8. člen
(sprejetje in izvajanje minimalnih varnostnih ukrepov informacijske varnosti)
(1)
Povezani subjekt za zagotavljanje celovitosti, zaupnosti, razpoložljivosti omrežij in informacijskih sistemov sprejme in izvaja organizacijske, logično-tehnične in tehnične varnostne ukrepe, ki izhajajo iz analize obvladovanja tveganj informacijske varnosti in zahtev upravljavca centralnega informacijsko-komunikacijskega sistema, ki jih ta objavi na svoji spletni strani.
(2)
Varnostni ukrepi iz prejšnjega odstavka morajo biti:
(3)
Organizacijski, logično-tehnični in tehnični varnostni ukrepi morajo obsegati najmanj:
(4)
Ukrepe iz 4. do 6. točke prejšnjega odstavka za centralizirane organe izvaja ministrstvo, pristojno za upravljanje informacijsko-komunikacijskih sistemov.
(5)
Pri načrtovanju in izvajanju varnostnih ukrepov povezani subjekti upoštevajo mednarodne standarde in dobre prakse na področju informacijske varnosti, posebne potrebe delovnega področja povezanega subjekta ter varnostne zahteve upravljavca centralnega informacijsko-komunikacijskega sistema. Informacijski sistem mora izpolnjevati minimalne varnostne zahteve, kar pomeni, da mora imeti nameščeno programsko opremo zadnje (stabilne) verzije oziroma verzije, za katero se zagotavlja podpora proizvajalca programske opreme.
(6)
V primerih oziroma delih, kjer varnostne ukrepe izvaja ministrstvo, pristojno za upravljanje informacijsko-komunikacijskih sistemov, mora le-to o izvedenih ukrepih redno obveščati povezani subjekt, za katerega izvaja te ukrepe.
(7)
Upravljavec centralnega informacijsko-komunikacijskega sistema varnostne zahteve iz petega odstavka tega člena objavi na svoji spletni strani.