(1) Orgán veřejné správy v informační koncepci stanoví podle § 2 odst. 1 písm. d) dlouhodobé cíle, kterých chce dosáhnout v oblasti řízení bezpečnosti informačních systémů veřejné správy; těmito cíli jsou vždy

(2) Pro dosažení cílů podle odstavce 1 orgán veřejné správy v informační koncepci stanoví požadavky na bezpečnost informačních systémů veřejné správy.

(3) Orgán veřejné správy v informační koncepci stanoví plán řízení bezpečnosti, který obsahuje popis činností, které orgán veřejné správy vykonává pro dosažení stanovených požadavků na bezpečnost informačních systémů veřejné správy, včetně časového harmonogramu jejich plnění.

a) bezpečnost dat, která jsou v těchto systémech zpracovávána,

b) bezpečnost technických a programových prostředků podle § 2 písm. a) zákona,

c) bezpečnost služeb, které jsou prostřednictvím těchto systémů poskytovány.