§ 5 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Stanovení bezpečnostních rolí

§ 5 Stanovení bezpečnostních rolí (1) Manažer kybernetické bezpečnosti a) je pověřen řízením systému řízení bezpečnosti informací, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací po dobu alespoň 3 let, b) odpovídá za pravidelné informování vrcholného vedení o 1. činnostech vyplývajících z rozsahu jeho odpovědnosti a 2. stavu systému řízení bezpečnosti informací, c) nesmí být pověřen výkonem rolí odpovědných za provoz technických aktiv regulované služby. (2) Architekt kybernetické bezpečnosti je pověřen k zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním bezpečné architektury v délce alespoň 3 let. (3) Garant aktiva je pověřen k zajištění rozvoje, použití a bezpečnost aktiva. (4) Auditor kybernetické bezpečnosti a) je pověřen prováděním auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací v délce alespoň 3 let, b) zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné, a c) nesmí být pověřen výkonem jiných bezpečnostních rolí.