§ 3 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Organizační opatření

§ 3 Organizační opatření Povinná osoba v rámci systému řízení bezpečnosti informací a) stanoví cíle systému řízení bezpečnosti informací směřující k zajištění kybernetické bezpečnosti regulované služby, b) řídí rizika podle § 8, c) zavede a provádí přiměřená bezpečnostní opatření směřující k zajištění kybernetické bezpečnosti regulované služby na základě cílů systému řízení bezpečnosti informací, bezpečnostních potřeb a řízení rizik, d) stanoví bezpečnostní politiku a bezpečnostní dokumentaci ve vztahu k řízení kybernetické bezpečnosti, která obsahuje hlavní zásady, cíle systému řízení bezpečnosti informací, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací, a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku a bezpečnostní dokumentaci v dalších oblastech podle § 6, e) zajistí provedení auditu kybernetické bezpečnosti podle § 16, f) zajistí alespoň jednou ročně vyhodnocení účinnosti systému řízení bezpečnosti informací, které obsahuje 1. vyhodnocení cílů systému řízení bezpečnosti informací směřujících k zajištění kybernetické bezpečnosti regulované služby, 2. posouzení naplňování plánu zvládání rizik zpracovaného podle § 8 odst. 1 písm. g), 3. hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik, 4. posouzení výsledků provedených auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti, 5. výsledky předchozího hodnocení účinnosti systému řízení bezpečnosti informací provedených podle tohoto písmene, 6. posouzení dopadů kybernetických bezpečnostních incidentů na oblast kybernetické bezpečnosti a na poskytované služby podle § 15 a 7. posouzení významných změn podle § 11, g) zpracuje zprávu o přezkoumání systému řízení bezpečnosti informací na základě vyhodnocení účinnosti systému řízení bezpečnosti informací podle písmene f), h) aktualizuje systém řízení bezpečnosti informací a relevantní dokumentaci na základě 1. zjištění z auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti, 2. výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací, 3. dopadů kybernetických bezpečnostních incidentů na poskytované služby a 4. prováděných významných změn, i) řídí provoz a zdroje systému řízení bezpečnosti informací a zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik a j) stanoví proces řízení výjimek z pravidel stanovených v bezpečnostní politice podle písmene d).