Jak se liší řízení rizik v IS/ICT projektech oproti „obecnému“ projektovému řízení? Navrhněte, jak integrovat security-by-design, GDPR/NIS2 požadavky a threat modeling do životního cyklu projektu tak, aby bezpečnost nebyla „brána na konci“.
Specifika rizik v IS/ICT
Kromě času/rozpočtu/rozsahu řešíme:
- kybernetická rizika (CIA),
- regulatorní rizika (GDPR, NIS2),
- strategická rizika (vendor lock-in),
- provozní rizika (stabilita, DR).
Security-by-design integrace
- Iniciace: klasifikace dat, identifikace regulací, risk appetite.
- Návrh: threat modeling, architektonické a bezpečnostní požadavky (NFR).
- Implementace: secure SDLC, code review, bezpečnostní skeny.
- Testování: pen testy, ověření audit trail, kontrola oprávnění.
- Go-live: bezpečnostní brána + provozní připravenost.
- Provoz: monitoring, incident response, hlášení incidentů (kde relevantní).
GDPR/Privacy-by-design
- minimalizace dat, účel, retence,
- DPIA u rizikových zpracování,
- řízení přístupů a auditní stopa.
Proč „ne na konci“
Pozdní bezpečnost blokuje nasazení nebo vede k drahým změnám; v horším případě k incidentu po go-live.
Závěr
Bezpečnost a compliance jsou kvalitativní atributy (NFR) a musí být v DoD/akceptaci, ne jako příloha.
Všechny otázky - Rizeni projektu IS/ICT
- 1. IS/ICT projekt jako nástroj realizace strategie
- 2. Business–IT alignment a důsledky nesouladu
- 3. Value, benefits a řízení realizace přínosů
- 4. Projekt vs program vs portfolio v IS/ICT
- 5. IT governance a decision rights v projektech
- 6. Investiční řízení ICT: CAPEX/OPEX, TCO a FinOps
- 7. Řízení požadavků napojené na strategii a hodnotu
- 8. Rizika, bezpečnost a compliance v IS/ICT projektu
- 9. Sourcing a řízení dodavatelů v ICT projektech
- 10. Enterprise Architecture: principy, vrstvy a přínos
- 11. As-Is / To-Be / Gap a převod do portfolia
- 12. Architecture governance: review, ADR a výjimky
- 13. Přechod do provozu: ITIL/ITSM vs DevOps (hybrid)
- 14. Volba metodiky: prediktivní × agilní × hybridní
- 15. Specifika kategorií IS/ICT projektů (governance–UX)