§ 8
Řízení aktiv
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení aktiv
a) identifikuje a eviduje primární aktiva,
b) určí garanty aktiv, kteří jsou odpovědní za primární aktiva, a
c) hodnotí důležitost primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní minimálně v rozsahu podle přílohy č. 1 k této vyhlášce.
(2) Při hodnocení důležitosti primárních aktiv je třeba především posoudit
a) rozsah a důležitost osobních údajů nebo obchodního tajemství,
b) rozsah dotčených právních povinností nebo jiných závazků,
c) rozsah narušení vnitřních řídících a kontrolních činností,
d) poškození veřejných, obchodních nebo ekonomických zájmů,
e) možné finanční ztráty,
f) rozsah narušení běžných činností orgánu a osoby uvedené v § 3 písm. c) až e) zákona,
g) dopady spojené s narušením důvěrnosti, integrity a dostupnosti a
h) dopady na zachování dobrého jména nebo ochranu dobré pověsti.
(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) identifikuje a eviduje podpůrná aktiva,
b) určí garanty aktiv, kteří jsou odpovědní za podpůrná aktiva, a
c) určí vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy.
(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona dále
a) stanoví pravidla ochrany, nutná pro zabezpečení jednotlivých úrovní aktiv tím, že
1. určí způsoby rozlišování jednotlivých úrovní aktiv,
2. stanoví pravidla pro manipulaci a evidenci s aktivy podle úrovní aktiv, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv a
3. stanoví přípustné způsoby používání aktiv,
b) zavede pravidla ochrany odpovídající úrovni aktiv a
c) určí způsoby pro spolehlivé smazání nebo ničení technických nosičů dat s ohledem na úroveň aktiv.