§ 3 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – ORGANIZAČNÍ OPATŘENÍ
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 3 · IT právo a ochrana dat
Stručně: Paragraf 3 vyhlášky o kybernetické bezpečnosti stanovuje, jaké organizační kroky musí provést orgány a osoby, na které se vztahuje zákon o kybernetické bezpečnosti, v rámci svého systému řízení bezpečnosti informací, aby zajistily kybernetickou bezpečnost.
§ 3 ORGANIZAČNÍ OPATŘENÍ
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci systému řízení bezpečnosti informací
a) stanoví s ohledem na aktiva a organizační bezpečnost rozsah a hranice systému řízení bezpečnosti informací, ve kterém určí, kterých organizačních částí a technických prvků se systém řízení bezpečnosti informací týká,
b) řídí rizika podle § 4 odst. 1,
c) vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku v dalších oblastech podle § 5 a zavede příslušná bezpečnostní opatření,
d) monitoruje účinnost bezpečnostních opatření,
e) vyhodnocuje vhodnost a účinnost bezpečnostní politiky podle § 5,
f) zajistí provedení auditu kybernetické bezpečnosti podle § 15, a to nejméně jednou ročně,
g) zajistí vyhodnocení účinnosti systému řízení bezpečnosti informací, které obsahuje hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik, posouzení výsledků provedených kontrol a auditů kybernetické bezpečnosti a dopadů kybernetických bezpečnostních incidentů na systém řízení bezpečnosti informací, a to nejméně jednou ročně,
h) aktualizuje systém řízení bezpečnosti informací a příslušnou dokumentaci na základě zjištění auditů kybernetické bezpečnosti, výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací a v souvislosti s prováděnými nebo plánovanými změnami a
i) řídí provoz a zdroje systému řízení bezpečnosti informací, zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik.
(2) Orgán a osoba uvedená v § 3 písm. e) zákona v rámci systému řízení bezpečnosti informací
a) řídí rizika podle § 4 odst. 2,
b) vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku v dalších oblastech podle § 5, a zavede příslušná bezpečnostní opatření a
c) provádí aktualizaci zprávy o hodnocení aktiv a rizik, bezpečnostní politiky, plánu zvládání rizik a plánu rozvoje bezpečnostního povědomí, a to nejméně jednou za tři roky nebo v souvislosti s prováděnými nebo plánovanými změnami.
Paragraf 3 vyhlášky o kybernetické bezpečnosti stanovuje, jaké organizační kroky musí provést orgány a osoby, na které se vztahuje zákon o kybernetické bezpečnosti, v rámci svého systému řízení bezpečnosti informací, aby zajistily kybernetickou bezpečnost.
Co to znamená v praxi
Orgány a osoby musí jasně vymezit, kterých jejich částí a technických prvků se systém řízení bezpečnosti informací týká.
Je nutné vytvořit a schválit bezpečnostní politiku, která stanoví hlavní zásady, cíle a povinnosti v oblasti bezpečnosti informací, a na jejím základě zavést konkrétní bezpečnostní opatření.
Musí se pravidelně monitorovat účinnost zavedených bezpečnostních opatření a vyhodnocovat vhodnost bezpečnostní politiky.
Nejméně jednou ročně je povinné provést audit kybernetické bezpečnosti a vyhodnotit celkovou účinnost systému řízení bezpečnosti informací.
Na co si dát pozor
Systém řízení bezpečnosti informací a související dokumentace musí být pravidelně aktualizovány na základě zjištění z auditů, vyhodnocení účinnosti a změn.
Osoby uvedené v § 3 písm. e) zákona mají mírně odlišné povinnosti, zejména co se týče frekvence aktualizace některých dokumentů (nejméně jednou za tři roky).
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.