Dobrý deň,
ak sa rozhodnete ísť cestou prepracovania iného bezpečnostného projektu, mali by ste vychádzať z BP, ktorý "je šitý" na podobné prevádzkové podmienky ako Vaše. To je kľúčové pre analýzu rizík. Čiže - napríklad - ak máte zamestnancov, mali by ste vychádzať z BP, ktoré rieši riziká so zamestnancami. Podobne, ak prevádzkujete e-shop, máte iné riziká ako niekto, kto spracúva mzdy. A ten, kto spracúva mzdy u klienta na jeho počítači a SW, má iné riziká ako ten, kto ich spracúva doma.
Alebo, ak sa rozhodnete pre podstatné prepracovanie BP, dá sa ísť aj od konca - zobrať si prílohu vyhlášky 164/2013 a ku každému typovému opatreniu sa spýtať: Aké riziko sa rieši týmto opatrením? Týka sa aj mojej firmy?
Príklad: bod 1.2 prílohy vyhlášky: šifrovanie - rieši sa hrozba, že k dátam sa dostane neoprávnená osoba a pre ten prípad ich treba znečitateľniť. Kedy sa to môže stať? Keď dávam PC do opravy. Alebo sa to môže stať, keď klientovi posielam zostavu e-mailom. Takže máme riziko neoprávneného prístupu k uloženým informáciám na disku a riziko neoprávneného prístupu k dátam prenášaným po verejnej sieti. Keďže dáta na disku nemám šifrované, musím disk pred opravou vybrať alebo zavolať technika-opravára do firmy, to by malo byť v smernici. Ak je to pre mňa veľký luxus, musím zaradiť neoprávnený prístup k dátam za týchto okolností medzi akceptované (zvyškové) riziká. Maily musím šifrovať alebo aspoň posielať zaheslované súbory (opäť to treba mať v smernici)... Čiže smernicu treba tak písať, aby dopredu riešila riziká, ktoré sa budú analyzovať v BP a potom z BP výjde iba zopár návrhov technických opatrení, ktoré Vás nezahltia.
Ospravedlňujem sa za prekomplikovateľnosť, nepodarilo sa mi vymyslieť to zrozumiteľnejšie.