§ 3

Systém řízení bezpečnosti informací

Povinná osoba v rámci systému řízení bezpečnosti informací

a) stanoví cíle systému řízení bezpečnosti informací směřující k zajištění kybernetické bezpečnosti regulované služby,

b) řídí rizika podle § 8,

c) zavede a provádí přiměřená bezpečnostní opatření směřující k zajištění kybernetické bezpečnosti regulované služby na základě cílů systému řízení bezpečnosti informací, bezpečnostních potřeb a řízení rizik,

g) zpracuje zprávu o přezkoumání systému řízení bezpečnosti informací na základě vyhodnocení účinnosti systému řízení bezpečnosti informací podle písmene f),

1. vyhodnocení cílů systému řízení bezpečnosti informací směřujících k zajištění kybernetické bezpečnosti regulované služby,

d) stanoví bezpečnostní politiku a bezpečnostní dokumentaci ve vztahu k řízení kybernetické bezpečnosti, která obsahuje hlavní zásady, cíle systému řízení bezpečnosti informací, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací, a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku a bezpečnostní dokumentaci v dalších oblastech podle § 6,

e) zajistí provedení auditu kybernetické bezpečnosti podle § 16,

f) zajistí alespoň jednou ročně vyhodnocení účinnosti systému řízení bezpečnosti informací, které obsahuje

2. posouzení naplňování plánu zvládání rizik zpracovaného podle § 8 odst. 1 písm. g),

3. hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik,

4. posouzení výsledků provedených auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,

5. výsledky předchozího hodnocení účinnosti systému řízení bezpečnosti informací provedených podle tohoto písmene,

6. posouzení dopadů kybernetických bezpečnostních incidentů na oblast kybernetické bezpečnosti a na poskytované služby podle § 15 a

7. posouzení významných změn podle § 11,

2. výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací,

i) řídí provoz a zdroje systému řízení bezpečnosti informací a zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik a

j) stanoví proces řízení výjimek z pravidel stanovených v bezpečnostní politice podle písmene d).

h) aktualizuje systém řízení bezpečnosti informací a relevantní dokumentaci na základě

3. dopadů kybernetických bezpečnostních incidentů na poskytované služby a

4. prováděných významných změn,

1. zjištění z auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,