Příloha č. 3
+------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Seznam certifikací pro oblast ochrany důvěrnosti, integrity a dostupnosti informací |
+------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| |
| - ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 |
| - ČSN ISO/IEC 27017 nebo ISO/IEC 27017 |
| - ČSN ISO/IEC 27018 nebo ISO/IEC 27018 |
| |
+------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Doklady o splnění |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.2 | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění |
| přílohy č. 2 | auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, |
| k této vyhlášce | kdy rozsah certifikace jmenovitě zahrnuje službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu, nebo |
| | v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje jmenovitě službu cloud computingu, kterou žádá poskytovatel zapsat |
| | do katalogu cloud computingu, čestné prohlášení, které služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný |
| | certifikát vystaven, a dále příslušné prohlášení o aplikovatelnosti. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.3 | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění |
| přílohy č. 2 | auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, |
| k této vyhlášce | kdy rozsah certifikace jmenovitě zahrnuje službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu, nebo |
| | v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje jmenovitě službu cloud computingu, kterou žádá poskytovatel zapsat |
| | do katalogu cloud computingu, čestné prohlášení, které služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný |
| | certifikát vystaven, a dále příslušné prohlášení o aplikovatelnosti. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.4 | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění |
| přílohy č. 2 | auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, |
| k této vyhlášce | kdy rozsah certifikace jmenovitě zahrnuje službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu a |
| | provozovanou v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017, nebo v případě, že rozsah certifikace uvedený na certifikátu |
| | nezahrnuje jmenovitě službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu, čestné prohlášení o tom, které |
| | služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný certifikát vystaven, a dále příslušné prohlášení |
| | o aplikovatelnosti. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.5 | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění |
| přílohy č. 2 | auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, |
| k této vyhlášce | kdy rozsah certifikace jmenovitě zahrnuje službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu a |
| | provozovanou v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017, nebo v případě, že rozsah certifikace uvedený na certifikátu |
| | nezahrnuje jmenovitě službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu, čestné prohlášení o tom, které |
| | služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný certifikát vystaven, a dále příslušné prohlášení |
| | o aplikovatelnosti. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.6 | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění |
| přílohy č. 2 | auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, |
| k této vyhlášce | kdy rozsah certifikace jmenovitě zahrnuje službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu a |
| | provozovanou v souladu s postupy normy ČSN ISO/IEC 27018 nebo ISO/IEC 27018, nebo v případě, že rozsah certifikace uvedený na certifikátu |
| | nezahrnuje jmenovitě službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu, čestné prohlášení, které služby |
| | spadají do rozsahu systému řízení bezpečnosti informací pro nějž byl daný certifikát vystaven, a dále příslušné prohlášení o aplikovatelnosti. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.7 | Auditní zprávu SOC 2® Type 2 v doménách bezpečnosti, dostupnosti, procesní integrity, důvěrnosti a soukromí nebo auditní zprávu o vyhodnocení |
| přílohy č. 2 | shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5) vydaný BSI, a to ve formě Type 2, přičemž tyto auditní zprávy |
| k této vyhlášce | nesmí být starší než 24 měsíců k datu podání žádosti o zápis do katalogu cloud computingu. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Poskytovatel dodá každých 15 měsíců evidence služby cloud computingu v katalogu cloud computingu vedeném Ministerstvem vnitra |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.2 | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který |
| přílohy č. 2 | byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra |
| k této vyhlášce | (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu cloud |
| | computingu zapsanou službu cloud computingu, nebo v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje v katalogu cloud |
| | computingu zapsanou službu cloud computingu, čestné prohlášení o tom, které služby spadají do rozsahu systému řízení bezpečnosti informací, |
| | pro nějž byl daný certifikát vystaven, a dále příslušné prohlášení o aplikovatelnosti. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.3 | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který |
| přílohy č. 2 | byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra |
| k této vyhlášce | (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu cloud |
| | computingu zapsanou službu cloud computingu, nebo v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje v katalogu cloud |
| | computingu zapsanou službu cloud computingu, čestné prohlášení o tom, které služby spadají do rozsahu systému řízení bezpečnosti informací, |
| | pro nějž byl daný certifikát vystaven, a dále příslušné prohlášení o aplikovatelnosti. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.4 | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který |
| přílohy č. 2 | byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra |
| k této vyhlášce | (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu cloud |
| | computingu zapsanou službu cloud computingu provozovanou v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017, nebo v případě, |
| | že rozsah certifikace uvedený na certifikátu nezahrnuje v katalogu cloud computingu zapsanou službu cloud computingu, čestné prohlášení |
| | o tom, které služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný certifikát vystaven, a dále příslušné |
| | prohlášení o aplikovatelnosti. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.5 | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který |
| přílohy č. 2 | byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra |
| k této vyhlášce | (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu cloud |
| | computingu zapsanou službu cloud computingu provozovanou v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017, nebo v případě, |
| | že rozsah certifikace uvedený na certifikátu nezahrnuje v katalogu cloud computingu zapsanou službu cloud computingu, čestné prohlášení |
| | o tom, které služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný certifikát vystaven, a dále příslušné |
| | prohlášení o aplikovatelnosti. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.6 | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který |
| přílohy č. 2 | byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra |
| k této vyhlášce | (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu cloud |
| | computingu zapsanou službu cloud computingu provozovanou v souladu s postupy normy ČSN ISO/IEC 27018 nebo ISO/IEC 27018, nebo v případě, |
| | že rozsah certifikace uvedený na certifikátu nezahrnuje v katalogu cloud computingu zapsanou službu cloud computingu, čestné prohlášení |
| | o tom, které služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný certifikát vystaven, a dále příslušné |
| | prohlášení o aplikovatelnosti. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| V případě, že některou ze skutečností dokládá poskytovatel předložením auditní zprávy SOC 2® Type 2, nesmí být tato auditní zpráva starší než 24 měsíců |
| k datu podání žádosti o zápis do katalogu cloud computingu nebo k datu dokládané skutečnosti. |
+------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Poskytovatel dodá každých 24 měsíců evidence služby cloud computingu v katalogu cloud computingu vedeném Ministerstvem vnitra |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 8.7 | Auditní zprávu SOC 2® Type 2 v doménách bezpečnosti, dostupnosti, procesní integrity, důvěrnosti a soukromí nebo auditní zprávu |
| přílohy č. 2 | o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5) vydaný BSI, a to ve formě Type 2, přičemž |
| k této vyhlášce | tyto auditní zprávy nesmí být starší než 24 měsíců. |
+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
------------------------------------------------------------------