Tato politika stanovuje základní principy a východiska pro řízení bezpečnosti v organizaci. Dokument vymezuje oblasti a zásady ochrany, způsob ochrany jednotlivých oblastí (bezpečnostní nástroje) a osoby odpovědné za ochranu jednotlivých oblastí (bezpečnostní management). Bezpečnostní politika je nezbytná pro realizaci všech standardů, směrnic, procedur a opatření.
Vedle výsledků analýzy rizik informační bezpečnosti Bezpečnostní politika vytyčuje hlavní směry, ve kterých je třeba řízení bezpečnosti v organizaci dále rozvíjet.
Předmětem je trvalá ochrana všech aktiv společnosti, které se ve společnosti mohou nacházet nebo k nim má společnost přístup.
Vrcholové vedení se zavazuje v souladu se strategií společnosti (ochrana aktiv společnosti) k plnění aplikovatelných požadavků a k neustálému zlepšování řízení bezpečnosti informací.
Z hlediska dekompozice se jedná o Bezpečnost a jeho procesy v jednotlivých oblastech ochrany.
Oblastmi ochrany v tomto procesu Bezpečnost rozumíme:
• Zajištění byznys kontinuity
• Ochrana provozu – kontinuita provozu
• Ochrana hmotného majetku
• Ochrana nehmotného majetku
• Bezpečnost lidských zdrojů
• Ochrana služeb
Bezpečnost aktiv společnosti je věcí všech zaměstnanců. Všichni zaměstnanci se podílejí na zodpovědnosti za ochranu a dohled nad informacemi, které se vytvářejí, zpracovávají, přijímají nebo odesílají v jejich útvaru a v jejich projektu.
Řízení ochrany aktiv společnosti je nepřetržité hledání rovnováhy mezi dvěma prvky:
• zvyšováním bezpečnosti jednotlivých elementů prvků infrastruktury,
• nutnými náklady na její realizaci v souladu s následujícími principy:
o soulad se zákonnými normami a přijatými programy,
o řízení a minimalizace rizik,
o kontinuita výrobních procesů,
o prevence,
o informovanost,
o plnění zákonných požadavků v oblasti bezpečnosti osob.
Vrcholové vedení společnosti se zavazuje k dodržování následujících zásad:
Zajištění byznys kontinuity
Zajistit prediktivní řízení kapacit a finanční zdroje, včetně potřebných rezerv, pro plnění všech závazků v dostatečné kvalitě se zajištěním neustálé kontinuity;
Ochrana provozu – kontinuita výrobních procesů
Zajistit autorizovaný provoz všech systémů společnosti s eliminací nebo minimalizací následků případných bezpečnostních incidentů. Vyhodnocovat následky bezpečnostních incidentů a uplatňovat nápravná opatření k zamezení jejich opakování stanovením vyhodnotitelných programů a cílů;
Ochrana hmotného majetku
Zajistit trvale ochranu majetku a místa, kde společnost poskytuje služby svým zákazníkům trvalým zlepšováním úrovně havarijních a bezpečnostních plánů, jako prevenci před ekonomickými ztrátami, mimořádnými a krizovými událostmi;
Ochrana nehmotného majetku
Zachovávat a trvale chránit informační aktiva společnosti, tzn. vše, co má pro společnost nějakou hodnotu z pohledu informační bezpečnosti;
Bezpečnost lidských zdrojů
Znát rizika a pravidelným proškolováním a nacvičováním havarijních situací jako nedílné součásti přípravy, zajistit prevenci zaměstnanců před těmito riziky;
Ochrana produktů a služeb
Zajistit bezpečnost zaváděných produktů a služeb společnosti odpovědným plněním požadavků všech platných zákonných norem a předpisů. Zároveň se důsledně věnovat ochraně před zneužitím komunikačních služeb;
Informovanost
Předávat informace zákazníkům, dodavatelům a ostatním právnickým a fyzickým osobám vyskytujícím se ve společnosti i v jejím okolí o rizicích, stanovených opatřeních a jejich žádoucím chování
Nástroje bezpečnostní politiky
K nástrojům bezpečnostní politiky patří cokoli, co je schopno s vynaložením určitých nákladů snížit nebo vyloučit nebezpečí újmy vzniklé na straně organizace.
Klasifikace informací
Cílem klasifikace je rozdělení všech informací, se kterými společnost pracuje, do tříd dle stupně jejich důvěrnosti. Z toho pak vyplývá způsob nakládání s těmito informacemi a jejich nosiči (osoby oprávněné k manipulaci, způsob skladování, způsob skartace, …).
Systém pro podporu řízení bezpečnosti
Jedná se o centrální sběrný systém, který zpracovává všechny bezpečnostní incidenty a rizika v organizaci (narušení bezpečnostních politik, trestně právní události, rizika trestně právního jednání atd.). Výsledkem je pak adekvátní reakce na příslušné incidenty, případné vyčíslení způsobených škod, zastupování organizace v trestním řízení, přijímání protiopatření a návrh preventivních postupů.
IT ochrana
Úkolem IT ochrany je zajistit požadovanou úroveň v charakteristikách - dostupnost, integrita a důvěrnost odpovídajících systémů, aplikací a dat vlastních i zákaznických. Detailně popsáno v dokumentu SM_31_IT.
Fyzická ochrana
Fyzická ochrana jako nástroj obsahuje veškerá fyzická zabezpečení provozu, hmotného majetku i osob. Mezi prostředky fyzické ochrany organizace patří prvky technické ochrany (EZS, EPS, EKV …), speciální technické ochrany, požární ochrany, mechanické ochrany a režimové ochrany.
Personální ochrana
Jedná se o zajištění povinností, práv a bezpečnosti práce zaměstnance podle požadavků platných právních předpisů (zejména Zákoníku práce, Listiny základních práv a svobod) a ochranu zaměstnanců formou pravidelných školení, vybavení a zajištění pracovních podmínek.
Krizové řízení
Krizové řízení lze definovat jako systém a metody řešení krizových situací. Krizové řízení je tvořeno širokým spektrem činností, mezi něž patří zejména plánování, podpora rozhodování v mimořádných/krizových situacích, simulace krizových situací a jejich řešení, civilní nouzové plánování, monitorování, modelování a analýza situací.
Podniková kultura z pohledu bezpečnosti
Zaměstnanci jsou s podnikovou kulturou seznamováni zároveň s Etickým kodexem v rámci individuálních školení, jejichž výsledkem je osobní rozvoj zaměstnanců a jejich seznámení se zákonnými, interními a obecně platnými bezpečnostními pravidly – interními normami.