§ 18
Bezpečnostní požadavky na bezpečnostní a provozní správu
(1) Popis bezpečnosti systému stanoví vhodnou strukturu bezpečnostní a provozní správy. V rámci struktury bezpečnostní správy zavede provozovatel systému roli bezpečnostního správce odděleně od jiných rolí správy, pokud není dále stanoveno jinak. V rámci struktury provozní správy zavede provozovatel systému roli provozního správce.
(2) Bezpečnostní správce je uživatel v roli pracovníka správy s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění činností k zajištění bezpečnosti systému.
(3) Provozní správce je uživatel v roli pracovníka správy s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění činností k zajištění požadované funkčnosti systému a řízení jeho provozu.
(4) V případě potřeby zajistit stanovený rozsah činností k zajištění bezpečnosti nebo provozuschopnosti systému zavede provozovatel systému organizační strukturu bezpečnostních nebo provozních správců nebo další role v bezpečnostní nebo provozní správě.
(5) Výkon bezpečnostní správy spočívá v
a) přidělování přístupových práv,
b) správě autentizačních a autorizačních informací,
c) správě konfigurace systému,
d) správě a vyhodnocování auditních záznamů,
e) aktualizaci bezpečnostní dokumentace,
f) vedení příslušných evidencí,
g) řešení bezpečnostních incidentů a krizových situací a vypracování zpráv o nich,
h) zajištění školení uživatelů v oblasti bezpečnosti,
i) kontrole dodržování bezpečnostních opatření a
j) dalších činnostech stanovených v bezpečnostní dokumentaci.
(6) Výkon provozní správy spočívá v provádění činností k zajištění provozuschopnosti systému a v dalších činnostech stanovených v bezpečnostní dokumentaci.
(7) V odůvodněných případech lze v popisu bezpečnosti systému sloučit některé role bezpečnostní a provozní správy.