Motyw
Analiza ryzyka
Analiza ryzyka to pogłębiony widok, który pozwala ocenić zagrożenia dla konkretnego zasobu lub obszaru działalności. Otwierasz go klikając Analizuj przy wybranym zasobie lub kategorii w rejestrze ryzyk.
INFO
Analiza ryzyka to wymagany element zgodności z NIS2. Powinna być przeprowadzana regularnie - co najmniej raz do roku lub po każdej istotnej zmianie w infrastrukturze.
Co widać w analizie?
- Lista zagrożeń przypisanych do danego zasobu lub obszaru
- Aktualna ocena każdego zagrożenia (przed i po mitygacji)
- Zastosowane środki zaradcze i ich skuteczność
- Historia poprzednich ocen z datami i autorami
Dwa tryby analizy
Analiza zasobu
Otwierana z poziomu szczegółów konkretnego zasobu (Zasoby → kliknij zasób → Analizuj). Pokazuje zagrożenia specyficzne dla tego zasobu, uwzględniając jego typ i krytyczność.
Analiza kategorii IT
Otwierana z poziomu rejestru ryzyk (Ryzyka → Analizuj według kategorii). Pokazuje zagrożenia dla całej kategorii systemów IT, np. serwerów, sieci lub aplikacji webowych.
Wypełnianie oceny
Dla każdego zagrożenia na liście możesz ustawić:
| Pole | Co wpisać | Skala |
|---|---|---|
| Prawdopodobieństwo | Jak często takie zdarzenie może wystąpić | 1 (niemal niemożliwe) → 5 (prawie pewne) |
| Wpływ | Jak poważne byłyby skutki | 1 (pomijalne) → 5 (katastrofalne) |
| Opis środków zaradczych | Co zostało zrobione, żeby zmniejszyć ryzyko | - |
| Ryzyko po mitygacji | Ocena po uwzględnieniu środków zaradczych | 1–25 |
| Akceptacja | Czy kierownictwo zaakceptowało pozostałe ryzyko | Tak / Nie |
Wskazówka
Ryzyko przed mitygacją to ocena bez uwzględnienia żadnych zabezpieczeń. Ryzyko po mitygacji - już po zastosowaniu środków zaradczych. Staraj się, żeby ryzyko po mitygacji było jak najniższe.
Skala ocen i poziom ryzyka
Wynik analizy obliczany jest jako: Prawdopodobieństwo × Wpływ. Zakres 1–25.
Skala poziomów ryzyka
| Wynik | Poziom ryzyka | Zalecane działanie |
|---|---|---|
| 1–4 | Niskie | Monitorowanie wystarczające, bez dodatkowych działań |
| 5–9 | Średnie | Rozważenie działań zapobiegawczych |
| 10–16 | Wysokie | Wymagane działania naprawcze w określonym terminie |
| 17–25 | Krytyczne | Natychmiastowe działania i eskalacja do kierownictwa |
INFO
Skala 1–25 jest standardową metodą oceny ryzyka (5×5) stosowaną w większości frameworków bezpieczeństwa, w tym ISO 27005 i zaleceniach NIS2. Umożliwia precyzyjne priorytetyzowanie działań.
Szczegółowy formularz analizy ryzyka
Każda ocena składa się z następujących kroków:
- Wybierz zagrożenie z predefiniowanej listy lub dodaj nowe.
- Oceń prawdopodobieństwo - użyj skali 1-5:
- 1: Zdarzenie praktycznie niemożliwe (raz na >10 lat)
- 2: Mało prawdopodobne (raz na 5-10 lat)
- 3: Możliwe (raz na 2-5 lat)
- 4: Prawdopodobne (raz na 1-2 lata)
- 5: Prawie pewne (więcej niż raz w roku)
- Oceń wpływ - użyj skali 1-5:
- 1: Pomijalny wpływ (brak istotnych konsekwencji)
- 2: Niewielki wpływ (lokalny, łatwy do naprawy)
- 3: Średni wpływ (wpływa na dział jednostki)
- 4: Duży wpływ (wpływa na całą organizację)
- 5: Katastrofalny wpływ (zagrożenie dla istnienia organizacji lub życia)
- Wpisz obecne środki zaradcze - opisz, co już robisz, aby zmniejszyć ryzyko.
- Oblicz ryzyko po mitygacji - oszacuj, jak zmieni się poziom ryzyka po zastosowaniu dodatkowych środków.
- Oceń akceptację - czy pozostałe ryzyko jest akceptowalne przez kierownictwo.
Zapisywanie analizy
Po uzupełnieniu wszystkich pól kliknij Zapisz analizę. System zapisze nową wersję oceny z datą i Twoim nazwiskiem, zachowując wszystkie poprzednie wersje.
Historia wersji analiz
W panelu szczegółów ryzyka przejdź do zakładki Historia, aby zobaczyć, jak ocena zmieniała się w czasie. Porównanie wersji pozwala wykazać audytorom, że ryzyko jest aktywnie monitorowane.
| Element historii | Opis |
|---|---|
| Data oceny | Kiedy analiza została przeprowadzona |
| Autor | Kto dokonał oceny |
| Prawdopodobieństwo / Wpływ | Wartości z danego dnia |
| Wynik | Obliczony poziom ryzyka |
| Środki zaradcze | Jakie działania były wtedy wdrożone |
Wskazówka
Audytorzy często proszą o historię zmian oceny ryzyka. Dzięki wersjonowaniu masz gotowy dowód, że organizacja monitoruje i aktualizuje swoje oceny w czasie.
Zapis analizy i raporty
Kreator analizy ryzyka (ścieżka dla wybranego zasobu) zapisuje wynik w systemie po przejściu kroków - nie ma na tej stronie osobnego przycisku „Eksportuj” w stylu pliku Word/Excel.
Aby pobrać dane na zewnątrz:
- Analiza ryzyka - z modułu Analiza ryzyka przyciskiem Eksportuj pobierzesz tabelę w Excel (.xlsx) lub CSV (z możliwym wyborem kolumn).
- Pojedyncze ryzyko - z podglądu karty ryzyka funkcja Eksport daje PDF lub ZIP (PDF + załączniki).
- Raporty zbiorcze (PDF/Excel/Word wg szablonu) - moduł Raporty, np. macierz ryzyka, rejestr ryzyka.
W module Analiza ryzyka (agregat organizacyjny), jeśli jest dostępny eksport wykresów/tabel, działa on zgodnie z przyciskami na ekranie - zwykle PDF lub Excel dla widoku zestawienia, a nie edytowalny raport Word z kreatora zasobu.
Co dalej?
- Analiza ryzyka - pełna lista kart ryzyka organizacji
- Krytyczność zasobów - jak krytyczność wpływa na priorytety analizy
- Zalecenia - działania wynikające z wykrytych ryzyk