Źródła ryzyk podczas identyfikacji ryzyka w metodyce IMNS Matrix

Identyfikacja ryzyk w procesie zarządzania ryzykiem

Kluczowym etapem procesu zarządzania ryzykiem jest pozyskanie ryzyk do późniejszych analiz i ocen. Metodyka IMNS Matrix wykorzystująca aplikację AnRisk wskazuje cykliczne przeglądy w pięciu obszarach.

Ryzyka Online

Podstawowym źródłem ryzyk są dostępne w aplikacji  ryzyka online. Każda nowa grupa ryzyk udostępniana jest wraz ze szkoleniem wprowadzającym dostępnym online, na którym omawiane są ryzyka, wskazywane zasady aktualizacji i pracy z ryzykami.

Zapewniamy regularnie dostęp do wzorców ryzyk, co pozwala na rozłożenie w czasie pracy z ryzykami.

Dostępnych jest ponad 350 zdefiniowanych ryzyk i ilość ta z każdym miesiącem rośnie.

Audyt bezpieczeństwa

Raport audytowy jest gotowym materiałem, który należy wprowadzić do analizy ryzyka i objąć monitoringiem wprowadzanych planów postępowania. Wyspecjalizowana firma przygotowała obszary kontrolne, które po przeprowadzonej ocenie stają się źródłem ryzyk oraz mechanizmów obniżających ryzyko.

Zalecany zakres audytu:

• ocena mechanizmów zabezpieczających,
• kontrola podatności,
• ocena dostawców,
• ocena procedur bezpieczeństwa,
• ocena planu postępowania z ryzykiem.

Rejestr incydentów jako źródło ryzyk

Poprawnie prowadzony rejestr incydentów powinien uzupełniać każdą analiz ryzyka.

Ocenić należy incydenty oraz zdarzenia mające charakter incydentu.

Głównym elementem ocenianym podczas weryfikacji incydentu powinna być kontrola DPIA (wpływu zdarzenia na skutki dla właściciela danych osobowych).

Przykładowe ryzyka, których źródłem jest rejestr incydentów:

• dostęp do biura nieuprawnionej osoby wykorzystującej pozostawione klucze w drzwiach,
• dostęp do informacji chronionych spowodowanych wysłaniem wiadomości bez zastosowania szyfrowania załączników,
• utrata treści na stronie spowodowana brakiem kopii zapasowej,
• utrata danych kontaktowych spowodowana kradzieżą  smartfona.

Ryzyka indywidualne (branżowe)

Przykładowe analizy ryzyka związane z charakterem wykonywanej pracy.

Ryzyka dotyczące:

• transportu gotówki,
• skanowania dowodów osobistych na podstawie przepisu prawa,
• ochrony dokumentacji projektowej należącej do klienta,
• zapisywanie, udostępnianie i archiwizowanie wyników z tomografu komputerowego,
• wykorzystania mobilnych rejestratorów odczytu zużycia wody.
• itp.

Oceny wynikające bezpośrednio z przepisów

Obowiązkiem każdej firmy jest monitorowanie ryzyk wskazanych w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

Inne przepisy wskazujące obszary do analizy ryzyka

• Rozporządzenie RODO,
• Rozporządzenie Krajowych Ram Interoperacyjności,
• Ustawa O Krajowym Systemie Cyberbezpieczeństwa.