Systém řízení bezpečnosti informací

V rámci kybernetické bezpečností by se měly organizace zabývat systémem řízení bezpečnosti informací (SŘBI), nebo tak zvaným (ISMS), čímž se rozumí část celkového systému řízení orgánu nebo osoby uvedené v § 3 písm. c) až e) zákona o kybernetické bezpečnosti založené na přístupu daného orgánu nebo osoby k rizikům činností, která je zaměřena na ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací.

Povinnosti organizace

Organizace musí samostatně stanovit požadavky na kritickou informační infrastrukturu, které by měly splňovat požadavky stanovené normou ISO/IEC 27001 včetně ročního cyklu přehodnocení.

Významné informační systémy

U požadavků na významné informační systémy jsou pak omezeny především takové činnosti, které se váží na zpětnovazební prvky systému řízení bezpečnosti informací. Zpětná vazba je redukována na aktualizaci stanovených plánů, a to v tříletém cyklu. Modely vyzrálosti procesů byly jedním z hlavních vodítek při výběru opatření pro řízení bezpečnosti informací.

Kritická informační infrastruktura

Pro kategorii kritické informační infrastruktury byla zvolena úroveň představující implementovaný systémem řízení bezpečnosti informací v souladu s normou. Nicméně i pro tuto úroveň nejsou vyžadovány některé náročnější prvky řízení, jako je například měření účinnosti bezpečnostních opatření. Pro významné informační systémy byla využita úroveň představující částečně implementovaný systémem řízení bezpečnosti informací. Tato úroveň je pro počáteční období dostačující a obsahuje nezbytné prvky související s plánováním systému řízení bezpečnosti informací na základě ohodnocení a zvládání rizik. Nižší míra shody s normou je v oblasti zpětných vazeb, které mohou být doplněny na základě zkušeností s realizací.