APGINTI.🇱🇹

GV.RM-01 GV.RM-02 GV.RM-03 GV.RM-04 GV.RM-05 GV.RM-06 GV.RM-07

Rizikos valdymo strategija (RM)

Organizacijos prioritetai, apribojimai, rizikos tolerancijos ir apetito pareiškimai bei prielaidos nustatomi, perduodami ir naudojami operacinės rizikos sprendimams pagrįsti

GV.RM-01

Nustatomi rizikos valdymo tikslai, kuriems pritaria organizacijos suinteresuotosios šalys

  1. Atnaujinkite trumpalaikius ir ilgalaikius kibernetinio saugumo rizikos valdymo tikslus kaip dalį metinio strateginio planavimo ir įvykus reikšmingiems pokyčiams;
  2. Nustatykite išmatuojamus kibernetinio saugumo rizikos valdymo tikslus (pvz., valdyti vartotojų mokymo kokybę, užtikrinti tinkamą rizikos apsaugą pramoninėms valdymo sistemoms);
  3. Vyresnieji vadovai susitaria dėl kibernetinio saugumo tikslų ir jais vadovaujasi vertindami ir valdydami riziką bei veiklos rezultatus.
Nuoroda į originalą

GV.RM-03

Kibernetinio saugumo rizikos valdymo veikla ir rezultatai įtraukiami į įmonės rizikos valdymo procesus

  1. Sukaupkite ir valdykite kibernetinio saugumo rizikas kartu su kitomis įmonės rizikomis (pvz., atitikties, finansinėmis, operacinėmis, reguliavimo, reputacijos, saugos);
  2. Įtraukite kibernetinio saugumo rizikos valdytojus į įmonės rizikos valdymo planavimą;
  3. įmonės rizikos valdymo sistemoje nustatykite kriterijus kibernetinio saugumo rizikoms eskaluoti.
Nuoroda į originalą

GV.RM-04

Nustatoma ir perduodama strateginė kryptis, kurioje aprašomos tinkamos reagavimo į riziką galimybės

  1. Atsižvelgiant į įvairias duomenų klasifikacijas nustatykite kriterijus, kada priimti ir kada vengti kibernetinio saugumo rizikų;
  2. Nuspręskite, ar įsigyti kibernetinio saugumo draudimą;
  3. Dokumentuokite sąlygas, kuriomis priimtini bendros atsakomybės modeliai (pvz., tam tikrų kibernetinio saugumo funkcijų perdavimas trečiosioms šalims, finansinių operacijų vykdymas organizacijos vardu per trečiąją šalį, viešųjų debesų paslaugų naudojimas).
Nuoroda į originalą

GV.RM-05

Visoje organizacijoje nustatomos ryšių linijos, skirtos kibernetinio saugumo rizikai, įskaitant tiekėjų ir kitų trečiųjų šalių keliamą riziką

  1. Nustatykite, kaip reguliariai, pagal sutartus intervalus, informuoti vyresniuosius vadovus, direktorius ir valdybą apie organizacijos kibernetinio saugumo būklę;
  2. Nustatykite, kaip visi organizacijos padaliniai – tokie kaip valdyba, operacijos, vidaus auditoriai, teisininkai, pirkimų skyrius, fizinis saugumas ir žmogiškieji ištekliai – bendraus tarpusavyje dėl kibernetinio saugumo rizikų.
Nuoroda į originalą

GV.RM-06

Nustatomas ir perduodamas standartizuotas kibernetinio saugumo metodas rizikos apskaičiavimui, dokumentavimui, skirstymui į kategorijas ir prioritetų nustatymui

  1. Nustatykite kiekybinio pobūdžio kibernetinio saugumo rizikos analizės metodo taikymo kriterijus ir nurodykite tikimybes bei poveikio formules;
  2. Sukurkite ir naudokite šablonus (pvz., rizikos registrą), kad dokumentuotumėte kibernetinio saugumo rizikos informaciją (pvz., rizikos aprašymą, poveikį, valdymo priemones ir atsakomybės savininką);
  3. Atitinkamuose įmonės lygmenyse nustatykite rizikos prioritetų kriterijus;
  4. Naudokite nuoseklų rizikos kategorijų sąrašą, kad galėtumėte integruoti, apibendrinti ir palyginti kibernetinio saugumo riziką.
Nuoroda į originalą

GV.RM-07

Apibūdinamos strateginės galimybės (teigiama rizika) ir jos įtraukiamos į organizacijos kibernetinio saugumo rizikos diskusijas

  1. Apibrėžkite ir pateikite gaires ir metodus, kaip nustatyti galimybes ir įtraukti jas į diskusijas apie riziką (pvz., stiprybių, silpnybių, galimybių ir grėsmių [SWOT] analizė);
  2. Nustatykite išplėstinius tikslus ir juos užfiksuokite;
  3. Apskaičiuokite, dokumentuokite ir nustatykite prioritetus teigiamai rizikai kaip ir neigiamai rizikai.
Nuoroda į originalą
VALDYTI

7 elementai šiame aplanke.

NIST CSF 2.0 Funkcijos

Grafiko Vaizdas