Kontroll-könyvtár
Demó mód — helyi adatokKockázatkezelés
Kockázatértékelés elvégzése
Mit követel a jogszabály?
A szervezet köteles dokumentált kockázatértékelést végezni az elektronikus információs rendszereire: azonosítani a fenyegetéseket, felmérni azok valószínűségét és lehetséges hatását, és ez alapján meghatározni a szükséges védelmi intézkedéseket.
A kockázatértékelést rendszeresen — jellemzően évente, illetve jelentős változás (új rendszer, átszervezés, súlyos incidens) után — meg kell ismételni.
Mit jelent ez a gyakorlatban?
Vedd sorra a fontos rendszereidet (levelezés, vállalatirányítás, gyártásvezérlés, weboldal…), és mindegyiknél gondold végig: mi fenyegeti (zsarolóvírus, adathalászat, hardverhiba, emberi hiba), mekkora eséllyel következik be, és mekkora kárt okozna.
Az eredmény egy kockázati lista: minden kockázathoz tartozzon döntés (elfogadjuk / csökkentjük / áthárítjuk), intézkedés, felelős és határidő.
Milyen bizonyítékot vár az auditor?
A kockázatértékelési dokumentum, dátummal és módszertani leírással.
A kockázati regiszter és a belőle következő intézkedési terv, felelősökkel.
Az ismétlés bizonyítéka (előző évi verzió, változásjegyzék).
Piszkozat — a szöveg a jogszabály előzetes, közérthető értelmezése; auditor-validálásra vár. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.
Adatok
További tételek — Kockázatkezelés
Biztonsági osztályba sorolás dokumentálásaKockázatkezelési terv karbantartása