Analiza ryzyka przetwarzania danych

Prawo

dane

Kategoria

analiza

Instrukcja

Na początku należy określić proces, dla którego przeprowadzana jest analiza ryzyka i wpisać jego nazwę w miejsce [PROCES]. Następnie w sekcji "Kontekst" należy opisać kontekst analizowanego procesu, w tym podstawę prawną przetwarzania danych, cele przetwarzania, rodzaje danych, osoby których dane dotyczą oraz systemy i aplikacje wykorzystywane w procesie. W sekcji "Cel" należy określić cel przeprowadzanej analizy ryzyka. W tabeli nr 1 "Sposób oceny prawdopodobieństwa wystąpienia ryzyka" należy uzupełnić przesłanki dla każdego poziomu prawdopodobieństwa: bardzo wysokie, wysokie, średnie i niskie. W tabeli nr 2 "Sposób oceny skutku ryzyka" należy uzupełnić przesłanki dla każdego poziomu skutku: bardzo wysoki, wysoki, średni i niski. W tabeli nr 3 "Poziomy Istotności ryzyka" należy określić działania, jakie należy podjąć w przypadku każdego poziomu ryzyka: poważne, wysokie, umiarkowane i nieznaczne. W głównej tabeli analizy ryzyka, dla każdego zidentyfikowanego zagrożenia, należy określić zagrożony atrybut (poufność, integralność, dostępność), skutki wystąpienia ryzyka, prawdopodobieństwo wystąpienia ryzyka (w skali 1-4), skutki ryzyka (w skali 1-4), poziom istotności ryzyka (wynik mnożenia prawdopodobieństwa i skutku), środki techniczne i organizacyjne redukujące ryzyko oraz decyzję dotyczącą ryzyka. Na końcu tabeli należy wpisać wnioski z analizy ryzyka. Jeśli wymagane, należy dodać dodatkowe informacje, np. o DPIA. Należy podać datę dokonania oceny oraz imię i nazwisko osób dokonujących oceny. Administrator danych musi podjąć decyzję dotyczącą wprowadzenia procesu i wpisać ją w odpowiednim miejscu.

Dane

atrybut, cel analizy ryzyka, cele, data, decyzja administratora, decyzja dotycząca ryzyka, dodatkowe informacje, działania dla ryzyka nieznacznego, działania dla ryzyka poważnego, działania dla ryzyka umiarkowanego, działania dla ryzyka wysokiego, imię, nazwisko, np. o dpia, opis kontekstu procesu, osoby których dane dotyczą, poziom istotności ryzyka, proces, przesłanki dla bardzo wysokiego prawdopodobieństwa, przesłanki dla bardzo wysokiego skutku, przesłanki dla niskiego prawdopodobieństwa, przesłanki dla niskiego skutku, przesłanki dla wysokiego prawdopodobieństwa, przesłanki dla wysokiego skutku, przesłanki dla średniego prawdopodobieństwa, przesłanki dla średniego skutku, punkty prawdopodobieństwa, punkty skutków, rodzaje danych, skutki wystąpienia ryzyka, systemy/aplikacje wykorzystywane w procesie, w tym podstawa prawna przetwarzania danych, wnioski z analizy ryzyka, zagrożenie, środki techniczne i organizacyjne redukujące ryzyko

Dokument 'Analiza ryzyka przetwarzania danych' obejmuje kompleksową analizę ryzyka dotyczącego procesu przetwarzania danych osobowych. Zawiera informacje o metodach oceny ryzyka, istotności oraz poziomach dopuszczalności ryzyka. Dokument skupia się na identyfikowaniu oraz ocenie prawdopodobieństwa oraz skutków wystąpienia potencjalnych zagrożeń.

Analiza ryzyka dla procesu [PROCES]

I. Kontekst

[OPIS KONTEKSTU PROCESU, W TYM PODSTAWA PRAWNA PRZETWARZANIA DANYCH, CELE, RODZAJE DANYCH, OSOBY KTÓRYCH DANE DOTYCZĄ, SYSTEMY/APLIKACJE WYKORZYSTYWANE W PROCESIE]

II. Cel

[CEL ANALIZY RYZYKA]

III. Analiza ryzyka - metodyka

1. Analiza zidentyfikowanego ryzyka polega na oszacowaniu:

    a) Prawdopodobieństwa jego wystąpienia – ocena punktowa w skali 1 – 4

    b) Skutku jego ewentualnego wystąpienia – ocena punktowa w skali 1 – 4

2. Sposób oceny prawdopodobieństwa wystąpienia oraz skutków ryzyka przedstawiają odpowiednio tabela nr 1 i tabela nr 2

Tabela nr 1 - Sposób oceny prawdopodobieństwa wystąpienia ryzyka

Prawdopodobieństw Ilość Przesłanki

o wystąpienia ryzyka punktów

    Bardzo wysokie 4 [PRZESŁANKI]

    (81-100%)

    Wysokie 3 [PRZESŁANKI]

    (61-80%)

    Średnie 2 [PRZESŁANKI]

    (21-60%)

    Niskie 1 [PRZESŁANKI]

    (0-20%)

Tabela nr 2 - Sposób oceny skutku ryzyka

Skutek wystąpienia Ilość Przesłanki

    ryzyka* punktów

    Bardzo wysoki 4 [PRZESŁANKI]

    Wysoki 3 [PRZESŁANKI]

    Średni 2 [PRZESŁANKI]

    Niski 1 [PRZESŁANKI]

3. Punktowa istotność ryzyka (Istotność) określana jest według wzoru:

Istotność = Prawdopodobieństwo x Skutek

4. Poziomy istotności ryzyka (dopuszczalność ryzyka) przedstawia tabela nr 3

Tabela nr 3 - Poziomy Istotności ryzyka

Oszacowanie ryzyka Dopuszczalność ryzyka Działania

    Ryzyko poważne Niedopuszczalne [DZIAŁANIA]

    Skala: 13 - 16 pkt. (nieakceptowane)

    Ryzyko wysokie Dopuszczalne [DZIAŁANIA]

    Skala: 9 – 12 pkt. (akceptowane)

    Ryzyko umiarkowane Dopuszczalne [DZIAŁANIA]

    Skala: 5 - 8 pkt. (akceptowane)

    Ryzyko nieznaczne Dopuszczalne [DZIAŁANIA]

    Skala: 1- 4 pkt. (akceptowane)

Zagrożenie (źródło Zagrożony atrybut: Skutki wystąpienia Prawdopodobieństw Skutki Poziom Środki techniczne i Decyzja dotycząca

    ryzyka) poufność/integralność/dostępność ryzyka o istotności organizacyjne redukujące ryzyka

[ZAGROŻENIE] [ATRYBUT] [SKUTKI] [PUNKTY] [PUNKTY] [PUNKTY] [ŚRODKI] [DECYZJA]

[ZAGROŻENIE] [ATRYBUT] [SKUTKI] [PUNKTY] [PUNKTY] [PUNKTY] [ŚRODKI] [DECYZJA]

[ZAGROŻENIE] [ATRYBUT] [SKUTKI] [PUNKTY] [PUNKTY] [PUNKTY] [ŚRODKI] [DECYZJA]

[WNIOSKI Z ANALIZY RYZYKA]

[DODATKOWE INFORMACJE, NP. O DPIA, JEŻELI WYMAGANE]

Oceny dokonano w dniu: [DATA]

Podpisy osób, które dokonały oceny: [IMIĘ] [NAZWISKO]

Decyzja administratora danych dla wprowadzenia procesu:

[DECYZJA ADMINISTRATORA]

Przeprowadzona analiza ryzyka przetwarzania danych pozwala na określenie poziomu istotności oraz podejmowanie odpowiednich środków zaradczych. Wnioski z analizy oraz decyzje administratora danych stanowią istotne elementy dokumentu, mające kluczowe znaczenie dla zapewnienia bezpieczeństwa przetwarzanych danych.