§ 4 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Řízení aktiv

§ 4 Řízení aktiv (1) Povinná osoba v rámci řízení aktiv a) stanoví metodiku pro identifikaci aktiv, b) stanoví metodiku pro hodnocení aktiv alespoň v rozsahu uvedeném v příloze č. 1 k této vyhlášce, c) identifikuje a eviduje aktiva, d) určí a eviduje garanty aktiv, e) hodnotí a eviduje primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní podle písmene b), f) určí a eviduje vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy, g) hodnotí podpůrná aktiva a zohledňuje přitom zejména vzájemné závislosti podle písmene f), h) na základě hodnocení aktiv stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jednotlivých úrovní aktiv, i) stanoví přípustné způsoby používání aktiv a pravidla pro manipulaci s aktivy s ohledem na úroveň aktiv, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv, a j) určí způsob likvidace dat, provozních údajů, informací a jejich kopií nebo likvidaci technických nosičů dat s ohledem na úroveň aktiv v souladu s přílohou č. 4 k této vyhlášce. (2) Při hodnocení důležitosti primárních aktiv je třeba posoudit alespoň a) rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů nebo obchodního tajemství, b) rozsah dotčených právních povinností nebo jiných závazků, c) rozsah narušení vnitřních řídicích a kontrolních činností, d) poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztráty, e) dopady na poskytování důležitých služeb, f) rozsah narušení běžných činností, g) dopady na zachování dobrého jména nebo ochranu dobré pověsti, h) dopady na bezpečnost a zdraví osob, i) dopady na mezinárodní vztahy a j) dopady na uživatele informačního a komunikačního systému.