Temat: 1 miejsce ryzyka w Polityce bezpieczeństwa cyberprzestrzeni
Dzięki Jerzy i Jarku.
Zwróciłam szczególną uwagę na sprawozdawczość, bo ona dot. kilkunastu jednostek wg. programu ochrony CRP (pkt. 2.3). Przestraszyłam się, że o jakimś obowiązku dla moich jednostek nie wiem heheh;)
I nadal nie wiem co reguluje zakres i termin sprawozdania, o którym mówi Jerzy, tj."każda
jednostka administracji rządowej, o której mowa w pkt 1.4 (punkty 1-4), w terminie do 31
stycznia każdego roku przekaże do ministra właściwego ds. informatyzacji sprawozdanie
podsumowujące wyniki szacowania ryzyka (wg wzorca opracowanego przez ministra
właściwego ds. informatyzacji). Sprawozdanie powinno zawierać ogólne dane dotyczące
rodzajów ryzyka, zagrożeń i słabych punktów zdiagnozowanych w każdym z sektorów,
w których poszczególna instytucja działa i za które odpowiada."
Z tego co widzę to sprawozdawczość w programie ochrony CPRP dot. jednostek wymienionych w pkt 2.3, a bliżej niedookreślone raportowanie dot. pkt. 1.4. Nadal proszę o namiar na szczegóły ww. sprawozdawczości, jeśli można?
Jak namierzyć tę deklarację opracowania systemu sprawozdawczego i metodyki lub inną podstawę dot. obowiązków sprawozdawczych? A skoro nie ma podstaw prawnych to z czego ten termin 31 stycznia i którego roku to dotyczy? :)
A co do ZR:)
Ja nie twierdzę, że 1 analiza da wartość dodaną. Chodzi o cały system zarządzania ryzykiem , który ma być systemem, który "żyje"
A "postępowanie z ryzykiem (mechanizmy kontrolne jak ..." to jeden z etapów ZR.
A co do pytania "czy tego się naprawdę oczekuje" to mam nadzieję, że cotaz bardziej "tak" :)
Jednak chyba jeszcze nie "wiemy", że spełnienie oczekiwania wymaga określenia jego zakresu oraz posiadania zasobów na podjęcie działań