Kdo patří do Výboru kybernetické bezpečnosti?
Firmy, úřady a instituce, na něž se vztahuje zákon o kybernetické bezpečnosti, musí mít vytvořený Výbor kybernetické bezpečnosti, který zodpovídá za strategické směřování organizace v této oblasti.
Ustanovit tento výbor doporučujeme i středním a větším organizacím, na které se povinnosti zákona prozatím nevztahují.
Jací lidé se budou na činnosti Výboru kybernetické bezpečnosti podílet? A co patří mezi jeho hlavní úkoly?
Členové
Vyhláška o kybernetické bezpečnosti předepisuje pouze dva povinné členy.
- Prvním je člen vedení nebo jeho pověřený zástupce.
- Druhým pak manažer kybernetické bezpečnosti.
Díky tomu může výbor schválit či naopak zamítnout některá opatření vzhledem k jejich finanční náročnosti.
Nezastupitelné místo ve výboru patří vedoucímu ICT oddělení.
Oproti manažerovi kybernetické bezpečnosti se jedná o více technickou pozici.
Ředitelé ICT oddělení pomáhají manažerům kybez aplikovat schválená opatření do praxe organizace.
Z podobných důvodů musí být ve výboru i architekt kybernetické bezpečnosti, který navrhuje a zdůvodňuje jaká opatření doporučuje zavést.
Pokud máte v organizaci právní oddělení a personální oddělení, měli by jejich šéfové také působit ve výboru.
Důležité změny se mohou dotknout i jejich oblastí. V neposlední řadě nezapomeňte na zástupce poboček. Rozhodnutí centrály se musí vždy dostat až na tu nejnižší úroveň.
Doporučené složení Výboru kybernetické bezpečnosti:
- Zástupce vrcholového vedení *
- Manažer kybernetické bezpečnosti
- Architekt kybernetické bezpečnosti
- Finanční ředitel (CFO)
- Vedoucí ICT
- Vedoucí personálního oddělení (HR)
- Vedoucí právního oddělení
- Zástupci poboček
*Manažer kybernetické bezpečnosti i další osoby ve výboru jsou při dodržení dobré praxe členy nejvyššího vedení organizace. V této souvislosti znamená “Zástupce vrcholového vedení” něco jako člen představenstva, člen dozorčí rady nebo zástupce majitele.
Poslání
Výbor odpovídá se celkové řízení kybernetické bezpečnosti v organizace. Vytyčuje strategické cíle a sleduje jejich plnění.
Na svých setkání se členové výboru seznamují se nejzávažnějšími riziky, zranitelnostmi organizace. Domlouvají si, jaká opatření zvolit, stanovují termíny a způsoby jejich zavedení. Kontroluje se jejich účinnost.
Výbor kybernetické bezpečnosti by se měl scházet nejméně každé tři měsíce. V případě, že vypukne mimořádná bezpečnostní událost či incident, měl by zasednout okamžitě a plnit roli krizového štábu (či mu být alespoň nápomocen).
Ze zasedání výboru se pořizují závazné zápisy.
Pro ulehčení práce výboru a celkově řízení kybernetické bezpečnosti doporučujeme vyzkoušet nástroj CSA od firmy Gordic.
V aplikaci lze vytvářet plány zvládání rizik i plán kontinuity, a monitorovat tak plnění stanovených úkolů.
Nástroj CSA usnadní práci manažerům kybernetické bezpečnosti, vedoucím ICT a dalším členům výboru.
Pokud má vaše organizace více než 50 zaměstnanců, pak doporučujeme výbor kybernetické bezpečnosti ustanovit.
I když třeba nebudete muset zavádět často nová opatření, určitě se vám vyplatí vždy zhodnotit současný stav ICT bezpečnosti organizace a možnosti, jak jej zlepšit.
Zdroj: