§ 37 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Bezpečnostní politika
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 37 · Ostatní právní předpisy
Stručně: Paragraf 37 vyhlášky 479/2024 definuje bezpečnostní politiku jako soubor pravidel a postupů pro zajištění informační bezpečnosti a odpovědnosti uživatele, která musí obsahovat prohlášení odpovědné osoby a stanovit způsob zajištění pravosti a nepopiratelnosti informací, je-li to nutné.
§ 37 Bezpečnostní politika
(1) Bezpečnostní politika
a) je tvořena souborem obecných pravidel a postupů, který vymezuje způsob, jakým má být zajištěna informační bezpečnost a odpovědnost uživatele za jeho činnost v systému, který je konkretizován jako bezpečnostní opatření v popisu bezpečnosti systému,
b) obsahuje prohlášení odpovědné osoby nebo bezpečnostního ředitele o naplnění požadavků právních předpisů z oblasti ochrany utajovaných informací a
c) stanoví způsob zajištění pravosti a nepopiratelnosti informací, je-li to nutné.
(2) U informačního systému musí být bezpečnostní politika průběžně přezkoumávána, vyhodnocována a aktualizována, nejpozději však bezprostředně před podáním opakované žádosti o certifikaci podle § 48.
Paragraf 37 vyhlášky 479/2024 definuje bezpečnostní politiku jako soubor pravidel a postupů pro zajištění informační bezpečnosti a odpovědnosti uživatele, která musí obsahovat prohlášení odpovědné osoby a stanovit způsob zajištění pravosti a nepopiratelnosti informací, je-li to nutné.
Co to znamená v praxi
Bezpečnostní politika je základní dokument, který stanovuje, jak se má v systému nakládat s informacemi a jaká jsou pravidla pro zajištění jejich bezpečnosti.
Musí v ní být jasně uvedeno, kdo je za bezpečnost odpovědný a jakým způsobem se bude ověřovat pravost a nepopiratelnost informací, pokud je to potřeba.
Tento dokument není statický, ale musí být pravidelně kontrolován, vyhodnocován a aktualizován, zejména před každou opakovanou certifikací systému.
Bezpečnostní politika je součástí projektové bezpečnostní dokumentace, jak vyplývá z § 36 odst. 2 písm. a).
Na co si dát pozor
Prohlášení odpovědné osoby nebo bezpečnostního ředitele o naplnění požadavků právních předpisů z oblasti ochrany utajovaných informací je povinnou součástí bezpečnostní politiky.
Pravidelné přezkoumávání, vyhodnocování a aktualizace bezpečnostní politiky je nezbytné, přičemž nejzazší termín je bezprostředně před podáním opakované žádosti o certifikaci.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.