§ 18 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Bezpečnostní požadavky na bezpečnostní a provozní správu

§ 18 Bezpečnostní požadavky na bezpečnostní a provozní správu (1) Popis bezpečnosti systému stanoví vhodnou strukturu bezpečnostní a provozní správy. V rámci struktury bezpečnostní správy zavede provozovatel systému roli bezpečnostního správce odděleně od jiných rolí správy, pokud není dále stanoveno jinak. V rámci struktury provozní správy zavede provozovatel systému roli provozního správce. (2) Bezpečnostní správce je uživatel v roli pracovníka správy s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění činností k zajištění bezpečnosti systému. (3) Provozní správce je uživatel v roli pracovníka správy s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění činností k zajištění požadované funkčnosti systému a řízení jeho provozu. (4) V případě potřeby zajistit stanovený rozsah činností k zajištění bezpečnosti nebo provozuschopnosti systému zavede provozovatel systému organizační strukturu bezpečnostních nebo provozních správců nebo další role v bezpečnostní nebo provozní správě. (5) Výkon bezpečnostní správy spočívá v a) přidělování přístupových práv, b) správě autentizačních a autorizačních informací, c) správě konfigurace systému, d) správě a vyhodnocování auditních záznamů, e) aktualizaci bezpečnostní dokumentace, f) vedení příslušných evidencí, g) řešení bezpečnostních incidentů a krizových situací a vypracování zpráv o nich, h) zajištění školení uživatelů v oblasti bezpečnosti, i) kontrole dodržování bezpečnostních opatření a j) dalších činnostech stanovených v bezpečnostní dokumentaci. (6) Výkon provozní správy spočívá v provádění činností k zajištění provozuschopnosti systému a v dalších činnostech stanovených v bezpečnostní dokumentaci. (7) V odůvodněných případech lze v popisu bezpečnosti systému sloučit některé role bezpečnostní a provozní správy.