BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Podobné dokumenty
BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Bezpečnostní politika informací v ČSSZ

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Bezpečnostní politika společnosti synlab czech s.r.o.

Organizační opatření, řízení přístupu k informacím

srpen 2008 Ing. Jan Káda

Politika bezpečnosti informací

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Zákon o kybernetické bezpečnosti

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Bezpečností politiky a pravidla

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Politika bezpečnosti informací

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Politika ochrany osobních údajů

Bezpečnostní politika společnosti synlab czech s.r.o.

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

VNITŘNÍ SMĚRNICE O FINANČNÍ KONTROLE. pro interní potřeby města Miletín

Nakládání s osobními údaji

provoz páteřové sítě fakulty a její připojení k Pražské akademické síti připojení lokálních sítí k páteřové síti fakulty či k Pražské akademické síti

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ORGANIZAČNÍ ŘÁD ŠKOLY

MĚSTO HORNÍ SLAVKOV TAJEMNÍK MĚSTSKÉHO ÚŘADU ORGANIZAČNÍ ŘÁD MĚSTSKÉHO ÚŘADU HORNÍ SLAVKOV. zaměstnanci města zařazení do městského úřadu

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Obecné nařízení o ochraně osobních údajů

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Bezpečnostní politika informací SMK

Podmínky ochrany osobních údajů

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Bezepečnost IS v organizaci

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Směrnice rektora č. 3 / Organizační řád Univerzitní knihovny Technické univerzity v Liberci

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Platná od Bezpečnostní politika. Deklarace

Organizační řád školy

Bezpečnostní politika

Ochrana osobních údajů Informace o zpracování a ochraně osobních údajů SLÚ AV ČR, v. v. i.

Implementace systému ISMS

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Organizační řád školy

PŘÍKAZ REKTORA Č. 111 BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE. Verze 2.0

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

Ochrana osobních údajů

E.ON Distribuce, a.s. Zpráva o plnění programu opatření v roce 2006

Ochrana osobních údajů

Název organizace: SOŠ dopravy a cestovního ruchu v Krnově, p. o. Datum účinnosti: Verze: 1

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

1. Všeobecná ustanovení. a) Úvodní ustanovení

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

PREdistribuce, a.s. Zpráva o plnění Programu opatření v roce 2009

Směrnice o ochraně osobních údajů

1. Politika integrovaného systému řízení

Organizační řád Městského úřadu v Lanžhotě

Organizační řád obce Nový Jáchymov

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Informace o zpracování osobních údajů

Zásady zpracování a ochrany osobních údajů společností Mediclinic a.s. v oblasti poskytování pracovnělékařských, posudkových a souvisejících služeb

OBECNÍ ÚŘAD Dolní Krupá

SMĚRNICE TECHNICKÉHO MUZEA V BRNĚ PRO OCHRANU OSOBNÍCH ÚDAJŮ

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Bezpečnostní politika a dokumentace

VNITŘNÍ PŘEDPIS SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

ZŠ a MŠ Pozděchov, okres Vsetín

Bezpečnostní politika IS. Městská část Praha Kunratice

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

I. ÚVODNÍ USTANOVENÍ. Čl. 1 Předmět úpravy

Modul 2 - Koncepční a legislativní rámec pro oblast krizového řízení ve zdravotnictví

Zákon o kybernetické bezpečnosti

Prohlášení o ochraně osobních údajů

Pravidla užívání počítačové sítě VŠB-TU Ostrava

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Dotazník pro sebehodnocení a šablona pro plánování Global Network

SMĚRNICE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ. Směrnice o zpracování osobních údajů

ELEKTROWIN a. s. Politika společnosti. Interní materiál spol. ELEKTROWIN a.s.

OBECNÍ ÚŘAD Bříza. I. Úvodní ustanovení Finanční kontrola je součástí finančního řízení zabezpečující hospodaření s veřejnými prostředky.

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

GDPR - příklad z praxe

GDPR. Prohlášení o zpracování osobních údajů fyzických osob podle nařízení Evropského parlamentu a Rady(EU) číslo 2016/679. Str. 1

Návrh VYHLÁŠKA. ze dne 2014

INFORMACE O PRÁVECH A POVINNOSTECH V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

BEZPEČNOSTI INFORMACÍ

STANOVENÍ RIZIKOVÝCH OBLASTÍ

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Mateřská škola Kladno, Švýcarská Kladno, Švýcarská 2520

1 / 10. Program opatření 2005 E.ON Distribuce, a.s. Brno,

Interní směrnice velitele Městské policie Břeclav č. 1/2019 Pravidla používání nosičů záznamů

E.ON Distribuce, a.s. Zpráva o plnění programu opatření v roce 2007

Transkript:

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI Název organizace Identifikační číslo 60153351 Sídlo organizace Datum zpracování 18. 5. 2018 Platnost a účinnost 25. 5. 2015 ZÁKLADNÍ ŠKOLA A PRAKTICKÁ ŠKOLA, DVŮR KRÁLOVÉ NAD LABEM PŘEMYSLOVA 479, 54401 DVŮR KRÁLOVÉ NAD LABEM Odpovědná osoba MGR. EVA HYNKOVÁ

OBSAH 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace a řízení informačních aktiv... 4 5. Personální bezpečnost... 4 6. Fyzická bezpečnost a bezpečnost prostředí... 5 7. Řízení bezpečnosti komunikací a provozu... 5 8. Řízení přístupu... 5 9. Vývoj a údržba systémů... 6 10. Řízení kontinuity činností... 6 11. Soulad s požadavky... 6 12. Regulatorní, legislativní a smluvní požadavky na bezpečnost informací... 7 13. Kritéria hodnocení rizik... 7 14. Stanovení obecných a specifických odpovědností pro osobní údaje... 7 15. Závěrečná ustanovení... 7

1. ÚVODNÍ USTANOVENÍ Vedení Organizace vyhlašuje zásady bezpečnosti informací. Tato politika je závazná pro všechny zaměstnance Organizace, a také spolupracující organizace. K zajištění bezpečnosti informací a podpory bezpečnosti informací v Organizaci se touto politikou: a) popisuje a vysvětluje bezpečnost informací; b) stanovují bezpečnostní cíle; c) stanovuje rozsah a důležitost bezpečnosti informací; d) uvádí stručný výklad základních bezpečnostních zásad; e) stanovují kritéria, kterými bude hodnoceno riziko, a definuje struktura hodnocení rizik. Bezpečnost informací je charakterizována jako zachování důvěrnosti, integrity a dostupnosti informací. a) důvěrnost je zajištění toho, že informace je přístupná jen těm, kteří jsou oprávněni k ní mít přístup b) integrita je zabezpečení přesnosti a kompletnosti informací a metod jejich zpracování c) dostupnost je zajištění toho, že jsou informace uživatelům přístupná v době, kdy je potřebují. Bezpečnostním cílem spojeným s bezpečností informací v Organizaci je zajištění dostupnosti informačních aktiv jen oprávněným osobám, správnosti a kompletnosti informací, důvěrnosti a bezpečnosti jejich zpracování a ochrany informací proti náhodnému nebo neoprávněnému zničení nebo náhodné ztrátě, proti neoprávněnému přístupu, změnám nebo šíření, a to v souladu se zákony a jinými právními předpisy ČR. Bezpečnost informací pokrývá celou strukturu Organizace ve všech lokalitách a spolupracující organizace, které přichází do styku se zabezpečenými informacemi spravovaných Organizací. Bezpečnost informací pokrývá všechna důležitá informační aktiva Organizace. Tato politika podléhá pravidelné revizi v intervalu jeden krát ročně. Za revizi dokumentu bezpečnostní politiky informací odpovídá statutární zástupce Organizace. Záměrem Organizace je udržovat přiměřenou ochranu informačních aktiv v souladu se zákony a jinými právními předpisy ČR, a to i v případech, kdy byla odpovědnost za zpracování informací přenesena na spolupracující organizace. 2. CÍLE A ZÁSADY BEZPEČNOSTI INFORMACÍ Zaměstnanci Organizace v rámci dodržování bezpečnosti informací zajišťují: a) ochranu práv a svobod jednotlivců, zejména právo na soukromí uznané v článku 7 Úmluvy o ochraně lidských práv a základních svobod, usnesení předsednictva ČNR č. 2/1993 Sb., o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky; b) ochranu osobních údajů a citlivých údajů podle zvláštního zákona; c) ochranu obchodního tajemství podle zvláštního právního předpisu a obsahu smluv obchodně závazkových vztahů, pokud se k tomu společnosti ČEZ ES v uzavřené smlouvě zavázala; d) ochranu listovního tajemství atd.

Vedení Organizace podporuje stanovené cíle bezpečnosti informací. Vedení Organizace vyjadřuje touto bezpečnostní politikou informací svoji strategii trvalého zajišťování bezpečnosti informací jako nedílné součásti řídících procesů Organizace. 3. ORGANIZACE BEZPEČNOSTI Záměrem Organizace je, řídit bezpečnost informací a koordinovat implementaci bezpečnostních opatření dle stanovené působnosti a odpovědnosti vedoucích zaměstnanců a zlepšit řízení a koordinaci bezpečnosti informací v organizaci. Povinnosti spojené s řízením bezpečnosti informací v Organizaci vykonává statutární zástupce organizace nebo pověřený pracovník, a to ve spolupráci s Pověřencem pro ochranu osobních údajů, který přezkoumává a sleduje bezpečnostní incidenty, sleduje významné změny zranitelnosti informačních aktiv Organizace a schvaluje hlavní kroky vedoucí ke zvýšení bezpečnosti informací. Provádění bezpečnostní politiky zajišťují všichni vedoucí zaměstnanci Organizace dle stanovené působnosti a odpovědnosti. 4. KLASIFIKACE A ŘÍZENÍ INFORMAČNÍCH AKTIV Účelem klasifikace a řízení informačních aktiv je udržovat přiměřenou ochranu informačních aktiv. V rámci Organizace je zavedena a udržována evidence osobních údajů, u nichž je minimálně určena, identifikace osobního údaje, jeho zdroj, kategorie, subjekt údajů, účel zpracování, operace zpracování a jednoznačně stanoveny osoby pověřené k nakládání s těmito osobními údaji v souladu s platnými předpisy. Osobní údaje v Organizaci musí být katalogizovány tak, aby byl přesně stanoven účel jejich zpracování, zákonnost a kategorie. Kategorizaci stanoví statutární zástupce Organizace, nebo Pověřenec pro ochranu osobních údajů, popřípadě pověření pracovníci, kteří odpovídají za periodické přezkoumávání této klasifikace a její aktualizaci. Kategorizace určuje způsob zacházení s informacemi s ohledem na jejich ochranu a citlivost. 5. PERSONÁLNÍ BEZPEČNOST Účelem personální bezpečnosti je snížení rizika lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace. Bezpečnostním cílem je zajištění vhodných postupů v rámci přijímacího řízení; dále je cílem zajistit povědomí zaměstnanců o bezpečnosti informací. Posuzování uchazečů o zaměstnání z hlediska personální bezpečnosti je součástí výkonu personálních činností dle Pracovního řádu a v souladu s obsahem pracovněprávních dokumentů v personálních šablonách. Zaměstnanci podepisují prohlášení o mlčenlivosti formou závazku zaměstnance ve smyslu zákonem uložené povinnosti. Zaměstnanci Organizace jsou povinni zachovávat mlčenlivost o skutečnostech, se kterými se seznámili při plnění pracovních úkolů nebo v přímé souvislosti s nimi a tato povinnost trvá i po skončení pracovního vztahu, pokud zvláštní právní předpis nestanoví jinak. Seznámení zaměstnanců s bezpečnostní politikou je součástí vstupního školení a dalších periodických školení. Zaměstnanci musí znát postupy hlášení bezpečnostních incidentů. Nedodržení bezpečnostních zásad může být kvalifikováno jako porušení povinností zaměstnance příp. porušení pracovní kázně s příslušnými důsledky pro zaměstnance, ve smyslu zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů, pokud se nejedná o přestupek podle 44 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů nebo trestný čin podle 178 zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů. Šetření závažných bezpečnostních incidentů provádí statutární zástupce Organizace ve spolupráci s Pověřencem pro ochranu osobních údajů, včetně zpracování protokolů o bezpečnostních incidentech, jejich evidence a předložení dozorovému úřadu na jeho vyzvání.

6. FYZICKÁ BEZPEČNOST A BEZPEČNOST PROSTŘEDÍ Účelem fyzické bezpečnosti a bezpečnosti prostředí je předcházet neoprávněnému a neautorizovanému přístupu k informacím, poškození a narušení informací. Bezpečnostním cílem je zajištění fyzické ochrany informací a prostředí, ve kterém se informace nacházejí: a) vymezením a využíváním zabezpečených oblastí, zahrnujících kontrolu vstupu a upřesněním způsobu práce osob v těchto oblastech, zabezpečením kanceláří, místností a zařízení, ochranou proti hrozbám působícím z vnějšího prostředí, zejména tam, kde se informace nacházejí, zpracovávají a uchovávají; b) zabezpečením zařízení proti odcizení a zničení, poškození, zahrnujícím bezpečné umístění zařízení, zajištěním podpůrných služeb pro provoz zařízení (dodávky energie, klimatizace atd.), zabezpečením kabeláže a zajištěním pravidelné a bezpečné údržby zařízení; c) zajištěním bezpečnosti informací mimo objekty Organizace. Stanovení režimu vstupu a výstupu osob včetně zajištění zabezpečených oblastí a definování fyzického bezpečnostního perimetru je v Organizaci stanoveno samostatnou směrnicí pro řízení přístupů a dokumentací související s pověřením osob. Zajištění požární bezpečnosti podle zákonů a jiných právních předpisů v Organizaci je upraveno zvláštní vnitřní organizační směrnicí. Vstup do budov Organizace oprávněným orgánům ke zdolání požáru nebo k provedení jiných záchranných prací dle rozhodnutí velitele zásahu stanovuje dokumentace zdolávání požáru a navazující dokumentace požární ochrany Organizace. Uplatnění zásad čistého stolu a čisté obrazovky spadá do kompetence vedoucích zaměstnanců Organizace. 7. ŘÍZENÍ BEZPEČNOSTI KOMUNIKACÍ A PROVOZU Účelem řízení bezpečnosti komunikací a provozu je zajistit správný a bezpečný provoz prostředků pro zpracování informací, minimalizovat riziko selhání systému, chránit integritu a dostupnost programů, dat a informačních systémů, chránit důvěrnost informací a zajistit ochranu počítačových sítí. Bezpečnostním cílem je zajištění ochrany informací prostřednictvím: a) ochrany proti škodlivým a automaticky spouštěným programům; b) zálohování, tak aby byla zajištěna obnova dat a systémů ve vazbě na zachování základních funkcí Organizace; c) zpracování postupů obnovy po selhání nebo výpadku systému pro zpracování a uchování informací; d) správy bezpečnosti počítačových sítí; e) zajištění dostupnosti informací a služeb; f) zajištění důvěrnosti informací při jejich přenosu pomocí kryptografické ochrany; g) ochrany před neautorizovanými zásahy dodržováním principu oddělení povinnosti a odpovědnosti při přidělování uživatelských práv; h) monitorování provozu a zaznamenávání událostí; i) opatření pro zajištění bezpečnosti elektronické pošty; j) dodržování bezpečnosti při zacházení s paměťovými médii. 8. ŘÍZENÍ PŘÍSTUPU Účelem řízení přístupu k informacím a prostředkům informačních systémů Organizace je zajistit, aby k nim měli přístup pouze oprávnění uživatelé. Pro přístup k těmto prostředkům jsou stanovena pravidla, která určují postupy pro autorizaci, zřizování, změny a odebírání přístupových práv. Bezpečnostním cílem je zajištění řízení přístupu realizací opatření v následujících oblastech: a) správa přístupu uživatelů a odpovědnost uživatelů systém správy přístupu zajistí definovaný postup přidělování, změny a odebírání přístupu, správu hesel a kontrolu přístupových práv. Řízení přístupu k síti,

operačním systémům, aplikacím a informacím systém správy přístupu zajistí definované postupy řízení přístupu uživatelům ke zmíněným prostředkům informačního systému b) mobilní výpočetní prostředky a práce na dálku zvláštní pozornost musí být věnována mobilním výpočetním prostředkům a prostředkům umožňujícím práci na dálku, aby bylo zabráněno jejich zneužití. 9. VÝVOJ A ÚDRŽBA SYSTÉMŮ Účelem je prosadit bezpečnost informací do celého životního cyklu provozovaných informačních systémů od fáze návrhu, vývoje, testování až po vlastní provoz a údržbu. Implementace a změny informačních systémů Organizace jsou spojeny se stanovením vhodných bezpečnostních požadavků. Bezpečnostním cílem je zajištění ochrany prostřednictvím opatření v následujících oblastech: a) analýza a specifikace bezpečnostních požadavků určení bezpečnostních požadavků v klíčových fázích životního cyklu informačního systému zajistí, aby bezpečnost byla nedílnou součástí informačních systémů b) zajištění přesnosti a spolehlivosti zpracování dat v aplikacích a kryptografická opatření validace a kontrola dat má spolu s kryptografickými opatřeními za cíl předcházet ztrátě, neoprávněné modifikaci nebo zneužití dat v aplikacích; c) bezpečnost systémových souborů a procesu vývoje a podpory je nutné zabezpečit systémové soubory a zdrojový kód a kontrolovat postupy vývoje a podpory, včetně formalizovaného postupu řízení změn; d) správa zranitelností je nutné vhodnými opatřeními omezit rizika vyplývající ze zneužití publikovaných zranitelností. Vývoj a údržba informačních systémů v rozsahu infrastruktury Organizace a uživatelsky vyvinutých aplikací je podle stanovené působnosti zajišťována dodavateli jednotlivých systémů včetně zajišťování implementace bezpečnostní politiky v oblasti procesů IT. 10. ŘÍZENÍ KONTINUITY ČINNOSTÍ Záměrem vedení Organizace je zajistit připravenost Organizace k řešení krizových situací a zachování základních funkcí v rozsahu fungování kritické infrastruktury. Bezpečnostním cílem je zajištění přípravy, proškolení a připravenosti určených zaměstnanců Organizace po odborné stránce k výkonu činností spojených s řešením krizových situací, ochranou zdraví a života zaměstnanců a ochranou majetku. Do kompetence Organizace spadá: a) přechod na krizové řízení v případě vzniku bezpečnostního incidentu; b) přijetí preventivních opatření k zachování základních funkcí. 11. SOULAD S POŽADAVKY Pro zabezpečení informací Organizace jsou jednoznačně definovány a zdokumentovány všechny relevantní zákonné a smluvní požadavky. V rámci Organizace musí být veden přehled platných právních norem a předpisů vztahujících se k problematice bezpečnosti informací. Organizace dodržuje ustanovení o autorském právu a podmínky licenčních ujednání dodavatelů programového vybavení. K posouzení shody bezpečnostní politiky informací v Organizaci a navazujících předpisů se skutečným stavem bezpečnosti informací a k zajištění souladu informačního systému Organizace s příslušnými technickými normami je prováděno posouzení shody. Organizace přijímá a provádí opatření k zajištění ochrany osobních údajů a citlivých údajů v souladu se zákony a jinými právními předpisy.

12. REGULATORNÍ, LEGISLATIVNÍ A SMLUVNÍ POŽADAVKY NA BEZPEČNOST INFORMACÍ Zajištění bezpečnosti informací Organizace se realizuje v souladu s regulatorními, legislativními a smluvními požadavky zákonů a jiných právních předpisů s důrazem na povinnosti při ochraně informací. Vyjádřené specifické bezpečnostní požadavky Organizace zpřesňují výběr opatření ke snížení rizika na přijatelnou úroveň s ohledem na jejich implementaci v Organizaci. 13. KRITÉRIA HODNOCENÍ RIZIK Bezpečnostní opatření jsou vybrána na základě prováděného hodnocení rizik v Organizaci s přihlédnutím k citlivosti osobních údajů. Hodnocení rizik je prováděno na základě následujících kritérií: a) stanovení citlivosti osobních údajů z hlediska požadavků na jejich dostupnost, důvěrnost a integritu; b) určení možných dopadů identifikovaných hrozeb, reálné pravděpodobnosti jejich uskutečnění a určení úrovně rizik pro osobní údaje; c) určení akceptovatelné úrovně rizika pro osobní údaje ve správě Organizace. 14. STANOVENÍ OBECNÝCH A SPECIFICKÝCH ODPOVĚDNOSTÍ PRO OSOBNÍ ÚDAJE Obecné odpovědnosti pro oblast bezpečnosti informací vyplývají pro zaměstnance Organizace ze směrnic EU, zákonů a jiných právních předpisů ČR. Specifické odpovědnosti pro oblast bezpečnosti informací v Organizaci vyplývají pro zaměstnance Organizace zejména z vnitřních organizačních směrnic, povinností uložených nadřízenými vedoucími zaměstnanci a dle pracovního zařazení. Bezpečnostní politiku informací jsou povinni dodržovat všichni zaměstnanci Organizace; její plnění kontrolují vedoucí zaměstnanci Organizace v rozsahu stanovené působnosti a odpovědnosti. Kontrolní činnost v oblasti bezpečnosti informací metodicky usměrňuje statutární zástupce Organizace. 15. ZÁVĚREČNÁ USTANOVENÍ Tato politika nabývá účinnosti dnem 25. 5. 2018

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář