(1) Žádost o certifikaci informačního systému obsahuje

3. názvem, sídlem, identifikačním číslem a jménem a příjmením odpovědné osoby, jde-li o orgán státu,

a) identifikaci žadatele

1. obchodní firmou, popřípadě názvem, sídlem a identifikačním číslem, bylo-li přiděleno, je-li žadatelem právnická osoba,

2. obchodní firmou, popřípadě jménem a příjmením, případně odlišujícím dodatkem, místem trvalého pobytu nebo u cizince místem obdobného pobytu a místem podnikání, liší-li se od trvalého pobytu, datem narození a identifikačním číslem, bylo-li přiděleno, je-li žadatelem fyzická osoba, která je podnikatelem, nebo

b) jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení,

c) stručný popis účelu a rozsahu informačního systému,

f) identifikaci dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému, podle písmene a) bodu 1 nebo 2, a stupeň utajení, pro který bylo vydáno dodavateli osvědčení podnikatele nebo kopii platného prohlášení podnikatele.

d) stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,

e) stanovení bezpečnostního provozního módu informačního systému a

(2) K provedení certifikace informačního systému žadatel předloží následující podklady

a) bezpečnostní politiku informačního systému a výsledky analýzy rizik,

b) návrh bezpečnosti informačního systému,

c) sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,

d) bezpečnostní provozní dokumentaci informačního systému,

f) další podklady nezbytné k certifikaci informačního systému, vyplývající ze specifikace informačního systému.

e) popis bezpečnosti vývojového prostředí a

(3) Žádá-li o provedení certifikace informačního systému zpravodajská služba, uvede v žádosti podle odstavce 1 a v podkladech podle odstavce 2 pouze nezbytné údaje, které umožní Úřadu provedení certifikace informačního systému.

(4) Jako podklad pro certifikaci informačního systému může žadatel předložit také výsledky dílčích úloh v hodnocení některých komponent informačního systému a v hodnocení jednotlivých oblastí bezpečnosti uvedených v § 3 odst. 1, provedených orgánem státu nebo podnikatelem na základě smlouvy o zajištění činnosti uzavřené s Úřadem.

(5) V rámci certifikace informačního systému se posuzuje vhodnost souboru opatření navržených pro dosažení bezpečnosti informačního systému podle § 3, správnost a úplnost bezpečnostní dokumentace informačního systému a správnost realizace navrženého souboru opatření v daném informačním systému.

(6) Certifikace informačního systému se provádí posouzením podkladů předložených žadatelem a provedením dodatečných testů. Dodatečné testy provádí Úřad v provozním prostředí hodnoceného informačního systému za spoluúčasti žadatele a v případě potřeby dodavatele.

(7) Certifikaci informačního systému lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jeho celkovém dokončení.

(8) Dojde-li v informačním systému, který byl certifikován a schválen do provozu, ke změnám uvedeným v § 25 písm. d), provádí se doplňující hodnocení informačního systému v rozsahu potřebném k posouzení provedených změn. V případě provádění doplňujícího hodnocení informačního systému se postupuje obdobně jako při provádění certifikace informačního systému.

(9) Vzor certifikátu informačního systému je uveden v příloze č. 1 této vyhlášky.