§ 5
Bezpečnostní politika
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona stanoví bezpečnostní politiku v oblastech
a) systém řízení bezpečnosti informací,
b) organizační bezpečnost,
c) řízení vztahů s dodavateli,
d) klasifikace aktiv,
e) bezpečnost lidských zdrojů,
f) řízení provozu a komunikací,
g) řízení přístupu,
h) bezpečné chování uživatelů,
i) zálohování a obnova,
j) bezpečné předávání a výměna informací,
k) řízení technických zranitelností,
l) bezpečné používání mobilních zařízení,
m) poskytování a nabývání licencí programového vybavení a informací,
n) dlouhodobé ukládání a archivace informací,
o) ochrana osobních údajů,
p) fyzická bezpečnost,
q) bezpečnost komunikační sítě,
r) ochrana před škodlivým kódem,
s) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí,
t) využití a údržba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí a
u) používání kryptografické ochrany.
(2) Orgán a osoba uvedená v § 3 písm. e) zákona stanoví bezpečnostní politiku v oblastech
a) systém řízení bezpečnosti informací,
b) organizační bezpečnost,
c) řízení dodavatelů,
d) klasifikace aktiv,
e) bezpečnost lidských zdrojů,
f) řízení provozu a komunikací,
g) řízení přístupu,
h) bezpečné chování uživatelů,
i) zálohování a obnova,
j) poskytování a nabývání licencí programového vybavení a informací,
k) ochrana osobních údajů,
l) používání kryptografické ochrany,
m) ochrana před škodlivým kódem a
n) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí.
(3) Orgán a osoba uvedená v § 3 písm. c) až e) zákona pravidelně hodnotí účinnost bezpečnostní politiky a aktualizuje ji.