Bezpečnost informací a obsah tohoto pojmu

Pojem se netýká obsahu informace, ale pouze funkčnosti prostředí, v němž je informace tvořena, zpracovávána, uchovávána a komunikována. To odpovídá principu technologické neutrality, na němž příslušná legislativa spočívá a má za následek důsledné vyčlenění kritéria obsahu informací z věcné působnosti zákona o kybernetické bezpečnosti.

Bezpečnostní politika

Pro každou organizaci je nezbytné vytvořit bezpečnostní politiku informací organizace, obsahující popis přístupu vedení organizace k jednotlivým oblastem kybernetické bezpečnosti řešeným v platné legislativě. Jsou vrcholovým dokumentem vyjadřujícím vůli vedení organizace a směr, kterým se bude směřovat strategie organizace. Popsány jsou požadované cílové stavy, kterých má být dosaženo, bez detailního popisu způsobu a prostředků, kterými má být tohoto stavu dosaženo. Jedná se tedy o definici přístupu k řešení daných oblastí, popis vizí a způsobů, kterými chce vedení organizace dosáhnout zajištění bezpečnosti.

Řešené musí být minimálně následující body a přístup k řešení informační bezpečnosti:

• řízení dokumentace
• řízení lidských zdrojů
• řízení fyzické bezpečnosti
• řízení preventivních a nápravných bezpečnostních opatření
• provádění přezkoumání systému a interních auditů
• řízení dodavatelů
• řízení kontinuity

Rozpracování bezpečnostní politiky

Politika bezpečnosti informací je následně rozpracována buď do dílčích politik, nebo rovnou do prováděcích předpisů. Zatímco Politiku bezpečnosti informací ustavuje vrcholové vedení, následné dokumenty, tedy jednotlivé politiky informačních systémů, směrnice a další dokumenty již tvoří pracovníci na nižších stupních vedení či přímo výkonní pracovníci.