§ 17
Požadavek odpovědnosti za činnost v informačním systému
(1) Uživatel, bezpečnostní správce a správce informačního systému dodržuje předepsané postupy stanovené v bezpečnostní dokumentaci informačního systému, kterými je zajišťována bezpečnost informačního systému.
(2) Informace o činnosti subjektu informačního systému v informačním systému se zaznamenává tak, aby bylo možno identifikovat narušení bezpečnosti informačního systému nebo pokusy o ně. Záznamy o činnosti subjektu informačního systému v informačním systému se uchovávají pro zpětné zkoumání po dobu stanovenou v bezpečnostní politice informačního systému.
(3) Vyžaduje-li to činnost, pro kterou je informační systém zřízen, je v informačním systému zajišťována nepopiratelnost stanovených jednání či událostí. V případě, že je v informačním systému požadována funkcionalita spisové služby v elektronické podobě 6), musí být software, kterým je realizována, hodnocen během certifikace informačního systému.
------------------------------------------------------------------
6) Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů.