§ 6
Požadavek odpovědnosti za činnost v informačním systému
(1) Uživatelé informačního systému odpovídají za dodržování jim stanovených povinností, kterými je zajišťována bezpečnost informačního systému. Tyto povinnosti jsou stanoveny v provozní bezpečnostní dokumentaci informačního systému, včetně stanovení odpovědnosti za ochranu jednotlivých aktiv informačního systému.
(2) V informačním systému se zavádí role bezpečnostního správce informačního systému odděleně od role správce informačního systému.
(3) Role bezpečnostního správce informačního systému obsahuje výkon správy bezpečnosti informačního systému, spočívající zejména v přidělování přístupových práv, správě autentizačních a autorizačních informací, vyhodnocování auditních záznamů, aktualizaci bezpečnostních směrnic, vypracování zprávy o bezpečnostním incidentu a dalších činnostech stanovených v provozní bezpečnostní dokumentaci informačního systému.
(4) Informace o činnosti subjektu v informačním systému se zaznamenává tak, aby narušení bezpečnosti informačního systému nebo pokusy o ně bylo možno přiřadit konkrétnímu uživateli v každé jeho roli v informačním systému. Záznamy se uchovávají po dobu stanovenou v bezpečnostní politice informačního systému.