Politika řízení rizik

Politika řízení rizik (P06) poskytuje přísný, celopodnikový rámec pro identifikaci rizik, analýzu rizik, hodnocení rizik a ošetření rizik bezpečnosti informací. Jejím účelem je operacionalizovat rozhodování na základě rizik k ochraně důvěrnosti, integrity a dostupnosti informačních aktiv a začlenit řízení rizik bezpečnosti informací do všech úrovní rozhodování. Politika zajišťuje splnění interních strategických cílů i externích regulačních požadavků a tvoří základní součást systému řízení bezpečnosti informací (ISMS). Konkrétně plní požadavky ISO/IEC 27001:2022 čl. 6.1, principy ISO 31000:2018 a odpovídá detailním metodikám ISO/IEC 27005. Rozsah politiky je komplexní a vztahuje se na všechny útvary, obchodní procesy, veškerý personál, informační systémy (fyzické, digitální a systémy hostované v cloudu) a třetí strany pracující s informačními aktivy. Každá fáze, ve které může být riziko zavedeno – například nové projekty, implementace systémů, změny architektury, zavedení dodavatele, reakce na incidenty a pravidelné přezkumy – spadá do působnosti této politiky. Tento jednotný přístup zajišťuje, že žádné riziko bezpečnosti informací nebude přehlédnuto, ať už vznikne v důsledku obchodních změn, technologických aktualizací nebo externích partnerství. Odpovědnosti jsou jasně vymezeny. Vrcholové vedení definuje ochotu podstupovat riziko a schvaluje ošetření rizik pro zbytkové riziko nad prahové hodnoty pro akceptaci rizik. Manažer ISMS nebo manažer rizik vlastní rámec, zajišťuje soulad politiky, vede posouzení rizik a udržuje centrální registr rizik a plán ošetření rizik. Vlastník rizika a tým informační bezpečnosti identifikují, posuzují a ošetřují rizika pro konkrétní aktiva nebo procesy. Interní audit a týmy pro dodržování předpisů validují účinnost a auditovatelnost činností řízení rizik a spouštějí nápravná opatření při mezerách nebo porušeních. Tato struktura správy a řízení zajišťuje přísný dohled a účinnou eskalaci nepřijatelných rizik. Požadavky správy a řízení vyžadují udržování centrálního registru rizik dokumentujícího všechna známá rizika, jejich vlastníky, skóre, plány ošetření rizik a vazby na bezpečnostní opatření. Posouzení rizik musí následovat dokumentované metodiky, včetně klasifikace aktiv, mapování hrozeb a zranitelností a hodnocení bezpečnostních opatření. Prohlášení o použitelnosti (SoA) je udržováno aktuální pro dohledatelnost rozhodnutí o ošetření rizik a stavu bezpečnostních opatření. Možnosti ošetření rizik (vyhýbání se riziku, přenos rizika, přijetí rizika, snižování rizika) jsou formálně dokumentovány a výjimky z postupů jsou přísně řízeny, vyžadují schválení na vyšší úrovni s odůvodněním a časovými lhůtami. Pravidelné monitorování, klíčové ukazatele rizik a řídicí panel rizik podporují účinné vykazování vrcholovému vedení. Vynucování je klíčovou součástí: nesoulad podléhá disciplinárním opatřením a manažer ISMS spolu s auditem pravidelně přezkoumává úplnost, dohledatelnost a včasnost činností řízení rizik. Politika je přezkoumávána nejméně jednou ročně nebo po významných incidentech či organizačních změnách, aby zůstala aktuální vzhledem k vyvíjejícím se potřebám podniku a regulačnímu prostředí. Tento strukturovaný přístup přímo podporuje odpovědnost, transparentnost a neustálé zlepšování v řízení rizik bezpečnosti informací a je nedílnou součástí celkové odolnosti organizace.