(1) Žádost o provedení certifikace informačního systému předkládá Úřadu orgán státu nebo organizace, které budou informační systém provozovat, (dále jen „žadatel“).

(2) Žádost podle odstavce 1 obsahuje:

(3) Úřad vypracuje seznam podkladů pro ověření způsobilosti informačního systému nakládat s utajovanými informacemi (dále jen „hodnocení“) a časový plán jejich předložení žadatelem. K provedení hodnocení žadatel vždy předloží následující podklady:

(4) Hodnocení se provádí posouzením podkladů předložených žadatelem a provedením dodatečných testů. Dodatečné testy provádí Úřad u žadatele v provozním prostředí hodnoceného informačního systému za spoluúčasti žadatele a v případě potřeby dodavatele.

(5) Jsou-li v průběhu hodnocení zjištěny nedostatky, vyzve Úřad žadatele k jejich odstranění. Pokud žadatel v termínu stanoveném Úřadem zjištěné nedostatky neodstraní, hodnocení se ukončí.

(6) Hodnocení lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jeho celkovém dokončení.

(7) O výsledku hodnocení se zpracují technické zprávy.

(8) Jestliže se na základě výsledku hodnocení zjistí způsobilost hodnoceného informačního systému pro nakládání s utajovanými informacemi, obdrží žadatel o tomto certifikát. V případě, že hodnocený informační systém splňuje způsobilost pouze pro nižší stupeň utajení, vydá se certifikát na tento stupeň utajení.

(9) Dojde-li v informačním systému, jehož způsobilost byla schválena, ke změnám uvedeným v § 25 odst. 2 písm. e), provádí se doplňující hodnocení informačního systému v rozsahu potřebném k posouzení provedených změn. V případě provádění doplňujícího hodnocení informačního systému se postupuje obdobně jako při provádění certifikace informačního systému.

a) stručný popis účelu a rozsahu informačního systému včetně stanovení jeho běžných a minimálních funkcí,

b) stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,

c) stanovení bezpečnostního provozního módu informačního systému,

d) identifikaci dodavatele informačního systému.

a) bezpečnostní politiku informačního systému a výsledky analýzy rizik,

b) návrh bezpečnosti informačního systému,

c) sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,

d) bezpečnostní provozní dokumentaci informačního systému,

e) popis bezpečnosti vývojového prostředí.