(1) Činnost subjektu systému lze provádět pouze postupy popsanými v provozní bezpečnostní směrnici.

(2) Informace o činnosti subjektu systému se v auditním záznamu zaznamenává tak, aby bylo možno identifikovat narušení bezpečnosti systému nebo pokusy o ně.