Politika riadenia rizík informačnej bezpečnosti

# Politika riadenia rizík informačnej bezpečnosti

**Vlastník:** {{OWNER_NAME}} ({{OWNER_ROLE}})
**Schválil:** {{APPROVER_NAME}} ({{APPROVER_ROLE}})
**Dátum schválenia:** {{APPROVAL_DATE}}
**Verzia:** 1.0
**Dátum poslednej revízie:** {{LAST_REVIEW_DATE}}
**Plánovaná ďalšia revízia:** {{NEXT_REVIEW_DATE}}
**Rozsah (scope):** {{SCOPE}}

## 1. Účel
Táto politika stanovuje prístup {{COMPANY_NAME}} k identifikácii, posudzovaniu a riadeniu rizík informačnej bezpečnosti v súlade s NIS2 čl. 21(2)(a) a vykonávacím nariadením EÚ 2024/2690, kapitola 1.

## 2. Rozsah pôsobnosti
Platí pre všetky informačné systémy, procesy a osoby uvedené v scope (viď hlavička). Vzťahuje sa na interných zamestnancov, externých dodávateľov a tretie strany s prístupom k aktívam {{COMPANY_NAME}}.

## 3. Metodológia riadenia rizík
- **Rámec:** {{RISK_FRAMEWORK}} (napr. ISO/IEC 27005, NIST SP 800-30 alebo interná metodika).
- **Škála:** kvalitatívna (Low / Medium / High / Critical) alebo kvantitatívna (€-vyjadrenie).
- **Frekvencia:** minimálne ročne + po každej významnej zmene v infraštruktúre alebo procesoch.

## 4. Risk appetite a tolerancia
- **Nízke riziko:** akceptované bez ďalších opatrení.
- **Stredné riziko:** vyžaduje dokumentované opatrenia a pravidelný monitoring.
- **Vysoké / kritické riziko:** musí schváliť {{APPROVER_ROLE}}; ak zostatkové riziko prekračuje prah {{RISK_THRESHOLD}}, vyžaduje sa okamžité treatment.

## 5. Register rizík
- Všetky identifikované riziká sa evidujú v centrálnom registri rizík (nástroj: {{RISK_REGISTER_TOOL}}).
- Každé riziko obsahuje: popis, aktívum, pravdepodobnosť, dopad, inherent risk, existujúce opatrenia, zostatkové riziko, vlastník, termín revízie.

## 6. Riešenie rizík (risk treatment)
Voľba zo 4 štandardných stratégií s písomnou justifikáciou:
- **Avoid** — eliminácia aktivity.
- **Mitigate** — technické alebo organizačné opatrenia.
- **Transfer** — poistenie, zmluvné presunuté riziko (napr. na cloud providera).
- **Accept** — formálne akceptované s odôvodnením (podpis {{APPROVER_ROLE}}).

## 7. Eskalácia a komunikácia
- Kritické riziká sa eskalujú na {{EXECUTIVE_BODY}} do 5 pracovných dní.
- Quarterly risk report pre {{BOARD_OR_STEERING_COMMITTEE}} s TOP 10 rizikami.
- Ad-hoc alerty pri vzniku kritického rizika (napr. zero-day na produkčnom systéme).

## 8. Roly a zodpovednosti
- **{{OWNER_ROLE}}** — vlastník tejto politiky, koordinácia ISMS.
- **Vlastníci systémov** — identifikácia a monitoring rizík vo svojej oblasti.
- **Risk committee / CISO office** — validácia, aggregate view, board reporting.

## 9. Súvisiace dokumenty
- Incident response policy
- Business continuity policy
- Supplier security policy
- Politika prístupových práv

## 10. Revízia
Táto politika sa reviduje minimálne raz ročne a po každej významnej organizačnej alebo technologickej zmene. Zmeny podliehajú approval flow podľa sekcie 7.

## 11. Histórie verzií
| Verzia | Dátum | Autor | Zmeny |
|--------|-------|-------|-------|
| 1.0    | {{APPROVAL_DATE}} | {{OWNER_NAME}} | Prvotné vydanie |

---

**Schválenie**

{{APPROVER_NAME}}, {{APPROVER_ROLE}}
Dátum: {{APPROVAL_DATE}}
Podpis: ____________________

_Tento dokument je šablóna — doplňte placeholders ({{...}}) a validujte v kontexte vašej organizácie. Pri audite budú kontrolované najmä hlavičkové atribúty (vlastník, dátum schválenia, verzia, scope) a konkrétne hodnoty pre váš prostredie._