§ 31 Manažment rizík pre oblasť informačnej bezpečnosti

Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti je

a) implementácia systému riadenia a monitorovania rizík v súvislosti s informačnými systémami verejnej správy, a to najmä podľa relevantných technických noriem a pravidelné zbieranie relevantných údajov súvisiacich s rizikami,

b) používanie systému riadenia a monitorovania rizík pri všetkých procesoch riadenia informačnej bezpečnosti,

c) identifikácia, analýza a hodnotenie rizík spojených s využívaním aktív a informačných systémov verejnej správy mimo priestorov povinnej osoby a zavedenie primeraných postupov a opatrení na redukciu týchto rizík,

d) analyzovanie procesov povinnej osoby, ktoré sú podstatné pre plnenie činnosti povinnej osoby z hľadiska ich závislosti na informačných systémoch verejnej správy a určenie procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných informačných systémov verejnej správy; tieto procesy sú kritickými procesmi,

e) analyzovanie rizík, vyplývajúcich z hrozieb pre informačné systémy verejnej správy, od ktorých závisia kritické procesy; tieto informačné systémy sú kritickými informačnými systémami verejnej správy,

f) vypracovanie plánov na obnovu činnosti nefunkčných, poškodených alebo zničených kritických informačných systémov verejnej správy.