
  • Shoda

(Doporučujeme článek Standard ISO 17799 aktualizován.)

Aktualizace bezpečnostní politiky

Jednorázově zavedená bezpečnostní politika velmi rychle ztratí svoji hodnotu, protože reprezentuje stav z určitého okamžiku. Mezitím se však organizace, legislativa, okolí i hrozby mění.

Z toho důvodu obsahuje bezpečnostní politika navrhovaná konzultanty ENLOGIT postupy pro její revize.

Kontroly bezpečnostní politiky

Správné zavedení bezpečnostní politiky musí být pravidelně kontrolováno. ENLOGIT doplňuje bezpečnostní politiku o postupy pro interní i externí audit.

ENLOGIT nabízí nezávislé bezpečnostní audity shody s bezpečnostní politikou. Z důvodu nestrannosti neprovádíme kontroly bezpečnostních projektů, které jsme sami zaváděli.

Podpora vedení je nezbytná

Úspěšná bezpečnostní politika se nedá prosadit zdola. Každý bezpečnostní projekt musí mít citelnou podporu nejvyššího vedení, vyjádřenou jasným stanovením záměru a odpovědností a příkladným dodržováním bezpečnostních opatření.

Informační bezpečnost nebo bezpečnost IT?

Informační bezpečnost není totéž co bezpečnost IT. Informační bezpečnost pokrývá mnohem širší rámec a zabývá se i nakládáním s informacemi, které neprobíhá pomocí výpočetní techniky.

Postup

Zavedení bezpečnostní politiky vyžaduje provedení celé řady kroků a úzkou součinnost zadavatele.

Postup pro návrh a zavedení bezpečnostní politiky

Konzultanti ENLOGIT obvykle pro zavedení bezpečnostní politiky používají následující sled činností:

  1. analýza rizik
  2. návrh bezpečnostní politiky
  3. prezentace a školení, včetně vyškolení interního auditora
  4. zavedení bezpečnostní politiky do praxe (obvykle provádí zadavatel)
  5. kontroly, audity

Časová náročnost

Úvodní práce na bezpečnostní politice je velmi časově náročná. Zavedením však úkol nekončí, poté nastává nikdy nekončící práce s kontrolou dodržováním, aktualizací a zlepšováním politiky.

Obvyklé časové nároky pro bezpečnostní projekty

Dle velikosti projektu (určeném velikostí organizace, rozsahem systému a dalšími faktory) obvykle konzultanti ENLOGIT navrhují bezpečnostní politiku v průběhu 1-5 měsíců. Tento čas zahrnuje přípravu a dokumentaci politiky a následná školení.

Srovnatelné či mnohdy ještě delší období bývá nutné vyhradit na zavedení bezpečnostní politiky, tedy implementaci samotných opatření do praxe, které však obvykle provádí sám zadavatel (s případnou pomocí externích konzultantů). V této fázi se například instalují bezpečnostní produkty (firewally, IDS), revidují přístupová práva, rovněž probíhají první školení z programu bezpečnostního povědomí.

Audity kontrolující shodu probíhají v řádu dnů.

Další informace o bezpečnostní politice

ENLOGIT nabízí pomoc s analýzou rizik, návrhem bezpečnostní politiky i jejím zavedením. Podívejte se na reference firmy ENLOGIT a sjednejte si s námi osobní schůzku.
ondrej suchy picture

Kontakt na produktového manažera

Další informace o bezpečnostní politice zodpoví Ondřej Suchý.
474 745 159, ondrej.suchy@enlogit.cz, další kontakty