§ 37 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Bezpečnostní politika

§ 37 Bezpečnostní politika (1) Bezpečnostní politika a) je tvořena souborem obecných pravidel a postupů, který vymezuje způsob, jakým má být zajištěna informační bezpečnost a odpovědnost uživatele za jeho činnost v systému, který je konkretizován jako bezpečnostní opatření v popisu bezpečnosti systému, b) obsahuje prohlášení odpovědné osoby nebo bezpečnostního ředitele o naplnění požadavků právních předpisů z oblasti ochrany utajovaných informací a c) stanoví způsob zajištění pravosti a nepopiratelnosti informací, je-li to nutné. (2) U informačního systému musí být bezpečnostní politika průběžně přezkoumávána, vyhodnocována a aktualizována, nejpozději však bezprostředně před podáním opakované žádosti o certifikaci podle § 48.