§ 38
Analýza rizik
(1) Pro účely analýzy rizik se rozumí
a) hrozbou potenciální příčina bezpečnostního incidentu,
b) zranitelností slabé místo aktiva systému, které může být využito hrozbou,
c) rizikem kombinace pravděpodobnosti události a jejího následku jako souhrnu možností, že hrozba využije zranitelnost a způsobí škodu.
(2) Analýza rizik vychází z bezpečnostní politiky a u informačního systému i ze stanoveného bezpečnostního provozního módu.
(3) Analýza rizik obsahuje
a) provozovatelem systému stanovenou metodiku pro identifikaci a hodnocení aktiv systému a pro identifikaci a hodnocení rizik včetně stanovených kritérií pro přijatelnost rizik,
b) identifikaci a hodnocení aktiv systému z hlediska hrozeb, zranitelností a dopadů,
c) kvantifikaci rizik, která zohledňuje hrozby, zranitelnosti a dopady,
d) určenou a akceptovatelnou míru rizika a
e) přehled navržených bezpečnostních opatření.
(4) U informačního systému musí být analýza rizik přezkoumávána, vyhodnocována a aktualizována, nejpozději však bezprostředně před podáním opakované žádosti o certifikaci podle § 48.