Přeskočit na obsah
TECHNOMATON | Docs SAI certifikovaní trenéři

Řízení bezpečnosti

Verze: 1.0 | Efektivní od: 1. ledna 2026

1. Účel

Tato směrnice definuje pravidla pro řízení kybernetické bezpečnosti v souladu s NIS2 a Zákonem o kybernetické bezpečnosti.

2. Scope

Směrnice se vztahuje na:

  • Všechny informační systémy
  • Všechny zaměstnance a kontraktory
  • Všechny vendor s přístupem k systémům
  • Fyzickou bezpečnost ICT

3. ISMS (Information Security Management System)

3.1 Struktura ISMS

4. Asset Management

4.1 Asset Inventory

Každé aktivum musí být zdokumentováno:

PolePopis
Asset IDUnikátní identifikátor
NázevPopisný název
TypHardware / Software / Data / Service
Zodpovědná osobaKdo je zodpovědný
KritičnostCritical / High / Medium / Low
LocationFyzická/logická lokace
ClassificationConfidential / Internal / Public

4.2 Kritičnost aktiv

LevelDefiniceRTORPO
CriticalVýpadek = business stop<4h<1h
HighVýznamný dopad na business<8h<4h
MediumOmezený dopad<24h<8h
LowMinimální dopad<72h<24h

5. Technical Controls

5.1 Povinné kontroly

ControlPožadavekStatus
Encryption at restAES-256 pro všechna dataRequired
Encryption in transitTLS 1.3 pro všechna APIRequired
Access ControlMFA + RBACRequired
Patch ManagementCritical <7 dní, High <30 dníRequired
LoggingCentrální SIEM, 1 rok retentionRequired
BackupDaily, testováno měsíčněRequired
FirewallPerimeter + internalRequired
AntimalwareEndpoint protectionRequired
IDS/IPSNetwork intrusion detectionRecommended
DLPData Loss PreventionRecommended

5.2 Encryption Standards

TypAlgoritmusKey Length
SymmetricAES256-bit
AsymmetricRSA4096-bit
HashingSHA256-bit+
TLS1.3N/A

5.3 Access Control

Access Control Principles:

  • Least Privilege - minimální nutná práva
  • Need-to-Know - přístup pouze k potřebným datům
  • Separation of Duties - rozdělení odpovědností
  • MFA - pro všechny admin účty
  • Regular Review - čtvrtletní audit přístupů

6. Organizational Controls

6.1 HR Security

FázeKontrola
Před nástupemBackground check (dle pozice)
OnboardingNDA, Security training, Policy acknowledgment
Během zaměstnáníRegular training, Access reviews
OffboardingAccess removal (24h), Device return, Exit interview

6.2 Training Requirements

RoleŠkoleníFrekvence
All employeesSecurity awarenessRočně
All employeesPhishing simulationČtvrtletně
IT staffTechnical securityPololetně
DevelopersSecure codingPololetně
ManagementSecurity governanceRočně

7. Physical Security

7.1 Zóny bezpečnosti

ZónaPopisPřístup
PublicRecepce, lobbyBez omezení
OfficeKancelářeBadge + PIN
RestrictedServer room, DCBadge + PIN + biometrics
Highly RestrictedHSM, key storageDual control

7.2 Data Center Security

  • Physical access logging
  • Video surveillance
  • Environmental controls (HVAC, fire suppression)
  • UPS + generator backup
  • Visitor escort policy

8. Vulnerability Management

8.1 Scanning Schedule

TypFrekvenceScope
Network scanTýdněAll subnets
Vulnerability scanMěsíčněAll systems
Web app scanMěsíčněAll web apps
Penetration testRočněFull scope

8.2 Patch Management SLA

SeveritySLAApproval
Critical7 dníEmergency change
High30 dníStandard change
Medium90 dníStandard change
LowNext releaseStandard change

9. Business Continuity

9.1 BCM Components

ComponentPopis
BIABusiness Impact Analysis
BCPBusiness Continuity Plan
DRPDisaster Recovery Plan
IRPIncident Response Plan
CMPCrisis Management Plan

9.2 Recovery Objectives

SystémRTORPO
Production DB4h1h
Web services2h1h
Email8h4h
Internal apps24h8h

9.3 Testing Schedule

TestFrekvence
Backup restorationMěsíčně
Failover testČtvrtletně
DR drillPololetně
Full BCP testRočně

10. Vendor Security

10.1 Vendor Assessment

Před onboardingem vendor s přístupem k datům:

  • Security questionnaire
  • Review certifikací (ISO 27001, SOC 2)
  • Contract review (security clauses)
  • DPA (pokud personal data)
  • NDA

10.2 Ongoing Monitoring

AktivitaFrekvence
Security reviewRočně
Access auditČtvrtletně
Incident reviewPři incidentu
Contract reviewPři renewal

11. Audit & Compliance

11.1 Audit Schedule

TypFrekvenceScope
Internal auditČtvrtletněRotující oblasti
External auditRočněFull ISMS
Compliance checkPololetněNIS2, GDPR
Penetration testRočněFull scope

11.2 Certifikace

CertifikaceStatusPlatnost
ISO 27001TargetQ3 2026
SOC 2 Type IIOptional

12. Metrics & KPIs

KPITargetMěření
Patch compliance>95%Měsíčně
Vulnerability remediation<30 dní (high)Měsíčně
Security training completion100%Čtvrtletně
Incident response time<4h (critical)Při incidentu
MFA adoption100% (admin)Měsíčně

13. Policy Review

  • Měsíčně: Security metrics review
  • Čtvrtletně: Policy effectiveness review
  • Ročně: Full policy review + CISO approval

Příští revize: Q2 2026