§ 7 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Bezpečnostní role
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 7 · IT právo a ochrana dat
Stručně: Paragraf 7 vyhlášky o kybernetické bezpečnosti definuje klíčové bezpečnostní role v oblasti kybernetické bezpečnosti, stanovuje jejich odpovědnosti a požadavky na odbornou způsobilost.
§ 7 Bezpečnostní role
(1) Manažer kybernetické bezpečnosti
a) je bezpečnostní role odpovědná za systém řízení bezpečnosti informací, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací
1. po dobu nejméně tří let, nebo
2. po dobu jednoho roku, pokud absolvovala studium na vysoké škole,
b) odpovídá za pravidelné informování vrcholového vedení o
1. činnostech vyplývajících z rozsahu jeho odpovědnosti a
2. stavu systému řízení bezpečnosti informací a
c) nesmí být pověřen výkonem rolí odpovědných za provoz informačního a komunikačního systému.
(2) Architekt kybernetické bezpečnosti je bezpečnostní role odpovědná za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura informačního a komunikačního systému, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním architektury bezpečnosti
a) po dobu nejméně tří let, nebo
b) po dobu jednoho roku, pokud absolvovala studium na vysoké škole.
(3) Garant aktiva je bezpečnostní role odpovědná za zajištění rozvoje, použití a bezpečnost aktiva.
(4) Auditor kybernetické bezpečnosti
a) je bezpečnostní role odpovědná za provádění auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací
1. po dobu nejméně tří let, nebo
2. po dobu jednoho roku, pokud absolvovala studium na vysoké škole,
b) zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné, a
c) nesmí být pověřen výkonem jiných bezpečnostních rolí.
(5) Povinná osoba při určování osob zastávajících bezpečnostní role přihlédne k doporučením uvedeným v příloze č. 6 k této vyhlášce.
Paragraf 7 vyhlášky o kybernetické bezpečnosti definuje klíčové bezpečnostní role v oblasti kybernetické bezpečnosti, stanovuje jejich odpovědnosti a požadavky na odbornou způsobilost.
Co to znamená v praxi
Povinné osoby musí mít určené osoby pro role manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti.
Pro manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti a auditora kybernetické bezpečnosti jsou stanoveny minimální požadavky na praxi (3 roky, nebo 1 rok s VŠ vzděláním).
Manažer kybernetické bezpečnosti musí pravidelně informovat vrcholové vedení o stavu systému řízení bezpečnosti informací.
Auditor kybernetické bezpečnosti musí zajistit nestrannost auditu a nesmí vykonávat jiné bezpečnostní role.
Na co si dát pozor
Manažer kybernetické bezpečnosti nesmí být pověřen výkonem rolí odpovědných za provoz informačního a komunikačního systému.
Auditor kybernetické bezpečnosti nesmí být pověřen výkonem jiných bezpečnostních rolí, aby byla zajištěna jeho nestrannost.
Při určování osob do bezpečnostních rolí je třeba přihlédnout k doporučením uvedeným v příloze č. 6 k této vyhlášce.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.