§ 8
Bezpečnostní politika informačního systému
(1) Pro každý informační systém musí být již v počáteční fázi jeho vývoje zpracována bezpečnostní politika informačního systému. Bezpečnostní politiku informačního systému tvoří soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace a odpovědnost uživatele za jeho činnost v informačním systému. Zásady bezpečnostní politiky jsou rozpracovány v projektové a provozní bezpečnostní dokumentaci informačního systému.
(2) Bezpečnostní politika informačního systému musí být zpracována v souladu s právními předpisy a mezinárodními smlouvami, kterými je Česká republika vázána, a s bezpečnostní politikou nadřízeného orgánu, pokud byla zpracována.
(3) Při formulaci bezpečnostní politiky informačního systému a posuzování bezpečnostních vlastností komponentů informačního systému lze využít též mezinárodních standardizovaných bezpečnostních specifikací. 1)
------------------------------------------------------------------
1) Např. kritéria bezpečnosti Trusted computer system evaluation criteria (TCSEC), Information technology security evaluation criteria (ITSEC), Common criteria (CC) nebo Canadian trusted computer product evaluation criteria (CTCPEC).