Personálna bezpečnosť pri výbere a prijímaní zamestnanca, trvaní a ukončení pracovného pomeru

Personálna bezpečnosť pri výbere a prijímaní zamestnanca, trvaní a ukončení pracovného pomeru

Oblasť personálnej bezpečnosti musí byť zdokumentovaná v bezpečnostnej dokumentácii systému riadenia informačnej bezpečnosti (ISMS) a je predmetom noriem a predpisov v oblasti riadenia informačnej a kybernetickej bezpečnosti, najmä:

1. normy STN ISO/IEC 27001:2014 v kapitole 7. Zdroje a v prílohe A.7 Personálna bezpečnosť,
2. v požiadavke podľa vyhlášky NBÚ č. 362/2018 Z. z., konkrétne v § 7 Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. c) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti,
3. v požiadavkách na personálnu bezpečnosť uvedených vo vyhláške Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy (vyhláška je kontextovou súčasťou zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe).
4. Oblasť personálnej bezpečnosti je možné uchopiť rôznymi spôsobmi. Býva spracovaná samostatne v rámci politiky personálnej bezpečnosti, ale aj napr. súčasťou pracovného poriadku organizácie. V tomto prípade sa k predmetnej oblasti pristúpilo ako k samostatnej smernici, pričom odborníci a autori dokumentácií v organizáciách si údaje v nej môžu prispôsobiť podľa svojich potrieb a využiť ich ako samostatný dokument alebo súčasť už existujúcej dokumentácie.

Účelom vytvorenej smernice je formulácia vzoru, ako by mohol takýto dokument vyzerať. Kombinuje v sebe návrhy postupov a pravidiel pre preverovanie potenciálnych zamestnancov pred nástupom do zamestnania, postupov platných počas zamestnania a postupov pri ukončení zamestnania. Smernica vychádza z požiadaviek noriem a legislatívy v oblasti informačnej a kybernetickej bezpečnosti a je spracovaná na základe dobrej praxe. Vytvára v organizácii základ na riadenie personálnej bezpečnosti a tvorbu ďalšej súvisiacej bezpečnostnej dokumentácie, najmä bezpečnostných štandardov, návodov, zásad, postupov i bezpečnostných smerníc.

Upozornenie autora:

• Ako s každým bezpečnostným dokumentom, aj s touto smernicou musia pracovať odborníci na informačnú a kybernetickú bezpečnosť.
• Text vo vzore zvýraznený žltou farbou je určený pre doplnenie/zmenu konkrétnych údajov organizácie a textov podľa potrieb organizácie.
• Rôzne metódy prístupu k spracovaniu bezpečnostných smerníc môžu viesť k odlišným formám výstupov predmetnej dokumentácie. Každý spracovateľ má svoje vlastné spôsoby štylizácie a v rôznych spoločnostiach sú zavedené rozličné formy vizuálu dokumentov. V praxi sa konkrétne spracovanie bezpečnostnej dokumentácie môže líšiť z pohľadu rôzneho typu a rozsahu prevádzkovaných/poskytovaných služieb. Priložený vzor smernice nie je vyčerpávajúci, je len možným príkladom, ako daný dokument spracovať. Nie je textovo vyčerpávajúci, je ho možné skrátiť alebo rozšíriť podľa potrieb organizácie.

Táto interná smernica je spracovaná na základe dobrej praxe a reflektuje pravidlá a postupy v kontexte požiadaviek medzinárodnej normy STN ISO/IEC 27001:2014 (kapitola 7. Zdroje a príloha A.7) v oblasti personálnej bezpečnosti pre preverovanie potenciálnych zamestnancov pred nástupom do zamestnania, pravidlá a postupy platné počas zamestnania a pri ukončení zamestnania. Smernica vychádza tiež z požiadaviek ďalších noriem a legislatívy v oblasti informačnej a kybernetickej bezpečnosti.

Kľúčové súvisiace predpisy a normy

1. Súbor medzinárodných noriem radu ISO/IEC 27000
2. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
3. Vyhláška č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
4. Zákon č. 95/2019 Z. z. o informačných technológiách ...