Zarządzanie ryzykiem

Moduł zarządzanie ryzykiem wspomaga identyfikację i analizę ryzyk oraz ich późniejsze monitorowanie. Systematyczne zarządzanie ryzykiem jest wymogiem wielu standardów zarządzania m.in. nowej normy ISO 9001:2015, gdzie stanowi alternatywę dla działań zapobiegawczych oraz normy ISO 27001, gdzie stanowi jedno z podstawowych narzędzi zapewniających bezpieczeństwo informacji firmy.

 

Proces zarządzania ryzykiem w programie eSEKTOR jest podzielony na etapy: identyfikacji ryzyk, identyfikacji czynników ryzyka (źródeł zagrożeń i szans) oraz podatności na zagrożenia lub szanse, opisania skutków ryzyka, estymację i ocenę ryzyka, ustalenia reakcji na ryzyko oraz monitorowania i raportowania ryzyka. eSEKTOR pozwala zarządzać ryzykiem w obszarze procesów i zadań organizacji (systemie zarządzania jakością) oraz bezpieczeństwa informacji (systemie zarządzania bezpieczeństwem informacji). Metodyka zarządzania ryzykiem w tych dwóch obszarach nieznacznie się różni m.in. tym że ryzyka w systemie zarządzania jakością są identyfikowane w takich obszarach jaki zadanie czy proces (zidentyfikowane i opisane w module procesy) oraz mogą posiadać charakter zagrożenia lub szansy. Ryzyka bezpieczeństwa informacji odnoszą się zaś do aktywów/zasobów wykorzytywanych przy przetwarzananiu informacji (zidentyfikowanych i opisanych w module aktywa informacyjne).
 
Moduł pozwala maksymalnie uprościć proces zarządzania ryzykiem i pomaga dokonać szybkiej estymacji ryzyka i jego oceny. Oceniający może w systemie doprecyzować uwarunkowania i czynniki wpływające na ryzyko, co jest szczególne pomocne dla ryzyk bezpieczeństwa informacji, gdzie określa się takie elementy: jak podatności na zagrożenia oraz ich stopień, zastosowane zabezpieczenia oraz ich skuteczność czy wpływ zagrożenia na na atrybuty aktywu (poufność, integralność i dostępność). Na podstawie tych danych system proponuje ostateczną estymację ryzyka (miarę jego prawdopodobieństwa i skutku).