Řízení rizik

4. Hodnocení a analýza rizik

Metoda výpočtu hodnoty rizika

Nezbytnou součástí hodnocení rizik je jednoznačné stanovení funkce pro určení rizika. Tato hodnota rizika je nejčastěji vyjádřena funkcí ovlivněnou dopadem, jakožto hodnotou aktiva z hlediska důležitosti, hrozbou a zranitelností.

Lze použít např. tento výpočet:

Dopadová hodnota aktiva × Hrozba × Zranitelnost = Riziko

Při hodnocení rizik je nutné hodnotit rizika alespoň v rozsahu dle níže uvedených tabulek, zohlednit relevantní hrozby a zranitelnosti a posoudit možné dopady na aktiva.

Hodnocení rizik lze zajistit i jinými způsoby, ale musí být zabezpečeno, že použitá metodika hodnocení rizik zajistí stejnou nebo vyšší úroveň procesu řízení rizik.

Výsledky provedeného hodnocení rizik musí být obsahem zprávy o hodnocení rizik.

• Správce a provozovatel informačního nebo komunikačního systému kritické informační infrastruktury a správce a provozovatel informačního systému základní služby provádí hodnocení rizik alespoň jednou ročně.
• Správce a provozovatel významného informačního systému provádí hodnocení rizik alespoň jednou za tři roky.

Stupnice pro hodnocení hrozeb

Stupnice pro hodnocení zranitelnosti

Stupnice pro hodnocení rizik

Hodnota rizika je určená podle vzorce:
dopadová hodnota aktiva x hodnota hrozby x hodnota zranitelnosti

Zjednodušená analýza rizik

Zdroj: NUKIB