Raport z szacowania ryzyka naruszenia bezpieczeństwa danych osobowych

Raport z szacowania ryzyka dla bezpieczeństwa danych osobowych

Sporządził: [IMIĘ I NAZWISKO / STANOWISKO]

[DATA]

1. Terminologia

Ryzyko w bezpieczeństwie informacji (danych osobowych) – kombinacja skutków zdarzenia bezpieczeństwa informacji i związanego z nim prawdopodobieństwa jego wystąpienia.

RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z [DATA] r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy [SYGNATURA] (ogólne rozporządzenie o ochronie danych).

ADO – administrator danych osobowych.

Ryzyko szczątkowe – poziom ryzyka po wdrożeniu zabezpieczeń.

Poziom ryzyka akceptowalnego – poziom zapewniający, że ryzyka szczątkowe są świadomie zaakceptowane przez kierownictwo organizacji.

Poufność – właściwość polegająca na tym, że dane nie są udostępniane nieautoryzowanym osobom, podmiotom lub procesom.

Integralność – właściwość polegająca na zapewnieniu dokładności i kompletności danych.

Dostępność – właściwość bycia dostępnym i użytecznym na żądanie autoryzowanego podmiotu.

Podatności – rozumiemy jako wady, luki lub słabości w strukturze fizycznej, organizacji, procedurach, personelu, zarządzaniu, administrowaniu, sprzęcie lub oprogramowaniu (zasobu lub grupy zasobów).

Zagrożenie – rozumiemy jako potencjalną przyczynę niepożądanego incydentu, który może wywołać szkodę w systemie lub organizacji.

Prawdopodobieństwo – możliwość wystąpienia zdarzenia.

2. Klasyfikacja informacji – czynności przetwarzania danych osobowych

Poniżej wskazano czynności przetwarzania danych osobowych wraz z ich klasyfikacją.

Id | Nazwa i opis czynności lub identyfikator zgodnie z RCP | Klasa: niska/średnia/wysoka /b. wysoka | Właściciel czynności | Wymagania Poufność niski/średni/wysoki /b. wysoki | Wymagania Integralność niski/średni/wysoki /b. wysoki | Wymagania Dostępność niski/średni/wysoki /b. wysoki ---|---|---|---|---|---|---| [NUMER] | [OPIS CZYNNOŚCI] | [KLASA] | [WŁAŚCICIEL] | [POUFNOŚĆ] | [INTEGRALNOŚĆ] | [DOSTĘPNOŚĆ] [NUMER] | [OPIS CZYNNOŚCI] | [KLASA] | [WŁAŚCICIEL] | [POUFNOŚĆ] | [INTEGRALNOŚĆ] | [DOSTĘPNOŚĆ] [NUMER] | [OPIS CZYNNOŚCI] | [KLASA] | [WŁAŚCICIEL] | [POUFNOŚĆ] | [INTEGRALNOŚĆ] | [DOSTĘPNOŚĆ]

3. Wyniki szacowania ryzyka – dla ryzyk przekraczających wartości akceptowalne oraz dla których określono postępowanie z ryzykiem

Po przeprowadzonej identyfikacji i klasyfikacji czynności przetwarzania dokonano identyfikacji, analizy i oceny ryzyka. Do szacowania ryzyka wykorzystano metodykę [SYGNATURA] zgodną z normą [SYGNATURA] oraz wymaganiami przepisów o ochronie danych osobowych.

Tabela zawiera ryzyka o wartości przekraczającej poziom akceptowalny. Przedstawiono również ryzyka, których poziom zbliża się do wartości akceptowalnej.

Należy szczególnie objąć monitorowaniem te ryzyka, których wartości zbliżają się do progu ryzyka akceptowalnego.

Nr ryzyka | Rodzaj przetwarzania danych | Zidentyfikowane zagrożenie | Skutek naruszenia dla danych | Opis wpływu na osoby, których dane dotyczą | Stosowane zabezpieczenia | Poziom ryzyka zgodnie z mapą ryzyka | Uzasadnienie poziomu ryzyka (opis zdarzenia z uwzględnieniem skuteczności środków zmniejszających ryzyko) ---|---|---|---|---|---|---| [NUMER] | [RODZAJ PRZETWARZANIA] | [ZAGROŻENIE] | [SKUTEK] | [WPŁYW] | [ZABEZPIECZENIA] | [POZIOM RYZYKA] | [UZASADNIENIE] [NUMER] | [RODZAJ PRZETWARZANIA] | [ZAGROŻENIE] | [SKUTEK] | [WPŁYW] | [ZABEZPIECZENIA] | [POZIOM RYZYKA] | [UZASADNIENIE]

3.1. Postępowanie z ryzykiem

Propozycje postępowania z ryzykiem opracowane zostały na podstawie konsultacji z właścicielami, właściwych norm oraz dobrych praktyk bezpieczeństwa informacji.

Nr ryzyka | Opis sposobu postępowania z ryzykiem ---|--- [NUMER] | [OPIS POSTĘPOWANIA] [NUMER] | [OPIS POSTĘPOWANIA]

4. Opinia inspektora ochrony danych

[DATA] i [PODPIS]

5. Zatwierdzenie wyników szacowania ryzyka i sposobu postępowania z ryzykiem

[DATA] i [PODPIS]