§ 8 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Řízení aktiv

§ 8 Řízení aktiv (1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení aktiv a) identifikuje a eviduje primární aktiva, b) určí garanty aktiv, kteří jsou odpovědní za primární aktiva, a c) hodnotí důležitost primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní minimálně v rozsahu podle přílohy č. 1 k této vyhlášce. (2) Při hodnocení důležitosti primárních aktiv je třeba především posoudit a) rozsah a důležitost osobních údajů nebo obchodního tajemství, b) rozsah dotčených právních povinností nebo jiných závazků, c) rozsah narušení vnitřních řídících a kontrolních činností, d) poškození veřejných, obchodních nebo ekonomických zájmů, e) možné finanční ztráty, f) rozsah narušení běžných činností orgánu a osoby uvedené v § 3 písm. c) až e) zákona, g) dopady spojené s narušením důvěrnosti, integrity a dostupnosti a h) dopady na zachování dobrého jména nebo ochranu dobré pověsti. (3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále a) identifikuje a eviduje podpůrná aktiva, b) určí garanty aktiv, kteří jsou odpovědní za podpůrná aktiva, a c) určí vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy. (4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona dále a) stanoví pravidla ochrany, nutná pro zabezpečení jednotlivých úrovní aktiv tím, že 1. určí způsoby rozlišování jednotlivých úrovní aktiv, 2. stanoví pravidla pro manipulaci a evidenci s aktivy podle úrovní aktiv, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv a 3. stanoví přípustné způsoby používání aktiv, b) zavede pravidla ochrany odpovídající úrovni aktiv a c) určí způsoby pro spolehlivé smazání nebo ničení technických nosičů dat s ohledem na úroveň aktiv.