§ 28 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – BEZPEČNOSTNÍ DOKUMENTACE

§ 28 BEZPEČNOSTNÍ DOKUMENTACE (1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona vede a aktualizuje bezpečnostní dokumentaci, která obsahuje a) bezpečnostní politiku podle § 5 odst. 1, b) zprávy z auditu kybernetické bezpečnosti podle § 3 odst. 1 písm. f), c) zprávy z přezkoumání systému řízení bezpečnosti informací podle § 3 odst. 1 písm. g), d) metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik, e) zprávu o hodnocení aktiv a rizik, f) prohlášení o aplikovatelnosti, g) plán zvládání rizik, h) plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a), i) zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e), j) strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a k) přehled právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a). (2) Orgán a osoba uvedená v § 3 písm. e) zákona vede a aktualizuje bezpečnostní dokumentaci, která obsahuje a) bezpečnostní politiku podle § 5 odst. 2, b) metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle § 4 odst. 2 písm. a), c) zprávu o hodnocení aktiv a rizik podle § 4 odst. 2 písm. b) a c), d) prohlášení o aplikovatelnosti podle § 4 odst. 2 písm. d), e) plán zvládání rizik podle § 4 odst. 2 písm. e), f) plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a), g) zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e), h) strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a i) přehled právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a). (3) Orgán a osoba uvedená v § 3 písm. c) až e) zákona vede bezpečnostní dokumentaci tak, aby záznamy o provedených činnostech byly úplné, čitelné, snadno identifikovatelné a aby se daly snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů o provedených činnostech dokumentuje. (4) Doporučená struktura bezpečnostní dokumentace je stanovena v příloze č. 4 k této vyhlášce.