(1) V rámci zabezpečenia riadenia bezpečnosti podľa § 14 ods. 1 písm. i) je správca povinný vo svojej organizácii zaviesť a udržiavať systém riadenia informačnej bezpečnosti, ktorý
a) určí ciele, rozsah, podmienky, povinnosti osôb, ktoré vykonávajú činnosť pre správcu a organizačných zložiek správcu a prostriedky riadenia bezpečnosti vo forme bezpečnostnej politiky alebo inak zdokumentovaných a schválených mechanizmov riadenia bezpečnosti informačných technológií verejnej správy,
b) zriadi riadiacu, výkonnú a kontrolnú zložku systému riadenia bezpečnosti, ktoré sú navzájom personálne a kompetenčne oddelené,
c) zabezpečí identifikovanie aktív v informačných technológiách verejnej správy, zraniteľností a relevantných hrozieb a hodnotenie rizík vyplývajúcich z hrozieb, najmä vo forme bezpečnostného projektu podľa § 23 ods. 1 a 2, v nadväznosti na kritickosť aktív v informačných technológiách verejnej správy, ich vývoj a na zmeny všeobecne záväzných právnych predpisov a podmienok v organizácii správcu,
d) zadefinuje mechanizmy rozhodovania o spôsobe riadenia identifikovaných rizík,
e) identifikuje potrebné bezpečnostné opatrenia,
f) určí bezpečnostné mechanizmy na procesnej, organizačnej a na technickej úrovni, v nadväznosti na identifikované bezpečnostné opatrenia a rozhodnutia o spôsobe riadenia rizika, a určí opatrenia na ochranu bezpečnosti a integrity informácií vrátane opatrení včasného varovania,
g) určí prostriedky na zabezpečenie implementácie a riadneho fungovania bezpečnostných opatrení,
h) určí prostriedky kontroly uplatňovania bezpečnostných mechanizmov,
i) určí postupy riešenia bezpečnostných incidentov pri narušení definovaných bezpečnostných cieľov v nadväznosti na mechanizmy riešenia bezpečnostných incidentov.
(2) Správca prostredníctvom riadiacej zložky systému riadenia bezpečnosti zabezpečuje prerokovanie a schválenie
a) koncepčných dokumentov a strategických opatrení týkajúcich sa bezpečnosti informačných technológií verejnej správy,
b) informácií o zaznamenaných bezpečnostných incidentoch spolu s návrhom opatrení na minimalizáciu ich opätovného výskytu,
c) návrhu opatrení vyplývajúcich z analýz, riešených bezpečnostných incidentov, havarijných stavov, kontrol a auditov bezpečnosti informačných technológií verejnej správy.
(3) Správca prostredníctvom výkonnej zložky systému riadenia bezpečnosti zabezpečuje
a) vypracovanie a aktualizáciu dokumentov upravujúcich systém riadenia bezpečnosti podľa odseku 1,
b) vyhodnocovanie stavu bezpečnosti informačných technológií verejnej správy najmenej jedenkrát do roka vo forme správy a jej predloženie riadiacej zložke,
c) realizáciu bezpečnostných opatrení,
d) plánovanie, koordináciu a vyhodnocovanie činností súvisiacich s riadením bezpečnostných rizík v oblasti bezpečnosti informačných technológií verejnej správy,
e) koordináciu riešenia bezpečnostných incidentov,
f) organizáciu vzdelávacej činnosti pre oblasť bezpečnosti informačných technológií verejnej správy.
(4) Správca prostredníctvom kontrolnej zložky systému riadenia bezpečnosti zabezpečuje
a)nezávislú kontrolu dodržiavania povinností v oblasti bezpečnosti informačných technológií verejnej správy,
b) hodnotenie súladu stavu bezpečnosti s požiadavkami všeobecne záväzných právnych predpisov.
(5) Správca pri plánovaní vytvorenia alebo nadobudnutia informačného systému verejnej správy
a) určí kategóriu informačného systému verejnej správy, do ktorej bude z hľadiska klasifikácie informácií a kategorizácie sietí a informačných systémov patriť,
b) vypracuje bezpečnostnú politiku, definuje bezpečnostné problémy, ktoré ochrana informačného systému verejnej správy musí riešiť a navrhne riešenie týchto problémov formou bezpečnostných cieľov,
c) určí osobu zodpovednú za bezpečnosť informačného systému verejnej správy, ktorá
1. rozpracuje bezpečnostné ciele podľa písmena b) do podoby bezpečnostných požiadaviek na vývoj alebo na dodanie informačného systému verejnej správy,
2. vypracuje plán postupu pre naplnenie bezpečnostných požiadaviek podľa prvého bodu a dohliada na ich dodržiavanie,
d) vypracuje analýzu rizík prostredia, v ktorom bude informačný systém verejnej správy prevádzkovaný.
Odkaz na Slov-lex