Kontroll-könyvtár

Demó mód — helyi adatok
← Vissza a könyvtárhoz

Kockázatkezelés

Kockázatértékelés elvégzése

Mit követel a jogszabály?

A szervezet köteles dokumentált kockázatértékelést végezni az elektronikus információs rendszereire: azonosítani a fenyegetéseket, felmérni azok valószínűségét és lehetséges hatását, és ez alapján meghatározni a szükséges védelmi intézkedéseket.

A kockázatértékelést rendszeresen — jellemzően évente, illetve jelentős változás (új rendszer, átszervezés, súlyos incidens) után — meg kell ismételni.

Mit jelent ez a gyakorlatban?

Vedd sorra a fontos rendszereidet (levelezés, vállalatirányítás, gyártásvezérlés, weboldal…), és mindegyiknél gondold végig: mi fenyegeti (zsarolóvírus, adathalászat, hardverhiba, emberi hiba), mekkora eséllyel következik be, és mekkora kárt okozna.

Az eredmény egy kockázati lista: minden kockázathoz tartozzon döntés (elfogadjuk / csökkentjük / áthárítjuk), intézkedés, felelős és határidő.

Milyen bizonyítékot vár az auditor?

A kockázatértékelési dokumentum, dátummal és módszertani leírással.

A kockázati regiszter és a belőle következő intézkedési terv, felelősökkel.

Az ismétlés bizonyítéka (előző évi verzió, változásjegyzék).

Piszkozat — a szöveg a jogszabály előzetes, közérthető értelmezése; auditor-validálásra vár. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.

Adatok

Jogszabályi alap2024. évi LXIX. tv. (piszkozat)
Kötelező ettőlAlap osztály
Felülvizsgálat12 havonta