Ryzyka
Hotel C
Utworzone przez: Krzysztof Kowalski Data utworzenia: 29-09-2020
1 Ryzyka
Wygenerowane przez gdprapp.com
© Piotr Siemieniak UP Secure (upsecure.pl)
Wprowadzenie Wpływy
Nazwa Opis Wartość
Bardzo wysokie
Podatność jest odkryta i możliwa do wykorzystania, a ponadto jej wykonanie mogłoby prowadzić do ciężkiego naruszenia. Odpowiednie środki bezpieczeństwa lub inne środki redukcji naruszenia nie są zaimplementowane lub nie są zaplanowane; lub żaden środek bezpieczeństwa nie może zostać zidentyfikowany, aby obniżyć ciężar wykorzystania podatności.
5
Wysoki
Podatność ma charakter poważnej w odniesieniu do charakteru jej ujawnienia i prostoty wykorzystania i / albo na podstawie charakteru naruszenia, który może być wynikiem jej wykorzystania. Odpowiednie środki bezpieczeństwa lub inne środki postępowania są zaplanowane, ale nie są zaimplementowane, środki łagodzące są wykorzystywane i w minimalnym stopniu efektywne.
4
Umiarkowane
Podatność na charakter umiarkowany w odniesieniu do jej widoczności i łatwości wykorzystania i / albo w odniesieniu do siły wpływu, który mógłby być wynikiem jej wykorzystania.
Odpowiednie środki bezpieczeństwa lub inne środki łagodzące zostały częściowo zaimplementowane i są w miarę efektywne.
3
Niski
Podatność ma niewielkie znaczenie, ale efektywność środków łagodzących mogłaby zostać usprawniona. Odpowiednie środki bezpieczeństwa lub środki postępowania zostały całkowicie zaimplementowane i są relatywnie efektywne.
2
Bardzo niskie Podatność nie wiąże się z problemem. Odpowiednie środki bezpieczeństwa lub środki
postępowania zostały całkowicie zaimplementowane i są w pełni efektywne. 1
Prawdopodobieństwa
Nazwa Opis Wartość
Bardzo wysokie
Prawdopodobieństwo błędu, wypadku lub katastrofy naturalnej jest prawie pewne lub występuje
więcej niż 100 razy w ciągu roku. 5
Wysokie Prawdopodobieństwo błędu, wypadku lub klęski żywiołowej jest wysokie; może się zdarzyć
między 10 a 100 razy w ciągu roku. 4
Średnie Błąd, wypadek lub klęska żywiołowa mogą się wydarzyć; lub zdarza się od 1 do 10 razy w ciągu
roku. 3
Niskie Istnieje niskie prawdopodobieństwo wystąpienia błędu, wypadku lub klęski żywiołowej lub do
niego dochodzi rzadziej niż raz w roku, ale częściej niż raz na 10 lat. 2
2 Wprowadzenie
Nazwa Opis Wartość
Bardzo niskie
Wystąpienie błędu, wypadku lub klęski żywiołowej jest wysoce nieprawdopodobne lub występuje
rzadziej niż raz na 10 lat. 1
Macierz
Wpływ
Bardzo wysokie Wysoki Umiarkowane Niski Bardzo niskie
Prawdopodobieństwo
Bardzo wysokie 25 20 15 10 5
Wysokie 20 16 12 8 4
Średnie 15 12 9 6 3
Niskie 10 8 6 4 2
Bardzo niskie 5 4 3 2 1
3 Macierz
Podsumowanie
ID Nazwa Prawdopodobieństwo Wpływ Wartość ryzyka Tagi
#1 Naruszenie poufności danych Gości 3 5 15 —
#15 Naruszenie poufności Klientów B2B 3 4 12 —
#14 Naruszenie dostępności Klientów B2B 4 3 12 —
#7 Naruszenie dostępności do danych Dostawców 4 3 12 —
#4 Naruszenie poufności danych Kandydatów do pracy 3 4 12 —
#5 Naruszenie dostępności do danych Gości 3 3 9 —
#13 Naruszenie integralności danych Klientów B2B 3 3 9 —
#8 Naruszenie dostępności do danych Kandydatów do pracy 3 3 9 —
#3 Naruszenie poufności danych Dostawców 3 3 9 —
#2 Naruszenie poufności danych Pracowników 2 4 8 —
#11 Naruszenie integralności danych Dostawców 3 2 6 —
4 Podsumowanie
ID Nazwa Prawdopodobieństwo Wpływ Wartość ryzyka Tagi
#10
Naruszenie integralności danych Pracowników
SIEĆ KOMPUTEROWA I ZASOBY IT Pracownicy
1. Czy przetwarzanie danych jest realizowane przez Internet TAK
2. Czy jest możliwy dostęp z sieci Internet do aplikacji przetwarzajacych dane TAK
3. Czy system IT przetwarzający dane jest podłączony do innego firmowego (wewnętrznego) lub zewnętrzengo systemu IT NIE 4. Czy osoby nieautoryzowane mogą z łatwością uzyskac dostep do systemów IT przetwarzających dane osobowe NIE 5. Czy system IT przetwarzający dane został zaprojektowany zgodnie z zasadmi Privacy by Design i Privacy by Default NIE PROCESY/PROCEDURY ZWIĄZANE Z PRZETWARZANIEM DANYCH
6. Czy role i obowiązki związane z przetwarzaniem danych są jasno sformułowane i znane przez Pracowników NIE 7. Czy zasady korzystania ze służbowych urządzeń komputerowych są jasno sformułowane i znane Pracownikom NIE 8. Czy pracownicy mogą przetwarzać dane osobowe na swoich urządzeniach (BYOD) TAK
9. Czy pracownicy mogą przetwarzać dane osobowe poza miejscem pracy TAK
10. Czy przetwarzanie danych może być realizowane bez odpowiednich logów zapisujących zdarzenia NIE LUDZIE I INNE STRONY ZAANGAŻOWANE W PRZETWARZANIE
11. Czy przetwarzanie danych jest realizowane przez nieokreśloną liczbę Pracowników NIE
12. Czy jakaś część czynności przetwarzania jest realizowana przez podmiot zewnętrzny (podmiot przetwarzający lub inneg odbiorcę danych) TAK 13. Czy role i obowiązki związane z przetwarzaniem danych są jasno sformułowane i znane przez podmioty zewnętrzne TAK
14. Czy personel zaangażownay w przetwarzanue danych zna zasady i procedury bezpieczeństwa informacji TAK 15. Czy osoby lub podmioty zewnętrzne uchylają się od przestrzegania zasad ochrony danych NIE
BRANŻA I SKALA BIZNESU
16. Czy branża jest podatna na cyberataki TAK
17. Czy firma doświadczyła cyberataku lub wycieku danych w ostatnich dwóch latach NIE
18. Czy firma otrzymała skargi lub reklamacje związane z bezpieczeństwem przetwarzania w ostanim roku NIE 19. Czy przetwarzanie dotyczy dużej skali danych NIE
20. Czy są branżowe wytyczne dotyczące bezpieczeństwa, które nie zostały wdrożone NIE
2 3 6 Bezpieczeństwo IT
#9 Naruszenie integralności danych Gości 2 3 6 —
#6 Naruszenie dostępności do danych Pracowników 2 3 6 —
5 Podsumowanie
ID Nazwa Prawdopodobieństwo Wpływ Wartość ryzyka Tagi
#12 Naruszenie integralności danych Kandydatów do pracy 2 2 4 —
6 Podsumowanie
Ryzyka
Naruszenie poufności danych Gości
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#1 3 5 15 —
Naruszenie poufności Klientów B2B
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#15 3 4 12 —
Naruszenie dostępności Klientów B2B
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#14 4 3 12 —
Naruszenie dostępności do danych Dostawców
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#7 4 3 12 —
Naruszenie poufności danych Kandydatów do pracy
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#4 3 4 12 —
Naruszenie dostępności do danych Gości
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#5 3 3 9 —
Naruszenie integralności danych Klientów B2B
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#13 3 3 9 —
7 Ryzyka
Naruszenie dostępności do danych Kandydatów do pracy
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#8 3 3 9 —
Naruszenie poufności danych Dostawców
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#3 3 3 9 —
Naruszenie poufności danych Pracowników
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#2 2 4 8 —
Naruszenie integralności danych Dostawców
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#11 3 2 6 —
Naruszenie integralności danych Pracowników
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#10 2 3 6 Bezpieczeństwo IT
SIEĆ KOMPUTEROWA I ZASOBY IT Pracownicy
1. Czy przetwarzanie danych jest realizowane przez Internet TAK
2. Czy jest możliwy dostęp z sieci Internet do aplikacji przetwarzajacych dane TAK
3. Czy system IT przetwarzający dane jest podłączony do innego firmowego (wewnętrznego) lub zewnętrzengo systemu IT NIE
4. Czy osoby nieautoryzowane mogą z łatwością uzyskac dostep do systemów IT przetwarzających dane osobowe NIE
5. Czy system IT przetwarzający dane został zaprojektowany zgodnie z zasadmi Privacy by Design i Privacy by Default NIE
PROCESY/PROCEDURY ZWIĄZANE Z PRZETWARZANIEM DANYCH
6. Czy role i obowiązki związane z przetwarzaniem danych są jasno sformułowane i znane przez Pracowników NIE 7. Czy zasady korzystania ze służbowych urządzeń komputerowych są jasno sformułowane i znane Pracownikom NIE 8. Czy pracownicy mogą przetwarzać dane osobowe na swoich urządzeniach (BYOD) TAK
9. Czy pracownicy mogą przetwarzać dane osobowe poza miejscem pracy TAK
8 Naruszenie dostępności do danych Kandydatów do pracy
10. Czy przetwarzanie danych może być realizowane bez odpowiednich logów zapisujących zdarzenia NIE LUDZIE I INNE STRONY ZAANGAŻOWANE W PRZETWARZANIE
11. Czy przetwarzanie danych jest realizowane przez nieokreśloną liczbę Pracowników NIE
12. Czy jakaś część czynności przetwarzania jest realizowana przez podmiot zewnętrzny (podmiot przetwarzający lub inneg odbiorcę danych) TAK
13. Czy role i obowiązki związane z przetwarzaniem danych są jasno sformułowane i znane przez podmioty zewnętrzne TAK
14. Czy personel zaangażownay w przetwarzanue danych zna zasady i procedury bezpieczeństwa informacji TAK 15. Czy osoby lub podmioty zewnętrzne uchylają się od przestrzegania zasad ochrony danych NIE
BRANŻA I SKALA BIZNESU
16. Czy branża jest podatna na cyberataki TAK
17. Czy firma doświadczyła cyberataku lub wycieku danych w ostatnich dwóch latach NIE
18. Czy firma otrzymała skargi lub reklamacje związane z bezpieczeństwem przetwarzania w ostanim roku NIE 19. Czy przetwarzanie dotyczy dużej skali danych NIE
20. Czy są branżowe wytyczne dotyczące bezpieczeństwa, które nie zostały wdrożone NIE
Naruszenie integralności danych Gości
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#9 2 3 6 —
Naruszenie dostępności do danych Pracowników
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#6 2 3 6 —
Naruszenie integralności danych Kandydatów do pracy
ID Prawdopodobieństwo Wpływ Ryzyko Tagi
#12 2 2 4 —
9 Naruszenie integralności danych Gości