Wzory dokumentacji w ramach Akademii analizy ryzyka

Te dokumenty stanowią instrukcję obsługi całego systemu, zapewniając zgodność z wymaganiami prawnymi.

• Kompletna metodyka przeprowadzania i dokumentowania analizy ryzyka: Opracowany na podstawie analizy decyzji UODO przewodnik, który krok po kroku wyjaśnia, jak przeprowadzić proces – od identyfikacji zasobów po akceptację ryzyka.
• Procedura przeprowadzania analizy ryzyka: Formalny dokument (wymagany przez UODO), który definiuje role, odpowiedzialności i przebieg procesu zarządzania ryzykiem w organizacji.

Narzędzia służące do stworzenia mapy danych w firmie.

• Przykładowa lista procesów przetwarzania: Wzorcowy katalog procesów biznesowych (np. kadry, marketing), który ułatwia rozpoczęcie mapowania.
• Kompletne listy zasobów (na bazie ISO 27005): Gotowy inwentarz aktywów (sprzęt, oprogramowanie, ludzie, lokalizacje), przygotowany w oparciu o standard ISO, który pozwala precyzyjnie określić, co podlega analizie.
• Wzory tabel do mapowania procesów i zasobów: Arkusze pozwalające powiązać procesy biznesowe z konkretnymi zasobami, pokazując, gdzie fizycznie i cyfrowo przetwarzane są dane.

Narzędzia wspierające systematyczną identyfikację zdarzeń i okoliczności, które mogą negatywnie wpłynąć na organizację.

• Gotowe katalogi zagrożeń: Listy zagrożeń (awarie, ataki, błędy ludzkie) dopasowane specyficznie do typów zasobów (inne dla serwera, inne dla laptopa, inne dla pracownika).
• Listy scenariuszy ryzyka: Gotowe opisy sekwencji zdarzeń (np. „kradzież laptopa prowadząca do wycieku danych”), łączące zagrożenie z podatnością i skutkiem.

Narzędzia do oceny istniejących środków ochrony danych osobowych.

• Gotowe listy zabezpieczeń (techniczne i organizacyjne): Katalog środków ochrony (np. szyfrowanie, procedury, szkolenia) przypisanych do zasobów, co pozwala szybko zidentyfikować wdrożone elementy

Serce analizy – narzędzia zamieniające intuicję na liczby.

• Gotowe skale oceny skutków i prawdopodobieństwa: Sparametryzowane kryteria oceniania, które eliminują subiektywizm (np. co dokładnie oznacza "wysokie" prawdopodobieństwo).
• Wzory macierzy ryzyka: Mapy ciepła (heat maps) wizualizujące poziom ryzyka i progi akceptowalności.
• Wzory tabel do wyliczania ryzyka: Arkusze automatyzujące obliczanie ryzyka wstępnego (bez zabezpieczeń) i szczątkowego (po wdrożeniu zabezpieczeń).

Narzędzia łączące różne wymagania prawne w jeden proces.

• Zintegrowany schemat analizy ryzyka: Model pozwalający przeprowadzić jedną analizę spełniającą jednocześnie wymogi RODO, ISO 27001 / NIS2.
• Połączone modele oceny skutków: Tabele pozwalające ocenić wpływ zagrożenia jednocześnie na prawa jednostki (RODO), ciągłość działania i bezpieczeństwo informacji (ISO 27001 / NIS2).

Wsparcie i bezpieczeństwo w dobie sztucznej inteligencji.

• Lista narzędzi AI: Zestawienie aplikacji wspierających analizę ryzyka.
• Przegląd zagrożeń AI: Lista specyficznych ryzyk (np. halucynacje, stronniczość) związanych z używaniem systemów AI w firmie.
• Model „human-in-the-loop”: Procedura bezpiecznej pracy z AI, zapewniająca, że ostateczną decyzję zawsze podejmuje człowiek (zgodność z zasadą rozliczalności).

Dokumenty kończące proces i służące komunikacji z biznesem.

• Gotowy raport dla zarządu & prezentacja: Szablony przekładające techniczne wyniki na język biznesu, finansów i odpowiedzialności prawnej.
• Wzór planu postępowania z ryzykiem: Dokument określający, kto, kiedy i jak wdroży dodatkowe zabezpieczenia.
• Wzór karty akceptacji ryzyka: Formalny dokument do podpisu przez Zarząd, stanowiący dowód zapoznania się z ryzykiem i zaakceptowania go.