§ 3 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – ORGANIZAČNÍ OPATŘENÍ
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 3 · IT právo a ochrana dat
Stručně: Paragraf 3 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti organizací v rámci řízení bezpečnosti informací, které zahrnují určení rozsahu systému, stanovení cílů, zavedení bezpečnostních opatření, řízení rizik, vytvoření bezpečnostní politiky, zajištění auditu a pravidelné vyhodnocování účinnosti.
§ 3 ORGANIZAČNÍ OPATŘENÍ
Povinná osoba v rámci systému řízení bezpečnosti informací
a) stanoví s ohledem na požadavky dotčených stran a organizační bezpečnost rozsah systému řízení bezpečnosti informací, ve kterém určí organizační části a aktiva, jichž se systém řízení bezpečnosti informací týká,
b) stanoví cíle systému řízení bezpečnosti informací,
c) pro stanovený rozsah systému řízení bezpečnosti informací na základě cílů systému řízení bezpečnosti informací, bezpečnostních potřeb a hodnocení rizik zavede přiměřená bezpečnostní opatření,
d) řídí rizika podle § 5,
e) vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací, a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku v dalších oblastech podle § 30 a zavede přiměřená bezpečnostní opatření,
f) zajistí provedení auditu kybernetické bezpečnosti u informačního a komunikačního systému (dále jen „audit kybernetické bezpečnosti“) podle § 16,
g) zajistí pravidelné vyhodnocování účinnosti systému řízení bezpečnosti informací, které obsahuje hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik, posouzení výsledků provedených auditů kybernetické bezpečnosti a dopadů kybernetických bezpečnostních incidentů na systém řízení bezpečnosti informací,
h) průběžně identifikuje a následně podle § 11 řídí významné změny, které patří do rozsahu systému řízení bezpečnosti informací,
i) aktualizuje systém řízení bezpečnosti informací a příslušnou dokumentaci na základě zjištění auditů kybernetické bezpečnosti, výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací a v souvislosti s prováděnými významnými změnami a
j) řídí provoz a zdroje systému řízení bezpečnosti informací a zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik.
Paragraf 3 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti organizací v rámci řízení bezpečnosti informací, které zahrnují určení rozsahu systému, stanovení cílů, zavedení bezpečnostních opatření, řízení rizik, vytvoření bezpečnostní politiky, zajištění auditu a pravidelné vyhodnocování účinnosti.
Co to znamená v praxi
Povinná osoba musí jasně vymezit, kterých organizačních částí a aktiv se systém řízení bezpečnosti informací týká a jaké jsou jeho cíle.
Na základě hodnocení rizik a bezpečnostních potřeb je nutné zavést konkrétní a přiměřená bezpečnostní opatření a vytvořit bezpečnostní politiku.
Je třeba pravidelně provádět audit kybernetické bezpečnosti a vyhodnocovat účinnost celého systému, včetně revize rizik a dopadů incidentů.
Systém řízení bezpečnosti informací a související dokumentace musí být průběžně aktualizovány s ohledem na zjištění z auditů, vyhodnocení a významné změny.
Na co si dát pozor
Je důležité, aby rozsah systému řízení bezpečnosti informací byl stanoven s ohledem na požadavky dotčených stran a organizační bezpečnost.
Bezpečnostní politika musí obsahovat hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti a musí být schválena.
Pravidelné vyhodnocování účinnosti systému musí zahrnovat hodnocení stavu, revizi hodnocení rizik, posouzení výsledků auditů a dopadů kybernetických bezpečnostních incidentů.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.