Kapitel 4 Politik for risikostyring
Virksomheder skal have politikker for risikostyring eller tilsvarende til at sætte rammerne for virksomhedens risikostyring. Politikkerne skal omfatte følgende:
-
1) Beskrivelse af ledelsesansvar og rolle.
-
2) Metoder til at identificere, vurdere og evaluere risici, herunder risici for anlæg og net- og informationssystemer.
-
3) Metoder til identifikation, vurdering, håndtering og prioritering af passende foranstaltninger til at mitigere og styre risici.
-
4) Kriterier for evaluering og prioritering af risici.
-
5) Kriterier for accept af risici.