Řízení rizik

5. Plán zvládání rizik a prohlášení o aplikovatelnosti

Plán zvládání rizik

Navazujícím dokumentem na hodnocení rizik je plán zvládání rizik (angl. Risk Treatment Plan, zkráceně RTP). Jedná se o dokument obsahující cíle a přínosy bezpečnostních opatření pro zvládání jednotlivých neakceptovaných rizik, určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termín jejich zavedení, popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a způsob realizace bezpečnostních opatření. V souladu s tímto plánem zvládání rizik jsou zaváděna bezpečnostní opatření.

Dokumenty vycházející z hodnocení rizik včetně samotného hodnocení rizik je nutné pravidelně aktualizovat a musí zohledňovat nejen významné změny, ale i změny v rozsahu ISMS, opatření podle § 11 ZKB a kybernetické bezpečnostní incidenty, včetně dříve řešených.

Prohlášení o aplikovatelnosti

V návaznosti na výsledky hodnocení rizik a s ohledem na bezpečnostní potřeby organizace je třeba zpracovat prohlášení o aplikovatelnosti (angl. Statement of Applicability, zkráceně SoA). Jedná se o dokument, jehož obsahem je přehled bezpečnostních opatření podle VKB, která nebyla aplikována včetně odůvodnění, a která byla aplikována, včetně způsobu jejich plnění.