Što je procjena rizika? Postupak i metode

Procjena rizika

Procjena rizika je sustavni postupak identificiranja potencijalnih opasnosti ili prijetnji, procjene njihove vjerojatnosti i utjecaja te određivanja odgovarajućih mjera za ublažavanje ili upravljanje rizicima. U usklađenosti, procjene rizika zahtijevaju GDPR, NIS2, AML propisi i većina upravljačkih okvira.

procjena rizika

upravljanje rizicima

usklađenost

matrica rizika

Zašto je to važno

Procjena rizika je polazna točka svakog rada na usklađenosti. Ne možete se zaštititi od rizika koje niste identificirali i ne možete učinkovito rasporediti resurse bez razumijevanja koji rizici su najvažniji. Svaka velika regulativa — GDPR, NIS2, AML, Zakon o kibernetičkoj sigurnosti — zahtijeva neki oblik procjene rizika.

Postupak procjene rizika

1. Identificirajte rizike

Brainstorming s dionicima iz svih odjela
Povijesna analiza prošlih incidenata i gotovo-incidenata
Regulatorni zahtjevi — što zahtijevaju primjenjivi zakoni?
Industrijska usporedba — koje prijetnje su česte u vašem sektoru?
Inventar imovine — što pokušavate zaštititi?

2. Analizirajte rizike

Za svaki identificirani rizik, procijenite:

Vjerojatnost — koliko je vjerojatno da će se rizik ostvariti?
Utjecaj — koliko bi posljedice bile ozbiljne?
Postojeće kontrole — koje mjere su već uspostavljene?

3. Procijenite i prioritizirajte

Koristite matricu rizika za raspoređivanje rizika po vjerojatnosti i utjecaju:

	Zanemariv	Mali	Umjeren	Velik	Katastrofalan
Gotovo siguran	Srednji	Visok	Visok	Kritičan	Kritičan
Vjerojatan	Nizak	Srednji	Visok	Visok	Kritičan
Moguć	Nizak	Srednji	Srednji	Visok	Visok
Malo vjerojatan	Nizak	Nizak	Srednji	Srednji	Visok
Rijedak	Nizak	Nizak	Nizak	Srednji	Srednji

4. Tretirajte rizike

Za svaki rizik, odaberite strategiju:

Ublažiti — implementirati kontrole za smanjenje vjerojatnosti ili utjecaja
Prihvatiti — priznati rizik i pratiti (za niskoprioritete)
Prenijeti — prebaciti rizik na treću stranu (osiguranje)
Izbjegnuti — prekinuti aktivnost koja stvara rizik

5. Dokumentirajte i pratite

Evidentirajte procjenu u registru rizika
Dodijelite vlasnike rizika
Definirajte učestalost pregleda
Ažurirajte kada se okolnosti promijene

Vrste procjena rizika

Vrsta	Fokus	Zahtijeva
DPIA	Rizici zaštite podataka	GDPR Članak 35
Procjena kibernetičke sigurnosti	IT i informacijska sigurnost	NIS2, ISO 27001
AML procjena rizika	Pranje novca i financiranje terorizma	ZSPNFT, FATF
Procjena usklađenosti	Regulatorni rizici	ISO 37301

Ključna regulativa

GDPR Članak 35 — DPIA za visokorizičnu obradu
NIS2 Članak 21 — mjere kibernetičke sigurnosti temeljene na riziku
Zakon o kibernetičkoj sigurnosti — hrvatsko zakonodavstvo
ISO 31000:2018 — smjernice za upravljanje rizicima

Procjena rizika

Zašto je to važno

Postupak procjene rizika

1. Identificirajte rizike

2. Analizirajte rizike

3. Procijenite i prioritizirajte

4. Tretirajte rizike

5. Dokumentirajte i pratite

Vrste procjena rizika

Ključna regulativa

Usklađenost (Compliance)

DPIA (Procjena učinka na zaštitu podataka)

NIS2 Direktiva

GDPR (Opća uredba o zaštiti podataka)

Kibernetička sigurnost

Želite naučiti više?

Procjena rizika

Zašto je to važno

Postupak procjene rizika

1. Identificirajte rizike

2. Analizirajte rizike

3. Procijenite i prioritizirajte

4. Tretirajte rizike

5. Dokumentirajte i pratite

Vrste procjena rizika

Ključna regulativa

Usklađenost (Compliance)

DPIA (Procjena učinka na zaštitu podataka)

NIS2 Direktiva

GDPR (Opća uredba o zaštiti podataka)

Kibernetička sigurnost

Želite naučiti više?