Přeskočit na obsah
TECHNOMATON | Docs SAI certifikovaní trenéři

Řízení ICT rizik

ICT Risk Management Framework (Čl. 5-16)

DORA vyžaduje komplexní ICT risk management framework schválený vedením organizace.

Požadavky na governance

PožadavekPopisČlánek
Board odpovědnostVedení nese konečnou odpovědnost za ICT risk managementČl. 5
ICT strategieDokumentovaná Digital Operational Resilience StrategyČl. 6
Risk toleranceDefinovaná a schválená boardemČl. 6
Roční reviewMinimálně každoroční přezkoumáníČl. 6

Komponenty frameworku

ICT Asset Management (Čl. 8)

Požadavky na inventář

  • Kompletní inventář ICT aktiv
  • Klasifikace dle kritičnosti
  • Mapování závislostí
  • Pravidelná aktualizace

Kategorie aktiv

KategoriePříklady
HardwareServery, síťová zařízení, endpoints
SoftwareAplikace, OS, middleware
DataDatabáze, úložiště, zálohy
SlužbyCloud services, SaaS, outsourcing

Bezpečnostní opatření (Čl. 9)

Technická opatření

  • Šifrování dat v klidu a při přenosu
  • Network segmentation
  • Multi-factor authentication
  • Patch management
  • Vulnerability management

Organizační opatření

  • Security awareness training
  • Incident response procedures
  • Change management
  • Access control policies

Business Continuity (Čl. 11-12)

Požadavky

OblastPožadavek
BCPDokumentovaný Business Continuity Plan
DRPDisaster Recovery Plan pro kritické systémy
RTO/RPODefinované a testované
TestováníMinimálně roční testy BCP/DRP

ICT Business Impact Analysis

Pro každý kritický proces:

  1. Identifikace závislých ICT systémů
  2. Stanovení RTO/RPO
  3. Identifikace single points of failure
  4. Definice recovery priorit

Další kroky

  1. Zpět na DORA přehled
  2. DORA Scope
  3. DORA Checklist

Zdroje