§ 6 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Organizační bezpečnost
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 6 · IT právo a ochrana dat
Stručně: Paragraf 6 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti organizací v oblasti organizační bezpečnosti, zejména co se týče řízení systému bezpečnosti informací, informování zaměstnanců, zajištění zdrojů a určení a zastupitelnosti bezpečnostních rolí.
§ 6 Organizační bezpečnost
(1) Povinná osoba s ohledem na systém řízení bezpečnosti informací
a) zajistí stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací podle § 3 slučitelných se strategickým směřováním povinné osoby,
b) zajistí integraci systému řízení bezpečnosti informací do procesů povinné osoby,
c) zajistí dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací,
d) informuje zaměstnance o významu systému řízení bezpečnosti informací a významu dosažení shody s jeho požadavky se všemi dotčenými stranami,
e) zajistí podporu k dosažení zamýšlených výstupů systému řízení bezpečnosti informací,
f) vede zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací a podporuje je při tomto rozvíjení,
g) prosazuje neustálé zlepšování systému řízení bezpečnosti informací,
h) podporuje osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti,
i) zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role,
j) zajistí, aby byla zachována mlčenlivost administrátorů a osob zastávajících bezpečnostní role,
k) pro osoby zastávající bezpečnostní role zajistí příslušné pravomoci a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů a
l) zajistí testování plánů kontinuity činností, obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.
(2) Povinná osoba v rámci systému řízení bezpečnosti informací určí složení výboru pro řízení kybernetické bezpečnosti a bezpečnostní role a jejich práva a povinnosti související se systémem řízení bezpečnosti informací.
(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona určí osobu, která bude zastávat bezpečnostní roli
a) manažera kybernetické bezpečnosti,
b) architekta kybernetické bezpečnosti,
c) garanta aktiva a
d) auditora kybernetické bezpečnosti.
(4) Povinná osoba uvedená v § 3 písm. e) zákona určí role manažera kybernetické bezpečnosti a garanta aktiva. Ostatní bezpečnostní role podle odstavce 3 určí přiměřeně vzhledem k rozsahu a potřebám systému řízení bezpečnosti informací.
(5) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona zajistí zastupitelnost bezpečnostních rolí uvedených v odstavci 3 písm. a) a b).
(6) Povinná osoba uvedená v § 3 písm. e) zákona zajistí zastupitelnost bezpečnostní role manažera kybernetické bezpečnosti.
(7) Výbor pro řízení kybernetické bezpečnosti je tvořen osobami s příslušnými pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj systému řízení bezpečnosti informací a osobami významně se podílejícími na řízení a koordinaci činností spojených s kybernetickou bezpečností, jehož členem musí být alespoň jeden zástupce vrcholového vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti. Povinná osoba u výboru pro řízení kybernetické bezpečnosti přihlédne k doporučením uvedeným v příloze č. 6 k této vyhlášce.
Paragraf 6 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti organizací v oblasti organizační bezpečnosti, zejména co se týče řízení systému bezpečnosti informací, informování zaměstnanců, zajištění zdrojů a určení a zastupitelnosti bezpečnostních rolí.
Co to znamená v praxi
Povinná osoba musí mít jasně definovanou bezpečnostní politiku a cíle, které jsou v souladu s jejím celkovým strategickým směřováním.
Je nutné zajistit, aby zaměstnanci byli informováni o důležitosti kybernetické bezpečnosti a aby měli k dispozici potřebné zdroje pro její dodržování.
Organizace musí určit konkrétní bezpečnostní role (např. manažer kybernetické bezpečnosti, garant aktiva) a zajistit jejich zastupitelnost a dostatečné pravomoci a zdroje.
Je třeba pravidelně testovat plány pro zvládání kybernetických incidentů a obnovu činností.
Na co si dát pozor
Mlčenlivost administrátorů a osob zastávajících bezpečnostní role musí být zajištěna.
Pro osoby zastávající bezpečnostní role je nutné zajistit příslušné pravomoci a zdroje, včetně rozpočtových prostředků.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.