załącznik nr 2 do

Polityk Ochrony Danych Osobowych w

A&M- PROJEKT Sp. z o.o. Spółka komandytowa

z dnia 24 maja 2018 roku

 

Polityka Zarządzania Ryzykiem

w procesie przetwarzania danych osobowych

A&M- PROJEKT Sp. z o.o. Spółka komandytowa

Rozdział 1

Postanowienia ogólne

1.1. Ilekroć w dokumencie jest mowa o:

  • administratorze danych – należy przez to rozumieć A&M- PROJEKT Sp. z o.o. Spółka komandytowa;
  • aktywach – należy przez to rozumieć środki materialne i niematerialne mające wpływ na przetwarzanie danych;
  • proces przetwarzania danych – zespół operacji (czynności) wykonywanych na danych osobowych lub zestawach danych w celu określonego celu przetwarzania;
  • operacji przetwarzania danych – należy przez to rozumieć każdą czynność wykonywaną na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adoptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawniane poprzez wysłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  • ryzyku – należy przez to rozumieć możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów w zakresie ochrony danych osobowych. Ryzyko mierzone jest siłą skutku oddziaływania oraz prawdopodobieństwem jego wystąpienia;
  • zarządzanie ryzykiem – należy przez to rozumieć realizowany przez administratora danych osobowych proces, którego celem jest identyfikacja potencjalnych ryzyk, które mogą mieć wpływ na realizację celów i zadań firmy;
  • mapa ryzyka – tabela (macierz) odzwierciedlająca ocenę siły oddziaływania i prawdopodobieństwo wystąpienia zidentyfikowanego ryzyka w placówce;
  • ocena ryzyka – należy przez to rozumieć czynność polegającą na porównaniu wyników uzyskanych podczas analizy ryzyka z kryteriami oceny ryzyka określonymi na etapie projektowania systemu bezpieczeństwa danych;
  • kryteriach akceptacji ryzyka – są to kryteria, które określają dopuszczalność ryzyka, zdefiniowane poprzez wartość progową. Akceptowaną wartością jest ryzyko tylko w zakresie 0 – 4, przy przyjętych 5 -stopniowych skalach szacowania prawdopodobieństwa wystąpienia ryzyka i jego skutków;  
  • rejestr ryzyk – należy przez to rozumieć dokument odzwierciedlający przeprowadzoną identyfikację i analizę ryzyk, a także przyjętą reakcję na ryzyko;
  • bezpieczeństwie informacji – zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne właściwości, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność;
  • zdarzeniu związanym z bezpieczeństwem danych – zdarzenie związane z bezpieczeństwem informacji, jako określonym stanem systemu, usługi lub sieci, który wskazuje na możliwe naruszenie Polityki Bezpieczeństwa Informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem danych;
  • incydencie związanym z bezpieczeństwem danych – jest to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem danych osobowych, które stwarzają znaczne zakłócenia zadań i zagrażają bezpieczeństwu danych;
  • zagrożeniu – to wszystkie niekorzystne czynniki mogące przyczynić się w trakcie pracy          z danymi osobowymi do wystąpienia incydentu, mogącego mieć wpływ na ich ujawnienie bądź utratę;
  • podatność – słabość, która może być wykorzystana przez zagrożenie, powodując niekorzystne skutki;
  • dostępności — należy przez to rozumieć właściwość określającą, że zasób systemu teleinformatycznego jest możliwy do wykorzystania na żądanie, w określonym czasie, przez podmiot uprawniony do pracy w systemie teleinformatycznym;
  • integralności — należy przez to rozumieć właściwość określającą, że zasób systemu teleinformatycznego nie został zmodyfikowany w sposób nieuprawniony;
  • poufności — należy przez to rozumieć właściwość określającą, że informacja nie jest ujawniana podmiotom do tego nieuprawnionym;
  • informatycznym nośniku danych — należy przez to rozumieć materiał służący do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej;
  • zasobach systemu teleinformatycznego – należy przez to rozumieć informacje przetwarzane w systemie teleinformatycznym, jak również osoby, usługi, oprogramowanie, dane i sprzęt oraz inne elementy mające wpływ na bezpieczeństwo tych informacji;

Celem analizy ryzyka jest zastosowanie środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku wynikającemu z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

2.1. Polityka zarządzania ryzykiem w zakresie ochrony danych osobowych, zwana dalej „Polityką zarządzania ryzykiem”, obejmuje:

  1. zakres zadań i obowiązków podmiotów uczestniczących w procesie zarządzania ryzykiem;
  2. zasady i tryb identyfikacji ryzyka;
  3. zasady i tryb dokonywania analizy ryzyka;
  4. zasady określania właściwej reakcji na ryzyko.

3.1. Polityka zarządzania ryzykiem ma zastosowanie dla wszystkich czynności przetwarzania danych szczególnej kategorii lub danych, których ujawnienie narusza prawa             i wolność osób, których dane osobowe administrator przetwarza.

4. Zarządzanie ryzykiem jest procesem ciągłym i nie ogranicza się do działań określonych w § 2 ust. 1. Analizę ryzyka dokonuje się po każdym incydencie naruszenia bezpieczeństwa danych.

5. Celem zarządzania ryzykiem jest zwiększenie prawdopodobieństwa osiągnięcia wyznaczonych celów i zadań w zakresie ochrony danych osobowych, poprzez ograniczenie prawdopodobieństwa wystąpienia ryzyka oraz zabezpieczanie się przed jego skutkami. Następuje to poprzez:

  1. rozpoznanie – czyli identyfikowanie ryzyka, określenie rodzajów ryzyk, które wiążą się
    z działalnością placówki w zakresie ochrony danych osobowych i dokonywanie ich pomiaru;
  2. ocenę ryzyka i jego istotności, przy pomocy skali określonej w § 8;
  3. zarządzanie ryzykiem, które polega na badaniu efektywności i skuteczności podejmowanych działań, poprzez system kontroli instytucjonalnej i zewnętrznej;
  4. kontrolę zarządzania ryzykiem, której istotą podjętych działań jest ocena zastosowanych metod redukcji ryzyka, prowadząca do skutecznego i efektywnego realizowania celów               i nałożonych zadań.

Rozdział 2

Zakresy zadań i obowiązków

6.1. Za realizację polityki zarządzania ryzykiem odpowiadają wspólnicy Spółki, którzy pełnią funkcję administratora danych, poprzez:

  • kształtowanie i wdrażanie polityki zarządzania ryzykiem;
  • nadzór i monitorowanie skuteczności procesu zarządzania ryzykiem;
  • wyznaczanie poziomu akceptowalnego dla każdego ryzyka;
  • podejmowanie decyzji dotyczących sposobu reakcji na poszczególne ryzyka.

 

Pracownicy na samodzielnych stanowiskach odpowiadają za zarządzanie ryzykiem poprzez:

  • identyfikację ryzyk związanych z realizacją przydzielonych zadań w zakresie ochrony danych osobowych;
  • wskazywanie właścicieli zidentyfikowanych ryzyk;
  • przeprowadzanie analizy zidentyfikowanego ryzyka;
  • proponowanie sposobu postępowania w odniesieniu do poszczególnych ryzyk;
  • wdrażanie działań zaradczych w stosunku do zidentyfikowanego ryzyka.

 

Pracownicy wymienieni w ust. 2 są zobowiązani do współpracy z administratorem danych.

 

Rozdział 3

Identyfikacja ryzyka

7.1. Identyfikacja ryzyk prowadzona jest dla wszystkich zbiorów danych zawierających dane osobowe szczególnej kategorii oraz dane istotne ze względu na ochronę praw i wolności osób fizycznych, z uwzględnieniem zagrożeń w poszczególnych aktywach biorących udział w procesie przetwarzania danego zbioru. Wyniki identyfikacji ryzyk w poszczególnych zbiorach rejestruje się na kartach, których wzór stanowi załącznik nr 1 do polityki.

  1. W procesie identyfikacji ryzyka uwzględnia się zagrożenia. Ze względu na ich źródło ryzyka dzielą się na:
  2. zewnętrzne – rodzaj ryzyka determinowanego przez czynniki zewnętrzne;
  3. wewnętrzne – ryzyko to obejmuje działania wewnętrzne placówki i może być zarządzane  wewnątrz firmy.
  4. Każde zidentyfikowane ryzyko ujmuje się w rejestrze, stanowiącym załącznik nr 2 do Polityki Zarządzania Ryzykiem. Załącznik nr 2 podlega ciągłej aktualizacji.

 

  • Dla każdego zidentyfikowanego ryzyka ustala się jego właściciela.

 

 

  • Każdy pracownik ma prawo i obowiązek zgłaszania swojemu bezpośredniemu przełożonemu ryzyk zidentyfikowanych podczas wykonywania przydzielonych zadań w zakresie ochrony danych osobowych.

 

Rozdział 4

Analiza ryzyka

8. 1. Każde ryzyko w zakresie ochrony danych osobowych podlega analizie pod kątem jego istotności na osiąganie celów i zadań. Istotność ryzyka jest iloczynem skali prawdopodobieństwa jego wystąpienia i wartości oszacowanych potencjalnych skutków.

2. Każde ryzyko jest oceniane pod względem prawdopodobieństwa jego wystąpienia
i skutku oddziaływania.

 

  • W celu dokonania oceny ryzyka wykorzystuje się Mapę Ryzyka, którą stanowi macierz prawdopodobieństwo – skutek – załącznik nr 3 do Polityki Zarządzania Ryzykiem.

 

 

  • Mapa ryzyka definiuje ryzyka na:

 

  1. niskie o wartości 4 i mniejszej;
  2. średnie o wartości powyżej 4 i mniejszej niż 9;
  3. wysokie – o wartości powyżej 9 i mniejszej niż 16.
  4. katastrofalne – o wartości powyżej 16.

 

  • Przy ocenie prawdopodobnych skutków wystąpienia ryzyka przyjmuje się skalę punktową od 1 do 5, gdzie;

 

  1.  1 – oznacza skutek nieznaczny;
  2.  2 – oznacza skutek mały;
  3.  3 – oznacza skutek średni;
  4.  4 – oznacza skutek poważny;
  5.  5 – oznacza skutek katastrofalny.

 

  •  Przy ocenie prawdopodobieństwa wystąpienia ryzyka przyjmuje się skalę punktową od 1 do 5, gdzie:

 

  1. 1 – oznacza prawdopodobieństwo rzadkie (0-20 %);
  2. 2 – oznacza prawdopodobieństwo małe (21 – 40%);
  3. 3 – oznacza prawdopodobieństwo możliwe(41 – 60 %);
  4. 4 – oznacza prawdopodobieństwo prawdopodobne(61 – 80 %);
  5. 5 – oznacza prawdopodobieństwo prawie pewne (81 -100 %).

 

  • Wskaźniki do punktacji oceny prawdopodobieństwa i skutków ryzyka określa załącznik nr 4.

 

Rozdział 5

Reakcja na ryzyko

9. Dla każdego istotnego zidentyfikowanego ryzyka właściciel ryzyka wskazuje optymalną reakcję. Przyjmuje się niżej wymienione reakcje na ryzyko:

  1. tolerowanie – będzie to miało miejsce w przypadkach, kiedy koszty skutecznego przeciwdziałania ryzyku mogą przekraczać jego potencjalne korzyści, z zdolności do skutecznego przeciwdziałania są ograniczone lub wykraczające poza decyzje i działania wewnętrzne;
  2. przeniesienie – dotyczyć to będzie kategorii ryzyk w odniesieniu do których nastąpi przeniesienie ich na inna instytucję, między innymi poprzez ubezpieczenie lub zlecenie usług na zewnątrz;
  3. wycofanie się – dotyczyć to będzie grypy ryzyk dla których mimo podejmowanych działań nie udało się zmniejszyć ich istotności do akceptowanego poziomu;
  4. przeciwdziałanie – dotyczyć to będzie kategorii ryzyk, które wymagać będą podjęcia zdecydowanych, przemyślanych i zaplanowanych działań prowadzących do ich likwidacji, lub znacznego ograniczenia.

Rozdział 6

Postanowienia końcowe.

  • 10.1. Strategia zarządzania ryzykiem obowiązuje od 25 maja 2018 roku.

 

  • Pracownicy firmy obowiązani są do systematycznej analizy wystąpienia ryzyk na stanowiskach pracy i zgłaszania ich właścicielom firmy.

 

   

Załączniki do Polityki Zarządzania Ryzykiem:

 

  • Załącznik nr 1 – Rejestr ryzyk w procesie przetwarzania danych osobowych

 

 

  • Załącznik nr 2 – Rejestr potencjalnych ryzyk w procesie przetwarzania w poszczególnych
                                 zbiorach z uwzględnieniem aktywów biorących udział w procesie
                                przetwarzania – wzór dokumentu.

 

 

  • Załącznik nr 3 – Mapa ryzyka/macierz– wzór dokumentu.

 

 

  • Załącznik nr 4 – Wskaźniki do szacowania prawdopodobieństwa i skutków.

 


Załącznik nr 1

do Polityki Zarządzania Ryzykiem

Rejestr potencjalnych ryzyk w procesie przetwarzania danych osobowych w A&M Spółka Jawna Agnieszka i Maciej Kaczorowscy

 

ATAKI ZEWNĘTRZNE
Ataki socjotechniczne
Zagrożenie Opis
phishing mail z prośbą o zalogowanie się do „podróbki” strony, np. bankowe i w rezultacie przejęcie hasła.
cybersquatting zachęcanie do zalogowania się do podrobionej strony o „wiarygodnym”                   adresie www
wyłudzanie informacji
  • maile od „przełożonych” do księgowego z dyspozycją wykonania przelewu,
  • faxy, w których intruz podszywa się pod dostawcę i informuje o zmianie numeru konta bankowego,
  • maile lub rozmowy tel., w których intruz podaje się np. za pracownika firmy dostarczającej oprogramowanie i prosi o hasło w celu „przetestowania uprawnień”
nakłanianie do wykonania czynności maile, które zachęcają lub „zmuszają” do otwarcia załączników
ataki telefoniczne
  • intruz przedstawia się jako pracownik dostawcy łącza naprawiający usterkę i prosi o uruchomienie określonej strony internetowej,
  • intruz przedstawia się jako inżynier lub programista dostawcy oprogramowania w celu np. przesłania „aktualizacji” lub prosi o udostępnienie pulpitu
złośliwe oprogramowanie
  • oprogramowanie szyfrujące pliki,
  • oprogramowanie przechwytujące dane,
  • trojany,
Ataki na infrastrukturę
Zagrożenie Opis
łamanie i pozyskiwanie haseł
  • łamanie haseł,
  • przechowywanie haseł na karteczkach,
  • włamania do urządzeń nieaktualizowanych,
  • odgadywanie zbyt słabych, najpopularniejszych haseł np. 123456789,
  • stosowanie domyślnych haseł producenta i brak jego zamiany po pierwszym logowaniu;
  • posiłkowanie się jednym hasłem do wielu systemów, programów,
  • niezmieniane hasła, nawet po incydencie,
  • włamania do urządzeń nieodpowiednio skonfigurowanych,
  • włamania z użyciem niezabezpieczonych interfejsów lokalnych,

  włamania za pośrednictwem niepotrzebnych usług (np. telnet na route-    rze)

ataki na sprzęt
  • włamania do urządzeń nieodpowiednio skonfigurowanych,
  • włamania  z użyciem niezabezpieczonych interfejsów lokalnych,
  • włamania za pośrednictwem niepotrzebnych usług (np. telnet na route-

rze).

ataki na oprogramowanie
  • wykorzystanie znanych atakującemu dziur w nieaktualizowanym opro-  gramowaniu,
  • włamania z wykorzystaniem domyślnych haseł (łatwe hasła),
  • włamania z wykorzystaniem najczęstszych błędów,
  • włamania z wykorzystaniem API (interfejsów programistycznych)
skanowanie sieci                  i usług atakujący poznaje wersję systemu operacyjnego lub wersję serwera www,                  a przez to potem może dobrać skuteczny atak
nielegalne wpięcie się do sieci (wifi, telefon, internet) łatwo dostępne gniazdka sieciowe, gdzie atakujący może się podłączyć np. z własnym urządzeniem i za jego pomocą przeglądać zasoby sieci (możliwość podpięcia się np. pod drukarkę na korytarzu lub do gniazdka w świetlicy)
eskalacja uprawnień
  • zwiększenie uprawnień użytkownika przez wykorzystanie błędów programistycznych,
  • przejęcie uprawnień użytkownika zaawansowanego,
  • przejęcie uprawnień administratora,
  • przejęcie uprawnień systemowych,
  • przejęcie certyfikatów elektronicznych,
DOS zmasowany atak na stronę www, aby ją przeciążyć i „zakorkować”.
DDOS zmasowany atak komputerów-zombie na zlecenie atakującego na stronę www, aby ją przeciążyć i „zakorkować”
ataki  tzw. “Man in the middle” przejęcie komputera w placówce w celu włamania do sieci (w rezultacie możliwość przejęcia haseł)
Zagrożenia dla sprzętu
Zagrożenie Opis
włamanie do obiektów może skutkować zainstalowaniem nieautoryzowanych urządzeń
kradzież / zniszczenie sprzętu kradzież komputerów w organizacji i laptopów poza nią, uszkodzenie sprzętu na skutek przepięcia, czy upadku,
pożar / eksplozja pożar serwerowni, wybuch gazów technicznych,
zalanie np. powódź, pęknięta rura kanalizacyjna, zalanie kawą,
przegrzanie wysoka temperatura urządzeń lub w serwerowni,
awaria zasilania skoki napięcia / przerwy w dostawie,
awaria sprzętu awaria dysków, modułów, płyty głównej, sterowników, routerów,
starzenie się nośników danych zbyt długie eksploatowanie nośników danych może powodować ryzyko utraty zawartości,
ZAGROŻENIA DANYCH
Zagrożenie Opis
Nieuprawniony dostęp nadanie zbyt wysokich uprawnień użytkownikom lub brak kontroli nad dostępem do plików, baz, komputerów,
kradzież tożsamości przejęcie poczty, pozyskanie danych z dowodu osobistego i w rezultacie np. założenie firmy „słupa”, wyłudzenie kredytu, zakupy na cudze konto,
nieuprawniona modyfikacja / usunięcie
  • niezamierzona lub w efekcie pomyłki,
  • sfałszowanie danych przez osoby z wewnątrz lub zewnątrz placówki.
nieuprawnione kopiowanie danych
  • kopiowanie danych z katalogów, dysków, baz, programów, kserowanie i robienie zdjęć przez pracownika lub przez osobę obcą
kradzież danych lub nośników na zewnątrz i wewnątrz firmy
utrata / kradzież danych dostępowych haseł, kluczy, certyfikatów
błąd / awaria oprogramowania uszkodzenie bazy danych, programu kadrowo-płacowego
brak / błędy w wykonywaniu kopii bezpieczeństwa doraźne lub zbyt rzadkie wykonywanie kopii, błędy podczas procesu wykonywania kopii, kopie dostępne w sieci lub archiwum bez zabezpieczeń,
udostępnianie danych osobom nieupoważnionym upublicznienie danych w przestrzeni publicznej, dostęp przez internet, przesłanie lub wydawanie informacji osobie nieupoważnionej, wyrzucanie na śmietnik,
nieprawidłowe / brak procedur niszczenia nośników z danymi wyrzucenie uszkodzonych nośników bez ich zniszczenia, wyrzucenie niezniszczonych pendrive, DVD, CD
nieprawidłowe / brak procedur napraw w serwisach zewnętrznych naprawa sprzętu z nośnikami w serwisie bez standardu bezpiecznej naprawy i bez umowy bezpieczeństwa.
korzystanie z nielicencjonowanego/ nielegalnego oprogramowania wykorzystywanie nielegalnych, kradzionych, nielicencjonowanych aplikacji i oprogramowania.
BŁĘDY LUDZKIE
Zagrożenie Opis
nieprzestrzeganie procedur świadome naruszenie pisemnych lub ustnych procedur, np. niewylogowywanie się z systemu, przekazywanie haseł koledze, pozostawienie haseł na karteczce przy komputerze,
pomyłki administratorów, użytkowników pomyłkowe udostępnienie, wysłanie do złego odbiorcy, błędne zabezpieczenia
brak świadomości / wiedzy braki wiedzy, nieszkolony personel, brak procedury niszczenia nośników danych,
błędy projektowe / konfiguracyjne błędy programistów prowadzące do niewłaściwego przetwarzania danych, niezabezpieczenie danych w bazie www przed indeksacją.
ZAGROŻENIA CIĄGŁOŚCI DZIAŁANIA
Zagrożenie Opis
brak aktualnej dokumentacji brak instrukcji, opisów, dokumentacji technicznej sprzętu i oprogramowania utrudnia przywracanie środowiska i zarządzanie nim, gdy np. odejdzie pracownik IT
nieprawidłowe / brak umowy o współpracy brak zapisów przenoszących odpowiedzialność na zleceniobiorcę lub podmiot przetwarzający dane,
nieprawidłowe / brak umowy gwarancyjnej lub wsparcia serwisowego niewłaściwie skonstruowane umowy, nieprzedłużane umowy, zbyt długi czas reakcji serwisu na awarie
upadek firmy współpracującej np. dostawcy oprogramowania/serwera ryzyko braku zastępstw, np. dla hostingodawcy poczty, dla wsparcia do zakupionej aplikacji lub oprogramowania
awaria łączy telekomunikacyjnych awaria jest krytyczna w przypadku usług chmurowych

 


Załącznik nr 2

do Polityki Zarządzania Ryzykiem

 

Rejestr ryzyk w procesie przetwarzania w poszczególnych zbiorach                      z uwzględnieniem aktywów biorących udział w procesie przetwarzania i sposobów zabezpieczeń – wzór dokumentu

 

Zbiór nr ……… Aktywa Zagrożenia Sposoby zabezpieczeń
Informacje
Programy i systemy operacyjne
Infrastruktura IT
Infrastruktura firmy
Pracownicy
Outsourcing

 


Załącznik nr 3

do Polityki Zarządzania Ryzykiem

 

Mapa ryzyka/macierz  – wzór dokumentu.

 

Ocena istotności ryzyka

 

Oznaczenie poziomu Opis działania
Niski działania podejmowane w zależności od wymaganych nakładów
średni działanie może zostać przesunięte w czasie, ale wymaga okresowego monitorowania
wysoki działanie może zostać przesunięte w czasie, ale wymaga stałego monitorowania
katastrofalny wymaga natychmiastowego działania

 


Załącznik nr 4

do Polityki Zarządzania Ryzykiem

 

Wskaźniki do szacowania prawdopodobieństwa i skutków

 

         Skala prawdopodobieństwa                                                     Skala znaczenia ryzyka

                  wystąpienia ryzyka                                                          (oddziaływanie – skutek)

 

Opis prawdopodobieństwa wystąpienia Oszacowane ryzyko Opis oddziaływania (skutków) Oszacowane ryzyko
Ryzyko nie występuje lub może wystąpić w zupełnie wyjątkowych sytuacjach.

Przetwarzanie danych i jego zakresu określają zewnętrzne regulacje prawne.

Przy przetwarzaniu danych współpracuje się z jednym bądź dwiema komórkami organizacyjnymi.

Oprogramowanie wystandaryzowane i wykorzystywane powyżej roku od wprowadzenia.  

Nie wprowadzono w ostatnim roku zmian technologicznych, organizacyjnych i kadrowych.

1

rzadkie

Organizacyjne:

Niska niezgodność z procedurami / przepisami prawa.

Nie występuje zagrożenie utraty dobrego wizerunku.

Ewentualne zakłócenia bez wpływu na realizację zadań i osiąganie celów.

Ewentualne skutki ograniczane (neutralizowane) przez istniejące procedury.

Finansowe:

Nie przewiduje się wystąpienia straty finansowej, dodatkowych kosztów – bądź nieznaczne do 1 000 zł.

1

nieznaczne

Ryzyko prawdopodobnie nie wystąpi.

Przy realizacji zadań w ramach danego obszaru / procesu współpracuje się z małą (ograniczoną) liczbą komórek organizacyjnych.

W ostatnim okresie (np. 1 rok) obszar / proces nie podlegał zmianom technologicznym, organizacyjnym i kadrowym, bądź podlegał zmianom w minimalnym stopniu i uznaje się je za wdrożone.

Obszar / proces w małym zakresie objęty regulacjami o charakterze zewnętrznym. Nie podlegały one zmianom.

Niepożądane zakłócenia mogą powodować utrudnienia w realizacji zadań. Potencjalne zakłócenia wykonywania zadań nie mają wpływu na realizację celów.

2

mało prawdopodobne

Organizacyjne:

Średnia niezgodność z procedurami lub niska niezgodność z postanowieniami umów.

Małe zakłócenia pracy, ewentualne utrudnienia w realizacji zadań, nie mające wpływu na osiąganie celów.

Istniejące mechanizmy kontrolne powinny ograniczyć skutki ewentualnych zakłóceń.

Małe zagrożenie utraty dobrego wizerunku.

Finansowe:

>1 000 do 5 000 zł

2

niski

Ryzyko prawdopodobnie wystąpi w najbliższym okresie (od roku do pięciu lat).

Przy realizacji zadań w ramach danego obszaru / procesu współpracuje się z innymi komórkami, bądź z podmiotami zewnętrznymi.

W ciągu ostatniego roku obszar / proces podlegał ograniczonym zmianom organizacyjnym, technologicznym i kadrowym.

Obszar / proces objęty w małym stopniu regulacjami zewnętrznymi, które mogły podlegać w ostatnim okresie zmianom.

Może dotyczyć zadań o  istotnym znaczeniu dla  celów działalności.

3

możliwe

Organizacyjne:

Niska niezgodność z przepisami prawa lub średnia niezgodność z postanowieniami umów lub poważna niezgodność z procedurami.

Średnie zakłócenia pracy. Potencjalne zagrożenia mogą doprowadzić do niewykonywania podstawowych zadań w określonym zakresie.

Istniejące mechanizmy kontrolne tylko w pewnym stopniu mogą ograniczyć skutki ewentualnych zakłóceń.

Średnie zagrożenie utraty dobrego wizerunku.

Finansowe:

> 5 000 do 10 000 zł

3

średnie

Istnieje duże prawdopodobieństwo na wystąpienie ryzyka w ciągu najbliższego okresu od roku do trzech lat.

Obszar / proces wymaga współpracy z innymi komórkami bądź z podmiotami zewnętrznymi.

W ciągu ostatniego roku obszar / proces podlegał zmianom technologicznym, organizacyjnym i kadrowym, z których część może wymagać poprawek i działań dostosowawczych.

Obszar /  proces objęty  dużą liczbą regulacji   prawnych (zewnętrznych i wewnętrznych).

Zagrożenia mogą wywierać istotny wpływ na naruszenie praw lub wolności osób fizycznych bezpieczeństwo

4

prawdopodobne

Organizacyjne:

Średnia niezgodność z przepisami prawa lub poważna niezgodność z postanowieniami umów.

Brak szczegółowych procedur dla prowadzonych procesów.

Poważne naruszenie zasad przetwarzania. Mogą doprowadzić do utraty bezpieczeństwa przetwarzania danych.

Niska skuteczność istniejących mechanizmów kontrolnych.

Wysokie zagrożenie utraty dobrego wizerunku.

Finansowe:

> 10 000 do 50 000 zł.

4

poważne

Ryzyko z pewnością wystąpi w ciągu najbliższego roku.

Obszar / proces związany jest z działalnością większej liczby komórek organizacyjnych, wymaga współpracy z podmiotami zewnętrznymi.

W ciągu ostatniego roku obszar / proces podlegał istotnym zmianom technologicznym, organizacyjnym i kadrowym / obszar podlega częstym zmianom tego typu / obszar jest w trakcie zmian.

Obszar działania / proces uregulowany jest dużą liczbą regulacji prawnych (wewnętrznych i zewnętrznych).

Zagrożenia naruszają bezpieczeństwo danych, a przede wszystkich prawa lub wolność osób fizycznych.

5

prawie pewne

Organizacyjne:

Poważna niezgodność z przepisami prawa.

Brak procedur dla danego procesu przetwarzania

Zagrożenia spowodują brak zachowania ciągłości procesów działania, utrzymania funkcjonalności systemów niezbędnych do wykonywania podstawowych celów. Niemożność zapewnienie bezpieczeństwa danych.

Brak odpowiednich mechanizmów kontrolnych bądź istniejące mechanizmy okazują się nieskuteczne.

Bardzo wysokie zagrożenie utratą dobrego wizerunku.

Finansowe:

> 50 000 zł, utrata znacznego majątku.

5

bardzo wysoki