KVVV: 13

Zprávy o přezkoumání systému řízení bezpečnosti informací.

• Dokumentace obsahující výsledky pravidelného přezkoumání systému řízení bezpečnosti informací (ISMS) vedením organizace. Zpráva hodnotí účinnost ISMS, jeho shodu s požadavky dle vyhlášky pro režim vyšších povinností, plnění stanovených cílů a obsahuje doporučení pro zlepšení systému.
• Politika systému řízení bezpečnosti informací musí být přezkoumána manažerem kybernetické bezpečnosti minimálně 1x za rok. I v případě, že nedojde k žádným změnám, musí být u verze uvedeno datum přezkoumání.

Výsledky hodnocení rizik. 

• Dokumentovaný výstup procesu identifikace, analýzy a vyhodnocení rizik, který zahrnuje přehled nalezených hrozeb, zranitelností, odhadovaných dopadů a pravděpodobností jejich realizace, včetně doporučení pro jejich zmírnění. 

Výstupy z auditů kybernetické bezpečnosti.

• Souhrnné zprávy nebo zjištění, které dokumentují stav implementace bezpečnostních opatření, shodu s legislativními požadavky a normami, včetně identifikace nedostatků a doporučení pro zlepšení. 

Analýzy dopadů kybernetických bezpečnostních incidentů.

• Hodnocení potenciálních nebo skutečných následků kybernetických bezpečnostních incidentů na provoz organizace, její majetek, informace nebo reputace, zahrnující finanční, právní a provozní aspekty.