17. člen
(varnostna dokumentacija in varnostni ukrepi)
(1)
Organi državne uprave za zagotavljanje informacijske varnosti ter visoke ravni varnosti omrežij in informacijskih sistemov državnih organov vzpostavijo in vzdržujejo dokumentiran sistem upravljanja varovanja informacij in sistem upravljanja neprekinjenega poslovanja, ki mora obsegati najmanj:
(2)
Organi državne uprave na podlagi varnostne dokumentacije iz prejšnjega odstavka pripravijo in izvajajo potrebne varnostne ukrepe, ki se delijo na organizacijske, logično-tehnične in tehnične ukrepe.
(3)
Vlada podrobneje določi vsebino in strukturo varnostne dokumentacije iz prvega odstavka tega člena ter minimalen obseg in vsebino varnostnih ukrepov iz prejšnjega odstavka. Pri tem predpiše tudi metodologiji za pripravo analize obvladovanja tveganj ter za določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov iz 2. in 3. točke prvega odstavka tega člena.
(4)
Če ima organ državne uprave za zagotavljanje varnosti svojih omrežij in informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih predpisov, jo dopolni skladno s tem zakonom.
(5)
Organi državne uprave za namen obvladovanja in preprečevanja incidentov, skladno z analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj, ki jo izvedejo ob upoštevanju stanja tehnike, zagotovijo tudi ohranjanje dnevniških zapisov o delovanju svojih informacijskih sistemov ali delov omrežja za obdobje šestih mesecev, lahko pa tudi za daljše obdobje, kadar iz analize obvladovanja tveganj in ocene sprejemljive ravni tveganj izhaja, da bi bilo tveganja ustrezno obvladovati z daljšo hrambo dnevniških zapisov. Ohranjanje teh dnevniških zapisov mora biti zagotovljeno na ozemlju Republike Slovenije.
(6)
Dnevniški zapisi iz prejšnjega odstavka morajo biti hranjeni na način, ki zagotavlja njihovo avtentičnost, celovitost in razpoložljivost v primeru incidentov.