ISO 27001 Příloha A: Odpovědnosti a role zaměstnanců

Dobře strukturovaný systém řízení bezpečnosti informací (ISMS) v souladu s normou ISO 27001 poskytuje základ pro efektivní realizaci komplexní strategie bezpečnosti informací. Systematický přístup pomáhá chránit důvěrná firemní data před ztrátou a zneužitím a spolehlivě identifikovat potenciální rizika pro společnost, analyzovat je a vhodnými opatřeními je učinit kontrolovatelnými. To zahrnuje mnohem více než jen aspekty bezpečnosti IT. Pro praxi je zvláště cenné zavádění opatření uvedených v příloze A normy.

ISO/IEC 27001:2013: - Informační technologie - Bezpečnostní postupy - Systémy řízení bezpečnosti informací - Požadavky.

Příloha A normy ISO 27001: Význam pro praxi

Kromě části zaměřené na požadavky na systém řízení (kapitoly 4 až 10) obsahuje příloha A normy ISO z roku 2017 rozsáhlý seznam 35 cílů opatření (kontrol) se 114 konkrétními opatřeními týkajícími se široké škály bezpečnostních aspektů ve 14 kapitolách.

Poznámka : Tvrzení označovaná v příloze A jako "opatření" jsou ve skutečnosti jednotlivé cíle (kontroly). Popisují, jak by měl vypadat výsledek vhodných (jednotlivých) opatření v souladu s normou.

Společnosti by měly tyto kontrolní prvky použít jako základ pro individuální, podrobnější strukturování své politiky bezpečnosti informací. S ohledem na téma personálu je zajímavý zejména cíl opatření "Personální bezpečnost" v příloze A.7.

Personální procesy zajišťují ve všech fázích zaměstnání, aby byly přiděleny odpovědnosti a povinnosti s ohledem na bezpečnost informací a aby bylo sledováno jejich dodržování. Porušení politiky bezpečnosti informací - zamýšlené i nezamýšlené - tak není vyloučeno, ale je výrazně ztíženo. A pokud dojde k nejhoršímu, účinný systém ISMS poskytuje organizaci vhodné mechanismy pro řešení porušení.

Bezpečnost informací není nedůvěra

V žádném případě není nedůvěrou, pokud společnost vydá příslušné směrnice, které neoprávněný přístup zevnitř ztíží, nebo ještě lépe mu zcela zabrání. Jedno je přece jasné: pokud se blíží nebo již byl oznámen odchod zaměstnance, může jeho nespokojenost vést k cílené krádeži dat. K tomu dochází zejména tehdy, když se propuštěný zaměstnanec domnívá, že má vlastnická práva k datům projektu. A naopak, žádost o konkrétní pracovní místo již může být podána s úmyslem spáchat trestný čin.

Jiné scénáře ukazují na hrubě nedbalé chování nebo prostě na lehkomyslnost, které mohou mít podobně závažné důsledky. Stává se například, že celá oddělení IT nedodržují svá vlastní pravidla - příliš těžkopádná, příliš časově náročná. V kanceláři je to neopatrné zacházení s hesly nebo nechráněné chytré telefony. Ale také neopatrné připojování USB klíčů, otevřené dokumenty na obrazovce, tajné dokumenty v prázdných kancelářích - seznam možných opomenutí je dlouhý.

Příloha A.7 normy ISO 27001 - Bezpečnost personálu

Společnosti, které zavedly systém řízení bezpečnosti informací (ISMS) v souladu s normou ISO 27001, jsou zde v lepší pozici. Znají požadavky a pro praxi relevantní přílohu A.7 mezinárodně uznávané normy. Protože norma ISO 27001 zde má co nabídnout: Přestože referenční opatření odkazují přímo na požadavky normy, jsou vždy zaměřena na přímou podnikovou praxi.

Společnosti s účinným systémem ISMS znají cíle uvedené v příloze A.7, které je třeba realizovat s ohledem na personální zabezpečení pro plný soulad s normou - ve všech fázích zaměstnání.

Co uvádí norma ISO 27001 v příloze A.7?

Opatření před zaměstnáním

Organizace musí před přijetím nového zaměstnance do zaměstnání zajistit, aby rozuměl svým budoucím povinnostem a byl vhodný pro svou roli - podle přílohy A.7.1. V části o požadavcích (kapitola 7.2) norma hovoří o "způsobilosti".

Jako cíleně zaměřené referenční opatření uchazeči o zaměstnání nejprve obdrží bezpečnostní prověrku, která je v souladu s etickými zásadami a platnými zákony. Tato prověrka musí být přiměřená vzhledem k obchodním požadavkům, stupni utajení informací, které mají být získány, a možným rizikům (A.7.1.1). Aby toho bylo možné dosáhnout, měly by být mimo jiné zavedeny, zajištěny nebo ověřeny následující skutečnosti:

• postup pro získávání informací (jak a za jakých podmínek).
• seznam právních a etických kritérií, která je třeba dodržovat
• Bezpečnostní kontrola musí být přiměřená, související s riziky a potřebami společnosti.
• věrohodnost a pravost C.V., finančních výkazů a dalších dokumentů
• Důvěryhodnost a způsobilost uchazeče pro zamýšlenou pozici

Smluvní ujednání

Další krok se týká pracovních a smluvních podmínek. Toto referenční opatření v příloze A normy ISO/IEC 27001 se tedy skládá ze smluvních dohod o tom, jaké povinnosti mají zaměstnanci vůči společnosti a naopak (A.7.1.2). Úspěšná implementace tohoto požadavku zahrnuje mimo jiné splnění těchto bodů:

• podepsání dohody o mlčenlivosti zaměstnancem (dodavatelem) s přístupem k důvěrným informacím.
• smluvní závazek zaměstnance (dodavatele) dodržovat například autorská práva nebo ochranu údajů
• smluvní ustanovení o odpovědnosti zaměstnanců (dodavatelů) při nakládání s externími informacemi

V průběhu zaměstnání - odpovědnost vrcholového vedení.

Zaměstnanci si musí být vědomi své odpovědnosti za bezpečnost informací. To je cílem bodu A.7.2, a co je důležitější, zaměstnanci musí těmto povinnostem dostát.

První opatření (A.7.2.1) je zaměřeno na povinnost vedení podněcovat své zaměstnance k provádění bezpečnosti informací v souladu se stanovenými zásadami a postupy. Za tímto účelem musí být upraveny minimálně následující body:

• Jakým způsobem vrcholové vedení podporuje zaměstnance v implementaci? Kde existují rizika?
• Jak zajišťuje, aby zaměstnanci znali zavedené směrnice pro nakládání s bezpečností informací?
• Jak kontroluje, zda zaměstnanci dodržují směrnice pro nakládání s bezpečností informací?
• Jak motivuje zaměstnance k implementaci zásad a postupů a k jejich bezpečnému uplatňování?

Vytváření povědomí

V kapitole 7.3 "Informovanost" norma ISO 27001 požaduje, aby si osoby vykonávající příslušné činnosti byly vědomy následujících skutečností

• O politice organizace v oblasti bezpečnosti informací
• o tom, jak přispívají k účinnosti systému řízení bezpečnosti informací (ISMS)
• o přínosech zlepšené výkonnosti v oblasti bezpečnosti informací
• důsledcích neplnění požadavků ISMS

Zejména noví zaměstnanci potřebují kromě povinného poučení o problematice bezpečnosti informací také pravidelné informace na toto téma, např. prostřednictvím e-mailu nebo intranetu. Konkrétní školení (zejména o krizových plánech a cvičeních), tematické semináře a osvětové kampaně (např. prostřednictvím plakátů) posilují povědomí o systému řízení bezpečnosti informací.

K vytvoření odpovídajícího povědomí o bezpečnosti informací slouží například i referenční opatření A.7.2.1 v příloze A normy ISO 27001. Organizace musí školit a vzdělávat své zaměstnance a případně i své dodavatele v odborně relevantních tématech. Příslušné zásady a postupy musí být pravidelně aktualizovány. V úvahu je třeba vzít mimo jiné následující aspekty:

• Způsob, jakým se vrcholové vedení ze své strany angažuje v oblasti bezpečnosti informací.
• povaha odborného vzdělávání a školení
• četnost, s jakou jsou politiky a postupy přezkoumávány a aktualizovány.
• další používané nástroje
• Konkrétní opatření k seznámení zaměstnanců s interními zásadami a postupy bezpečnosti informací

TIP: Zajistěte dobře fungující komunikaci s více kanály pro přenos znalostí. Je to proto, ţe povědomí o ISMS a souvisejících aspektech poţadovaných normou úzce souvisí s přenosem znalostí.

Proces udělování výtek

Příloha 7.2.3: Toto opatření specifikuje způsob, jakým bude organizace řešit výtky v případě porušení bezpečnosti informací. Základem je proces nápravných opatření. Musí být formálně definován, zaveden a oznámen. Musí být zajištěno následující:

• Musí existovat kritéria, podle nichž se klasifikuje závažnost porušení politiky bezpečnosti informací.
• Disciplinární proces nesmí být v rozporu s platnými právními předpisy.
• Disciplinární proces musí obsahovat opatření, která dlouhodobě motivují zaměstnance k pozitivní změně jejich chování.

Ukončení pracovního poměru - odpovědnosti

V příloze A.7.3 normy ISO 27001 je jako cíl uveden účinný proces ukončení pracovního poměru nebo změny, který chrání zájmy organizace. Tento cíl se zaměřuje na odpovědnosti při ukončení nebo změně zaměstnání. V souladu s tím musí být definovány, sděleny a prosazovány odpovědnosti a povinnosti související s bezpečností informací, které zůstávají po ukončení nebo změně zaměstnání. Tyto aspekty má smysl brát v úvahu:

• dohody v pracovních smlouvách o tom, jak mají zaměstnanci řešit přetrvávající odpovědnosti a povinnosti související s bezpečností informací po ukončení pracovního poměru.
• mechanismy monitorování, které zajistí dodržování těchto dohod
• postupy pro vymáhání dodržování přetrvávajících odpovědností a povinností

Kybernetická bezpečnost prostřednictvím systematické personální bezpečnosti

Hrozba zevnitř je reálná - a většina společností si ji uvědomuje. Podle bezpečnostní studie (Balabit 2018) jsou obzvláště zranitelní vůči útokům zaměstnanci, kteří mají rozsáhlá přístupová práva. A vzhledem k tomu, že zaměstnanci se podílejí na 50 % všech případů narušení bezpečnosti, 69 % odpovídajících IT profesionálů považuje za největší riziko narušení interních dat. Přesto se s tím dělá jen málo. V praxi je často obtížné vznést obvinění vůči interním zaměstnancům. Zejména v malých a středních podnicích (MSP), kde se lidé navzájem znají, je jim často vkládána určitá důvěra - někdy s nepříjemnými důsledky. Základem pro zajištění bezpečnosti informací, které vyžadují ochranu, je dobře strukturované řízení bezpečnosti informací.

Závěr: ISO 27001 v praxi - příloha A

V příloze A.7 normy ISO/IEC 27001:2017 jsou uvedena referenční opatření pro personální bezpečnost, která musí být zavedena v rámci zavedení normy. Společnosti by měly tato kontrolní opatření použít jako základ pro individuální, důkladnější návrh své politiky bezpečnosti informací. Tato opatření nespočívají v nedůvěře zaměstnanců, ale v jasně strukturovaných personálních procesech.

Směrnice ISO 27002 definuje široký katalog obecných bezpečnostních opatření, která mají organizacím pomoci při implementaci požadavků z přílohy A normy ISO 27001. Na začátku roku 2022 byl tento pokyn komplexně revidován a aktualizován. Nové vydání poskytuje manažerům bezpečnosti informací přesný výhled na změny, které lze očekávat v souvislosti s revizí normy ISO 27001.

Odbornost a důvěra

Certifikované společnosti oceňují systémy řízení jako nástroje vrcholového managementu, které vytvářejí transparentnost, snižují složitost a zajišťují bezpečnost. Systémy řízení však dělají ještě více: Posuzované a certifikované neutrální a nezávislou třetí stranou, jako je DQS , vytvářejí u zainteresovaných stran důvěru ve výkonnost vaší společnosti.

Mnoho organizací stále vnímá certifikaci jako kontrolu dodržování předpisů. Naši zákazníci ji naopak vnímají jako příležitost zaměřit se na faktory, které jsou pro úspěch a výsledky jejich systému řízení kritické. Protože naše hlavní kompetence spočívají v provádění certifikačních auditů a hodnocení. Díky tomu patříme mezi přední světové poskytovatele s nárokem na to, abychom vždy stanovovali nová měřítka spolehlivosti, kvality a orientace na zákazníka.

Upozornění : Naše články píší výhradně naši interní odborníci na systémy řízení a dlouholetí auditoři. Pokud máte na naše autory dotazy týkající se bezpečnosti informací (ISMS), kontaktujte nás. Těšíme se na rozhovor s vámi.