Odtworzenie procesów w aplikacji AnRisk

Przystępując do analizy ryzyka ważny jest kontekst i zakres przyszłej analizy. Należy wskazać obszary, w których zamierzamy przeprowadzić analizę ryzyka. Etap ten dość mocno rożni się u poszczególnych klientów. W zależności od dojrzałości organizacji wybierane są różne modele.

Przykład 1 – model uproszczony bez wskazywania szczegółowych procesów występujących w komórkach.

  • Obsługa klientów.
  • Obsługa pracowników.
  • Obsługa Informatyczna.
  • Obsługa spraw organizacyjnych.

Model ten jest proponowany dla małych podmiotów, które nie posiadają dedykowanych pracowników do zarządzania ryzykiem, lub proces zarządzania ryzykiem dopiero rozpoczynają.

Przykład 2 – model zaawansowany z podziałem na procesy realizowane w komórkach organizacyjnych.

Komórka handlu.

  • Pozyskiwanie klienta.
  • Akcje marketingowe.
  • Obsługa mailingu.
  • Obsługa strony internetowej
  • Obsługa zamówień.
  • Obsługa reklamacji.
  • Obsługa wysyłek świątecznych.

Przykład 3 –często stosowany przez IOD.

  • Przeniesienie rejestru czynności przetwarzania do analizy ryzyka.

Określenie krytyczności procesów

Funkcja ta jest wykorzystywana przez organizacje, które dokonały klasyfikacji procesów. Program umożliwia przypisanie trzech wag do procesów:

  • krytyczny,
  • istotny,
  • wspierający.

Wskazanie krytyczności procesów pozwala na filtrowanie ryzyk po poziomie krytyczności procesów, co pozwala na zarządzanie ryzykiem, w zależności od krytyczności procesu.

 

Zestawienie procesów z komponentami

Aplikacja wyświetla wszystkie komponenty, dla których zostały przypisane ryzyka w danym procesie. Jest to bardzo wygodny mechanizm weryfikacji, czy używane w danym procesie komponenty podlegają ocenie. Jak widać na poniższym zdjęciu, w procesie obsługi księgowej nie została wskazana stacja robocza, poczta elektroniczna, czy drukarka. W metodyce zalecanym podejściem jest grupowanie ryzyk, dotyczących większej ilości procesów w przypadku, jeżeli w procesach wykorzystywane są te same komponenty.

Wskazanie przetwarzania kategorii danych osobowych oraz szczególnych kategorii danych osobowych występujących w procesie

Na etapie konfigurowania procesu należy wprowadzić informacje dotyczące przetwarzanych danych osobowych. Pomaga to podczas przeprowadzania analizy DPIA.

Identyfikacja zagrożeń – program umożliwia monitorowanie zagrożeń, dotyczących procesów oraz wykorzystywanych komponentów. Identyfikacja może odbywać się ręcznie lub można skorzystać z gotowych ryzyk, dostępnych online dla klientów, którzy zdecydowali się na program wraz z usługami.

Ocena ryzyka – atrybuty weryfikowane w metodyce: poufność, dostępność, integralność, straty finansowe, straty wizerunkowe. Ocena rozpoczyna się analizą prawdopodobieństwa wystąpienia ryzyka. W kolejnych krokach przechodzimy przez ocenę atrybutów. Następnie dla każdego ryzyka, dotyczącego danych osobowych oceniane jest DPIA, czyli analiza wpływu ryzyka na właściciela danych osobowych.

 

 

Integracja komórek organizacyjnych z procesami

Pierwszym krokiem jest wprowadzenie komórek organizacyjnych do systemu. Zaleca się odwzorowanie struktury organizacyjnej w aplikacji AnRisk, co pozwoli precyzyjnie odwzorować ryzyka występujące w komórkach.

Informacje kontaktowe

IMNS Polska Sp. z o.o.
Wrocławski Park Technologiczny
ul. Klecińska 125, 54-413 Wrocław

Biuro konsultingowe w Warszawie
ul. Obrzeżna 3, 02-691 Warszawa

IMNS Consulting
tel: 71 797 77 20

O serwisie

Serwis IMNS Polska poświęcony rozwiązaniu AnRisk, będącemu częścią szerszej oferty konsultingowej zespołu IMNS Consulting.

Rozwiązania i usługi  w ofercie IMNS

Audyty bezpieczeństwa
Polityka bezpieczeństwa informacji
Zarządzanie ryzykiem
Zarządzanie ciągłością działania
Wdrażanie regulacji branżowych
Testy bezpieczeństwa