Identyfikacja ryzyka w metodyce IMNS MATRIX

Źródła ryzyk

Identyfikacja ryzyk w procesie zarządzania ryzykiem
Kluczowym etapem procesu zarządzania ryzykiem jest pozyskanie ryzyk do późniejszych analiz i ocen. Metodyka IMNS Matrix, wykorzystująca aplikację AnRisk, wskazuje cykliczne przeglądy w pięciu obszarach.

 

 

1. Ryzyka Online
Podstawowym źródłem ryzyk są dostępne w aplikacji  ryzyka online. Każda nowa grupa ryzyk udostępniana jest wraz ze szkoleniem wprowadzającym dostępnym online, na którym omawiane są ryzyka, wskazywane zasady aktualizacji i pracy z ryzykami. Zapewniamy regularnie dostęp do wzorców ryzyk, co pozwala na rozłożenie w czasie pracy z ryzykami.

2. Audyt bezpieczeństwa
Raport audytowy jest gotowym materiałem, który należy wprowadzić do analizy ryzyka i objąć monitoringiem wprowadzanych planów postępowania. Wyspecjalizowana firma przygotowała obszary kontrolne, które po przeprowadzonej ocenie stają się źródłem ryzyk oraz mechanizmów obniżających ryzyko. Zalecany zakres audytu:

  • ocena mechanizmów zabezpieczających,
  • kontrola podatności,
  • ocena dostawców,
  • ocena procedur bezpieczeństwa,
  • ocena planu postępowania z ryzykiem.

3. Rejestr incydentów jako źródło ryzyk
Poprawnie prowadzony rejestr incydentów powinien uzupełniać każdą analizę ryzyka. Ocenić należy incydenty oraz zdarzenia mające charakter incydentu. Głównym elementem ocenianym podczas weryfikacji incydentu powinna być kontrola DPIA (wpływ zdarzenia na skutki dla właściciela danych osobowych). Przykładowe ryzyka, których źródłem jest rejestr incydentów:

  • dostęp do biura nieuprawnionej osoby wykorzystującej pozostawione klucze w drzwiach,
  • dostęp do informacji chronionych spowodowanych wysłaniem wiadomości bez zastosowania szyfrowania załączników,
  • utrata treści na stronie spowodowana brakiem kopii zapasowej,
  • utrata danych kontaktowych spowodowana kradzieżą  smartfona.

4. Ryzyka indywidualne (branżowe)
Przykładowe analizy ryzyka związane z charakterem wykonywanej pracy. Ryzyka dotyczące:

  • transportu gotówki,
  • skanowania dowodów osobistych na podstawie przepisu prawa,
  • ochrony dokumentacji projektowej należącej do klienta,
  • zapisywanie, udostępnianie i archiwizowanie wyników z tomografu komputerowego,
  • wykorzystania mobilnych rejestratorów odczytu zużycia wody itp.

5. Oceny wynikające bezpośrednio z przepisów
Obowiązkiem każdej firmy jest monitorowanie ryzyk wskazanych w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych w sprawie wykazu rodzajów operacji przetwarzania danych osobowych, wymagających oceny skutków przetwarzania dla ich ochrony. Inne przepisy wskazujące obszary do analizy ryzyka:

  • Rozporządzenie RODO,
  • Rozporządzenie Krajowych Ram Interoperacyjności,
  • Ustawa KSC oraz projekt NIS2.

 IMNS Matrix Identyfikacja ryzyka Analiza DPIA Ocena zabezpieczeń Postępowanie z ryzykiem Przegląd ryzyk

IMNS

IMNS Polska Sp. z o.o.
Wrocławski Park Technologiczny
ul. Klecińska 125, 54-413 Wrocław
NIP: 8971678341

Biuro konsultingowe w Warszawie
ul. Obrzeżna 3, 02-691 Warszawa