§ 29 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Prokázání certifikace
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 29 · IT právo a ochrana dat
Stručně: Paragraf 29 stanovuje, že orgán nebo osoba, jejíž informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém je plně zahrnut do certifikovaného systému řízení bezpečnosti informací, splňuje požadavky na bezpečnostní opatření, pokud vede stanovené dokumenty.
§ 29 Prokázání certifikace
Orgán a osoba uvedená v § 3 písm. c) až e) zákona, jejíž informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém je zcela zahrnut do rozsahu systému řízení bezpečnosti informací, který byl certifikován podle příslušné technické normy1) akreditovaným certifikačním orgánem, a která vede dokumenty obsahující
a) popis rozsahu systému řízení bezpečnosti informací,
b) prohlášení politiky a cílů systému řízení bezpečnosti informací,
c) popis použité metody hodnocení rizik a zprávu o hodnocení rizik,
d) prohlášení o aplikovatelnosti,
e) certifikát systému řízení bezpečnosti informací splňující požadavky příslušné technické normy zabývající se bezpečností informací1),
f) záznam o přezkoumání systému řízení bezpečnosti informací včetně souvisejících vstupů a výstupů přezkoumání a
g) zprávu z auditů provedených certifikačním orgánem včetně příslušných záznamů o nápravě zjištěných neshod s příslušnou normou,
splňuje požadavky na zavedení bezpečnostních opatření podle zákona a této vyhlášky.
ČÁST TŘETÍ
Paragraf 29 stanovuje, že orgán nebo osoba, jejíž informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém je plně zahrnut do certifikovaného systému řízení bezpečnosti informací, splňuje požadavky na bezpečnostní opatření, pokud vede stanovené dokumenty.
Co to znamená v praxi
Pokud máte certifikovaný systém řízení bezpečnosti informací (např. podle normy ISO/IEC 27001) pro vaše klíčové informační systémy, nemusíte prokazovat splnění požadavků na bezpečnostní opatření jiným způsobem.
Certifikace musí být provedena akreditovaným certifikačním orgánem a musí pokrývat celý rozsah daného informačního nebo komunikačního systému.
Je nutné vést a být schopen předložit konkrétní dokumenty, jako je popis rozsahu systému, prohlášení o politice a cílech, zprávy z hodnocení rizik, certifikát a záznamy z auditů.
Tento paragraf zjednodušuje prokazování shody s požadavky vyhlášky pro subjekty, které již mají zavedený a certifikovaný systém řízení bezpečnosti informací.
Na co si dát pozor
Certifikace musí být platná a provedená akreditovaným certifikačním orgánem.
Je klíčové, aby certifikovaný systém řízení bezpečnosti informací pokrýval *zcela* daný informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém.
Musíte mít k dispozici a udržovat všechny v paragrafu vyjmenované dokumenty, jinak certifikace nemusí být dostatečná pro splnění požadavků.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.