Vytvorenie vhodnej organizačnej štruktúry pre KIB je ďalším stavebným blokom procesu zavádzania ISMS vo Vašej organizácii. Vytváranie bezpečnostných rolí, ich priradenie kvalifikovaným osobám, vymedzovanie povinností a úloh Vám umožňuje účinné a efektívne riadiť KIB.
Mimo prirodzenej súčasti zavádzania ISMS Vám povinnosť zaviesť organizačnú štruktúru ukladá ZoKB ¶20 odsek (3) písmeno a) v časti o bezpečnostných opatreniach a tiež ZoITVS ¶14 odsek (1) písmeno d) v časti plánovania a organizácie ITVS.
Počet definovaných rolí a ľudí zahrnutých do organizácie KIB je závislý od veľkosti Vašej organizácie. Pri väčších organizáciach je väčšia potreba koordinácie a širšia škála komplikácií spojených s KIB, ktoré treba komplexne a jednotne riešiť - toto všetko sa prejaví pri vytváraní organizačnej štruktúry KIB. Pri menších organizáciach je to menej komplikované a komunikácia medzi rolami je priamočiarejšia.
Jednoduchá odpoveď: nie. Zamestnancovi priradíte ďalšie roly, v ktorých bude vystupovať pri výkone svojho zamestnania. Napríklad, vo vedení organizácií potrebujete kontaktnú osobu, ktorej priradíte adekvátnu rolu alebo nejaký informatik bude zodpovedať za občasné monitorovanie podozrivých aktivít v logoch Vašeho systému. Tiež sa môže stať, že jednému zamestnancovi bude pridelených niekoľko rolí KIB. Treba však dbať na to, aby povinnosti vyplývajúce zo zaradenia do roly bolo bezproblémovo, resp. hladko prevedené - rozšírenie povinností, nie transformovanie povinností.
Zložitá odpoveď: možno. Kontrolné audity by mali byť vykonávané externými auditormi, nerátajúc vlastné interné audity. Podobne má zmysel si najať externého spolupracovníka, ak by ste potrebovali kvalifikovanú pomoc pri riadení a vykonávaní KIB.
Základná organizácia KIB je členená na tri zložky: riadiacu, výkonnú a kontrolnú zložku. K nim priradené role si rozvedieme hneď potom.
Riadiacu zložku predstavuje vedenie organizácie a v nej poverený garant KIB. Riadiaca zložka zabezpečuje prerokovanie a schvaľovanie dokumentov týkajúcich sa KIB - politika KIB, bezpečnostné opatrenia KIB. Sú jej predkladané výročné správy o stave KIB, výsledky auditov, analýzy rizík, správy o bezpečnostných incidentoch a iné. Pre riadiacu zložku slúžia tieto informácie ako podklad pre správne rozhodnutia pri prijímaní dokumentov, opatrení, menovaní zodpovedných ľudi a priraďovaní zdrojov pre KIB.
Výkonnú zložku predstavuje manažér KIB (Vy), bezpečnostní výbor a vedúci zamestnanci. Výkonná zložka vypracováva a spravuje dokumentáciu KIB, predkladá výročné správy o stave KIB, informuje o nedostatkoch KIB, vykonáva analýzu rizík, plánuje, koordinuje a realizuje bezpečnostné opatrenia, riadi riziká, vzdeláva zamestnancov o KIB a iné.
Kontrolnú zložku predstavu interní a externí auditóri/kontrolóri KIB. Ich úlohou je kontrolovať, či sa prijaté bezpečnostné opatrenia dodržiavajú a na akej úrovni, prehodnocujú ich efektívnosť a hodnotia súlad stavu KIB s legislatívnymi požiadavkami.
Roly, ktorými sa budeme zaoberať v organizácií Vašej veľkosti sú: vedenie organizácie, štatutár, garant KIB a manažér KIB.
Vedenie organizácie celkovo zodpovedá za KIB Vo vašej organizácii, menuje manažéra KIB a garanta KIB. Zodpovedá za úlohy riadiacej zložky, ktoré sme popísali vyššie.
Štatutár alebo konateľ je zodpovedný za organizáciu pred oćami zákona. Zastupuje organizáciu vo vzťahu ku štátnym inštitúciám, obchodným partnerom, uzatvára zmluvy a obchody. Svoje zodpovednosti môže delegovať na iných zamestnancov.
Garant KIB je spravidla členom vedenia organizácie. Predkladá vedeniu materiály týkajúce sa KIB, spolu s manažérom KIB riadia a koordinujú činnosti KIB v organizácii. Tiež pre manažéra KIB predstavuje priamy kontakt vedeniu organizácie, aby sa problémy a núdzové stavy vyriešili čo najrýchlejšie.
Manažér KIB zodpovedá priamo garantovi KIB. Jeho úlohou je riadiť, koordinovať a organizovať KIB, plniť zákonné povinnosti, presadzovať KIB vo všetkých častiach organizácie, iniciovať a vypracovať bezpečnostné opatrenia, skúmať a riešiť bezpečnostné incidenty, rozširovať osvetu zamestnancov v oblasti KIB. Tiež slúži ako kontaktná osoba pre zamestnancov v prípade rôznych problémov alebo pripomienok v oblasti KIB, ktoré môže manažér KIB následne riešiť s garantom KIB a vedením organizácie.
Externý/interný používateľ je osoba, ktorá pristupuje k systémom a informačným technológiám organizácie z vnútra/vonkajška, no voči KIB nemá žiadne špeciálne povinnosti.