Účel

Informace, které jsou shromažďovány, analyzovány, uchovávány, sdělovány a vykazovány, mohou být předmětem krádeže, zneužití, ztráty a poškození.

Informace mohou být ohroženy nedostatečným vzděláním a školením a porušením bezpečnostních kontrol.

Incidenty v oblasti bezpečnosti informací mohou vést k rozpakům, finančním ztrátám, nedodržení norem a právních předpisů a také k možnému odsouzení univerzity.

Tato politika bezpečnosti informací na vysoké úrovni je součástí politiky řízení informačních rizik a politiky ochrany údajů, aby poskytla nástin a zdůvodnění kontrolních opatření univerzity v oblasti bezpečnosti informací založených na rizicích.

• Politika řízení informačních rizik
• Politika ochrany dat

Cíle

Cíle univerzity v oblasti bezpečnosti jsou následující:

• Naše informační rizika jsou identifikována, řízena a ošetřena v souladu s dohodnutou tolerancí rizik
• Naši oprávnění uživatelé mohou bezpečně přistupovat k informacím a sdílet je za účelem plnění svých rolí
• Naše fyzické, procedurální a technické kontroly vyvažují uživatelský komfort a bezpečnost
• Naše smluvní a právní závazky týkající se bezpečnosti informací jsou splněny
• Naše výuka, výzkumné a administrativní činnosti zohledňují bezpečnost informací
• Individuální osoby, které mají přístup k našim informacím, jsou si vědomy svých povinností v oblasti bezpečnosti informací
• Incidenty, které se týkají našich informačních aktiv, jsou řešeny a je z nich čerpáno poučení pro zlepšení našich kontrol.

Působnost

Politika bezpečnosti informací a její podpůrné kontroly, procesy a postupy se vztahují na všechny informace používané na univerzitě ve všech formátech. To zahrnuje i informace zpracovávané jinými organizacemi při jejich jednání s univerzitou.

Politika bezpečnosti informací a její podpůrné kontroly, procesy a postupy se vztahují na všechny osoby, které mají přístup k informacím a technologiím univerzity, včetně externích stran, které poskytují univerzitě služby zpracování informací.

Podrobný rozsah, včetně rozdělení uživatelů, informačních aktiv a systémů zpracování informací, je uveden v dokumentu Rámec systému řízení bezpečnosti informací (ISMS).

Dodržování

Dodržování kontrolních mechanismů uvedených v této politice bude sledovat tým pro bezpečnost informací a bude o něm informovat Radu pro správu informací.

Přezkum

Přezkum této politiky provede tým pro bezpečnost informací jednou ročně nebo častěji podle potřeby a schválí jej rada pro správu informací a výkonná skupina univerzity.

Prohlášení o politice

Politikou univerzity je zajistit, aby informace byly chráněny před ztrátou:

• Důvěrnost – informace budou přístupné pouze oprávněným osobám
• Integrita – bude zachována přesnost a úplnost informací
• Dostupnost – informace budou v případě potřeby přístupné oprávněným uživatelům a procesům

Univerzita zavede systém řízení bezpečnosti informací založený na mezinárodní normě ISO 27001 pro bezpečnost informací. Univerzita bude podle potřeby odkazovat i na další normy, přičemž bude mít na paměti přístupy, které přijaly její zainteresované strany, včetně výzkumných partnerů.

1. Politika bezpečnosti informací

Bude definován soubor kontrolních mechanismů, procesů a postupů nižší úrovně pro bezpečnost informací, které podporují politiku bezpečnosti informací na vysoké úrovni a její stanovené cíle. Tento soubor podpůrné dokumentace bude schválen radou pro bezpečnost informací, zveřejněn a sdělen uživatelům univerzity a příslušným externím stranám.

2. Politika bezpečnosti informací. Organizace bezpečnosti informací

Univerzita vymezí a zavede vhodná opatření pro řízení bezpečnosti informací. To bude zahrnovat určení a rozdělení odpovědnosti za bezpečnost, iniciování a kontrolu implementace a provozu bezpečnosti informací v rámci univerzity.

Univerzita jmenuje minimálně:

• Vedoucího pracovníka, který bude předsedat radě pro správu informací a převezme odpovědnost za informační rizika
• Radu pro správu informací, která bude ovlivňovat, dohlížet a podporovat efektivní správu informací na univerzitě
• Specialistu na informační bezpečnost, který bude řídit každodenní funkci informační bezpečnosti
• Vlastníky informačních aktiv (IAO), kteří převezmou místní odpovědnost za správu informací; a správci informačních aktiv (Information Asset Managers, IAMs) odpovědní za každodenní správu informací

3. Bezpečnost lidských zdrojů

Všem uživatelům budou sděleny bezpečnostní zásady univerzity a očekávání ohledně přijatelného používání, aby bylo zajištěno, že rozumí svým povinnostem. Všem zaměstnancům bude zpřístupněno vzdělávání a školení v oblasti bezpečnosti informací a bude řešeno špatné a nevhodné chování.

Pokud to bude praktické, budou povinnosti v oblasti bezpečnosti zahrnuty do popisů funkcí, personálních specifikací a plánů osobního rozvoje.

4. Bezpečnostní opatření. Správa aktiv

Všechna aktiva (informace, software, elektronické vybavení pro zpracování informací, servisní pomůcky a lidé) budou zdokumentována a evidována. Pro všechna aktiva budou určeni jejich vlastníci, kteří budou zodpovědní za jejich údržbu a ochranu.

Všechna informační aktiva budou klasifikována podle právních požadavků, obchodní hodnoty, kritičnosti a citlivosti a klasifikace bude uvádět příslušné požadavky na zacházení s nimi. Všechna informační aktiva budou mít definovaný plán uchovávání a likvidace.

5. Všechny informační aktiva budou mít definovaný plán uchovávání a likvidace. Řízení přístupu

Přístup ke všem informacím bude řízen a bude se řídit obchodními požadavky. Přístup bude udělen nebo budou přijata opatření pro uživatele podle jejich role a klasifikace informací pouze na takové úrovni, která jim umožní plnit jejich povinnosti.

Pro přístup do všech informačních systémů a služeb bude zachován formální postup registrace a zrušení registrace uživatelů. Ten bude zahrnovat povinné metody ověřování na základě citlivosti informací, k nimž se přistupuje, a bude podle potřeby zahrnovat zvážení více faktorů.

Pro uživatele se zvýšenými oprávněními budou zavedeny specifické kontroly, aby se snížilo riziko nedbalostního nebo úmyslného zneužití systému. Tam, kde je to proveditelné, bude zavedeno oddělení povinností.

6. Oddělení povinností. Kryptografie

Univerzita poskytne pokyny a nástroje k zajištění správného a účinného používání kryptografie k ochraně důvěrnosti, pravosti a integrity informací a systémů.

7. Fyzická bezpečnost a bezpečnost prostředí

Zařízení pro zpracování informací jsou umístěna v zabezpečených prostorách, které jsou fyzicky chráněny před neoprávněným přístupem, poškozením a zásahy pomocí vymezených bezpečnostních perimetrů. Budou zavedeny vrstvené vnitřní a vnější bezpečnostní kontroly, které odradí nebo zabrání neoprávněnému přístupu a ochrání aktiva, zejména ta, která jsou kritická nebo citlivá, před násilným nebo skrytým útokem.

8. Vnitřní a vnější bezpečnostní kontroly. Bezpečnost provozu

Univerzita zajistí správný a bezpečný provoz systémů zpracování informací.

To bude zahrnovat:

• Dokumentované provozní postupy
• Používání formálního řízení změn a kapacit
• Kontrolu proti škodlivému softwaru
• Definované používání protokolování
• Řízení zranitelností

9. Zajištění bezpečnosti a ochrany proti škodlivému softwaru. Zabezpečení komunikace

Univerzita bude udržovat síťové bezpečnostní kontroly, aby zajistila ochranu informací v rámci svých sítí, a poskytne nástroje a pokyny k zajištění bezpečného přenosu informací jak v rámci svých sítí, tak s externími subjekty, a to v souladu s požadavky na utajení a nakládání s informacemi, které jsou s těmito informacemi spojeny.

10. Pořizování, vývoj a údržba systémů

Požadavky na bezpečnost informací budou definovány během vývoje obchodních požadavků na nové informační systémy nebo změny stávajících informačních systémů.

Pokud to bude vhodné, budou zavedena opatření ke zmírnění všech zjištěných rizik.

Vývoj systémů bude podléhat řízení změn a oddělení testovacího, vývojového a provozního prostředí.

11. Zajištění bezpečnosti a ochrany informací. Vztahy s dodavateli

Při navazování vztahů s dodavateli budou zohledněny požadavky univerzity na bezpečnost informací, aby byla zajištěna ochrana aktiv přístupných dodavatelům.

Činnost dodavatelů bude monitorována a kontrolována podle hodnoty aktiv a souvisejících rizik.

12. Zajištění bezpečnosti informací. Řízení incidentů v oblasti bezpečnosti informací

Budou k dispozici pokyny k tomu, co se považuje za incident v oblasti bezpečnosti informací a jak by měl být hlášen.

Skutečné nebo podezřelé porušení bezpečnosti informací musí být hlášeno a bude prošetřeno.

Budou přijata vhodná nápravná opatření a případné poznatky budou zapracovány do kontrolních mechanismů.

13. Řízení incidentů v oblasti bezpečnosti informací

Podnikatelé budou mít k dispozici pokyny k tomu, co se považuje za incident v oblasti bezpečnosti informací. Aspekty bezpečnosti informací při řízení kontinuity činností

Univerzita bude mít zavedena opatření na ochranu kritických obchodních procesů před účinky závažných selhání informačních systémů nebo katastrof a na zajištění jejich včasné obnovy v souladu s dokumentovanými obchodními potřebami.

To bude zahrnovat vhodné zálohovací postupy a vestavěnou odolnost.

Na podporu této politiky musí být udržovány a testovány plány kontinuity podnikání.

Bude provedena analýza dopadů na podnikání, pokud jde o důsledky katastrof, selhání zabezpečení, ztráty služeb a nedostupnosti služeb.

14. Zajištění kontinuity podnikání. Dodržování předpisů

Projektování, provoz, používání a správa informačních systémů musí být v souladu se všemi zákonnými, regulačními a smluvními bezpečnostními požadavky.

V současné době to zahrnuje právní předpisy o ochraně údajů, standard průmyslu platebních karet (PCI-DSS), vládní pokyny pro prevenci a smluvní závazky univerzity.

Univerzita bude využívat kombinaci interního a externího auditu k prokázání souladu se zvolenými standardy a osvědčenými postupy, včetně souladu s interními zásadami a postupy.

To bude zahrnovat kontroly stavu IT, analýzy mezer oproti dokumentovaným standardům, interní kontroly dodržování předpisů ze strany zaměstnanců a návratky od vlastníků informačních aktiv.