1.1. | Politika systému řízení bezpečnosti informací a) | Cíle, principy a potřeby řízení bezpečnosti informací. | b) | Rozsah a hranice systému řízení bezpečnosti informací. | c) | Pravidla a postupy pro řízení dokumentace. | d) | Pravidla a postupy pro řízení zdrojů a provozu systému řízení bezpečnosti informací. | e) | Pravidla a postupy pro provádění auditů kybernetické bezpečnosti. | f) | Pravidla a postupy pro přezkoumání systému řízení bezpečnosti informací. | g) | Pravidla a postupy pro nápravná opatření a zlepšování systému řízení bezpečnosti informací. |
|
1.2. | Politika řízení aktiv a) | Identifikace, hodnocení a evidence primárních aktiv 1. | určení a evidence jednotlivých primárních aktiv včetně určení jejich garanta, | 2. | hodnocení důležitosti primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti. |
| b) | Identifikace, hodnocení a evidence podpůrných aktiv 1. | určení a evidence jednotlivých podpůrných aktiv včetně určení jejich garanta, | 2. | určení vazeb mezi primárními a podpůrnými aktivy. |
| c) | Pravidla ochrany jednotlivých úrovní aktiv 1. | způsoby rozlišování jednotlivých úrovní aktiv, | 2. | pravidla pro manipulaci a evidenci aktiv podle úrovní aktiv, | 3. | přípustné způsoby používání aktiv. |
| d) | Způsoby spolehlivého mazání nebo ničení technických nosičů dat, informací, provozních údajů a jejich kopií. |
|
1.3. | Politika organizační bezpečnosti a) | Určení bezpečnostních rolí a jejich práv a povinností. | b) | Požadavky na oddělení výkonu činností jednotlivých bezpečnostních rolí. | c) | Požadavky na oddělení výkonu bezpečnostních a provozních rolí. |
|
1.4. | Politika řízení dodavatelů a) | Pravidla a principy pro výběr dodavatelů. | b) | Pravidla pro hodnocení rizik souvisejících s dodavateli. | c) | Náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti. | d) | Pravidla pro provádění kontroly zavedení bezpečnostních opatření. | e) | Pravidla pro hodnocení dodavatelů. |
|
1.5 | Politika bezpečnosti lidských zdrojů a) | Pravidla rozvoje bezpečnostního povědomí a způsoby jeho hodnocení 1. | způsoby a formy poučení uživatelů, | 2. | způsoby a formy poučení garantů aktiv, | 3. | způsoby a formy poučení administrátorů, | 4. | způsoby a formy poučení osob zastávajících bezpečnostní role. |
| b) | Bezpečnostní školení nových zaměstnanců. | c) | Pravidla pro řešení případů porušení bezpečnostní politiky systému řízení bezpečnosti informací. | d) | Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice 1. | vrácení svěřených aktiv a odebrání práv při ukončení pracovního vztahu, | 2. | změna přístupových oprávnění při změně pracovní pozice. |
|
|
1.6 | Politika řízení provozu a komunikací a) | Pravomoci a odpovědnosti spojené s bezpečným provozem. | b) | Postupy bezpečného provozu. | c) | Požadavky a standardy bezpečného provozu. | d) | Pravidla a omezení pro provádění auditů kybernetické bezpečnosti a bezpečnostních testů. |
|
1.7. | Politika řízení přístupu a) | Princip minimálních oprávnění/potřeba znát (need to know). | b) | Požadavky na řízení přístupu. | c) | Životní cyklus řízení přístupu. | d) | Řízení privilegovaných oprávnění. | e) | Řízení přístupu pro mimořádné situace. | f) | Pravidelné přezkoumání přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách. |
|
1.8. | Politika bezpečného chování uživatelů a) | Pravidla pro bezpečné nakládání s aktivy. | b) | Bezpečné použití přístupového hesla. | c) | Bezpečné použití elektronické pošty a přístupu na internet. | d) | Bezpečný vzdálený přístup. | e) | Bezpečné chování na sociálních sítích. | f) | Bezpečnost ve vztahu k mobilním zařízením. |
|
1.9. | Politika zálohování a obnovy a dlouhodobého ukládání a) | Požadavky na zálohování a obnovu. | b) | Pravidla a postupy zálohování. | c) | Pravidla a postupy dlouhodobého ukládání. | d) | Pravidla bezpečného zálohování a dlouhodobého ukládání informací. | e) | Pravidla a postupy obnovy. | f) | Pravidla a postupy testování zálohování a obnovy. |
|
1.10. | Politika bezpečného předávání a výměny informací a) | Pravidla a postupy pro ochranu předávaných informací. | b) | Způsoby ochrany elektronické výměny informací. | c) | Pravidla pro využívání kryptografické ochrany. |
|
1.11. | Politika řízení technických zranitelností a) | Pravidla pro omezení instalace programového vybavení. | b) | Pravidla a postupy vyhledávání opravných programových balíčků. | c) | Pravidla a postupy testování oprav programového vybavení. | d) | Pravidla a postupy nasazení oprav programového vybavení. |
|
1.12. | Politika bezpečného používání mobilních zařízení a) | Pravidla a postupy pro bezpečné používání mobilních zařízení. | b) | Pravidla a postupy pro zajištění bezpečnosti zařízení, která povinná osoba nemá ve své správě. |
|
1.13. | Politika akvizice, vývoje a údržby a) | Bezpečnostní požadavky pro akvizici, vývoj a údržbu. | b) | Řízení zranitelností. | c) | Politika poskytování a nabývání licencí programového vybavení a informací 1. | pravidla a postupy nasazení programového vybavení a jeho evidence, | 2. | pravidla a postupy pro kontrolu dodržování licenčních podmínek. |
|
|
1.14. | Politika ochrany osobních údajů a) | Charakteristika zpracovávaných osobních údajů. | b) | Popis přijatých a provedených organizačních opatření pro ochranu osobních údajů. | c) | Popis přijatých a provedených technických opatření pro ochranu osobních údajů. |
|
1.15. | Politika fyzické bezpečnosti a) | Pravidla pro ochranu objektů. | b) | Pravidla pro kontrolu vstupu osob. | c) | Pravidla pro ochranu zařízení. | d) | Detekce narušení fyzické bezpečnosti. |
|
1.16. | Politika bezpečnosti komunikační sítě a) | Pravidla a postupy pro zajištění bezpečnosti sítě. | b) | Určení práv a povinností za bezpečný provoz sítě. | c) | Pravidla a postupy pro řízení přístupů v rámci sítě. | d) | Pravidla a postupy pro ochranu vzdáleného přístupu k síti. | e) | Pravidla a postupy pro monitorování sítě a vyhodnocování provozních záznamů. |
|
1.17. | Politika ochrany před škodlivým kódem a) | Pravidla a postupy pro ochranu síťové komunikace. | b) | Pravidla a postupy pro ochranu serverů a sdílených datových úložišť. | c) | Pravidla a postupy pro ochranu pracovních stanic. |
|
1.18. | Politika nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí a) | Pravidla a postupy nasazení nástroje pro detekci kybernetických bezpečnostních událostí. | b) | Provozní postupy pro vyhodnocování a reagování na detekované kybernetické bezpečnostní události. | c) | Pravidla a postupy pro optimalizaci nastavení nástroje pro detekci kybernetických bezpečnostních událostí. |
|
1.19. | Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí a) | Pravidla a postupy pro evidenci a vyhodnocení kybernetických bezpečnostních událostí. | b) | Pravidla a postupy pravidelné aktualizace pravidel pro vyhodnocení kybernetických bezpečnostních událostí. | c) | Pravidla a postupy pro optimální nastavení bezpečnostních vlastností nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí. |
|
1.20. | Politika bezpečného používání kryptografické ochrany a) | Úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu. | b) | Pravidla kryptografické ochrany informací 1. | při přenosu po komunikačních sítích, | 2. | při uložení na mobilní zařízení nebo vyměnitelný technický nosič dat. |
| c) | Systém správy klíčů. |
|
1.21. | Politika řízení změn a) | Způsob a principy řízení významných změn v rámci povinné osoby, jejich procesech, informačních a komunikačních systémech. | b) | Přezkoumávání dopadů významných změn. | c) | Způsob vedení evidence a testování významných změn. |
|
1.22. | Politika zvládání kybernetických bezpečnostních incidentů a) | Definování kategorií kybernetického bezpečnostního incidentu. | b) | Pravidla a postupy pro identifikaci, evidenci a zvládání jednotlivých kategorií kybernetických bezpečnostních incidentů. | c) | Pravidla a postupy testování systému zvládání kybernetických bezpečnostních incidentů. | d) | Pravidla a postupy pro vyhodnocení kybernetických bezpečnostních incidentů a pro zlepšování kybernetické bezpečnosti. | e) | Evidence incidentů. |
|
1.23. | Politika řízení kontinuity činností a) | Práva a povinnosti zúčastněných osob. | b) | Cíle řízení kontinuity činností 1. | minimální úroveň poskytovaných služeb, | 2. | doba obnovení chodu, | 3. | bod obnovení dat. |
| c) | Politika řízení kontinuity činností pro naplnění cílů kontinuity. | d) | Způsoby hodnocení dopadů kybernetických bezpečnostních incidentů na kontinuitu a posuzování souvisejících rizik. | e) | Určení a obsah potřebných plánů kontinuity a havarijních plánů. | f) | Postupy pro realizaci opatření vydaných Úřadem. |
|