Poslat e-mailem

Zpráva byla odeslána. Děkujeme za Váš zájem.
Poslat další.
Kontakt:
E-mail příjemce:   
Text zprávy:

Školení

 

V závěrečném díle našeho seriálu o ISMS si povíme něco málo tom, proč uživatele IT školit, jaká forma školení je vhodná a také v jakých časových intervalech školení provádět.

Proč uživatele školit?

Na tuto otázku je celá řada odpovědí. Povinnost pravidelného školení vyplývá přímo z normy, která nařizuje pravidelné opakování školení (v případě, že je ISMS ve společnosti certifikován) v bodě 8.2.2. Opatření přímo říká: „Všichni zaměstnanci organizace, a je-li to důležité i pracovníci smluvních a třetích stran musí, s ohledem na svou pracovní náplň absolvovat odpovídající a pravidelně se opakující školení v oblasti bezpečnosti informací, bezpečnostní politiky organizace  jejich směrnic." Tolik norma. Co v případě, že organizace má ISMS pravidla implementována, ale není certifikována? Opět jednoduchá odpověď. I když vlastně organizaci nic nenutí provádět pravidelná školení, je jasné, že pokud nejsou dodržována tato základní pravidla, není celý systém řízení bezpečnosti informací vůbec funkční.

Otřepané pravidlo říká, že jedině proškoleného uživatele je možno kontrolovat a vytýkat mu chyby. Samozřejmě správně poučený uživatel, znamená mnohem menší riziko pro Váš Informační systém. Podle různých statistik, patří bezpečnostním incidentům způsobených neznalostí uživatele, první příčky. Nejčastěji jsou to ukradené notebooky uložené v automobilech, otevření přílohy elektronické pošty s neznámým obsahem, případně instalace neschváleného SW (hry, aplikace) nebo hardware (fotoaparáty, flash disky, apod.).

Jak uživatele školit?

Většina organizací má dnes vytvořen systém pravidelného vzdělávání svých zaměstnanců. Některá školení jsou taxativně nařízena (ochrana zdraví při práci, referentské zkoušku řidičů automobilů apod.). Je-li v organizaci implementováno ISO 9001 - kvalita práce (dnes je skoro všude), je velmi snadné, přidat k pravidelným školením této normy i školení na bezpečnost informací.  

V předchozích dílech bylo popsáno, že jedním ze základních dokumentů ISMS jsou tzv. „Minimální bezpečnostní pravidla pro uživatele". Tedy základní návod, jak se má uživatel chovat při práci s výpočetní technikou a při práci s Informačními systémy. Veškerá základní školení by měla tedy logicky vycházet z tohoto dokumentu. Je vhodné dodržet při školení tyto základní body:

  • krátké vysvětlení co ISMS je a jaký je jeho přínos pro organizaci
  • ujasnění odborných pojmů (informační bezpečnost, aktivum, analýza rizik)
  • aktuální stav bezpečnostní politiky organizace
  • dokument „Minimální bezpečnostní pravidla pro uživatele"
  • zdůraznění změn oproti předchozímu školení
  • ověření znalostí uživatelů, například formou testu

Školení je vhodné rozvrhnout minimálně do dvou hodin. Doporučuje se forma názorných příkladů a případů bezpečnostních incidentů. Běžné uživatele IT není možné zahrnout technickými podrobnostmi. Taková školení jsou vhodná pro Administrátory, případně ostatní technický personál.

Tip: Několik dní po školení na bezpečnost informací proveďte namátkový interní audit. Uživatelé, kteří nenaplní požadavky auditorů, musí školení absolvovat znovu.

Nedoporučuje se masové školení v počtu desítek uživatelů. Vhodný počet je do 15 pracovníků. V takové situaci je možno věnovat se řešení různých individuálních problémů, případně se vrátit ke složitějším souvislostem.

Kdy uživatele školit?

Ti z Vás, kteří jste již četli ISMS normu odpověď znáte. Uživatelé by měli být proškoleni minimálně před vznikem pracovního poměru a v průběhu pracovního poměru.

Tip: Doporučuje se také provést individuální proškolení uživatele při ukončení pracovního poměru. Především z důvodu připomenutí závazku mlčenlivosti apod.

 

Před vznikem pracovního poměru je důležité, aby zaměstnanci a především pracovníci smluvních a třetích stran byli srozuměni se svými povinnostmi a právy. Bude-li mít pracovník například přístup ke klasifikovaným dokumentům, musí být proškolen i na tuto problematiku. Pracovníci jsou tak zároveň seznámeni s bezpečnostními pravidly a s odpovědností za jejich dodržování.

Tip: Při nástupu do zaměstnání jsou taxativně nařízena školení v oblasti BOZP apod. Je vhodné v rámci těchto školení provést i základní vhled do problematiky ISMS.

 

V průběhu pracovního poměru je vhodné provádět školení pravidelně. V prvním cyklu zavádění ISMS (první cyklus PDCA) se doporučuje školit nejméně jedenkrát za šest měsíců. Je-li systém bezpečnosti již zaveden a „usazen", lze přejít na roční cyklus.

Tip: Jsou-li všichni zaměstnanci proškoleni na základní bezpečnostní pravidla, je vhodné zavést pokročilá školení. Především pro administrátory a obslužný personál. Dále pak pro vysoce odborné uživatele - superuživatele.

Školení pro administrátory je vhodné pojmout technicky, zvláště v případě, kdy organizace využívá složité a sofistikované technologické komponenty. Speciální školení pro superuživatele je důležité, neboť velmi často mají nadstandardní přístup do informačních systémů a jejich omyl může mít pro organizaci fatální důsledky.

Jiná školení

Výše byla popsána standardní školení, která jsou plánována v časovém předstihu a pravidelně. Je-li však v mezidobí, mezi těmito pravidelnými školeními provedena zásadní změna v informačním systému, je nutné všechny uživatele upozornit a provést nové školení. Není třeba procházet celou náplň, ale soustředit se jen na nové funkčnosti systému a nová rizika z nich vyplývající.

 

 

 



Potřebujete poradit? Mám zájem… F.A.Q.

 

Bezpečnost - GiTy

Více o ocenění