BEZPEČNOSTNÍ DOKUMENTACE

§ 28

Bezpečnostní dokumentace

§ 29

Prokázání certifikace

Orgán a osoba uvedená v § 3 písm. c) až e) zákona, jejíž informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém je zcela zahrnut do rozsahu systému řízení bezpečnosti informací, který byl certifikován podle příslušné technické normy1) akreditovaným certifikačním orgánem, a která vede dokumenty obsahující
splňuje požadavky na zavedení bezpečnostních opatření podle zákona a této vyhlášky.

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona vede a aktualizuje bezpečnostní dokumentaci, která obsahuje

a) bezpečnostní politiku podle § 5 odst. 1,

c) zprávy z přezkoumání systému řízení bezpečnosti informací podle § 3 odst. 1 písm. g),

b) zprávy z auditu kybernetické bezpečnosti podle § 3 odst. 1 písm. f),

d) metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik,

e) zprávu o hodnocení aktiv a rizik,

f) prohlášení o aplikovatelnosti,

g) plán zvládání rizik,

h) plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),

i) zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e),

j) strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a

k) přehled právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a).

(2) Orgán a osoba uvedená v § 3 písm. e) zákona vede a aktualizuje bezpečnostní dokumentaci, která obsahuje

b) metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle § 4 odst. 2 písm. a),

c) zprávu o hodnocení aktiv a rizik podle § 4 odst. 2 písm. b) a c),

a) bezpečnostní politiku podle § 5 odst. 2,

g) zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e),

e) plán zvládání rizik podle § 4 odst. 2 písm. e),

f) plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),

d) prohlášení o aplikovatelnosti podle § 4 odst. 2 písm. d),

h) strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a

i) přehled právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a).

(3) Orgán a osoba uvedená v § 3 písm. c) až e) zákona vede bezpečnostní dokumentaci tak, aby záznamy o provedených činnostech byly úplné, čitelné, snadno identifikovatelné a aby se daly snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů o provedených činnostech dokumentuje.

(4) Doporučená struktura bezpečnostní dokumentace je stanovena v příloze č. 4 k této vyhlášce.

c) popis použité metody hodnocení rizik a zprávu o hodnocení rizik,

b) prohlášení politiky a cílů systému řízení bezpečnosti informací,

a) popis rozsahu systému řízení bezpečnosti informací,

g) zprávu z auditů provedených certifikačním orgánem včetně příslušných záznamů o nápravě zjištěných neshod s příslušnou normou,

e) certifikát systému řízení bezpečnosti informací splňující požadavky příslušné technické normy zabývající se bezpečností informací1),

d) prohlášení o aplikovatelnosti,

f) záznam o přezkoumání systému řízení bezpečnosti informací včetně souvisejících vstupů a výstupů přezkoumání a