Politika kybernetickej hygieny a školení

# Politika kybernetickej hygieny a školení

**Vlastník:** {{OWNER_NAME}} ({{OWNER_ROLE}})
**Schválil:** {{APPROVER_NAME}} ({{APPROVER_ROLE}})
**Dátum schválenia:** {{APPROVAL_DATE}}
**Verzia:** 1.0
**Plánovaná ďalšia revízia:** {{NEXT_REVIEW_DATE}}
**Rozsah:** {{SCOPE}}

## 1. Účel
Stanovuje pravidlá základnej kybernetickej hygieny a povinného školenia pre všetkých zamestnancov v súlade s NIS2 čl. 21(2)(g) a ENISA IR kap. 8.

## 2. Rozsah
Vzťahuje sa na všetkých interných zamestnancov, kontraktorov a brigádnikov s prístupom k IT systémom {{COMPANY_NAME}}.

## 3. Základná kybernetická hygiena
### 3.1 Heslá
- **Minimálna dĺžka:** 12 znakov.
- **Kompozícia:** passphrases preferované; kombinácia písmen, číslic, špeciálnych znakov.
- **Zmena:** bez forced rotation (NIST SP 800-63B), iba pri podozrení kompromitácie.
- **Password manager:** {{PASSWORD_MANAGER}} povinný pre všetkých.
- **HIBP check:** nové heslá skenované voči Have I Been Pwned breach DB.

### 3.2 Multi-Factor Authentication (MFA)
Viac v politike MFA (21(2)(j)).

### 3.3 Phishing
- **Awareness training** quarterly pre všetkých.
- **Phishing simulation** minimálne 4× ročne.
- **Reporting:** jednoduché tlačidlo v email klientovi ({{PHISHING_REPORT_TOOL}}).
- **Response target:** < 2 hodiny od nahlásenia.

### 3.4 Device security
- **Mobile Device Management (MDM)** pre všetky firemné zariadenia.
- **Full-disk encryption** (FileVault, BitLocker) povinné.
- **Auto-lock** po 5 min neaktivity.
- **Screen lock** pri odchode od stola — vynucované politicky.
- **Software instalácie** iba cez schválený app store / MDM.

### 3.5 Email a komunikácia
- Externe zasielané dôverné dáta šifrované (S/MIME, PGP, password-protected PDF).
- Zakázané používanie osobných email účtov na firemné účely.
- Spam / phishing filter na {{EMAIL_SECURITY_GATEWAY}}.

## 4. Kybernetické školenia
### 4.1 Onboarding
- **Prvý deň:** security induction (30 min) + acknowledgement tejto politiky.
- **Prvý týždeň:** detailed training (1-2 hodiny) + NDA podpis.
- **Skúška:** 10-otázkový test s pass threshold 80 %.

### 4.2 Ročné školenie
- **Povinné pre všetkých** — dokumentované accept record.
- **Completion target:** 95 % do {{TRAINING_DEADLINE}} každého roka.
- **Konsekvencia:** nedokončené školenie = revoke prístup do produkčných systémov.

### 4.3 Role-specific training
- **Developers:** secure coding (OWASP Top 10, SSDF).
- **Admins / DevOps:** hardening, PAM, incident response.
- **HR:** social engineering, insider threats.
- **Management / Board:** governance, risk escalation, NIS2 zodpovednosť.

## 5. Tretie strany
Kontraktori s prístupom k systémom:
- Dostávajú zjednodušenú verziu tréningu do 5 pracovných dní od onboardingu.
- Podpisujú NDA + security addendum.
- Prístup obmedzený na nevyhnutné zdroje (least privilege).

## 6. Meranie a reporting
- **Phishing click-through rate** sledovaný quarterly.
- **Training completion rate** do dashboardu CISO.
- **Incident correlation** — koľko incidentov má human error ako root cause.

## 7. Sankcie
Nedodržanie tejto politiky:
- **Prvý priestupok:** re-training + formálne upozornenie.
- **Opakovaný priestupok:** disciplinárne konanie podľa HR policy.
- **Malicious behavior:** okamžité suspendovanie prístupov + HR/legal review.

## 8. Revízia
Ročne + pri zmene hrozbového prostredia alebo pri vzniku incidentu s ľudskou príčinou.

## 9. Súvisiace dokumenty
- Acceptable Use Policy
- HR security policy (background checks, offboarding)
- Incident response policy
- Politika MFA a prístupových práv

---

**Schválenie**

{{APPROVER_NAME}}, {{APPROVER_ROLE}}
Dátum: {{APPROVAL_DATE}}
Podpis: ____________________