§ 14
Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik
(1) Pro stanovení hrozeb, které ohrožují aktiva informačního systému, musí být provedena analýza rizik.
(2) V rámci provedení analýzy rizik se definují aktiva informačního systému a stanovují se hrozby, které působí na jednotlivá aktiva informačního systému. Posuzují se zejména ohrožení, která způsobují ztrátu funkčnosti nebo zabezpečenosti informačního systému.
(3) Po stanovení hrozeb se určují zranitelná místa informačního systému tak, že ke každé hrozbě se najde zranitelné místo nebo místa, na která tato hrozba působí.
(4) Výsledkem provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační systém, s uvedením odpovídajícího rizika.
(5) Na základě provedené analýzy rizik se provádí výběr vhodných protiopatření.