I. Struktura bezpečnostní politiky
(1) Politika systému řízení bezpečnosti informací *)
[§ 5 odst. 1 písm. a), § 5 odst. 2 písm. a)]
a) Cíle, principy a potřeby řízení bezpečnosti informací.
b) Rozsah a hranice systému řízení bezpečnosti informací.
c) Pravidla a postupy pro řízení dokumentace.
d) Pravidla a postupy pro řízení zdrojů a provozu systému řízení bezpečnosti informací.
e) Pravidla a postupy pro provádění auditů kybernetické bezpečnosti.
f) Pravidla a postupy pro přezkoumání systému řízení bezpečnosti informací.
g) Pravidla a postupy pro nápravná opatření a zlepšování systému řízení bezpečnosti informací.
(2) Politika organizační bezpečnosti **)
[§ 5 odst. 1 písm. b), § 5 odst. 2 písm. b)]
a) Určení bezpečnostních rolí a jejich práv a povinností,
1. práva a povinnosti manažera kybernetické bezpečnosti,
2. práva a povinnosti architekta kybernetické bezpečnosti,
3. práva a povinnosti auditora kybernetické bezpečnosti,
4. práva a povinnosti garanta aktiv,
5. práva a povinnosti výboru pro řízení kybernetické bezpečnosti.
b) Požadavky na oddělení výkonu činností jednotlivých bezpečnostních rolí.
(3) Politika řízení dodavatelů **)
[§ 5 odst. 1 písm. c), § 5 odst. 2 písm. c)]
a) Pravidla a principy pro výběr dodavatelů.
b) Pravidla pro hodnocení rizik dodavatelů.
c) Náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti.
d) Pravidla pro provádění kontroly zavedení bezpečnostních opatření.
e) Pravidla pro hodnocení dodavatelů.
(4) Politika klasifikace aktiv **)
[§ 5 odst. 1 písm. d), § 5 odst. 2 písm. d)]
a) Identifikace, hodnocení a evidence primárních aktiv
1. určení a evidence jednotlivých primárních aktiv včetně určení jejich garanta,
2. hodnocení důležitosti primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti.
b) Identifikace, hodnocení a evidence podpůrných aktiv
1. určení a evidence jednotlivých podpůrných aktiv včetně určení jejich garanta,
2. určení vazeb mezi primárními a podpůrnými aktivy.
c) Pravidla ochrany jednotlivých úrovní aktiv
1. způsoby rozlišování jednotlivých úrovní aktiv,
2. pravidla pro manipulaci a evidenci aktiv podle úrovní aktiv,
3. přípustné způsoby používání aktiv.
d) Způsoby spolehlivého smazání nebo ničení technických nosičů dat.
(5) Politika bezpečnosti lidských zdrojů **)
[§ 5 odst. 1 písm. e), § 5 odst. 2 písm. e)]
a) Pravidla rozvoje bezpečnostního povědomí a způsoby jeho hodnocení
1. způsoby a formy poučení uživatelů,
2. způsoby a formy poučení garantů aktiv,
3. způsoby a formy poučení administrátorů,
4. způsoby a formy poučení dalších osob zastávajících bezpečnostní role.
b) Bezpečnostní školení nových zaměstnanců.
c) Pravidla pro řešení případů porušení bezpečnostní politiky systému řízení bezpečnosti informací.
d) Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice.
1. vrácení svěřených aktiv a odebrání práv při ukončení pracovního vztahu,
2. změna přístupových oprávnění při změně pracovní pozice.
(6) Politika řízení provozu a komunikací **)
[§ 5 odst. 1 písm. f), § 5 odst. 2 písm. f)]
a) Pravomoci a odpovědnosti spojené s bezpečným provozem.
b) Postupy bezpečného provozu.
c) Požadavky a standardy bezpečného provozu.
d) Řízení technických zranitelností.
e) Pravidla a omezení pro provádění auditů kybernetické bezpečnosti a bezpečnostních testů.
(7) Politika řízení přístupu **)
[§ 5 odst. 1 písm. g), § 5 odst. 2 písm. g)]
a) Princip minimálních oprávnění/potřeba znát (need to know).
b) Požadavky na řízení přístupu.
c) Životní cyklus řízení přístupu.
d) Řízení privilegovaných oprávnění.
e) Řízení přístupu pro mimořádné situace.
f) Pravidelné přezkoumání přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách.
(8) Politika bezpečného chování uživatelů *)
[§ 5 odst. 1 písm. h), § 5 odst. 2 písm. h)]
a) Pravidla pro bezpečné nakládání s aktivy.
b) Bezpečné použití přístupového hesla.
c) Bezpečné použití elektronické pošty a přístupu na internet.
d) Bezpečný vzdálený přístup.
e) Bezpečné chování na sociálních sítích.
f) Bezpečnost ve vztahu k mobilním zařízením.
(9) Politika zálohování a obnovy **)
[§ 5 odst. 1 písm. i), § 5 odst. 2 písm. i)]
a) Požadavky na zálohování a obnovu.
b) Pravidla a postupy zálohování.
c) Pravidla bezpečného uložení záloh.
d) Pravidla a postupy obnovy.
e) Pravidla a postupy testování zálohování a obnovy.
(10) Politika bezpečného předávání a výměny informací **)
[§ 5 odst. 1 písm. j)]
a) Pravidla a postupy pro ochranu předávaných informací.
b) Způsoby ochrany elektronické výměny informací.
c) Pravidla pro využívání kryptografické ochrany.
(11) Politika řízení technických zranitelností **)
[§ 5 odst. 1 písm. k)]
a) Pravidla pro omezení instalace programového vybavení,
b) Pravidla a postupy vyhledávání opravných programových balíčků,
c) Pravidla a postupy testování oprav programového vybavení,
d) Pravidla a postupy nasazení oprav programového vybavení.
(12) Politika bezpečného používání mobilních zařízení *)
[§ 5 odst. 1 písm. 1)]
a) Pravidla a postupy pro bezpečné používání mobilních zařízení.
b) Pravidla a postupy pro zajištění bezpečnosti zařízení, kterými orgán a osoba uvedená v § 3 písm. c) a d) zákona nedisponuje.
(13) Politika poskytování a nabývání licencí programového vybavení a informací *)
[§ 5 odst. 1 písm. m), § 5 odst. 2 písm. j)]
a) Pravidla a postupy nasazení programového vybavení a jeho evidence.
b) Pravidla a postupy pro kontrolu dodržování licenčních podmínek.
(14) Politika dlouhodobého ukládání a archivace informací *)
[§ 5 odst. 1 písm. n)]
a) Pravidla a postupy archivace dokumentů a záznamů.
b) Ochrana archivovaných dokumentů a záznamů.
c) Politika přístupu k archivovaným dokumentům a záznamům.
(15) Politika ochrany osobních údajů *)
[§ 5 odst. 1 písm. o), § 5 odst. 2 písm. k)]
a) Charakteristika zpracovávaných osobních údajů.
b) Popis přijatých a provedených organizačních opatření pro ochranu osobních údajů.
c) Popis přijatých a provedených technických opatření pro ochranu osobních údajů.
(16) Politika fyzické bezpečnosti **)
[§ 5 odst. 1 písm. p)]
a) Pravidla pro ochranu objektů.
b) Pravidla pro kontrolu vstupu osob.
c) Pravidla pro ochranu zařízení.
d) Detekce narušení fyzické bezpečnosti.
(17) Politika bezpečnosti komunikační sítě **)
[§ 5 odst. 1 písm. q)]
a) Pravidla a postupy pro zajištění bezpečnosti sítě.
b) Určení práv a povinností za bezpečný provoz sítě.
c) Pravidla a postupy pro řízení přístupů v rámci sítě.
d) Pravidla a postupy pro ochranu vzdáleného přístupu k síti.
e) Pravidla a postupy pro monitorování sítě a vyhodnocování provozních záznamů.
(18) Politika ochrany před škodlivým kódem *)
[§ 5 odst. 1 písm. r), § 5 odst. 2 písm. m)]
a) Pravidla a postupy pro ochranu komunikace mezi vnitřní a vnější sítí.
b) Pravidla a postupy pro ochranu serverů a sdílených datových úložišť.
c) Pravidla a postupy pro ochranu pracovních stanic.
(19) Politika nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí **)
[§ 5 odst. 1 písm. s), § 5 odst. 2 písm. n)]
a) Pravidla a postupy nasazení nástroje pro detekci kybernetických bezpečnostních událostí.
b) Provozní postupy pro vyhodnocování a reagování na detekované kybernetické bezpečnostní události.
c) Pravidla a postupy pro optimalizaci nastavení nástroje pro detekci kybernetických bezpečnostních událostí.
(20) Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí **)
[§ 5 odst. 1 písm. t)]
a) Pravidla a postupy pro evidenci a vyhodnocení kybernetických bezpečnostních událostí.
b) Pravidla a postupy pravidelné aktualizace pravidel pro vyhodnocení kybernetických bezpečnostních událostí.
c) Pravidla a postupy pro optimální nastavení bezpečnostních vlastností nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí.
(21) Politika bezpečného používání kryptografické ochrany **)
[§ 5 odst. 1 písm. u), § 5 odst. 2 písm. l)]
a) Úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu.
b) Pravidla kryptografické ochrany informací
1. při přenosu po komunikačních sítích,
2. při uložení na mobilní zařízení nebo vyměnitelný technický nosič dat,
c) Systém správy klíčů.