§ 4
Řízení aktiv
(1) Povinná osoba v rámci řízení aktiv
a) stanoví metodiku pro identifikaci aktiv,
b) stanoví metodiku pro hodnocení aktiv alespoň v rozsahu uvedeném v příloze č. 1 k této vyhlášce,
c) identifikuje a eviduje aktiva,
d) určí a eviduje garanty aktiv,
e) hodnotí a eviduje primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní podle písmene b),
f) určí a eviduje vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy,
g) hodnotí podpůrná aktiva a zohledňuje přitom zejména vzájemné závislosti podle písmene f),
h) na základě hodnocení aktiv stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jednotlivých úrovní aktiv,
i) stanoví přípustné způsoby používání aktiv a pravidla pro manipulaci s aktivy s ohledem na úroveň aktiv, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv, a
j) určí způsob likvidace dat, provozních údajů, informací a jejich kopií nebo likvidaci technických nosičů dat s ohledem na úroveň aktiv v souladu s přílohou č. 4 k této vyhlášce.
(2) Při hodnocení důležitosti primárních aktiv je třeba posoudit alespoň
a) rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů nebo obchodního tajemství,
b) rozsah dotčených právních povinností nebo jiných závazků,
c) rozsah narušení vnitřních řídicích a kontrolních činností,
d) poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztráty,
e) dopady na poskytování důležitých služeb,
f) rozsah narušení běžných činností,
g) dopady na zachování dobrého jména nebo ochranu dobré pověsti,
h) dopady na bezpečnost a zdraví osob,
i) dopady na mezinárodní vztahy a
j) dopady na uživatele informačního a komunikačního systému.