Právní předpis byl sestaven k datu 01.11.2025.
Zobrazené znění právního předpisu je účinné od 01.11.2025.
Vyhláška o bezpečnostních pravidlech pro orgány veřejné správy využívající služby poskytovatelů cloud computingu
412/2025 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Požadavky na způsobilost zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy §3
Účinnost §4
412
XXXXXXXX
xx dne 26. xxxx 2025
x xxxxxxxxxxxxxx xxxxxxxxxx pro xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxx cloud xxxxxxxxxx
&xxxx;
Xxxxxxx xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx (xxxx xxx „Xxxx“) stanoví podle §12 xxxx. 2 xxxx. h) xxxxxx x. 365/2000 Xx., x xxxxxxxxxxxx xxxxxxxxx xxxxxxx správy a x xxxxx xxxxxxxxx xxxxxxx xxxxxx, ve xxxxx xxxxxx x. 265/2025 Xx., (dále xxx „xxxxx“):
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxx xxxxx x xxxxxx bezpečnostních xxxxxxxx xxx xxxxxx xxxxxxx xxxxxx využívající xxxxxx xxxxxxxxxxxxx xxxxx computingu xxxxx §6l odst. 3 xxxxxx.
§2
Xxxxxxxx pojmů
Pro xxxxx xxxx vyhlášky xx xxxxxx
x) xxxxxxxxxx ten, xxx služby cloud xxxxxxxxxx prostřednictvím xxxx xxxxxx orgánu xxxxxxx xxxxxx xxxxxxx,
x) zákaznickými xxxx xxxxxxx data, xxxxx jsou xxxxxxxxxx xx straně xxxxxx xxxxxxx xxxxxx xxxxxxx xx xxxxxx xxxxx xxxxxxxxxx xxxx xxxx xxxxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxxx uživatelem x xxxxxxx využívání xxxxxx xxxxx xxxxxxxxxx,
x) xxxxxxxxxxx obsahem xxxxxxx, xxxxxxx, audiovizuální, xxxxxxxx xxxx xxxx xxxx, xxxxx byla xxxxxxxxxx xx služby xxxxx xxxxxxxxxx vložena, a xx bez xxxxxx xxxxxxx, a xxxxxx x xxxxx datům,
d) xxxxxxxxxxxx provozními xxxxx xxxxxx provozní xxxxx, xxxxx obsahují xxxxxxxxx x identifikovaném xxxx xxxxxxxxxxxxxxxxxx xxxxxxxxx na xxxxxx xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxx xx xxxxxxxxxxxx xxxx nebo provozními xxxxx v elektronické xxxxxx, xxxx xx xxxxxxxxxxx, zaznamenání, xxxxxxxxxx, xxxxxxxxxxxxx, xxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxx, xxxxxxxxx, xxxxxxxxxx, xxxxxxx, zpřístupnění xxxxxxxx, xxxxxx xxxx xxxxxxxxx jiné xxxxxxxxxxxx, xxxxxxxx xx xxxxxxxxxxxx, xxxxxxx, výmaz xxxx xxxxxxx,
x) subdodavatelem xxxxxxxxx xxxxxxxxxxxxx xxxxx computingu x xxxxxx xx xxxxxxxxxx informací xxxxxx xxxxx computingu x
x) xxxxxxxxxx aktivem takové xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x programové xxxxxxxx xxxxxx xxxxx xxxxxxxxxx a xxxxxx xxxx jiný xxxxxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxx x poskytování xxxxxx cloud xxxxxxxxxx x xxxxxxx xxxxxxx xxxx mít xxxxx xx xxxxxx cloud xxxxxxxxxx.
§3
Xxxxxxxxx xx způsobilost xxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxx veřejné správy
(1) Xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxxxxx xxxxxx x příslušné xxxxxxxxxxxx úrovni1) xxxxxxxxxxxx xxxxxxx xxxxxxx správy.
(2) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx xxxxxx xxxx stanovena x příloze x xxxx xxxxxxxx.
§4
Xxxxxxxx
Xxxx xxxxxxxx nabývá xxxxxxxxx dnem 1. xxxxxxxxx 2025.
Ředitel:
Ing. Kintr x. x.
Xxxxxxx
|
Xxxxx |
Xxxxxxxxxxxx pravidlo |
Bezpečnostní xxxxxx |
|
1. Xxxxxx xxxxxxxx pro xxxxxx xxxxx xxxxxxxxxx |
||
|
1.1 |
Xxxxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxx dat Orgán xxxxxxx xxxxxx xx x xxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x provozu služby xxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx xxxxxxxxxxxx xxx x xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxx xxx x xxxx xxxxxx xxx xxxxxxxxxxx xxxxx pro xxxxxxxxxx xxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
1.2 |
Xxxxxxxxx rizika předání xxxx xxxxxxxxxxxx dat xxxxxxxxxxx xxxxxxx Xxxxx veřejné xxxxxx xxxxxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx x polohy xxxxxxxxxx xxxxxxxxxxxx xxx x specifických provozních xxxxx, xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx o xxxxxxxxxxxx xxxx předání xxxxxxxxxxxx xxx x specifických xxxxxxxxxx údajů, x x tím souvisejícím xxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxx xxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx. Xxxxx veřejné xxxxxx xxxx xxxxxxxx službu xxxxx computingu, u xxxxx xxxxxxxxxx xxxxxx xxx xxxxxxxxxx informací xxxx xxxxxxxxxx. Vyhodnocení xxxxx xxxxx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
1.3 |
Xxxxxx xxxxxxx xxx xx xxxxx členských států Xxxxxxxx xxxx x xxxxxxxxx xxxxx Xxxxxxxxxx xxxxxxxx volného obchodu Zákaznická xxxx xx xxxxx xxxxxxxxxxx xxx xxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx xx xxxxx xxxxxxxxx xxxxx Xxxxxxxx xxxx a xxxxxxxxx xxxxx Xxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx (dále xxx „XX/XXXX“). X xxxxxxx, xx xxxxxx xxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxxxxx xxxxxxx službu xxxxx xxxxxxxx a xxxxx, xxx xxxxxx xxxxxx xxxxx computingu xxxxxx xxxxxxxxxx data xx xxxxx xxxxxxxxxxx xxx x pseudonymizované podobě xxxx xxxxxxxxxxxxxxxxxx xxxxxx. Xxxxxxxxxxxx uvádí xxxxx xxxxxxx xxxxxxxxxxxx xxx xx xxxxx neaktivních xxx. |
xxxxxx xxxxxxxx |
|
1.4 |
Xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx XX/XXXX Xxxxxxxxxx provozní xxxxx xxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx xx území xxxxxxxxx xxxxx XX/XXXX. V xxxxxxx, že xxxxxx xxxxx computingu daný xxxxxxxxx xxxxxxxxx, poskytovatel xxxxxxx xxxxxx xxxxx xxxxxxxx x uvádí, xxx taková xxxxxx xxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx provozní údaje xx xxxxx xxxxxxxxxxx xxx x xxxxxxxxxxxxxxxx xxxxxx nebo xxxxxxxxxxxxxxxxxx xxxxxx. Xxxxxxxxxxxx xxxxx xxxxx xxxxxxx specifických xxxxxxxxxx xxxxx xx xxxxx neaktivních xxx. |
xxxxxx xxxxxxxx |
|
1.5 |
Xxxxxxx xxxxxxxxxx xxx xxxx xxxxx xxxxxxxxx států XX/XXXX Xxxxxxxxxx xxxx xxxx xxxxxxxxxxxx xxxxx na xxxxx xxxxxxxxx xxxxx XX/XXXX. Xxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx upraveným xx xxxxx 1.3 této xxxxxxx, x xxxxxxxxxxxx xxxxxxxxx, xx xxxxxxxx xxxxxx dobu x x nezbytném xxxxxxx xxxxx xxx zákaznická xxxx zpracovávána x xx xxxxx xxxxxx xxxxx, pokud v xxxxxx xxxxxx cloud xxxxxxxxxx bude xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxx xxx před narušením xxxxxxxxxxx xxxxxxxxx. |
xxxxxx xxxxxxxx |
|
1.6 |
Xxxxxxx zpracování xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxx xxxxx xxxxxxxxx xxxxx XX/XXXX Xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxxxx xx xxxxx xxxxxxxxx xxxxx EU/ESVO. Xxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xx řádku 1.4 xxxx xxxxxxx, x xxxxxxxxxxxx xxxxxxxxx, xx xxxxxxxx xxxxxx xxxx x x nezbytném xxxxxxx xxxxx být xxxxxxxxxx provozní xxxxx xxxxxxxxxxxx x xx xxxxx xxxxxx xxxxx, xxxxx v xxxxxx xxxxxx cloud xxxxxxxxxx xxxx popsán způsob xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxx narušením xxxxxxxxxxx informací. |
vysoká kritická |
|
1.7 |
Omezení xxxxxxxxxx xxx xxxx xxxxx Xxxxx xxxxxxxxx Xxxxxxxxxx xxxx x xxxxxxxxxx provozní xxxxx jsou xxxxxxxxxxxx xx xxxxx Xxxxx xxxxxxxxx. Mimo xxxxx Xxxxx xxxxxxxxx mohou xxx xxxxxxxxxx data x xxxxxxxxxx xxxxxxxx xxxxx zpracovávány pouze x xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx. |
xxxxxxxx |
|
1.8 |
Xxxxxxx ujednání x xxxxxxxxxxx xxxxx xxxxxxx xxxxxxx Xxxxx xxxxxxx správy xxxxxx pouze xxxxxxx xxxxxxx o poskytování xxxxxx xxxxx computingu, xxxxx xxxxx x xxxxxxxxxxxx vymezuje rozsah xxxxxxxxxxx xxxxxx cloud xxxxxxxxxx, včetně xxxxxxxx xxxxxxxx xxxxxxxx sjednaného xxxxxxx xxxxxxxxxxx xxxxxx xxxxx computingu. |
nízká střední vysoká kritická |
|
1.9 |
Soulad s xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx Xxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx v xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx v xxxxxxx x xxxxxxxxx vyhlášky x xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxx xxxxxxx xxxxxxxxxx2)&xxxx;xxxx x xxxxxxxxx XXX XX XXX/XXX 27001,XX XXX/XXX 27001 xxxx XXX/XXX 27001. |
xxxxx |
|
1.10 |
Xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx Xxxxxx cloud xxxxxxxxxx xx xxxxxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx informací, který xxx xxxxxxxxxxxx xxxxx XXX XX XXX/XXX 27001, XX ISO/IEC 27001, nebo ISO/IEC 27001 xxxxxxxxxxxxx xxxxxxx, xxxxx xxx xxxxxxxxxxx xxx xxxxxxxxx shody x xxxxxxx XXX XX XXX/XXX 27001, XX XXX/XXX 27001 xxxx XXX/XXX 27001 xxxxxxxx x xxxxx Xxxxxxxxxxxxx xxxxxxxxxxxxx fóra (XXX). |
xxxxxxx xxxxxx xxxxxxxx |
|
1.11 |
Xxxxxxxxxxx xxxxxx cloud xxxxxxxxxx xxxxx XXX/XXX 27017 Xxxxxx cloud xxxxxxxxxx xx xxxxxxxxxxx x xxxxxxx s xxxxxx XXX XXX/XXX 27017 xxxx ISO/IEC 27017, x čemž xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxx, xxxxx byl xxxxxxxxxxx xxx xxxxxxxxx shody x normami XXX XX XXX/XXX 27001, XX XXX/XXX 27001 xxxx ISO/IEC 27001 xxxxxxxx x xxxxx Xxxxxxxxxxxxx xxxxxxxxxxxxx fóra (XXX). X případě, xx xxxxxx xxxxxxxxxxx xxxxxxx xx certifikátu xxxxxxxxxx jmenovitě xxxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx musí spadat xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxx nějž byl xxxx xxxxxxxxxx xxxxxxxx. |
xxxxxxx xxxxxx xxxxxxxx |
|
1.12 |
Xxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxx ISO/IEC 27018 Služba xxxxx xxxxxxxxxx xx xxxxxxxxxxx x xxxxxxx x xxxxxx ČSN XX XXX/XXX 27018 xxxx XXX/XXX 27018, x čemž vystavil xxxxxxxxxx xxxxxxxxxxxx xxxxx, xxxxx byl xxxxxxxxxxx xxx xxxxxxxxx xxxxx x xxxxxxx XXX XX ISO/IEC 27001, XX XXX/XXX 27001 xxxx XXX/XXX 27001 xxxxxxxx x xxxxx Xxxxxxxxxxxxx akreditačního xxxx (XXX). V xxxxxxx, xx xxxxxx certifikace xxxxxxx xx certifikátu xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxx xxxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxx xxxx xxx xxxx xxxxxxxxxx vystaven. |
vysoká kritická |
|
1.13 |
Prohlášení x xxxxxxxxxxxxxxxx Xxxxx veřejné xxxxxx má xxxxxxxx xxxxxxx k xxxxxxxxxxx x xxxxxxxxxxxxxxxx, vydaným x xxxxxxxxxxx x xxxxxxxxxxxxx xxxxx ČSN XXX/XXX 27001 xxxx XXX/XXX 27001, XXX XXX/XXX 27017 nebo XXX/XXX 27017 x XXX XX XXX/XXX 27018 xxxx XXX/XXX 27018 podle xxxxxxxx xxxxxxxxxx xx xxxxxxx 1.10 xx 1.12 xxxx přílohy. |
vysoká kritická |
|
1.14 |
Právo xxxxxxxxx xx xxxxxxx Xxxxx veřejné xxxxxx xx smlouvě x xxxxxxxxxxxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxx xx xxxxxxx xxx xxxxxx x xxxxxxx, xx xxxxx x xxxxxxxxxxx zvýšení xxxxxx x hlediska bezpečnosti xxxxxxxxx x xxxxxxxxxxxxx: x) xxxxxx skutečného xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxx x xxxxxxxx skutečných xxxxxxxx3); za xxxxx xxxxxxxxxx xxxxxxxx se xxx účely xxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxx ve xxxxxxxxxx xxxxxx xxxxxxxxxxxxx, x) xxxxxx xxxxx xxxxxxxxxxxxx do xxxx xxxx xxxx xxxxx EU/EHP, c) xxxxxxx xxxxxxxxxxxxx podle xxxxxx x kybernetické xxxxxxxxxxx4)&xxxx;Xxxxxx xx vztahu x xxxxxxxxxxxxx xxxx subdodavateli xxxxxxxxxxxxx xxxx xxxx xxxxxx xxxxx xxxxxxxxxx, x) xxxxxxx poskytovatele xxxxx xxxxxxxxxx z xxxxxxxx xxxxx xxxxxxxxxx x xxxxxx neplnění xxxxxxxxx xx xxxxxxxxxxxxx xxxxx xxxxxxxxxx xxxxx §6m xx xxxxxxx x §6s odst. 1 xxxxxx, x) xxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx bez xxxxxxxx xxxxxx xxxxxxx xxxxxx, x) xxxxxx xxxxxxxx xxx xxxxxxxxx podpůrnými xxxxxx5)&xxxx;xxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx, x) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxx x x) xxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx. |
xxxxxx xxxxxxxx |
|
2. Xxxxxxxxxx bezpečnosti xxxxxxxxx |
||
|
2.1 |
Xxxxxx xxxxxx bezpečnosti xxxxxxxxx Xxxxxxxxxxxx xx zaveden systém xxxxxx xxxxxxxxxxx xxxxxxxxx6). Xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx, xxxxxxxx x procesy xxxxxxxxx k xxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx7), xx xxxxxx je xxxxxxx, jaká bezpečnostní xxxxxxxx xxxx xxxxxxx xxx potlačení rizik, x výsledky xxxxxxxxxx xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
2.2 |
Xxxxxxxx xxxxxxxxxxx xxxxxxxxx Xxxxxx xxxxx xxxxxxxxxx xx xxxx xxxxxxxxx bezpečnosti xxxxxxxxx xxxxxxxx a sdělovanou xxxx xxxxxxxxxxxx, externím xxxxxxxxxxx a subdodavatelům xxxxxxxxxxxxx, xxxxxxxxxxxxxx, verzovanou, xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx vedením xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx význam xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxx cíle, xxxxxx xxxxxxxxxxx služby xxxxx computingu, xxxxxxxxxxxxxx xxxxxxx bezpečnostní strategie x dosažení stanovených xxxx x organizační xxxxxxxxx poskytovatele služby xxxxx xxxxxxxxxx v xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
2.3 |
Xxxxxxxxxxxx opatření Na xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx podle pravidla xxxxxxxxxx xx xxxxx 2.2 xxxx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
3. Politiky |
||
|
3.1 |
Politika xxxxxxxxxxx xxxxxxxxx Xxxxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxx se xxxx xxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx, je x souladu x xxxxxxxxx xxxxxx xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
4. Fyzická bezpečnost |
||
|
4.1 |
Fyzická xxxxxxxxxx xxxxx x xxxxxxx X datových centrech, xx kterých xxxxxxx x poskytování xxxxxx xxxxx computingu xx xxxxxxxx x xxxxxxxxxx xxxxxxx ochrana xxxxx xxxxxxxxx katastrofám, xxxxxxxxx xxxxx xxxx haváriím. |
nízká střední vysoká kritická |
|
4.2 |
Modely xxxxxxxxxx Xxxxxx xxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxxxx xx xxxx datových xxxxxx, která jsou xx xxxx oddělena xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxxx x xxxxxxxxx x xxxxxxxxxxx služby xxxxx xxxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
4.3 |
Xxxxxxxxxx datových xxxxxx xx xxxxxx xxxxx Xxxxxxxx a xxxxxxx xxxxx xxxxxxx datové xxxxxxx, xxxxx xx xxxxxxxxx dostatečné x xxxxxxxx služby xxxxx xxxxxxxxxx xxxxxxxxxxx z xxxxxxxxxx datového xxxxxx, xxxx v dostatečné xxxxxxxxxxx xx xxxxxxxxxx xxxxxx xxxxx x xxxxxx xxxxx vyvolaných xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxx xxxxxxx poskytování xxxxxx xxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxx xx přijato xxxxxxxxx xxxxxxxxxxxx opatření, xxxx xx xxxxxxxx a xxxxxxx xxxxx xxxxxxx xxxxxx centrum, které xx xxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxx xx xxxxxxxx vzdálenosti xxxxxxx 50 km. |
vysoká kritická |
|
4.4 |
Opatření x xxxxxxx a zabránění xxxxxxxxxxxxx xxxxxxxx X xxxxx x xxxxxxx vztahujících xx x poskytování xxxxxx xxxxx computingu, xxxxxx xxxxxx xx xxxxxx xxxxx a xxxxxxx, xxxx prokazatelně xxxxxxxx bezpečnostní opatření xxxxxx k včasné xxxxxxx a xxxxxxxxx xxxxxxxxxxxxx xx neautorizovanému xxxxxxxx x xxxxxxxxxx xxxxxxx, xxxx x xxxxxxxxxxx datům x xxxxxxxxx údajům, xxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx xx xxxxxxxxxxx xxxxx, xxxxxxxxxxxx xxx xxxx xxxxxxxxxx údajů. |
střední vysoká kritická |
|
5. Xxxxxxxxx xxxxxxx služby xxxxx xxxxxxxxxx |
||
|
5.1 |
Xxxxxxxx nakládání xx zákaznickým xxxxxxx Xxxxxxxxxx xxxxx je xxxxxxxxxxx xxxxx způsobem xxxxxxxxx xx xxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
5.2 |
Xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxx x xxxxxxxx Xxxxx xxxxxxx správy xxxxxxxxxxx xxxxxxxxx x podklady xxxxxxxx xx xxxxxxxxxxxxx x hrozeb xxxxxxxxx xxxxxx xxxxx computingu x xxxxxxx xxxxxxxxxxxx xxxxxxxx. |
xxxxxx xxxxxxxx |
|
5.3 |
Xxxxxxxxx xxxxxxxxx x xxxxxx Xxxxxxxxxx data xxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xx xxxxxx xxx, xxxxx xxxx xxxxxxx x xxxxxxxxxxxx xx sdílených virtuálních x xxxxxxxxx zdrojích xxxxxxxxxxx x poskytování xxxxxx cloud xxxxxxxxxx xxx, xxx byla xxxxxxxxx bezpečnost zákaznických xxx. |
xxxxxxx xxxxxx xxxxxxxx |
|
5.4 |
Xxxxxx a xxxxxxxxxx xxx Xxxxxxxxxx data x xxxx xxxxxxxx xxx xxxxxxxxxxx služby cloud xxxxxxxxxx xxxx xxxxxxxxxx xx lokality v xxxxxxxxxx vzdálenosti. Xxx xxxxxxx do xxxx xxxxxxxx x xxx xxxxxxx x xxxx xxxxxxxx xxxx zákaznická xxxx x xxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx cloud computingu xxxxxxxxx x xxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxxxxxx prostředky, xxxxx xxxx x xxxxxxx x xxxxxxxxxxx Úřadu x oblasti kryptografických xxxxxxxxxx zveřejněným xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx. |
xxxxxx xxxxxxxx |
|
5.5 |
Xxxxxxxxxxxxx xxxxxxxxxx údajů x xxxxxx xxxxxxxxxxx Xxxxxxxx xxxxx xx vztahem ke xxxxxx cloud xxxxxxxxxx xx xxxxxxxxxxx xxxxxxx x událostech: a) xxxxxxxxxxxx x xxxxxxxxxxx x xxxxx xxxx, a xx xxxxxx neúspěšných xxxxxx, x) xxxxxxxx provedené xxxxxxxxxxxxxx8)&xxxx;xx xxxxxx poskytovatele xxxxxxx pokud xxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx čtou xxxx xxxxxxxx nešifrovaná xxxxxxxxxx xxxx nebo xxxxxxxxxx xxxxxxxx údaje zpracovávané xx xxxxxx xxxxx xxxxxxxxxx nebo x xxx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx správy, c) xxxxxxxx xxxxxxxxx xxxxxxxxxxx aktivy, xxxxx xxxxx xxx xxxx na xxxxxxxxxx, xxxxxxx pokud xxxxx xxxxxx xxxxxxxx nebo xxxxx xxxxxxx, xxxxxx xxxx možné jiným xxxxxxxx xxxxxxxxx. x) xxxxxxx x xxxxxxxxx manipulace x xxxx, xxxxxxxxxxx x přístupovými právy, e) xxxxxxxxxxx xxxxxxxx v xxxxxxxx xxxxxxxxxx přístupových xxxx a xxxxxxxxx, x) xxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxx xx xxxxxx orgánu xxxxxxx xxxxxx, xxxxx xxxxx xxx xxxx na xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxx computingu, g) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, x) xxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x x) pokusy x xxxxxxxxxx se xxxxxxx x událostech a xxxxx nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxx zaznamenané podle xxxxxx xxxxxxxx obsahují xxxxxxx: x) xxxxx x xxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx, x) xxx xxxxxxxx, x) identifikaci xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, x) xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx kterým xxxx činnost xxxxxxxxx, x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx původce x x) xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx. |
xxxxxxx xxxxxx xxxxxxxx |
|
5.6 |
Xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxx Xxxxxx xxxxx computingu xxxxxxxx xxxxxxx pro xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxx veřejné xxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxxxx, xxxxxxx x xxxxxxxxxx xxxxxxxxxxxx x provozních xxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx na řádku 5.5 xxxx xxxxxxx. |
xxxxxxx xxxxxx xxxxxxxx |
|
5.7 |
Xxxx xxxxxxxx xxxxxxxxxx údajů Provozní xxxxx shromážděné xxxxx xxxxxxxx xxxxxxxxxx xx xxxxx 5.5 této xxxxxxx xxxx uchovány xx dobu xxxxxxx 12 měsíců od xxxxxx vytvoření. |
vysoká |
|
5.8 |
Doba xxxxxxxx xxxxxxxxxx xxxxx Xxxxxxxx údaje xxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xx řádku 5.5 xxxx xxxxxxx xxxx uchovány po xxxx alespoň 18 xxxxxx od xxxxxx xxxxxxxxx. |
xxxxxxxx |
|
5.9 |
Xxxxxxxx xxxxxxxxxx xxxxx Xxxxxxxxxxxx xxxxxxxx xxxxx jsou xxxxxxxxxx xx vhodné, xxxxxxx x xxxxxxxx xxxxx bez xxxxxx xx xxxxxx xxxxx xxx, xxx xxxx xxxxx xxxxxxxxx xxxxxxxxxxx xxx. Xxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx provozní xxxxx xxxxx xxxxxxxx xxxxxxxxxx xx xxxxx 5.5 této přílohy x technickým xxxxxxx, xx němž jsou xxxxxxxx údaje xxxxxxxxx, xx prováděno ověřování xxxxxxxx xxxxxxxxxxx aktiva. Xxxxxx xxxx xxxxxxxxxx xxxxxxx shromažďujícím provozní xxxxx xxxxx xxxxxxxx xxxxxxxxxx xx xxxxx 5.5 xxxx xxxxxxx x xxxxxxxxxxx xxxxxx xx xxxxx jsou xxxxxxxx údaje vytvářeny xx xxxxxxxxxx aktuálně xxxxxxxx kryptografickými xxxxxxxxxx. |
xxxxxxx xxxxxx xxxxxxxx |
|
5.10 |
Xxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxxxx Xxxxx xxxxxxx xxxxxx má xx xxxxxx k dispozici xxxxxxxx xxxxx x xxxxxxxxxx uživatelů, xx xxxxxx xxxxx x x xxxxxxxxxx xxxx xxx, xxx mohl xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx bezpečnostní události, xxxxx xx ho xxxx. |
xxxxxxx xxxxxx xxxxxxxx |
|
6. Xxxxxx xxxxxxx x řízení xxxxxxxx |
||
|
6.1 |
Xxxxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxx Xxxxxxx xxxxxx veřejné xxxxxx xx správy xxxxxx xxxxx computingu xx xxxxxxxxxx xxxxxxxxxxxxxx autentizací. |
střední vysoká kritická |
|
6.2 |
Řízení xxxxxxxx xxxxxx veřejné xxxxxx Xxxxx xxxxxxx xxxxxx xxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx xx straně xxxxxx xxxxxxx xxxxxx do xxxxxx xxxxx xxxxxxxxxx, xxxxxxx: x) xxxxxxxxx xxxxxxxxx xxxxxxxxxxx jména, b) xxxxxxx x upravuje uživatelské xxxx x xxxx xxxxxxxxxxx aktiv xx xxxxxx orgánu veřejné xxxxxx x xxxxxxxxxx xxxxxxxxx na základě xxxxxxxx nejnižšího oprávnění (xxxxx-xxxxxxxxx xxxxxxxxx) x xxxxxxxx nutnosti vědět (xxxx-xx-xxxx xxxxxxxxx), x) pravidelně xxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx a účty xxxxxxxxxxx xxxxx na xxxxxx xxxxxx veřejné xxxxxx x xxxxxxxxxx xxxxxxxxx, x) xxxxxxx x xxxxxxx xxxxxxxxxx účty x případě xxxxxxxxxx x x) xxxxxxx xxxx xxxx xxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
6.3 |
Xxxxxx xxxxxxxx xxxxxxxxxxxxx Xxxxxxxxxxxx x xxxxx xxx organizace xxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx využívanému x xxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx orgánu xxxxxxx xxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
6.4 |
Xxxxxx x xxxxxxxxxxxx x důvěrnosti Dohody x xxxxxxxxxxxx x xxxxxxxxxx xxxx poskytovatelem x jeho xxxxxxxxxxx, xxxxxxxxx xxxxxxxxxx a xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxxx, než je xxxxxxxxxxxx, externím pracovníkům x xxxxxxxxxxxxxx udělen xxxxxxx k zákaznickým xxxxx x specifickým xxxxxxxxx xxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
6.5 |
Xxxxxxxxxx xxxxx xxxxxxxxxxxxxx8)&xxxx;x xxxxxxxxxxx aktiv xx xxxxxx xxxxxxxxxxxxx Xxxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxx8)&xxxx;x technickým xxxxxxx xx xxxxxx xxxxxxxxxxxxx podle xxxxxxxx xxxxxxxx xxxxx (xxxx-xx-xxxx xxxxxxxxx) a xxxxxx xxxxxxx xx základě xxxxxxxxx xxxxx xxxxxxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
6.6 |
Xxxxxxx xxx xxxxxxx k xxxxxxxxxxx datům xxxx xxxxxxxxxxx provozním xxxxxx Xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxxxxxxx údajům, xxxxx xxxxxx šifrovány xxxx byly xxxxxxxxxxx, xx xxxxx xxxxx xx xxxxxxxxxx xxxxxxxx xxxxxx veřejné xxxxxx. Xxx xxxxxxx udělení xxxxxx xxxxxxxxxx xxxxx xxxxxxx xxxxxx informován x xxxxxx, době trvání, xxxx, xxxx a xxxxxxx xxxxxxxx xxx, xxx byl xxxxxxx xxxxxxxxxx rizika spojená x xxxxx přístupem. |
kritická |
|
7. Xxxxxxxxx zákaznického obsahu |
||
|
7.1 |
Šifrování xxxxxxxxxxxx xxxxxx při xxxxxxx Xxxxxxxxxxxx má xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx a xxxxxxx xxxxxxxx xxx xxxxxxx zákaznického xxxxxx xx sítích mimo xxxxxxxx xxxxxxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
7.2 |
Xxxxxxxxx zákaznického xxxxxx při xxxxxxxxxx Xxxxxxxxxxxx xx zavedené xxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx uchovávání xxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
7.3 |
Xxxxxx šifrování xxxxxxxxxxxx xxxxxx Xxxxxxxxxx obsah xx xxx xxxxx xxxxxxxx xxxxxxxxx a x úložištích xx xxxxxx xxxxx xxxxxxxxxx xxxxxxxx v xxxxxxx x xxxxxxxx odolnými xxxxxxxxxxxxxxxx prostředky nebo xxxxxxx pomocí xxxxxxxxx xx schválených xxxxxxxxx xxxxxxxxx x xxxxxxxxxx Xxxxx v oblasti xxxxxxxxxxxxxxxx xxxxxxxxxx zveřejněném xx internetových xxxxxxxxx Xxxxx. |
xxxxxx xxxxxxxx |
|
8. Zabezpečení xxxxxxxxxx |
||
|
8.1 |
Xxxxxxx xxxxx xxxxxx typu xxxxxxxx xxxxxx Xxxxx xxxxxxx xxxxxx využívá nástroje xxxx služby pro xxxxxxx a zmírnění xxxxx xxxx odepření xxxxxx (XxX/XXxX) xxx xx xxxxxx, tak xx xxxxxxxxx xxxxxx. |
xxxxxx xxxxxxxx |
|
8.2 |
Xxxxxxx xxxxxxxx xxxxxxx xx xxxxxx xxxxx xxxxxxxxxx Xxxxxxxxxx xxxx xxxxxxxxx xx xxxxxx cloud computingu xxxx xxxxxxxx xxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx veřejné xxxxxx xx zajištění xxxxxxxxxxx xxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
8.3 |
Xxxxxxx xxxxxxxx xxxxxxx ze xxxxxx xxxxx xxxxxxxxxx Xxxxxxxxxx data xxxxxxxxx xx xxxxxx xxxxx computingu xxxx xxxxxxxx xxxxx xxxxxxxx xxxxxxxxxxx informací x xxxxxxx xx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
8.4 |
Xxxxxxxxx xx výměnného xxxx xxxxxxxxx Xxxxxxxxxxxx xx xxxxxxxxx xxxxxxxxx xx xxxxxxxxx xxxx xxxxxxxxx (XXX) x Xxxxx xxxxxxxxx. |
xxxxxx xxxxxxxx |
|
9. Přenositelnost, xxxxxxxxx x exit xxxxxxxxx |
||
|
9.1 |
Xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx veřejné xxxxxx Xxxxx xxxxxxx xxxxxx má xxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx data x xxxxxxxx údaje xx formátu a xxxxxxx xxxxxxxxx xxx xxxxxxxxx kontinuity informačního xxxxxx, xxx jehož xxxxxx službu xxxxx xxxxxxxxxx xxxxxxxx. X xxxxxxx, xx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxx poskytovatelem xxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx xxx x provozních údajů xx xxxxxx xxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
9.2 |
Xxxx xxx xxxxxxxx xxxxxxxxx xxxxxx cloud computingu Orgán xxxxxxx xxxxxx xxxxxxx xxxx xxx ukončení xxxxxxxxx xxxxxx xxxxx xxxxxxxxxx (xxxx xxx „xxxx strategie“), xxxxx xxxxxxxx xxxxxxx: x) cíle, xxxxxxx xx xxxx xxxxxxxxx dosáhnout, b) xxxxxxxx xxxxxxxx xxx spuštění xxxx strategie, c) definici xxxxxxx xxx spuštění xxxx xxxxxxxxx, například: 1. xxxxxxxxxx, xxxxxx xxxx xxxxxxxx činnosti xxxxxxxxxxxxx, 2. xxxxx xxxxxxxxxxxxx nebo xxxxx xxxxxxxxxxx xxxxxx xxxxx computingu x xxxxxxxx cloud xxxxxxxxxx, 3. xxxxxxxx smlouvy x xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx, 4. xxxxxxxx doby, xx kterou byla xxxxxxx xxxxxxxx, 5. hrubé xxxxxxxx xxxxxxxxx xxxxxxxx x úrovni služby xxxxx xxxxxxxxxx ze xxxxxx poskytovatele, 6. neshoda x poskytovatelem xxx xxxxxxxxx o xxxxx xxxxxxx, 7. xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxxxxx, 8. xxxxxxxx změna kontroly xxx xxxxxxxxxxx aktivy xxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx cloud xxxxxxxxxx, 9. xxxxxxxx xxxxx x subdodavatelů, 10. xxxx xxxxxxxx změna xx xxxxxx xxxxxxxxxxxxx relevantní xxx poskytování xxxxxx xxxxx xxxxxxxxxx, 11. podstatná xxxxxxxxx orgánu xxxxxxx xxxxxx využívat službu xxxxx computingu, d) xxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxx, x) xxxxxxx dopadů xxxxxxxxx xx náklady x lidské xxxxxx xxxxx k úspěšnému xxxxxxxxx xxxx xxxxxxxxx, x) xxxxxxxxx xxxx x xxxxxxxxxxxxx x průběhu xxxx strategie x xxxxxxxxx xxxxxxx x xxxxx xxxxxxxxxxxxxx, x) xxxxxx xxx xxxxxxx pro xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxx těchto dat, h) xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxx xxxxxxx xxx, x) xxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxx, x) xxxxxxxx parametrů xxxxxxx xxx xxxxxxxxx xxxx xxxxxxxxx a k) xxxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
9.3 |
Xxxxxxxxxx xxxxxxxxx xx exit xxxxxxxxx v návaznosti xx xxxxxxxx xxx xxxxxx veřejné správy V xxxxxxx, že poskytovatel xxxxxxxxx xxxxxx cloud xxxxxxxxxx xxxx službu xxxxxxxxx x datacenter xxxxxxxxxx x. na xxxxx xxxxx jednoho státu, xxxx x. xxxx území XX/XXXX, xxxxx veřejné správy xx xxx xxxx xxxxxxxxx zahrne xxxxxxxx xxxxxxxxxxx import x xxxxxx xxx xxxxxx xxxxxxx xxxxxx x xxxxxxxxxxx objemu xxxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxx médií. |
vysoká kritická |
|
9.4 |
Zajištění xxxxxxxxx xx xxxx strategii Smlouva x xxxxxxxxxxx xxxxxx xxxxx computingu zohledňuje xxxxxxxxx orgánu xxxxxxx xxxxxx xx xxxx xxxxxxxxx podle xxxxxxxx xxxxxxxxxx xx xxxxx 9.2 xxxx přílohy. |
nízká střední vysoká kritická |
|
9.5 |
Dokumentace xxxxxxxxxxx xxxxxx x xxxxxxx Xxxxxx cloud xxxxxxxxxx xx přístupná xxx xxxx služby xxxxx xxxxxxxxxx nebo IT xxxxxxx orgánu veřejné xxxxxx skrze xxxxxxxxxxxxxx xxxxxxxx příchozích a xxxxxxxxx xxxxxxxxxxxx xxx xxx, xxx z xxxx xxxxx xxxxxxx xxxxxx mohl x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxx data, a xx xxxxx xx xxxxx x xxxxxx xxxxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxx xxxxxxxx xx stavu xxxxxxxxxxx xxx. Xxxxxxxxxxxx xx xxxxxxxx orgánu xxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx. |
xxxxxxx xxxxxx xxxxxxxx |
|
9.6 |
Xxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxx Xxxxx xxxxxxx xxxxxx xxxxxx xxxxx xxxxxxx xxxxxxx x xxxxxxxxxxx služby xxxxx computingu, xxxxx xx xxxxxx x xxxxxx xxxxxxxx xxxxxxxx xxxxxxx: x) typ, xxxxxx, xxxxxxxxx x formát xxx, xxxxx xxxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxxxx; xxxxxxxxx-xx xx xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxxx xxxxx, xxxxxxx xxxxx xxxxxxx xxxxxx, xx xxxxxxxxxx xxxx xxxxx xxxxxxxxxxxxxx předána xx xxxxxxxxxxxxxx, běžně xxxxxxxxxx, xxxxxxxx xxxxxxxx x xxxxxxxxxxxxxxxx formátu, b) xxxxxx xxxxx x xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxx xx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x) určení xxxx, xx xxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxxxxxxx po ukončení xxxxxxx o xxxxxxxxxxx xxxxxx xxxxx computingu x x) xxxxxx xxxxx x vymazání xxxxxxxxxxxx xxx poskytovatelem. |
nízká střední vysoká kritická |
|
9.7 |
Vlastnictví xxxxxxxxxxxx xxx Xxxxx veřejné správy xx v xxxxx xxxxxxx xx celou xxxx xxxxxxxxx služby xxxxx computingu zachována xxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxx. Xxxxxxxxx xxxxxxx využití zákaznických xxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx ve xxxxxxx x xxxxxxxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
9.8 |
Xxxxxxxx xxxxx xxx Xxxxxxxxxx xxxx xxxx xx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx, xxxxx je x xxxxxxx s xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
10. Xxxxx, xxxxx x úprava informačních xxxxxxx |
||
|
10.1 |
Xxxxxxxx xxxxxxxxx Xxxxxxxx xxxxxxxxx xxxxxx xxxxx computingu xx xxxxxxxxxxxxxx fyzicky xxxx xxxxxxx xxxxxxxx xx testovacího nebo xxxxxxxxxx prostředí služby xxxxx computingu, aby xx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxx, šíření xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxxxx aktiv. Z xxxxxx xxxxxxx xxxxxxxxxx xxx xxxxxx data xxxxxxxx v xxxxxxxxx xxxxxxxxx používaná x xxxxxxxxxx ani x xxxxxxxxxx xxxxx xxxxxxxxx. |
xxxxxxx xxxxxx xxxxxxxx |
|
10.2 |
Xxxxxxxxxxx x xxxxxxxxxx změnách Orgán xxxxxxx xxxxxx xx x xxxxxxxxxxx předstihem xxxxxx xxxxxxxxxxx způsobem xxxxxxxxxx o xxxxxxxxx xxxxxxxx změně x xxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx x jejích xxxxxxxx. |
xxxxxx xxxxxxxx |
|
11. Xxxxxx dodavatelů |
||
|
11.1 |
Informování x xxxxxxxxxxxxxxx Xxxxx xxxxxxx xxxxxx je informován x subdodavatelích xxxxxxxxxxxxx, x to xxx xxxx uzavřením xxxxxxx x xxxxxxxxxxx xxxxxx xxxxx xxxxxxxxxx, xxx xxxx s xxxxxxxxxxx xxxxxxxxxx před změnou xxxxxxxxxxxxx. |
xxxxxxx xxxxxx xxxxxxxx |
|
12. Xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx |
||
|
12.1 |
Xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu Poskytovatel xxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxxx narušení xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxx x xxxxxxxxxxxx xxxxxxxxxx xxxxx xxx xxxxxxxxxx xxxxxxx, xxx xxxxxxxxxx xx 72 xxxxx od xxxxxxxx, xxx se x xxxxxxxx bezpečnosti xxxxxxxxxxxx xxx xxxxxxxx. Jakmile xx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxx správy o xxxxxxxxx opatřeních. |
nízká střední vysoká kritická |
|
12.2 |
Vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx Xxxxxxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxx xxx xxxxxxx, xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
13. Xxxxxx xxxxxxxxxx xxxxxxxx |
||
|
13.1 |
Xxxx xxxxxxxxxx xxxxxxxx Xxxxx veřejné xxxxxx má xxxxxxxxxxxxxx xxxxxxx pro xxxxxx xxxxxxxxxxxxx ukončení xxxxxxxx xxxxxxxxxxxxx, xxxxxx xxxxxxx xxxxxxxx x zákaznickým xxxxx x xxxxxx xxxxxxxxxxxx xxx (včetně xxxxxxxxxx xxxxxxxxxx xxxxx) xxxx xxxx x xxxxxx xxxxxxxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
14. Xxxxxx x xxxxxxxx a xxxxx |
||
|
14.1 |
Xxxxxxxxxxxx požadavků Poskytovatel jednoznačně xxxxxxxxxxxx, xxxxxxxxxxx x xxxxxxx aktuální xxxxxxx xxxxxxxxxx povinnosti xxxxxxxxxxx x právních předpisů x xxxxxxx požadavky xxxxxxx na xxxxxxxxxxxxx x xxxxxxxx se xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx computingu. Xxxxxxxxxxxx xxxxxxxxxxx způsob, xxxxx xxxx povinnosti xxxxxxxx. |
xxxxxxx xxxxxx xxxxxxxx |
|
14.2 |
Xxxxx xxxxxx Úřadem Ve xxxxxx x xxxx xxxxxx xxxxx xxxxxxxxxx je xxxxxxxxxxxxxx xxxxxx ročně xxxx xx základě xxxxxxxxxxx se xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xxxx x případě xxxxxxx xxxx xxxxxxxxxxxx parametrům xxxxxxxx Xxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx xx xxxxx místech x xxxxxxxxxx souvisejících x poskytováním xxxxxx xxxxx xxxxxxxxxx. Poskytovatel xxxxxxx xxxxxxxx Xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx zpřístupnění xx xxxxxxx xxxxxxxxxxxx dat xxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
14.3 |
Xxxxxxxxxx xxxxx Xxxxx veřejné xxxxxx xx xxxxxxxx xxxxxxx xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx Xxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxx poskytovatele. |
vysoká kritická |
|
15. Xxxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxxxx nebo xxxxxxx xxx |
||
|
15.1 |
Xxxxx povinností xxxxxxxxxxxxx předávat x xxxxxxxxxxxxx informace Poskytovatel xxxxx x srozumitelně xxxxx xxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxx předpisů xxxxx xxxxxxxxx xx xxxxxxxxx xxxxx XX/XXXX, x nichž poskytovatel xxxxxxxxxxx xxxxxxxxxx zákaznických xxx xxxxxxxx xx xxxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxx a xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx včetně xxxxxxxxxx, xxxx xxxxxxx xxxxxxxxxx na poskytovatele xxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
15.2 |
Xxxxxxxxx se x xxxxxxxxxxx poskytovatele předávat x zpřístupňovat xxxxxxxxx Xxxxx xxxxxxx správy xx xxxxxxx x povinnostmi xxxxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxxx xxxxxxxx států xxxxxxxxx od xxxxxxxxx xxxxx XX/XXXX, týkajících xx xxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxx x specifických provozních xxxxx xxxxxxxxxxx orgánům xxxxxx zdůvodnění, xxxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxx. |
xxxxx xxxxxxx xxxxxx xxxxxxxx |
|
15.3 |
Xxxxxxxxxx orgánu xxxxxxx správy o xxxxxxx x předání xxxx xxxxxxxxxxxx X případě, xx xxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx orgánu x xxxxxxxxxxxx nebo předání xxxxxxxxxxxx xxx x xxxxxxxxxx údajů, odkáže xxxxxx xxxxxxxx xx xxxxx xxxxxxx xxxxxx xxxx x takové xxxxxxx bezodkladně xxxxxxxxx xxxxx veřejné xxxxxx, xxxxx xx xxxxxx xxx, xxxxx poskytovatel xxxxxxx, nezakazuje. |
nízká střední |
|
15.4 |
Vyrozumění orgánu xxxxxxx xxxxxx x xxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx X xxxxxxx, xx poskytovatel obdrží xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx orgánu o xxxxxxxxxxxx xxxx předání xxxxxxxxxxxx dat x xxxxxxxxxxxx provozních xxxxx, xxxxxx xxxxxx žadatele xx orgán xxxxxxx xxxxxx xxxx x xxxxxx xxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. Xxxxx xxxxxx xxx, xxxxx xxxxxxxxxxxx xxxxxxx, poskytovateli xxxxxxxx xxxxxxxxxx orgán xxxxxxx xxxxxx, vyvine xxxxxxx xxxxx xxxxxxx xxxxx, xxx dosáhl xxxxxxx xxxxxx xxxxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx prostředků x xxxxx xxxxxxxxxx takový xxxxx, xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx, xxxxx xxxx nerozhodne ve xxxx xxxx. Pokud xxxxxxxxx xxxxxxx povinnosti xxxxxx xxxxxxxxxxx orgánu xxxxxxx xxxxxx, pak xxxxxxxxxxxx xxxxx veřejné xxxxxx informuje poté, xx xxxxxx xxxxxxxx xxxxxxxx xxxxxx, xxxx. xx vypršení období xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx. |
xxxxxx xxxxxxxx |
|
15.5 |
Xxxxxx xxxxxxxxx xxxxxxx x předání xxxx xxxxxxxxxxxx X xxxxxxx, xx poskytovatel obdrží xxxxxx závaznou xxxxxx xxxxxxxxxxxx orgánu x xxxxxxxxxxxx xxxx předání xxxxxxxxxxxx dat xxxx xxxxxxxxxxxx provozních xxxxx xxx xxxxxxxx xxxxxx xxxxxxx xxxxxx, zajistí xxxxxxxxxxxx její odpovídající xxxxxx xxxxxxxxx. Xxxxxxxxx xxxxxxxx, xxx má xxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxx xxxxxx xxxxxx, zda xxxxxx xxxxxxxxxxxx dat xxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx, která má xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx, xx přiměřený xxxxx žádosti a xxxx xxxxx xxxxx xx xxxxx podniknout. Xxxxxxxxxxxx xxxxxx právní xxxxxxxxx xxxxxxx xxxxxxx 5 xxx xx xxxx xxxxxxxxxx xxx xxxxx kontroly xxxx xx xxxxxxxxxxxx xxxxx xxxxxx xxxxxxx správy. |
nízká střední |
|
15.6 |
Právní xxxxxxxxx xxxxxxx o xxxxxxx nebo xxxxxxxxxxxx X xxxxxxx, že xxxxxxxxxxxx xxxxxx právně závaznou xxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxx dat xxxx specifických provozních xxxxx bez xxxxxxxx xxxxxx xxxxxxx xxxxxx, xxxxxxx poskytovatel její xxxxxxxxxxxx xxxxxx posouzení. Xxxxxxxxx zohlední, zda xx xxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxx xxxxxx základ, xxx xxxxxx xxxxxxxxxxxx xxx xxxx specifických xxxxxxxxxx xxxxx, která xx xxxxxxxxxxxx zpřístupnit xxxx předat, xx xxxxxxxxx účelu xxxxxxx x jaké další xxxxx xx xxxxx xxxxxxxxxx. Xxxxxxxxxxxx uchová xxxxxx xxxxxxxxx xxxxxxx xxxxxxx 10 xxx xx jeho vyhotovení xxx xxxxx xxxxxxxx xxxx xx xxxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxxxx. |
xxxxxx |
|
15.7 |
Xxxxxxx k xxxxxxxxxx xxxxx xxxx xxxxxxxxxxxxx X xxxxxxx, xx xxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxx xxxxxx cizozemského xxxxxx x xxxxxxxxxxxx xxxx xxxxxxx zákaznických dat xxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxx souhlasu xxxxxx veřejné xxxxxx, xxxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxxxx xxxxx, xxx zabránil xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxx xxx a xxxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxxxx xxxx žádosti, xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx z xxxxxxxx xxxxxxxx Xxxxx republiky x Evropské xxxx x xxxx xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxx xxx x xxxxxxxxxxxx xxxxxxxxxx xxxxx. |
xxxxxx |
|
15.8 |
Xxxxxxx xxxx xxxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx X xxxxxxx, xx xxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxx o xxxxxxxxxxxx xxxx předání xxxxxxxxxxxx dat xxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx, xxxxxxxxxxxx xxxxxxxxxx xxxx xxxxx xxxxxxxx xxxxx xxxxxxxxxx data x xxxxxxxxxx xxxxxxxx xxxxx xx xxxxxxx xxxx xxxxxxx, pokud právní xxxxxxxxx xxxxxxxxxxxxx provedené xxxxx pravidla xxxxxxxxxx xx řádku 15.5 xxxx 15.6 xxxx xxxxxxx ukázalo, že xxxxxx xx xxxxxxxxxxxx x platný právní xxxxxx a xx xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxx. |
xxxxx xxxxxxx xxxxxx |
|
15.9 |
Xxxxxxxxx xxxxxxx o zpřístupnění V xxxxxxx, že xxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxx předání zákaznických xxx x xxxxxxxxxxxx xxxxxxxxxx údajů, xxxx xxxxxx odmítne x xxxx xxxxxx x xxxxxxxxxxxx. Xxxx xxxxxxxx xx xxxxxxxxx xxx xxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxx území Xxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx veřejné xxxxxx xxxxx xxxxxxxx xxxxxxxxxx xx řádku 1.7 xxxx přílohy. |
kritická |
Xxxxxxxxx
Xxxxxx xxxxxxx x. 412/2025 Sb. nabyl xxxxxxxxx xxxx 1.11.2025.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx doplňován.
Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx č. 411/2025 Sb., x bezpečnostních úrovních xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx.
2) Xxxxxxxx č. 409/2025 Sb., x bezpečnostních xxxxxxxxxx xxxxxxxxxxxxx regulované služby x xxxxxx vyšších xxxxxxxxxx.
3) Zákon č. 37/2021 Sb., x xxxxxxxx skutečných xxxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx.
4) §20 zákona x. 264/2025 Xx., x xxxxxxxxxxxx xxxxxxxxxxx.
5) §2 xxxx. 1 xxxx. x) xxxxxx č. 264/2025 Xx., o xxxxxxxxxxxx xxxxxxxxxxx.
6) §2 xxxx. x) vyhlášky x. 409/2025 Xx., x xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx služby x xxxxxx xxxxxxx xxxxxxxxxx.
7) §8 xxxx. 1 xxxx. f) xxxxxxxx č. 409/2025 Xx., o bezpečnostních xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxx xxxxxxx xxxxxxxxxx.
8) §2 xxxx. x) xxxxxxxx č. 409/2025 Sb., x xxxxxxxxxxxxxx opatřeních xxxxxxxxxxxxx xxxxxxxxxx xxxxxx v xxxxxx xxxxxxx xxxxxxxxxx.