Określenie krytyczności procesów
Funkcja ta jest wykorzystywana przez organizacje, które dokonały klasyfikacji procesów. Program umożliwia przypisanie trzech wag do procesów:
- krytyczny,
- istotny,
- wspierający.
Odtworzenie procesów w aplikacji AnRisk
Przystępując do analizy ryzyka ważny jest kontekst i zakres przyszłej analizy. Należy wskazać obszary, w których zamierzamy przeprowadzić analizę ryzyka. Etap ten dość mocno rożni się u poszczególnych klientów. W zależności od dojrzałości organizacji wybierane są różne modele.
Przykład 1 – model uproszczony bez wskazywania szczegółowych procesów występujących w komórkach.
- Obsługa klientów,
- Obsługa pracowników,
- Obsługa Informatyczna,
- Obsługa spraw organizacyjnych.
Model ten jest proponowany dla małych podmiotów, które nie posiadają dedykowanych pracowników do zarządzania ryzykiem, lub proces zarządzania ryzykiem dopiero rozpoczynają.
Przykład 2 – model zaawansowany z podziałem na procesy realizowane w komórkach organizacyjnych.
Komórka handlu.
- Pozyskiwanie klienta,
- Akcje marketingowe,
- Obsługa mailingu,
- Obsługa strony internetowej,
- Obsługa zamówień,
- Obsługa reklamacji,
- Obsługa wysyłek świątecznych.
Przykład 3 – często stosowany przez IOD.
- Przeniesienie rejestru czynności przetwarzania do analizy ryzyka.
Wskazanie krytyczności procesów pozwala na filtrowanie ryzyk po poziomie krytyczności procesów, co pozwala na zarządzanie ryzykiem, w zależności od krytyczności procesu.
Zestawienie procesów z komponentami
Aplikacja wyświetla wszystkie komponenty, dla których zostały przypisane ryzyka w danym procesie. Jest to bardzo wygodny mechanizm weryfikacji, czy używane w danym procesie komponenty podlegają ocenie. Jak widać na poniższym zdjęciu, w procesie obsługi księgowej nie została wskazana stacja robocza, poczta elektroniczna, czy drukarka. W metodyce zalecanym podejściem jest grupowanie ryzyk, dotyczących większej ilości procesów w przypadku, jeżeli w procesach wykorzystywane są te same komponenty.
Wskazanie przetwarzania kategorii danych osobowych oraz szczególnych kategorii danych osobowych występujących w procesie
Na etapie konfigurowania procesu należy wprowadzić informacje dotyczące przetwarzanych danych osobowych. Pomaga to podczas przeprowadzania analizy DPIA.
Identyfikacja zagrożeń – program umożliwia monitorowanie zagrożeń, dotyczących procesów oraz wykorzystywanych komponentów. Identyfikacja może odbywać się ręcznie lub można skorzystać z gotowych ryzyk, dostępnych online dla klientów, którzy zdecydowali się na program wraz z usługami.
Ocena ryzyka – atrybuty weryfikowane w metodyce: poufność, dostępność, integralność, straty finansowe, straty wizerunkowe. Ocena rozpoczyna się analizą prawdopodobieństwa wystąpienia ryzyka. W kolejnych krokach przechodzimy przez ocenę atrybutów. Następnie dla każdego ryzyka, dotyczącego danych osobowych oceniane jest DPIA, czyli analiza wpływu ryzyka na właściciela danych osobowych.
Integracja komórek organizacyjnych z procesami
Pierwszym krokiem jest wprowadzenie komórek organizacyjnych do systemu. Zaleca się odwzorowanie struktury organizacyjnej w aplikacji AnRisk, co pozwoli precyzyjnie odwzorować ryzyka występujące w komórkach.
