9. člen
(ocenitev tveganj informacijske varnosti)
(1)
Organ na podlagi ocenitve tveganj informacijske varnosti uvede ustrezne ukrepe za preprečitev ali omilitev neželenih učinkov in zagotovi nenehno izboljševanje.
(2)
Organ izvaja ocenitve tveganj informacijske varnosti najmanj enkrat letno in kadar so predlagane ali nastanejo bistvene spremembe v informacijskih sistemih in delovnih procesih, pri čemer upošteva merila za sprejem tveganj in merila za izvajanje ocenitve tveganj informacijske varnosti.
(3)
Organ hrani dokumentirane informacije o ugotovitvah ocenitev tveganj in obravnave tveganj informacijske varnosti.
(4)
Na podlagi ugotovitev ocenitve tveganja organ vzpostavi nova ali prilagodi obstoječa upravljavska, operativna in tehnična nadzorstva.
(5)
Ocenitev tveganja se izvaja v skladu z enotno metodologijo upravljanja tveganj informacijske varnosti v državni upravi, ki se objavi na spletni strani ministrstva.