Internetowy Rejestr
Internetowy Rejestr Adwokatów, Radców Prawnych i Kancelarii.

Analiza ryzyka dla operacji przetwarzania realizowanych zdalnie (COVID-19)

Inspiracja: Legalis

Analiza ryzyka dla operacji przetwarzania realizowanych zdalnie (COVID-19) obejmuje identyfikację zasobów, typologię zaangażowanych grup, określenie stosowanych zabezpieczeń oraz możliwe zagrożenia. Następnie analizowane są podatności zasobów oraz szacowane prawdopodobieństwo i waga zagrożeń. Finalnym etapem jest ustalenie poziomu ryzyka oraz przygotowanie planu postępowania z ryzykiem. W planie określane są priorytety działań, osoby odpowiedzialne i terminy realizacji. Organizacja może wybrać warianty postępowania z ryzykiem: redukowanie, zachowanie, unikanie lub transfer.

 

Nazwa     Zaangażowane   Czy         Stosowane
                                                      Zagrożenia   Podatności   Waga   Prawdopodobieństwo   Ryzyko
procesu   zasoby         firmowe?    zabezpieczenia

Obsługa
klienta

          Kolejnym krokiem powinna być identyfikacja zasobów biorących udział w operacjach
          przetwarzania realizowanych zdalnie. Przeprowadzając wskazaną inwentaryzację, należy
          uwzględnić zasoby należące do organizacji oraz te będące własnością pracownika, których
          wykorzystanie zostało zaakceptowane przez organizację. Równocześnie należy wskazać, że
          wykorzystanie prywatnego sprzętu (np. laptopa) może generować dodatkowe ryzyka, a
          ponadto nie daje organizacji pełnego nadzoru nad działaniami prowadzonymi za jego
          pośrednictwem. W celu ułatwienia Państwu identyfikacji wszystkich grup zasobów
          zaangażowanych w dany proces, przedstawiamy poniższą typologię:
          1. Sprzęt:
            1) urządzenia przenośne,
            2) urządzenia stacjonarne,
            3) urządzenia peryferyjne,
            4) nośniki danych (pasywne),
            5) nośniki elektroniczne,
            6) inne nośniki.
          2. Oprogramowanie:
            1) systemy operacyjne,
            2) oprogramowanie usługowe lub utrzymania,
            3) oprogramowanie administracyjne,
            4) aplikacje biznesowe.
          3. Sieć:
            1) media i usługi wspierające,
            2) przekaźniki aktywne lub pasywne,
            3) interfejsy komunikacyjne.
          4. Personel:
            1) najwyższe kierownictwo,
               2) użytkownicy,
               3) personel eksploatacji lub utrzymania,
               4) twórcy oprogramowania.
             5. Lokalizacje:
               1) środowisko zewnętrzne,
               2) siedziba,
               3) podstawowe usługi,
               4) łączność,
               5) usługi komunalne i techniczne.
             6. Organizacja:
               1) organy władzy,
               2) struktura organizacji,
               3) organizacja projektu lub systemu,
               4) podwykonawcy/dostawcy/producenci.
             Na potrzeby niniejszej analizy wybrano trzy zasoby charakterystyczne dla pracy zdalnej:
             1) przenośne komputery (laptopy),
             2) miejsca, z których pracownicy wykonują pracę (ich mieszkania lub domy),
             3) pracownicy (na poziomie użytkowników systemu).
Nazwa          Zaangażowane    Czy         Stosowane
                                                            Zagrożenia   Podatności   Waga   Prawdopodobieństwo   Ryzyko
procesu        zasoby          firmowe?    zabezpieczenia

               Laptop          NIE

               Lokalizacja
               zewnętrzna
Rekrutacja                     NIE
               (mieszkania
               pracowników)

               Użytkownicy     TAK



             W dalszej części analizy organizacja powinna określić zabezpieczenia stosowane dla danych
             zasobów. Służy to uniknięciu dodatkowej pracy lub kosztów na etapie wdrażania planu
             postępowania z ryzykiem, np. przez duplikację zabezpieczeń.
             W zidentyfikowaniu istniejących lub planowanych zabezpieczeń mogą być pomocne
             następujące działania:
             1) przegląd dokumentów zawierających informacje o zabezpieczeniach (np. plany wdrożenia
                postępowania z ryzykiem),
2) wywiady z osobami odpowiedzialnymi za bezpieczeństwo danych osobowych (np.
   inspektor ochrony danych, administrator systemu) i z użytkownikami, weryfikujące
   rzeczywisty stan wdrożenia zabezpieczeń w analizowanym procesie,
3) audyty (osobowe lub nieosobowe),
4) przegląd wyników audytów wewnętrznych.
Nazwa     Zaangażowane   Czy        Stosowane
                                                          Zagrożenia   Podatności   Waga   Prawdopodobieństwo   Ryzyko
procesu   zasoby         firmowe?   zabezpieczenia
                                    1)         legalny
                                    system
                                    operacyjny        i
                                    aplikacje mające
                                    wsparcie
                                    producenta,
                                    2) mechanizmy
                                    kontroli dostępu
                                    (np.     login   +
          Laptopy        NIE
                                    hasło)        znane
                                    jedynie
                                    użytkownikowi,
                                    3)       wygaszacz
                                    ekranu
                                    chroniony
                                    hasłem,
                                    4)     szyfrowanie
                                    dysku twardego.
Obsługa
                                    1)         miejsce
klienta
                                    wykonywania
                                    obowiązków
                                    ograniczające
                                    osobom
                                    postronnym
                                    możliwość
                                    wglądu w treść
          Lokalizacja
                                    informacji,
          zewnętrzna
                         NIE        2)
          (mieszkania
                                    przechowywanie
          pracowników)
                                    dokumentów
                                    papierowych w
                                    meblach
                                    zamykanych na
                                    klucz,
                                    3)        rozmowy
                                    telefoniczne      i
                                    konferencje
                          prowadzone       w
                          pomieszczeniach
                          gwarantujących
                          poufność
                          wymienianych
                          informacji.
                          1) szkolenia z
                          zakresu       pracy
                          zdalnej,
                          2) upoważnienie
                          do
                          przetwarzania
                          danych
                          osobowych,
                          3)       procedura
                          pracy zdalnej,
Użytkownicy   TAK
                          4)       procedura
                          oraz
                          ustanowione
                          kanały
                          komunikacji      w
                          razie     kłopotów
                          technicznych lub
                          naruszenia
                          ochrony danych
                          osobowych.
Kolejnym działaniem jest określenie możliwych zagrożeń dla danych osobowych
przetwarzanych w ramach zidentyfikowanych procesów realizowanych zdalnie. Zagrożenia, o
których stanowi RODO, to przede wszystkim przypadkowe lub niezgodne z prawem
zniszczenie      danych              osobowych,   przypadkowa      lub       niezgodna
z prawem utrata danych osobowych, przypadkowa lub niezgodna z prawem modyfikacja
danych osobowych, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych
osobowych.
Nazwa     Zaangażowane   Czy        Stosowane
                                                         Zagrożenia         Podatności   Waga   Prawdopodobieństwo   Ryzyko
procesu   zasoby         firmowe?   zabezpieczenia
                                                         1)
                                                         przypadkowe
                                                         lub niezgodne
                                                         z        prawem
                                                         zniszczenie
                                    1)         legalny   danych
                                    system               osobowych,
                                    operacyjny       i   2)
                                    aplikacje mające     przypadkowa
                                    wsparcie             lub niezgodna
                                    producenta,          z        prawem
                                    2) mechanizmy        utrata danych
                                    kontroli dostępu     osobowych,
          Laptopy        NIE        (login + hasło)      3)
                                    znane      jedynie   przypadkowa
                                    użytkownikowi,       lub niezgodna
                                    3)      wygaszacz    z        prawem
                                    ekranu               modyfikacja
Obsługa
                                    chroniony            danych
klienta
                                    hasłem,              osobowych,
                                    4)   szyfrowanie     4)
                                    dysku twardego.      nieuprawnione
                                                         ujawnienie lub
                                                         nieuprawniony
                                                         dostęp        do
                                                         danych
                                                         osobowych.
                                    1)         miejsce   1)
                                    wykonywania          przypadkowe
                                    obowiązków           lub niezgodne
          Lokalizacja               ograniczające        z        prawem
          zewnętrzna                osobom               zniszczenie
                         NIE
          (mieszkania               postronnym           danych
          pracowników)              możliwość            osobowych,
                                    wglądu w treść       2)
                                    informacji,          przypadkowa
                                    2)                   lub niezgodna
                    przechowywanie        z        prawem
                    dokumentów            utrata danych
                    papierowych w         osobowych,
                    meblach               3)
                    zamykanych na         przypadkowa
                    klucz,                lub niezgodna
                    3)        rozmowy     z        prawem
                    telefoniczne      i   modyfikacja
                    konferencje           danych
                    prowadzone       w    osobowych,
                    pomieszczeniach       4)
                    gwarantujących        nieuprawnione
                    poufność              ujawnienie lub
                    wymienianych          nieuprawniony
                    informacji.           dostęp        do
                                          danych
                                          osobowych.
                                          1)
                                          przypadkowe
                    1) szkolenia z
                                          lub niezgodne
                    zakresu       pracy
                                          z        prawem
                    zdalnej,
                                          zniszczenie
                    2) upoważnienie
                                          danych
                    do
                                          osobowych,
                    przetwarzania
                                          2)
                    danych
                                          przypadkowa
                    osobowych,
                                          lub niezgodna
                    3)       procedura
                                          z        prawem
                    pracy zdalnej,
Użytkownicy   TAK                         utrata danych
                    4)       procedura
                                          osobowych,
                    oraz
                                          3)
                    ustanowione
                                          przypadkowa
                    kanały
                                          lub niezgodna
                    komunikacji      w
                                          z        prawem
                    razie     kłopotów
                                          modyfikacja
                    technicznych lub
                                          danych
                    naruszenia
                                          osobowych,
                    ochrony danych
                                          3)
                    osobowych.
                                          nieuprawnione
                                          ujawnienie lub
                                                              nieuprawniony
                                                              dostęp        do
                                                              danych
                                                              osobowych.
          Następnym krokiem w analizie ryzyka jest ustalenie podatności wykorzystywanych zasobów
          mogących sprzyjać materializacji zagrożeń. Ze względu na specyfikę pracy zdalnej zaleca się
          zwrócenie szczególnej uwagi na osobowe źródła zagrożeń (prowadzenie rozmów z klientami
          w obecności członków rodziny, pozostawienie umów lub notatek na temat obsługiwanego
          klienta w ogólnodostępnym miejscu, przesyłanie dokumentów służbowych przez prywatną
          pocztę elektroniczną).
Nazwa     Zaangażowane   Czy        Stosowane
                                                         Zagrożenia         Podatności               Waga   Prawdopodobieństwo   Ryzyko
procesu   zasoby         firmowe?   zabezpieczenia
                                                         1)
                                                         przypadkowe
                                                         lub niezgodne
                                                         z        prawem
                                                         zniszczenie
                                    1)         legalny   danych
                                                                            1) brak nadzoru nad
                                    system               osobowych,
                                                                            sprzętem
                                    operacyjny       i   2)
                                                                            komputerowym,
                                    aplikacje mające     przypadkowa
                                                                            2)     współdzielenie
                                    wsparcie             lub niezgodna
                                                                            sprzętu
                                    producenta,          z        prawem
                                                                            komputerowego       z
                                    2) mechanizmy        utrata danych
                                                                            wieloma osobami,
                                    kontroli dostępu     osobowych,
                                                                            3)         ujawnienie
          Laptopy        NIE        (login + hasło)      3)
                                                                            osobom         trzecim
Obsługa                             znane      jedynie   przypadkowa
                                                                            danych
klienta                             użytkownikowi,       lub niezgodna
                                                                            uwierzytelniających,
                                    3)      wygaszacz    z        prawem
                                                                            4)        uprawnienia
                                    ekranu               modyfikacja
                                                                            administracyjne,
                                    chroniony            danych
                                                                            5) wrażliwość na
                                    hasłem               osobowych,
                                                                            pył,           wilgoć,
                                    4_ szyfrowanie       4)
                                                                            temperaturę.
                                    dysku twardego.      nieuprawnione
                                                         ujawnienie lub
                                                         nieuprawniony
                                                         dostęp        do
                                                         danych
                                                         osobowych.
          Lokalizacja               1)         miejsce   1)                 1) niewystarczająca
          zewnętrzna     NIE        wykonywania          przypadkowe        kontrola dostępu
          (mieszkania               obowiązków           lub niezgodne      2) niestabilna sieć
pracowników)         ograniczające         z        prawem    energetyczna,
                     osobom                zniszczenie        3) brak niezbędnej
                     postronnym            danych             infrastruktury
                     możliwość             osobowych,         służącej            do
                     wglądu w treść        2)                 przetwarzania
                     informacji,           przypadkowa        danych         (meble,
                     2)                    lub niezgodna      niszczarki).
                     przechowywanie        z        prawem
                     dokumentów            utrata danych
                     papierowych w         osobowych,
                     meblach               3)
                     zamykanych na         przypadkowa
                     klucz,                lub niezgodna
                     3)        rozmowy     z        prawem
                     telefoniczne      i   modyfikacja
                     konferencje           danych
                     prowadzone       w    osobowych,
                     pomieszczeniach       4)
                     gwarantujących        nieuprawnione
                     poufność              ujawnienie lub
                     wymienianych          nieuprawniony
                     informacji.           dostęp        do
                                           danych
                                           osobowych.
                                           1)                 1) niewystarczające
                     1) szkolenia z
                                           przypadkowe        szkolenie z zakresu
                     zakresu       pracy
                                           lub niezgodne      bezpieczeństwa
                     zdalnej,
                                           z        prawem    danych osobowych
                     2) upoważnienie
                                           zniszczenie        lub jego brak,
                     do
                                           danych             2)         niepoprawne
                     przetwarzania
                                           osobowych,         użycie
                     danych
                                           2)                 oprogramowania lub
                     osobowych,
                                           przypadkowa        sprzętu,
                     3)       procedura
                                           lub niezgodna      3)       socjotechnika
                     pracy zdalnej,
Użytkownicy    TAK                         z        prawem    (m.in. phishing),
                     4)       procedura
                                           utrata danych      4)                brak
                     oraz
                                           osobowych,         świadomości          w
                     ustanowione
                                           3)                 zakresie
                     kanały
                                           przypadkowa        bezpieczeństwa,
                     komunikacji      w
                                           lub niezgodna      5) brak niezbędnych
                     razie     kłopotów
                                           z        prawem    polityk w zakresie
                     technicznych lub
                                           modyfikacja        pracy zdalnej,
                     naruszenia
                                           danych             6)           frustracja
                     ochrony danych
                                           osobowych,         pracowników (m.in.
                     osobowych.
                                           4)                 z              powodu
                                          nieuprawnione     planowanego
                                          ujawnienie lub    zwolnienia).
                                          nieuprawniony
                                          dostęp       do
                                          danych
                                          osobowych.



Dalsze działania ogniskują się wokół szacowania prawdopodobieństwa materializacji danego
zagrożenia oraz jego potencjalnych konsekwencji dla osób, których dane dotyczą (klienci).
W przypadku zarówno prawdopodobieństwa, jak i wagi zagrożenia sugerujemy przyjęcie
skali 1–4, co ograniczy wskazywanie wartości środkowych, a przez to możliwość wypaczenia
wyników analizy (co mogłoby się stać przy przyjęciu skali 1–3 lub 1–5).
Dla wagi zagrożenia można stosować następującą legendę:
  1) niska waga zagrożenia (wartość 1) – osoby, których dane dotyczą, nie zostaną dotknięte
     skutkami naruszenia albo spotkają je drobne niedogodności, które pokonają bez
     najmniejszych problemów (czas potrzebny na ponowne wprowadzenie danych,
     zniecierpliwienie, irytacja itp.),
  2) średnia waga zagrożenia (wartość 2) – osoby, których dane dotyczą, mogą napotkać
     znaczące niedogodności, które będą w stanie pokonać mimo pewnych trudności
     (dodatkowe koszty, strach, niezrozumienie, stres, drobne fizyczne urazy itp.),
  3) wysoka waga zagrożenia (wartość 3) – osoby, których dane dotyczą, mogą napotkać
     znaczące niedogodności, które powinny być w stanie pokonać, ale z poważnymi
     trudnościami (oszustwa finansowe, wpis na listę nieobsługiwanych klientów w bankach,
     szkody majątkowe, utrata zatrudnienia, pozwy, pogorszony stan zdrowia itp.),
  4) bardzo wysoka waga zagrożenia (wartość 4) – osoby, których dane dotyczą, mogą
     napotkać znaczące, a nawet nieodwracalne konsekwencje, których mogą nie pokonać
     (finansowe tarapaty, wynikające np. z niespłaconego długu lub niezdolności do pracy,
     długotrwałe psychologiczne lub fizyczne urazy, śmierć itp.).
Dla prawdopodobieństwa zagrożenia można przyjąć następujące wyjaśnienia:
  1) niskie prawdopodobieństwo (wartość 1) – zmaterializowanie się zagrożenia w związku
     z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania nie
     wydaje się możliwe dla wybranych źródeł ryzyka,
  2) średnie prawdopodobieństwo (wartość 2) – zmaterializowanie się zagrożenia w związku
     z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania
     wydaje się trudne dla wybranych źródeł ryzyka,
3) wysokie prawdopodobieństwo (wartość 3) – zmaterializowanie się zagrożenia w
   związku z wykorzystaniem podatności zasobów biorących udział w operacjach
   przetwarzania wydaje się możliwe dla wybranych źródeł ryzyka,
4) bardzo wysokie prawdopodobieństwo (wartość 4) – zmaterializowanie się zagrożenia w
   związku z wykorzystaniem podatności zasobów biorących udział w operacjach
   przetwarzania wydaje się nadzwyczaj łatwe dla wybranych źródeł ryzyka.
Nazwa     Zaangażowane   Czy        Stosowane
                                                         Zagrożenia         Podatności               Waga   Prawdopodobieństwo   Ryzyko
procesu   zasoby         firmowe?   zabezpieczenia
                                                         1)
                                                         przypadkowe
                                                         lub niezgodne
                                                         z        prawem
                                                         zniszczenie
                                    1)         legalny   danych
                                                                            1) brak nadzoru nad
                                    system               osobowych,
                                                                            sprzętem
                                    operacyjny       i   2)
                                                                            komputerowym,
                                    aplikacje mające     przypadkowa
                                                                            2)     współdzielenie
                                    wsparcie             lub niezgodna
                                                                            sprzętu
                                    producenta,          z        prawem
                                                                            komputerowego       z
                                    2) mechanizmy        utrata danych
                                                                            wieloma osobami,
                                    kontroli dostępu     osobowych,
                                                                            3)          ujawnienie
          Laptopy        NIE        (login + hasło)      3)                                                 1-4
                                                                            osobom         trzecim
                                    znane      jedynie   przypadkowa
                                                                            danych
                                    użytkownikowi,       lub niezgodna
                                                                            uwierzytelniających,
                                    3)      wygaszacz    z        prawem
                                                                            4)         uprawnienia
                                    ekranu               modyfikacja
                                                                            administracyjne,
                                    chroniony            danych
                                                                            5) wrażliwość na
                                    hasłem               osobowych,
Obsługa                                                                     pył,           wilgoć,
                                    4)   szyfrowanie     4)
klienta                                                                     temperaturę.
                                    dysku twardego.      nieuprawnione
                                                         ujawnienie lub
                                                         nieuprawniony
                                                         dostęp        do
                                                         danych
                                                         osobowych.
                                    1)         miejsce   1)
                                    wykonywania          przypadkowe
                                    obowiązków           lub niezgodne      1) niewystarczająca
                                    ograniczające        z        prawem    kontrola dostępu
                                    osobom               zniszczenie        2) niestabilna sieć
          Lokalizacja               postronnym           danych             energetyczna,
          zewnętrzna                możliwość            osobowych,         3) brak niezbędnej
                         NIE                                                                                1-4
          (mieszkania               wglądu w treść       2)                 infrastruktury
          pracowników)              informacji,          przypadkowa        służącej           do
                                    2)                   lub niezgodna      przetwarzania
                                    przechowywanie       z        prawem    danych         (meble,
                                    dokumentów           utrata danych      niszczarki).
                                    papierowych w        osobowych,
                                    meblach              3)
                       zamykanych na         przypadkowa
                       klucz,                lub niezgodna
                       3)        rozmowy     z        prawem
                       telefoniczne      i   modyfikacja
                       konferencje           danych
                       prowadzone       w    osobowych,
                       pomieszczeniach       4)
                       gwarantujących        nieuprawnione
                       poufność              ujawnienie lub
                       wymienianych          nieuprawniony
                       informacji.           dostęp        do
                                             danych
                                             osobowych.
                                             1)
                                             przypadkowe
                                             lub niezgodne      1) niewystarczające
                                             z        prawem    szkolenie z zakresu
                       1) szkolenia z
                                             zniszczenie        bezpieczeństwa
                       zakresu       pracy
                                             danych             danych osobowych
                       zdalnej,
                                             osobowych,         lub jego brak,
                       2) upoważnienie
                                             2)                 2)         niepoprawne
                       do
                                             przypadkowa        użycie
                       przetwarzania
                                             lub niezgodna      oprogramowania lub
                       danych
                                             z        prawem    sprzętu,
                       osobowych,
                                             utrata danych      3)       socjotechnika
                       3)       procedura
                                             osobowych,         (m.in. phishing),
                       pracy zdalnej,
Użytkownicy   TAK                            3)                 4)                brak    1-4
                       4)       procedura
                                             przypadkowa        świadomości          w
                       oraz
                                             lub niezgodna      zakresie
                       ustanowione
                                             z        prawem    bezpieczeństwa,
                       kanały
                                             modyfikacja        5) brak niezbędnych
                       komunikacji      w
                                             danych             polityk w zakresie
                       razie     kłopotów
                                             osobowych,         pracy zdalnej,
                       technicznych lub
                                             4)                 6)           frustracja
                       naruszenia
                                             nieuprawnione      pracowników (m.in.
                       ochrony danych
                                             ujawnienie lub     z              powodu
                       osobowych.
                                             nieuprawniony      planowanego
                                             dostęp        do   zwolnienia).
                                             danych
                                             osobowych.


Finalny poziom ryzyka stanowi iloczyn wagi zagrożenia oraz jego prawdopodobieństwa dla
danego zasobu biorącego udział w operacji przetwarzania. Możliwe kombinacje wskazanych
wartości przedstawia poniższa tabela.
                     Bardzo
                                      4                  8                   12                    16
                     wysoka (4)
                     Wysoka (3)       3                  6                   9                     12
                     Średnia (2)
        WAGA

                                      2                  4                   6                     8
                     Niska (1)        1                  2                   3                     4
                                                                                                   Bardzo wysokie
                                      Niskie (1)         Średnie (2)         Wysokie (3)
                                                                                                   (4)
                     PRAWDOPODOBIEŃSTWO
Produktem tego etapu analizy ryzyka jest lista ryzyk z przypisanymi poziomami wartości. Na
jej podstawie organizacja powinna przygotować plan postępowania z ryzykiem obejmujący
priorytety, zgodnie z którymi będą wdrażane poszczególne sposoby postępowania z
ryzykiem, wskazywane osoby odpowiedzialne za ich realizację oraz ustalane harmonogramy.
                                                                       Osoba/jednostka
                                                    Planowane                             Zakładany
                                     Wariant                           organizacyjna
Lista                                               działanie                             termin
               Priorytet   Status    postępowania                      odpowiedzialna                    Uwagi
ryzyk                                               minimalizujące                        realizacji
                                     z ryzykiem                        za    realizację
                                                    ryzyko                                rekomendacji
                                                                       rekomendacji


                           otwarte


                           otwarte


                           otwarte


                           otwarte



Należy zaznaczyć, że w stosunku do zidentyfikowanych ryzyk organizacja może wybrać
jeden z czterech wariantów postępowania z ryzykiem:
1) redukowanie ryzyka,
2) zachowanie ryzyka,
3) unikanie ryzyka,
4) transfer ryzyka.
Zaleca się, aby organizacja podjęła aktywne działania zmierzające do zredukowania poziomu
ryzyka przez taki wybór zabezpieczeń, aby ryzyko szczątkowe (ryzyko pozostające po
zastosowaniu działań określonych w planie postępowania z ryzykiem) można było ponownie
oszacować jak ryzyko akceptowalne.
Na potrzeby niniejszego artykułu przez ryzyko akceptowalne należy rozumieć ryzyko na
poziomie niskim lub średnim.
Omówiony powyżej sposób przeprowadzenia analizy ryzyka bazuje na jednej z
popularniejszych metodyk, przy czym nie pretenduje do miana jedynego słusznego. Oprócz
niego mogą się Państwo posiłkować m.in. takimi standardami jak IRAM 2, NIST, COBIT 5
lub metodykami systemowego zarządzania ryzykiem, np. STAMP, TOGAF lub SABSA.
Ważne jest, aby pamiętać, że analiza ryzyka na gruncie RODO ma chronić zarówno osoby,
których dane dotyczą, przed naruszeniem ich praw lub wolności, jak i interesy tych osób.
Jak mogą Państwo zaobserwować na przykładzie sytuacji wynikającej z pandemii
koronawirusa, ryzyka dla bezpieczeństwa danych osobowych nie są statyczne. Zagrożenia,
podatności, prawdopodobieństwo lub następstwa mogą zmieniać się w sposób nagły, bez
żadnej oznaki. Potrzebne jest zatem monitorowanie środowiska bezpieczeństwa w celu
odpowiednio wczesnego wykrycia tych zmian. Takie działanie może zapewnić m.in.
doświadczony konsultant, który we właściwym czasie dostarczy Państwu informacji
dotyczących nowych zagrożeń oraz sposobów ochrony przed nimi. Jeżeli byliby Państwo
zainteresowani naszym wsparciem w tym obszarze, zapraszamy do zapoznania się z naszą
propozycją (https://odo24.pl/oferta/przejecie-funkcji-iod)


 

Analiza ryzyka na gruncie RODO ma za zadanie chronić dane osobowe oraz interesy osób, których dane dotyczą. Ważne jest monitorowanie środowiska bezpieczeństwa w celu wczesnego wykrycia zmian. Działania w zakresie zarządzania ryzykiem mogą opierać się na różnych metodykach, takich jak IRAM, NIST, COBIT 5, STAMP, TOGAF czy SABSA.