Řízení aktivní bezpečnosti

Závěrečná fáze nasazování Bezpečnostní kostky v organizaci je založena především na vytvoření detailních řídících procesů a bezpečnostní dokumentace.

Jsou-li v organizaci implementovány prvky informační bezpečnosti, bývá pravidlem, že hardwarové a softwarové komponenty patří k prioritám činností. Při tom je však velmi často opomíjena minimálně stejně podstatná část implementace a to řídící a doplňková dokumentace informační bezpečnosti. Mezi její základní prvky patří:

• Analýza rizik
• Identifikace a ohodnocení aktiv
• Business Impact Analysis
• Recovery Planning
• Krizové plány
• Standardy pro uživatele a administrátory

Popis základních procesů z pohledu informační bezpečnosti v organizaci patří mezi podstatné prvky řízení. Procesy popisují, jak se které činnosti (postupy) mají realizovat.
Jedním procesem se například popisuje, jak se přidělují přístupová oprávnění do jednotlivých systémů a jaké se přidělují uživatelské role. Dalšími procesy může být postup pro přidělování výpočetní techniky uživatelům, provádění a ukládání zálohy definovaných systémů, atd.

Završením nasazení bezpečnostních pravidel v organizaci, může být certifikace organizace dle mezinárodních standardů:

• ISMS - ISO 27001 Information Security Management System - Systém řízení bezpečnosti informací
• ISO/IEC 20000 - Management služeb