Proces řízení rizik je nedílnou součástí systému řízení bezpečnosti informací. Základním cílem řízení rizik je snížení rizika na přijatelnou úroveň. Přijatelná úroveň je pak taková míra rizika, při níž lze dané riziko v souvislosti se závažností případných ztrát přijmout. Můžeme také říct, že účelem tohoto procesu je předejít neočekávaným událostem (např. kybernetický útok) s negativním efektem a zamezit vzniku incidentů.
Výstupy tohoto procesu pomáhají i v rámci plánování investic, protože seznam identifikovaných a ohodnocených rizik pomáhá vedení při stanovování priorit jednotlivých investičních projektů s cílem zvýšení bezpečnosti dat. Organizace se tak může zaměřit nejdříve na aktiva, která jsou nejvíce ohrožena.
Požadavky na oblast řízení rizik mají také dva nejdůležitější dokumenty z oblasti bezpečnosti informací. Prvním je mezinárodní norma ČSN ISO/IEC 27001:2014 (dále jen „Norma“) a druhým je zákon č. 181/2014 Sb. o kybernetické bezpečnosti, zejména v podobě požadavků vyhlášky č. 82/2018 Sb. (dále jen „Vyhláška“).
Norma popisuje požadavky na proces řízení rizik v kapitolách 6.1.2 a 6.1.3 takto:
· Musí být stanovena kritéria akceptace rizik a kritéria pro provádění posouzení rizik.
· Musí být zajištěno, že výsledky hodnocení rizik jsou konzistentní, opodstatněné a porovnatelné.
· Dochází k identifikaci rizik na základě ztráty důvěrnosti, integrity a dostupnosti. Každé riziko má přiřazeného vlastníka.
· Dochází k analýze rizik. Posuzují se dopady i pravděpodobnost výskytu rizika a na jejich základě je určena úroveň rizika.
· Dochází k ošetření rizik na základě dříve definovaných kritérií.
· Je vytvořeno tzv. Prohlášení o aplikovatelnosti a Plán ošetření rizik.
· O celém procesu jsou vedeny a uchovávány dokumentované informace.
V §5 Vyhlášky jsou stanoveny následující požadavky na řízení rizik:
· Stanovit metodiku a kritéria pro akceptaci.
· Identifikovat hrozby a zranitelnosti.
· Provádět hodnocení rizik a zpracovat Zprávu o hodnocení rizik.
· Zpracovat Prohlášení o aplikovatelnosti a Plán zvládání rizik.
· Na základě Plánu zavádět bezpečnostní opatření.
· Provádět hodnocení rizik alespoň jednou ročně v případě kritické infrastruktury a systémů základní služby.
· Provádět hodnocení rizik alespoň jednou za tři roky v případě významných informačních systémů.
