§ 4 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Bezpečnostní dokumentace informačního systému
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor · 523/2005 Sb. · § 4 · Ostatní právní předpisy
Stručně: Paragraf 4 vyhlášky 523/2005 stanovuje, že bezpečnost informačního systému je doložena dvěma typy dokumentace: projektovou a provozní, přičemž specifikuje, co každá z nich musí obsahovat.
§ 4 Bezpečnostní dokumentace informačního systému
(1) Bezpečnostní dokumentaci informačního systému tvoří
a) projektová bezpečnostní dokumentace informačního systému a
b) provozní bezpečnostní dokumentace informačního systému.
(2) Projektová bezpečnostní dokumentace informačního systému obsahuje
a) bezpečnostní politiku informačního systému a výsledky analýzy rizik,
b) návrh bezpečnosti informačního systému zajišťující splnění bezpečnostní politiky informačního systému, přičemž podrobnost jeho popisu musí umožnit přímou realizaci navrhovaných opatření, a
c) dokumentaci k testům bezpečnosti informačního systému.
(3) Provozní bezpečnostní dokumentace informačního systému obsahuje
a) bezpečnostní směrnice informačního systému, které předepisují činnost bezpečnostních správců informačního systému v jednotlivých rolích zavedených v informačním systému pro zajištění bezpečnostní správy informačního systému,
b) bezpečnostní směrnice informačního systému, které předepisují činnost správců informačního systému v jednotlivých rolích zavedených v informačním systému pro správu informačního systému, pokud se týká zajištění bezpečnosti informačního systému, a
c) bezpečnostní směrnice informačního systému, které předepisují činnost uživatelů informačního systému, pokud se týká zajištění bezpečnosti informačního systému.
Paragraf 4 vyhlášky 523/2005 stanovuje, že bezpečnost informačního systému je doložena dvěma typy dokumentace: projektovou a provozní, přičemž specifikuje, co každá z nich musí obsahovat.
Co to znamená v praxi
Pro každý informační systém, který nakládá s utajovanými informacemi, musí existovat písemná dokumentace rozdělená na fázi návrhu (projektová) a fázi provozu (provozní).
Projektová dokumentace musí zahrnovat bezpečnostní politiku, analýzu rizik, konkrétní návrh bezpečnostních opatření a dokumentaci k testům bezpečnosti.
Provozní dokumentace se zaměřuje na směrnice pro činnost bezpečnostních správců, správců informačního systému a uživatelů, a to z hlediska zajištění bezpečnosti.
Na co si dát pozor
Návrh bezpečnosti v projektové dokumentaci musí být popsán tak podrobně, aby bylo možné přímo realizovat navrhovaná opatření.
Bezpečnostní směrnice v provozní dokumentaci musí jasně předepisovat činnosti pro různé role (bezpečnostní správci, správci, uživatelé) s ohledem na bezpečnost.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.