§ 22
Požadavky na bezpečnost provozovaného informačního systému
(1) Bezpečnost provozovaného informačního systému musí být průběžně, s ohledem na skutečný stav informačního systému, prověřována a vyhodnocována. Dílčí změnu v informačním systému je možno provést až po vyhodnocení vlivu této změny na bezpečnost informačního systému.
(2) Integrita programového vybavení i utajovaných informací musí být chráněna před působením škodlivého kódu.
(3) V provozovaném informačním systému může být používáno pouze programové vybavení, které bylo dodáno provozovatelem informačního systému.
(4) V provozovaném informačním systému musí být prováděno zálohování programového vybavení a utajovaných informací. Záloha programového vybavení a utajovaných informací musí být uložena tak, aby nemohlo dojít k jejímu poškození nebo zničení při ohrožení informačního systému.
(5) Servisní činnost v provozovaném informačním systému se musí organizovat tak, aby nebyla ohrožena jeho bezpečnost. Z nosičů utajovaných informací informačního systému přístupných při servisní činnosti musí být vymazány utajované informace a dálková diagnostika musí být zabezpečena před zneužitím.
(6) V provozovaném informačním systému musí být v termínech stanovených v bezpečnostní dokumentaci informačního systému a při vzniku krizové situace neprodleně prováděno vyhodnocení auditních záznamů. Auditní záznamy musí být archivovány po dobu stanovenou v bezpečnostní dokumentaci informačního systému.
(7) Pro řešení krizové situace provozovaného informačního systému musí být v bezpečnostní dokumentaci informačního systému stanovena opatření zaměřená na jeho uvedení do známého bezpečného stavu. V bezpečnostní dokumentaci informačního systému musí být uvedena tato opatření:
a) činnost následující bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod,
b) činnost následující po vzniku krizové situace zaměřená na likvidaci následků krizové situace včetně vymezení osobní odpovědnosti za jednotlivé úkoly,
c) způsob zálohování informačního systému,
d) způsob zajišťování servisní činnosti,
e) způsob zajištění nouzového provozu informačního systému s vyjmenováním minimálních funkcí, které musí být zachovány,
f) způsob obnovy funkčnosti a uvedení informačního systému do známého bezpečného stavu.
(8) Před likvidací informačního systému musí být provedeno vyjmutí, vymazání nebo zničení utajovaných informací, se kterými informační systém nakládal.