2. Obsah bezpečnostní dokumentace
2.1. Zpráva z auditu kybernetické bezpečnosti
a) Cíle auditu kybernetické bezpečnosti.
b) Předmět auditu kybernetické bezpečnosti.
c) Kritéria auditu kybernetické bezpečnosti.
d) Identifikování týmu auditorů a osob, které se auditu kybernetické bezpečnosti zúčastnily.
e) Datum a místo, kde byly prováděny činnosti při auditu kybernetické bezpečnosti.
f) Zjištění z auditu kybernetické bezpečnosti.
g) Závěry auditu kybernetické bezpečnosti.
2.2. Zpráva z přezkoumání systému řízení bezpečnosti informací
a) Vyhodnocení opatření z předchozího přezkoumání systému řízení bezpečnosti informací.
b) Identifikace změn a okolností, které mohou mít vliv na systém řízení bezpečnosti informací.
c) Zpětná vazba o výkonnosti řízení bezpečnosti informací
1. neshody a nápravná opatření,
2. výsledky monitorování a měření,
3. výsledky auditu,
4. naplnění cílů systému řízení bezpečnosti informací.
d) Výsledky hodnocení rizik a stav plánu zvládání rizik.
e) Identifikace možností pro neustálé zlepšování.
f) Doporučení potřebných rozhodnutí, stanovení opatření a osob zajišťujících výkon jednotlivých činností.
2.3. Metodika pro identifikaci a hodnocení aktiv a pro hodnocení rizik
a) Určení stupnice pro hodnocení primárních aktiv
1. určení stupnice pro hodnocení úrovní důvěrnosti aktiv,
2. určení stupnice pro hodnocení úrovní integrity aktiv,
3. určení stupnice pro hodnocení úrovní dostupnosti aktiv.
b) Určení stupnice pro hodnocení rizik
1. určení stupnice pro hodnocení úrovní dopadu,
2. určení stupnice pro hodnocení úrovní hrozby,
3. určení stupnice pro hodnocení úrovní zranitelnosti,
4. určení stupnice pro hodnocení úrovní rizik.
c) Metody a přístupy pro zvládání rizik.
d) Způsoby schvalování akceptovatelných rizik.
2.4. Zpráva o hodnocení aktiv a rizik
a) Přehled primárních aktiv
1. identifikace a popis primárních aktiv,
2. určení garantů primárních aktiv,
3. hodnocení primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti.
b) Přehled podpůrných aktiv
1. identifikace a popis podpůrných aktiv,
2. určení garantů podpůrných aktiv,
3. určení vazeb mezi primárními a podpůrnými aktivy.
c) Hodnocení rizik
1. posouzení možných dopadů na aktiva,
2. hodnocení existujících hrozeb,
3. hodnocení existujících zranitelností, hodnocení existujících opatření,
4. stanovení úrovně rizika, porovnání této úrovně s kritérii pro akceptovatelnost rizik,
5. určení a schválení akceptovatelných rizik.
d) Zvládání rizik
1. návrh způsobu zvládání rizik,
2. návrh opatření a jejich realizace.
2.5. Prohlášení o aplikovatelnosti
a) Přehled vyloučených bezpečnostních opatření požadovaných touto vyhláškou včetně zdůvodnění, proč nebyla aplikována.
b) Přehled zavedených bezpečnostních opatření včetně způsobu jejich implementace.
2.6. Plán zvládání rizik
a) Obsah a cíle vybraných bezpečnostních opatření pro zvládání rizik včetně vazby na konkrétní rizika.
b) Potřebné zdroje pro jednotlivá bezpečnostní opatření pro zvládání rizik.
c) Osoby zajišťující jednotlivá bezpečnostní opatření pro zvládání rizik.
d) Termíny zavedení jednotlivých bezpečnostních opatření pro zvládání rizik.
e) Způsob realizace bezpečnostních opatření.
f) Způsoby hodnocení úspěšnosti zavedení jednotlivých bezpečnostních opatření pro zvládání rizik.
2.7. Plán rozvoje bezpečnostního povědomí
a) Obsah a termíny poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role.
b) Obsah a termíny poučení nových zaměstnanců.
c) Přehledy, které obsahují předmět jednotlivých školení a seznam osob, které školení absolvovaly.
d) Formy a způsoby hodnocení plánu.
2.8. Evidence změn
a) Evidence životního cyklu významných změn.
b) Záznamy o změnách konfigurace podpůrných aktiv.
2.9. Hlášené kontaktní údaje
Přehled hlášených kontaktních údajů.
2.10. Přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků
a) Přehled obecně závazných právních předpisů.
b) Přehled vnitřních předpisů a jiných předpisů.
c) Přehled smluvních závazků.
2.11. Další doporučená dokumentace
a) Topologie infrastruktury.
b) Přehled síťových zařízení.
------------------------------------------------------------------