(1) Pro účely analýzy rizik se rozumí

(2) Analýza rizik vychází z bezpečnostní politiky a u informačního systému i ze stanoveného bezpečnostního provozního módu.

(3) Analýza rizik obsahuje

(4) U informačního systému musí být analýza rizik přezkoumávána, vyhodnocována a aktualizována, nejpozději však bezprostředně před podáním opakované žádosti o certifikaci podle § 48.

a) hrozbou potenciální příčina bezpečnostního incidentu,

b) zranitelností slabé místo aktiva systému, které může být využito hrozbou,

c) rizikem kombinace pravděpodobnosti události a jejího následku jako souhrnu možností, že hrozba využije zranitelnost a způsobí škodu.

a) provozovatelem systému stanovenou metodiku pro identifikaci a hodnocení aktiv systému a pro identifikaci a hodnocení rizik včetně stanovených kritérií pro přijatelnost rizik,

b) identifikaci a hodnocení aktiv systému z hlediska hrozeb, zranitelností a dopadů,

c) kvantifikaci rizik, která zohledňuje hrozby, zranitelnosti a dopady,

d) určenou a akceptovatelnou míru rizika a

e) přehled navržených bezpečnostních opatření.