§ 9 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Bezpečnost lidských zdrojů
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 9 · IT právo a ochrana dat
Stručně: Paragraf 9 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti orgánů a osob v oblasti řízení bezpečnosti lidských zdrojů, zejména co se týče školení, kontroly dodržování bezpečnostní politiky a správy přístupových oprávnění.
§ 9 Bezpečnost lidských zdrojů
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení bezpečnosti lidských zdrojů
a) stanoví plán rozvoje bezpečnostního povědomí, který obsahuje formu, obsah a rozsah potřebných školení a určí osoby provádějící realizaci jednotlivých činností, které jsou v plánu uvedeny,
b) v souladu s plánem rozvoje bezpečnostního povědomí zajistí poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení,
c) zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role a
d) zajistí vrácení svěřených aktiv a odebrání přístupových oprávnění při ukončení smluvního vztahu s uživateli, administrátory nebo osobami zastávajícími bezpečnostní role.
(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona vede o školení podle odstavce 1 přehledy, které obsahují předmět školení a seznam osob, které školení absolvovaly.
(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) stanoví pravidla pro určení osob, které budou zastávat bezpečnostní role, role administrátorů nebo uživatelů,
b) hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených školení a dalších činností spojených s prohlubováním bezpečnostního povědomí,
c) určí pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role a
d) zajistí změnu přístupových oprávnění při změně postavení uživatelů, administrátorů nebo osob zastávajících bezpečnostní role.
Paragraf 9 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti orgánů a osob v oblasti řízení bezpečnosti lidských zdrojů, zejména co se týče školení, kontroly dodržování bezpečnostní politiky a správy přístupových oprávnění.
Co to znamená v praxi
Orgány a osoby musí vytvořit plán rozvoje bezpečnostního povědomí, který určí, jak, co a v jakém rozsahu se bude školit v oblasti kybernetické bezpečnosti.
Je nutné zajistit vstupní a pravidelná školení pro uživatele, administrátory a osoby v bezpečnostních rolích, aby byli poučeni o svých povinnostech a bezpečnostní politice.
Po ukončení pracovního nebo smluvního vztahu je nezbytné zajistit vrácení svěřených aktiv a okamžité odebrání všech přístupových oprávnění.
Orgány a osoby musí vést záznamy o všech provedených školeních, včetně jejich předmětu a seznamu účastníků.
Na co si dát pozor
Je třeba pravidelně hodnotit účinnost plánu rozvoje bezpečnostního povědomí a provedených školení, aby se zajistila jejich relevantnost a efektivita.
Musí být stanovena jasná pravidla a postupy pro řešení případů, kdy dojde k porušení bezpečnostních pravidel ze strany zaměstnanců.
Při změně postavení uživatelů, administrátorů nebo osob v bezpečnostních rolích je nutné zajistit okamžitou změnu jejich přístupových oprávnění.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.