ImorK — Budování bezpečnostního povědomí (SAE)
ImorK — Budování bezpečnostního povědomí (SAE)
Koncept SAE
SAE (Security Awareness and Training Education) je systematický přístup k budování bezpečnostního povědomí v organizaci. Klíčové normy:
- NIST SP 800-50 — Building an IT Security Awareness and Training Program
- NIST SP 800-16 — IT Security Training Requirements
Čtyři úrovně SAE
| Úroveň | Cíl | Otázka |
|---|---|---|
| Awareness (povědomí) | Rozpoznání hrozeb | „Co?" |
| Training (školení) | Praktické dovednosti | „Jak?" |
| Education (vzdělávání) | Porozumění principům | „Proč?" |
| Professional Development | Kontinuální odborný růst | — |
SAE Continuum Model
Postupný rozvoj od základního povědomí přes školení a vzdělávání až po profesní specializaci. Každá úroveň staví na předchozí.
Plán SAE — 11 kroků
- Identifikace potřeb programu
- Identifikace cílové skupiny
- Motivační analýza
- Identifikace témat
- Identifikace obsahu
- Výběr metod
- Výběr médií
- Stanovení rozpočtu
- Implementace
- Hodnocení efektivity
- Aktualizace programu
Tři modely řízení SAE
| Model | Charakteristika |
|---|---|
| Centralizovaný | Jedno oddělení řídí celý program |
| Částečně decentralizovaný | Centrální koordinace, lokální implementace |
| Plně decentralizovaný | Každá jednotka si řídí vlastní program |
Matice školení (NIST SP 500-172)
Mapování rolí na požadované úrovně znalostí a dovedností v oblasti informační bezpečnosti.
Rozšíření na dodavatelský řetězec
SAE se netýká jen interních zaměstnanců — zahrnuje i dodavatele, partnery a třetí strany s přístupem k informačním systémům.
25 doporučených témat školení
Dle nové české vyhlášky 409/2025 Sb. (kybernetická bezpečnost) — pokrývá mj.:
- Bezpečné chování na internetu
- Rozpoznání phishingu a sociálního inženýrství
- Práce s hesly a vícefaktorová autentizace
- Klasifikace informací
- Hlášení incidentů
- Bezpečnost mobilních zařízení
- Fyzická bezpečnost
Certifikace ISACA
Relevantní certifikace pro profesionály v oblasti SAE a bezpečnostního řízení (CISM, CISA aj.).