Stránky o kybernetické bezpečnosti

Realizace

Po schválení nejvyšším vedením následuje realizace, která je v gesci Výboru pro řízení kybernetické bezpečnosti. Pro realizaci je následně připraven Akční plán KB - dokument, který na základě různých validních vstupů stanovuje postup v implementaci bezpečnostních opatření.

Akční plán nevzniká jen odhadem či pocity, ale na základě skutečných zjištění a stavu kybernetické bezpečnosti ve firmě.

Vstupy *Akčního plánu jsou:

  • GAP analýza - úvodní assessment
  • Analýza rizik
  • Audit KB - neshody a nápravná opatření
  • Nedořešené aktivity z minulého Akčního plánu KB
  • Nové potřeby organizace - zahrnuté v rámci řízení změn
  • Skeny zranitelností a doporučení z nich plynoucí
  • Penetrační testy a nálezy z nich plynoucí

Akční plán se tvoří ideálně jednou ročně určitou dobu před začátkem kalendářního nebo fiskálního roku. Perioda jednoho roku je dost dlouhá, aby absorbovala i delší projektové úkoly, ale není zase příliš dlouhá, protože pak by vznikal spíše high-level dokument a to není pro zcela konkrétní organizaci vhodné.

Optikou projektového řízení se jedná o harmonogram s rámcovým uvedením požadovaných cílů, způsobů jejich dosažení, termínového ohraničení a odpovědnosti konkrétních řešitelů.

Dokument je zpracován Manažerem KB s přispěním dalších bezpečnostních rolí a projednán na Výboru KB s ohraničenou platností na dobu určitou (v praxi byznysového prostředí ideálně s roční platností).

hermonogram

Akční plán se zpravidla rozpadá na dílčí plány:

  • Plán zvládání rizik
  • Plán kontinuity činnosti (BCM)
  • Plán obnovy (DRM)
  • Plán provádění auditu KB
  • Plán rozvoje bezpečnostního povědomí

Akční plán KB je zde pro všechny členy výboru KB a také pro další bezpečnostní role, které se výboru účastní jen dle aktuální potřeby. Primárně jde o dokument pro Manažera KB a Architekta KB, podle kterého postupují v implementaci bezpečnosti v organizaci.

Neměl by to být tedy veřejně přístupný dokument, ale dokument s řízeným přístupem na zabezpečeném úložišti, přičemž změny do dokumentu zanáší výhradně Manažer KB formou revizí. Dokument se projednává na každém jednání Výboru IKB, kde je to vedle řízení incidentů, změn a dalšího dění jedna z klíčových oblastí každého jednání.

Back to Top