§ 9 Vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb) – Audit systému řízení bezpečnosti informací
Vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb) · 378/2006 Sb. · § 9 · Ostatní právní předpisy
Stručně: Paragraf 9 vyhlášky 378/2006 stanovuje pravidla pro audit systému řízení bezpečnosti informací u kvalifikovaných poskytovatelů certifikačních služeb, jehož cílem je ověřit, zda poskytovatel zavedl a uplatňuje systém řízení bezpečnosti informací podle české technické normy.
§ 9 Audit systému řízení bezpečnosti informací
(1) Cílem auditu systému řízení bezpečnosti informací podle § 3 písm. g) je objektivní a na poskytovateli nezávislé ověření, že je v důvěryhodných systémech poskytovatele zaveden a uplatňován systém řízení bezpečnosti informací podle české technické normy uvedené v bodu 5 přílohy č. 1 této vyhlášky.
(2) Pokud je zavedení systému řízení bezpečnosti informací v důvěryhodných systémech poskytovatele certifikováno na shodu s českou technickou normou uvedenou v bodu 5 přílohy č. 1 této vyhlášky, je provedení auditu systému řízení bezpečnosti informací považováno za splněné.
(3) Při provádění auditu systému řízení bezpečnosti informací se postupuje podle požadavků normy uvedené v bodu 7 přílohy č. 1 této vyhlášky; subjekt, který audit systému řízení bezpečnosti informací provádí, je ve vztahu k poskytovateli externí, nezávislou auditující organizací podle požadavků normy uvedené v bodu 7 přílohy č. 1 této vyhlášky.
(4) Poskytovatel poskytne subjektu, který audit systému řízení bezpečnosti informací provádí, vždy zprávu o kontrole bezpečnostní shody podle § 8 odst. 6, pokud již byla provedena, a bezpečnostní dokumentaci.
(5) Součástí zprávy o auditu systému řízení bezpečnosti informací je
a) vymezení předmětu auditu systému řízení bezpečnosti informací, přičemž vymezením předmětu auditu se rozumí vymezení kvalifikovaných certifikačních služeb, které jsou zajišťovány prostřednictvím důvěryhodných systémů,
b) jednoznačné určení dokumentace, která byla předmětem auditu systému řízení bezpečnosti informací a kterou poskytovatel poskytl subjektu, který audit systému řízení bezpečnosti informací provádí,
c) prohlášení subjektu, který audit systému řízení bezpečnosti informací provedl, o výsledku auditu systému řízení bezpečnosti informací, jehož součástí je prohlášení o splnění požadavků uvedených v odstavci 1.
(6) Pokud je v průběhu auditu systému řízení bezpečnosti informací zjištěno, že poskytovatel nezavedl a neuplatňuje v důvěryhodných systémech systém řízení bezpečnosti informací v souladu s požadavky uvedenými v odstavci 1, musí být dosaženo nápravy. Provedení nápravy musí být dokumentováno a ověřeno auditem.
(7) Poskytovatel zajistí, aby prohlášení o výsledku auditu systému řízení bezpečnosti informací bylo zveřejněno ve zprávě pro uživatele.
(8) Poskytovatel zajistí, aby audit systému řízení bezpečnosti informací byl proveden před zahájením poskytování první kvalifikované certifikační služby a následně nejméně každé 2 roky.
Paragraf 9 vyhlášky 378/2006 stanovuje pravidla pro audit systému řízení bezpečnosti informací u kvalifikovaných poskytovatelů certifikačních služeb, jehož cílem je ověřit, zda poskytovatel zavedl a uplatňuje systém řízení bezpečnosti informací podle české technické normy.
Co to znamená v praxi
Poskytovatel certifikačních služeb musí mít zavedený systém řízení bezpečnosti informací, který je v souladu s českou technickou normou uvedenou v příloze č. 1 této vyhlášky.
Tento systém musí být ověřen nezávislým auditem, nebo certifikací na shodu s danou normou.
Audit provádí externí a nezávislá organizace podle požadavků jiné normy uvedené v příloze č. 1.
Výsledek auditu, včetně prohlášení o splnění požadavků, musí být součástí zprávy o auditu a poskytovatel jej musí zveřejnit ve zprávě pro uživatele.
Na co si dát pozor
Audit musí být proveden před zahájením poskytování první kvalifikované certifikační služby a následně nejméně ka. (Poznámka: Text paragrafu je useknutý, takže není jasná frekvence následných auditů.)
Pokud audit odhalí nedostatky, musí být provedena náprava, která musí být zdokumentována a ověřena dalším auditem.
Poskytovatel je povinen poskytnout auditujícímu subjektu zprávu o kontrole bezpečnostní shody a bezpečnostní dokumentaci.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.