3. člen
(varnostna politika)
(1)
Operater vzpostavi varnostno politiko, ki vsebuje informacijsko varnostno politiko in politiko neprekinjenega poslovanja (v nadaljnjem besedilu varnostna politika), ki obsega najmanj:
(2)
Informacijsko varnostno politiko in ukrepe za obvladovanje tveganj sprejme vodstvo. Operater mora varnostno politiko in ukrepe za obvladovanje tveganj sporočiti zaposlenim ter relevantnim pogodbenim partnerjem.
(3)
Poslovodstvo operaterja izkazuje zavezanost in podporo k upravljanju in nenehnemu izboljševanju informacijske varnosti ter izpolnjevanju veljavnih zahtev v zvezi z informacijsko varnostjo.
(4)
Varnostna politika operaterja sledi bistvenim načelom, kot jih določajo relevantni standardi in dobre prakse s področja upravljanja in varovanja informacij ter neprekinjenega poslovanja.