§ 6 Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – Požadavek odpovědnosti za činnost v informačním systému

§ 6 Požadavek odpovědnosti za činnost v informačním systému (1) Uživatelé informačního systému odpovídají za dodržování jim stanovených povinností, kterými je zajišťována bezpečnost informačního systému. Tyto povinnosti jsou stanoveny v provozní bezpečnostní dokumentaci informačního systému, včetně stanovení odpovědnosti za ochranu jednotlivých aktiv informačního systému. (2) V informačním systému se zavádí role bezpečnostního správce informačního systému odděleně od role správce informačního systému. (3) Role bezpečnostního správce informačního systému obsahuje výkon správy bezpečnosti informačního systému, spočívající zejména v přidělování přístupových práv, správě autentizačních a autorizačních informací, vyhodnocování auditních záznamů, aktualizaci bezpečnostních směrnic, vypracování zprávy o bezpečnostním incidentu a dalších činnostech stanovených v provozní bezpečnostní dokumentaci informačního systému. (4) Informace o činnosti subjektu v informačním systému se zaznamenává tak, aby narušení bezpečnosti informačního systému nebo pokusy o ně bylo možno přiřadit konkrétnímu uživateli v každé jeho roli v informačním systému. Záznamy se uchovávají po dobu stanovenou v bezpečnostní politice informačního systému.