§ 4 Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – Bezpečnostní dokumentace informačního systému

§ 4 Bezpečnostní dokumentace informačního systému (1) Bezpečnostní dokumentaci informačního systému tvoří: a) projektová bezpečnostní dokumentace informačního systému, b) provozní bezpečnostní dokumentace informačního systému. (2) Projektová bezpečnostní dokumentace informačního systému musí obsahovat: a) bezpečnostní politiku informačního systému a vyhodnocení analýzy rizik, b) návrh bezpečnostních opatření pro jednotlivé fáze návrhu informačního systému, c) dokumentaci k testům bezpečnosti informačního systému. (3) Provozní bezpečnostní dokumentace informačního systému musí obsahovat: a) bezpečnostní směrnici informačního systému, která popisuje činnost bezpečnostního správce v příslušném informačním systému, b) bezpečnostní směrnice pro jednotlivé typy uživatelů informačního systému. (4) Bezpečnostní dokumentace uvedená v odstavci 2 a odstavci 3 písm. a) se klasifikuje a označuje stupněm utajení shodným s nejvyšším stupněm utajení utajované informace, se kterou informační systém nakládá.