SAE — Budování bezpečnostního povědomí
SAE — Budování bezpečnostního povědomí
Program definovaný doporučeními NIST řady SP 800 (zejména NIST SP 800-50 Building an IT Security Awareness and Training Program a NIST SP 800-16 IT Security Training Requirements), sloužící k budování a zvyšování bezpečnostního povědomí uživatelů ICT. Základní součást kybernetické hygieny.
SAE Continuum Model
Postupný rozvoj od základního povědomí přes školení a vzdělávání až po profesní specializaci. Každá úroveň staví na předchozí — uživatel nejprve rozpoznává hrozbu, pak ji umí řešit, posléze rozumí proč a nakonec vede ostatní.
Čtyři úrovně SAE
| Úroveň | Příznak | Cíl | Metody | Časový rámec |
|---|---|---|---|---|
| Awareness (povědomí) | „Co" | Rozpoznávání | Média, videa, plakáty | Krátkodobý |
| Training (výcvik) | „Jak" | Dovednosti | Přednášky, případovky, cvičení | Střednědobý |
| Education (vzdělávání) | „Proč" | Porozumění | Semináře, diskuze, výzkum | Dlouhodobý |
| Professional Development | — | Profesní rozvoj | Certifikace, konference | Průběžný |
SAE plán (11 kroků)
- Role a odpovědnosti v programu
- Stanovení cílů pro každou fázi
- Rozdělení uživatelů (analýza)
- Vytvoření školících materiálů dle skupin
- Určení cíle pro každou skupinu
- Témata pro každou relaci/kurz
- Metody nasazení (metodiky)
- Dokumentace a zpětná vazba
- Vyhodnocení a aktualizace materiálů
- Četnost opakování
- Kalkulace
Modely řízení
- Centralizovaný — veškerá odpovědnost na CIO/CISO
- Částečně decentralizovaný — politiky centrálně, implementace distribuovaně
- Plně decentralizovaný — pouze politika centrálně, vše ostatní delegováno
Doporučená témata dle vyhlášky č. 409/2025 Sb.
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností (prováděcí předpis k novému ZKB č. 264/2025 Sb. — transpozice NIS2; účinná od 1. 11. 2025). Příloha č. 6 obsahuje doporučená témata SAE: bezpečné chování na internetu, rozpoznání phishingu a sociálního inženýrství, práce s hesly a vícefaktorová autentizace, klasifikace informací, hlášení incidentů, BYOD, cloud, firewall, malware, VPN, šifrování, zálohování, fyzická bezpečnost, mobilní zařízení.
Matice školení (NIST SP 500-172)
Mapuje role v organizaci na požadované úrovně znalostí a dovedností v oblasti informační bezpečnosti — od běžného uživatele přes IT správce a manažery až po bezpečnostní specialisty.
Rozšíření na dodavatelský řetězec
SAE se netýká jen interních zaměstnanců — zahrnuje i dodavatele, partnery a třetí strany s přístupem k informačním systémům. Smluvně lze požadovat doložení absolvovaného školení.
Související certifikace ISACA
Pro profesionály v oblasti SAE a bezpečnostního řízení: CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CRISC (Certified in Risk and Information Systems Control), CGEIT (Certified in Governance of Enterprise IT).
Související stránky
- ISMS — SAE jako součást provozní bezpečnosti
- Kybernetická bezpečnost — povědomí jako obrana č. 1
- Řízení rizik — snižování rizika lidského faktoru
- Záznam přednášky SAE — bibliografická karta zdroje