§ 29
Prokázání certifikace
Orgán a osoba uvedená v § 3 písm. c) až e) zákona, jejíž informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém je zcela zahrnut do rozsahu systému řízení bezpečnosti informací, který byl certifikován podle příslušné technické normy 1) akreditovaným certifikačním orgánem, a která vede dokumenty obsahující
a) popis rozsahu systému řízení bezpečnosti informací,
b) prohlášení politiky a cílů systému řízení bezpečnosti informací,
c) popis použité metody hodnocení rizik a zprávu o hodnocení rizik,
d) prohlášení o aplikovatelnosti,
e) certifikát systému řízení bezpečnosti informací splňující požadavky příslušné technické normy zabývající se bezpečností informací 1),
f) záznam o přezkoumání systému řízení bezpečnosti informací včetně souvisejících vstupů a výstupů přezkoumání a
g) zprávu z auditů provedených certifikačním orgánem včetně příslušných záznamů o nápravě zjištěných neshod s příslušnou normou,
splňuje požadavky na zavedení bezpečnostních opatření podle zákona a této vyhlášky.
------------------------------------------------------------------
1) ISO/IEC 27001 : 2013, případně ČSN ISO/IEC 27001 : 2014