Firemní majetek je třeba chránit, a to jak hmotný (technika, zařízení), tak nehmotný (informace, dobré jméno). Proto je užitečné stanovit si alespoň základní zásady, aby se předem snížilo riziko možných ztrát. Souboru těchto zásad se říká bezpečnostní politika a její klíčovou součástí je i směrnice pro koncové uživatele.
Snad všechny větší firmy mají zavedený systém řízení bezpečnosti informací (ISMS), který definuje ochranu informačních aktiv, řídí rizika bezpečnosti informací a stanovuje kontroly zavedených opatření.
Firma si zvolí bezpečnostního ředitele, bezpečnostního správce, vybere auditorskou firmu a sestaví tým, který při zavádění a certifikaci postupuje dle normy ISO/IEC 27001. Výsledkem je pak dokument bezpečnostní politika (BP).
Cílem BP je dosažení přiměřené úrovně bezpečnosti informací při vynaložení tomu odpovídajících nákladů. BP zavádí a vyžaduje dodržování vhodných bezpečnostních opatření, a to jak technických, tak organizačních. Bezpečnostní opatření jsou organicky integrována do pracovních procesů a jejich dodržování je povinností všech uživatelů.
Popis je hodně zjednodušený, bližší informace najdete například na Wikipedii (EN).
Malé firmy často nemají dostatečnou kapacitu (personální, finanční či jinou), chybí role bezpečnostního ředitele i bezpečnostního správce a nemají žádnou vlastní BP.
Proto jsme v Digi Office vytvořili vlastní bezpečnostní politiku, která vychází z doporučení normy ISO/IEC 27001 a upravili jí pro účely správy IT prostředí firem do 50 uživatelů. Jako taková byla posouzena společností DATASYS, s.r.o. a schválena pro požadovaný účel, viz viz toto osvědčení.
Při psaní BP jsme kladli důraz na jednoduchost a praktičnost, takže firmy, pro které spravujeme jejich IT prostředí, s ní mají jen minimální pracnost.
Objednatel provozuje ve svém podniku IT prostředí složené ze serverové a klientské části a jeho správu svěřil správci IT. Serverová část tohoto IT prostředí obsahuje specifický HW, SW a služby označené jako klíčové součásti, jejichž funkčnost je nutná k zajištění chodu podniku objednatele.
IT prostředí využívají ke své práci uživatelé, a to na svěřených koncových zařízeních prostřednictvím svých uživatelských účtů. Někteří uživatelé jsou zároveň objednatelem označeni jako autorizované osoby, jako takové prosazují dodržování bezpečnostních opatření uživateli a mohou správci IT zasílat požadavky.
Správce IT a objednatel se 1x ročně sejdou, zhodnotí aktiva, vyhledají nová rizika, zkontrolují bezpečnostní opatření a naplánují, jak zvýšit povědomí uživatelů o bezpečnostních opatřeních.
Součástí BP je příloha „správa IT prostředí“, která blíže specifikuje nastavení a způsob správy IT prostředí. Správce IT je odpovědný za to, že všechny součásti IT prostředí uvedené v dokumentaci odpovídají těmto specifikacím.
V případě neshody reálného stavu a této přílohy je správce IT povinen informovat objednatele IT služeb a navrhnout mu písemnou formou přiměřené opatření.
Správce IT je povinen nastavení namátkově kontrolovat, zejména pak zálohovací strategii.
Realizace a dodržování technických a organizačních bezpečnostních opatření specifikovaných v BP se vyžaduje od všech uživatelů IT prostředí objednatele. Povinností každého uživatele IT prostředí je hlásit podezření na narušení bezpečnosti a také hlásit případné objevené zranitelnosti.
Každý uživatel musí být proškolený dle přílohy „seznámení uživatele s bezpečnostními opatřeními“. Správce IT přidělí uživateli unikátní uživatelský účet (jméno a heslo) a svěří koncové zařízení až poté, co uživatel podpisem potvrdí, že byl seznámen s bezpečnostními opatřeními a zavazuje se je dodržovat.
Každá autorizovaná osoba musí být navíc seznámena s přílohou „uživatelé IT prostředí“ a je odpovědná za prosazování bezpečnostních opatření.
Autorizovaná osoba komunikuje s objednatelem, uživateli a správcem IT tak, aby bylo dosahováno úrovně bezpečnosti stanovené v BP.
V dnešní době je IT prostředí většiny firem pilířem jejich podnikání a hodnota aktiv spojených s IT dosahuje čím dál tím vyšších částek.
V Digi Office se rádi postaráme i o Vaše IT! Pracujeme pro malé pražské firmy do 50 uživatelů, kterým garantujeme dostupnost, funkčnost a bezpečnost. Bližší informace naleznete na našem webu.
Jaroslav LátalDigi Office, s.r.o.
Certifikovaný partner
Partner
Dodavatel
po - pá 8:00-18:00ostatní dle domluvy
Smluvní zákazníci mohou v případě požadavku kategorie A volat hotline číslo uvedené ve smlouvě (podmínky).
podpora@digioffice.cz+420 608 773 883+420 222 741 841
Jan Benešbenes@digioffice.cz+420 222 741 841
Jaroslav Látallatal@digioffice.cz+420 603 773 883
Požadujete technickou podporu? Zašlete nám autorizovaný požadavek přes náš HelpDesk