§ 12
Řízení přístupu
(1) Povinná osoba na základě provozních a bezpečnostních potřeb řídí přístup k informačnímu a komunikačnímu systému a přijímá opatření, která slouží k zajištění ochrany údajů, které jsou používány pro přihlášení podle § 19 a 20, a která brání ve zneužití těchto údajů neoprávněnou osobou.
(2) Povinná osoba dále v rámci řízení přístupu k informačnímu a komunikačnímu systému
a) řídí přístup na základě skupin a rolí,
b) přidělí každému uživateli a administrátorovi přistupujícímu k informačnímu a komunikačnímu systému přístupová práva a oprávnění a jedinečný identifikátor,
c) řídí identifikátory, přístupová práva a oprávnění aplikací a technických účtů,
d) zavádí bezpečnostní opatření pro řízení přístupu zařízení k prostředkům informačního a komunikačního systému,
e) zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných technických zařízení, popřípadě i bezpečnostní opatření spojená s využitím technických zařízení, která povinná osoba nemá ve své správě,
f) omezí přidělování privilegovaných oprávnění na úroveň nezbytně nutnou k výkonu náplně práce,
g) omezí a kontroluje používání programových prostředků, které mohou být schopné překonat systémové nebo aplikační kontroly,
h) přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu,
i) provádí pravidelné přezkoumání nastavení veškerých přístupových oprávnění včetně rozdělení do přístupových skupin a rolí,
j) využívá nástroj pro správu a ověřování identity podle § 19 a nástroj pro řízení přístupových oprávnění podle § 20,
k) prosazuje, aby uživatelé při používání privátních autentizačních informací dodržovali stanovené postupy,
l) zajistí odebrání nebo změnu přístupových oprávnění při změně pozice nebo zařazení uživatelů, administrátorů nebo osob zastávajících bezpečnostní role,
m) zajistí odebrání nebo změnu přístupových oprávnění při ukončení nebo změně smluvního vztahu a
n) dokumentuje přidělování a odebírání přístupových oprávnění.