§ 29
Prokázání certifikace
Orgán a osoba uvedená v § 3 písm. c) až e) zákona, jejíž informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém je zcela zahrnut do rozsahu systému řízení bezpečnosti informací, který byl certifikován podle příslušné technické normy1) akreditovaným certifikačním orgánem, a která vede dokumenty obsahující
splňuje požadavky na zavedení bezpečnostních opatření podle zákona a této vyhlášky.
a) popis rozsahu systému řízení bezpečnosti informací,
b) prohlášení politiky a cílů systému řízení bezpečnosti informací,
c) popis použité metody hodnocení rizik a zprávu o hodnocení rizik,
d) prohlášení o aplikovatelnosti,
e) certifikát systému řízení bezpečnosti informací splňující požadavky příslušné technické normy zabývající se bezpečností informací1),
f) záznam o přezkoumání systému řízení bezpečnosti informací včetně souvisejících vstupů a výstupů přezkoumání a
g) zprávu z auditů provedených certifikačním orgánem včetně příslušných záznamů o nápravě zjištěných neshod s příslušnou normou,