Návrh bezpečnostní politiky

Firemní majetek je třeba chránit, a to jak hmotný (technika, zařízení), tak nehmotný (informace, dobré jméno). Proto je užitečné stanovit si alespoň základní zásady, aby se předem snížilo riziko možných ztrát. Souboru těchto zásad se říká bezpečnostní politika a její klíčovou součástí je i směrnice pro koncové uživatele.

Co je to bezpečnostní politika?

Snad všechny větší firmy mají zavedený systém řízení bezpečnosti informací (ISMS), který definuje ochranu informačních aktiv, řídí rizika bezpečnosti informací a stanovuje kontroly zavedených opatření.

Firma si zvolí bezpečnostního ředitele, bezpečnostního správce, vybere auditorskou firmu a sestaví tým, který při zavádění a certifikaci postupuje dle normy ISO/IEC 27001. Výsledkem je pak dokument bezpečnostní politika (BP).

Cílem BP je dosažení přiměřené úrovně bezpečnosti informací při vynaložení tomu odpovídajících nákladů. BP zavádí a vyžaduje dodržování vhodných bezpečnostních opatření, a to jak technických, tak organizačních. Bezpečnostní opatření jsou organicky integrována do pracovních procesů a jejich dodržování je povinností všech uživatelů.

Popis je hodně zjednodušený, bližší informace najdete například na Wikipedii (EN).

Alternativa pro firmy do 50 uživatelů

Malé firmy často nemají dostatečnou kapacitu (personální, finanční či jinou), chybí role bezpečnostního ředitele i bezpečnostního správce a nemají žádnou vlastní BP.

Proto jsme v Digi Office vytvořili vlastní bezpečnostní politiku, která vychází z doporučení normy ISO/IEC 27001 a upravili jí pro účely správy IT prostředí firem do 50 uživatelů. Jako taková byla posouzena společností DATASYS, s.r.o. a schválena pro požadovaný účel, viz viz toto osvědčení.

Při psaní BP jsme kladli důraz na jednoduchost a praktičnost, takže firmy, pro které spravujeme jejich IT prostředí, s ní mají jen minimální pracnost.

Popis IT prostředí, rolí a struktury BP

Objednatel provozuje ve svém podniku IT prostředí složené ze serverové a klientské části a jeho správu svěřil správci IT. Serverová část tohoto IT prostředí obsahuje specifický HW, SW a služby označené jako klíčové součásti, jejichž funkčnost je nutná k zajištění chodu podniku objednatele.

IT prostředí využívají ke své práci uživatelé, a to na svěřených koncových zařízeních prostřednictvím svých uživatelských účtů. Někteří uživatelé jsou zároveň objednatelem označeni jako autorizované osoby, jako takové prosazují dodržování bezpečnostních opatření uživateli a mohou správci IT zasílat požadavky.

Správce IT a objednatel se 1x ročně sejdou, zhodnotí aktiva, vyhledají nová rizika, zkontrolují bezpečnostní opatření a naplánují, jak zvýšit povědomí uživatelů o bezpečnostních opatřeních.

Správce IT prostředí

Součástí BP je příloha „správa IT prostředí“, která blíže specifikuje nastavení a způsob správy IT prostředí. Správce IT je odpovědný za to, že všechny součásti IT prostředí uvedené v dokumentaci odpovídají těmto specifikacím.

V případě neshody reálného stavu a této přílohy je správce IT povinen informovat objednatele IT služeb a navrhnout mu písemnou formou přiměřené opatření.

Správce IT je povinen nastavení namátkově kontrolovat, zejména pak zálohovací strategii.

Uživatelé IT prostředí

Realizace a dodržování technických a organizačních bezpečnostních opatření specifikovaných v BP se vyžaduje od všech uživatelů IT prostředí objednatele. Povinností každého uživatele IT prostředí je hlásit podezření na narušení bezpečnosti a také hlásit případné objevené zranitelnosti.

Každý uživatel musí být proškolený dle přílohy „seznámení uživatele s bezpečnostními opatřeními“. Správce IT přidělí uživateli unikátní uživatelský účet (jméno a heslo) a svěří koncové zařízení až poté, co uživatel podpisem potvrdí, že byl seznámen s bezpečnostními opatřeními a zavazuje se je dodržovat.

Autorizovaná osoba

Každá autorizovaná osoba musí být navíc seznámena s přílohou „uživatelé IT prostředí“ a je odpovědná za prosazování bezpečnostních opatření.

Autorizovaná osoba komunikuje s objednatelem, uživateli a správcem IT tak, aby bylo dosahováno úrovně bezpečnosti stanovené v BP.

Pár slov na závěr

V dnešní době je IT prostředí většiny firem pilířem jejich podnikání a hodnota aktiv spojených s IT dosahuje čím dál tím vyšších částek.

V Digi Office se rádi postaráme i o Vaše IT! Pracujeme pro malé pražské firmy do 50 uživatelů, kterým garantujeme dostupnost, funkčnost a bezpečnost. Bližší informace naleznete na našem webu.

Jaroslav Látal
Digi Office, s.r.o.

IT ŘEŠENÍ PRO:

Reference

Mgr. Lada
Sojková

Domov Mládeže
Praha 9

Oceňuji dlouholetou spolupráci. Profesionální rady, loajalitu ke klientovi, osobní přístup a přátelské jednání. Spokojené vedení organizace, zaměstnanci i studenti.

Ing. Václav
Šulc

Greif akustika, s.r.o.

Využíváme kompletní outsourcing IT včetně podpory uživatelů a musím říct, že za posledních 8 let spolupráce nevím o žádném větším problému. Skvěle fungující IT nám pomáhá udržet konkurenceschopnost.

Adéla
Kolářová

V Invest CZ, a.s.

Se společností Digi office spolupracujeme úspěšně již několik let. Když je potřeba, stačí zavolat nebo poslat email a pomoc máme rychle na dosah. A co je důležité, nikdy nás nenechali ve štychu!

PaedDr. Eva
Brožová

Společnost DUHA, z. ú.

Spolupráci s Digi Office oceňujeme za vstřícné jednání, výhodou je rychlé reagování a jeden dlouhodobě přidělený pracovník, který zná dobře naše služby a potřeby. Jejich doporučení nám také pomohla ušetřit některé náklady. Zapojili se do našeho dárcovského programu, jde o sociálně odpovědnou firmu.

Daniel
Frouz

iNET Solutions, s.r.o.

Digi Office nám zajišťuje už více než 6 let spolehlivý a bezporuchový provoz naší infrastruktury. Dostupnost je pro nás klíčovým parametrem a „digi“ technici to zvládají bez problému. Když se přece jen objeví problém, rychle ho vyřeší.

Radek
Holub

SLIM media, s.r.o.

Digi Office řeší zásadní problémy se sítí promptně a spolehlivě, jako by to vlastně ani tak velké problémy nebyly. Na případné otázky dostáváme vždy srozumitelnou a přátelskou odpověď.