Pravilnik o upravljanju rizicima u IS-u
| Polje |
Vrijednost |
| Oznaka |
PR-INF-RIZUPR-v1_0 |
| Tip |
Pravilnik |
| Verzija |
1.0 |
| Datum usvajanja |
25.04.2025. |
| Format |
DOCX |
| ISO 27001:2022 |
5.7, 6.1.2 |
| Status |
Aktivan |
| Preuzimanje |
PR-INF-RIZUPR-v1.0.docx |
Opis
Pravilnik definira pravila postupanja pri upravljanju rizicima informacijskog sustava TPA d.o.o. Određuje obveze odgovornih osoba na svim razinama rukovođenja, smjernice za postupanje s utvrđenim rizicima te obveze redovitog praćenja. Procjena rizika provodi se najmanje jednom godišnje. Pravilnik se primjenjuje na IS u cjelini, uključujući resurse trećih strana koji se koriste u poslovnim procesima.
Sadržaj dokumenta
- Ciljevi i polazišta — identifikacija prijetnji i ranjivosti; periodička procjena (min. jednom godišnje); razmjernost troškova mjera i vrijednosti informacija
- Opseg — strateški, operativni i projektni rizici; IS u cjelini, uključujući resurse trećih strana
- Nadležnosti i odgovornosti:
- Rukovodstvo — nalozi za analizu strateških rizika; odobravanje odluka o postupanju
- Voditelj sigurnosti IS-a — metodologija; provođenje procjene; izvještavanje uprave
- Rukovoditelji org. cjelina — procjena utjecaja na poslovne procese
- Voditelj Službe informatike — procjena tehničkih prijetnji i ranjivosti
- Unutarnja revizija — provjera mjera; izvještavanje Nadzornom odboru
- Procjena i postupanje s rizicima — kvalitativna metoda; dva parametra: negativni utjecaj × izglednost pojave; četiri razine: Ekstreman (4), Visok (3), Umjeren (2), Nizak (1)
- Odlučivanje o rizicima — Plan odgovaranja na rizike; četiri strategije: prihvaćanje, smanjenje, prijenos, izbjegavanje
- Registar rizika — popis svih neprihvatljivih događaja, visine rizika i predloženih mjera
- Praćenje i izvještavanje — redovito praćenje; godišnji izvještaj upravi
- Prijelazne i završne odredbe
Povezani dokumenti
Povijest izmjena
| Verzija |
Datum |
Opis |
| 1.0 |
25.04.2025. |
Inicijalno usvajanje |