(1) Risk yönetiminin amacı, yükümlü kuruluşların sahip olduğu EKS’lere yönelik risklerin tespit edilmesi, değerlendirilmesi, risklerin ortadan kaldırılması veya gerçekleşmesi durumunda etkilerinin azaltılması için aksiyonların tespit edilmesi, bu aksiyonların hayata geçirilmesi ve gereklerinin yerine getirilip getirilmediğinin takibini sağlamaktır.
(2) Yükümlü kuruluşların EKS’lere yönelik risklerinin tespiti için yaptırdıkları güvenlik analizi ve testlerinin usul ve esaslarını belirlemeye Kurul yetkilidir.
(3) Kurum tarafından belirlenerek risk envanterine eklenen riskler, yükümlü kuruluşlarca kendi EKS’leri dikkate alınarak değerlendirilir. Değerlendirilen riskler ile ilgili mevcut durumda uygulanan kontroller de dikkate alınarak, çok yüksek, yüksek ve normal risk seviyesinde bulunan riskler risk işlemeye tabi tutulur ve yükümlü kuruluş tarafından risk azaltma yöntemi belirlenen riskler için riskleri azaltmaya yönelik aksiyonlar planlanır.
(4) Kurum tarafından belirlenen risklerin yanında yükümlü kuruluşlar kendi faaliyetleri doğrultusunda belirledikleri riskleri de değerlendirir. Bu risklerin yer aldığı geri dönüşler değerlendirilerek risk envanterinin zenginleştirilmesi sağlanır.
Hiç yorum yok:
Write yorum