ad bod 4 zakon jasne hovori “Správca vypracuje bezpečnostný projekt vždy pre informačný systém verejnej správy, ktorý je z pohľadu klasifikácie informácií a kategorizácie sietí a informačných systémov v najvyššej kategórii z hľadiska jeho významnosti, funkcie a účelu použitia s ohľadom na potrebu zabezpečenia ochrany dôvernosti a integrity a zabezpečenia dostupnosti a úrovne činností vykonávaných s jeho použitím.”. Vyhlaskou sa tato povinnost neda zmenit. Ked bude mat v najvyssej kategorii 1, 2, 5, 11 isvs, tak vypracuje 1,2,5,11 bezpecnostnych projektov. Dtto analyza rizik, ktora je sucastou bezp. projektu. Aspon tak mi to logicky vychadza ked citam zakon…
Áno, čo píše zákon viem (škoda že to nebolo možné diskutovať / vylepšiť).
Ale aha, tu je aj k tejto Tvojej úvahe iný výklad: Nikdy nebudú 2 ISVS presne v rovnakej úrovni. Úmysel (snáď) bol povedať, že zober najdôležitejší prípad (=ISVS kde treba najvyššiu bezpečnosť), a pre neho sprav jeden BP, ktorý má v podstate pokryť celú organizáciu.
Tvoja úvaha dáva aj z bezpečnostného pohľadu čudné výsledky, keďže podľa nej by nemali byť robené BP pre “len o kúsok menej dôležité” ISVS.
Už samotná možnosť viacerých výkladov dáva priestor pre chaos, zmysel mojej pripomienky bol práveže nech sa jasne vysvetlí ako to má byť.
ja viem Lubor, tiez nie som nadseny z toho, ze to pekne do seba nezapada… zakon je aky je. Je fakt ze niektore bezpecnostne opatrenia su per organizacia, ine per system. Je fakt, ze jeden bezpecnostny projekt pre obec MALICKA_OBEC v pohode vyriesi vsetko, takisto je fakt ze jeden bezpecnostny projekt pre VELKE_MINISTERSTVO je nezmysel. BP pre “len o kúsok menej dôležité” ISVS samozrejme nikde nie je zakázané robiť A urcite je tiez v sulade s bezpecnostnymi zasadami i so zdravym rozumom, ze ked systemy so sebou suvisia, maju spolocne aktiva atd., moze stacit jeden BP. Myslim ze toto je uz priestor pre nejake usmernenie z UPVII, ktore to jasne vysvetli.