10. Plány zvládání rizik (RTP)#

Navazujícím dokumentem na hodnocení rizik je plán zvládání rizik (angl. Risk treatment plan, zkráceně RTP). Jedná se o dokument obsahující cíle a přínosy bezpečnostních opatření pro zvládání jednotlivých neakceptovaných rizik, určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termín jejich zavedení, popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a způsob realizace bezpečnostních opatření.

V souladu s tímto plánem zvládání rizik jsou zaváděna bezpečnostní opatření. Dokumenty vycházející z hodnocení rizik včetně samotného hodnocení rizik je nutné pravidelně aktualizovat a musí zohledňovat nejen významné změny, ale i změny v rozsahu ISMS, opatření podle § 11 ZKB a kybernetické bezpečnostní incidenty, včetně dříve řešených.

10.1. Zobrazení plánů zvládání rizik#

Po přechodu do modulu Plány zvládání rizik se uživateli zobrazí seznam všech plánů, ke kterým má práva přistupovat. Rozdělení oprávnění je v tomto případě následující:

Role

Oprávnení

Admin

Práva vidět a editovat všechny dostupné neukončené plány.

Analytik

Práva podílet se na vytváření plánů, ke kterým byl přidělen. Nemá práva upravovat parametry, může editovat řádky plánů a žádat o schválení manažerem. Může přidávat komentáře.

Klient

Práva nahlížet a komentovat plány, které byla vytvořeny pro jeho společnost.

Auditor

Práva pro čtení do všech částí, může přidávat komentáře.
../_images/rtp-overview.png

10.2. Založení RTP#

Založení RTP na platformě Risk Flow je možné po kliknutí na tlačítko Nový plán zvládání rizik nebo otevřením https://NAZEV-INSTANCE.riskflow.cz/cs/risks/risk-plan/create.

Parametr

Vyžadován

Popis

Klient

Ano

Vybrání klienta, pro kterého se bude RTP zpracovávat.

Analýza

Ano

Vybrání dokončené a manažerem schválené analýzy rizik, pro kterou se bude plán zvládání rizik připravovat.

Typ plánu

Ano

Výběr z následujících možností:

  • importovat z analýzy pouze rizika, který byla označena jako neakceptovatelná,

  • importovat z analýzy všechna rizika.

Název RTP

Ne

Název plánu zvládání rizik. Slouží pro lepší orientaci.

Odpovědný manažer

Ano

Lze vybrat pouze uživatele s rolí Risk manažer. Lze vybrat pouze aktivní uživatele. V případě, že analýzu rizik zakládá uživatel s rolí Risk manažer, je k ní automaticky přidělen.

Analytici

Ne

Lze vybrat pouze uživatele s rolí Risk manažer nebo Risk analytik. Lze vybrat pouze aktivní uživatele. Lze přiřadit více analytiků, kteří na zpracování RTP budou spolupracovat.

Termín pro vyřízení

Ano

Stanovení termínu k vyřešení. Nelze stanovit do minulosti ani na dnešní datum.

Po úspěšném vytvoření plánu zvládání rizik jsou e-mailem upozorněni přiřazení analytici i manažer. Informační e-mail nepřijde uživateli, který akci vyvolal, tzn. pokud plán vytváří manažer, nepřijde mu informační e-mail o přiřazení k plánu. Tímto způsobem se Risk Flow snaží minimalizovat množství informačních e-mailů.

10.3. Editace RTP#

Editace plánů je možná v aktualizačním formuláři, který si může uživatel otevřít v seznamu RTP skrze ikonu tří teček nebo v detailu plánu zvládání rizik skrze tlačítko Upravit.

10.4. Kopírování RTP#

Uživatel s editačními právy ke konkrétnímu RTP může vytvářet jeho kopie. Při kopírování je nutné nastavit stejné parametry jako při založení nové plánu zvládání rizik. V tomto procesu jsou duplikovány všechny řádky plánu. Tato funkce je velmi vhodná při provádění revizí dříve dokončených RTP. Kopírovat je možné prostřednictvím ikony kopírování v seznamu všech dostupných RTP nebo v detailu konkrétního RTP. Odpovědný manažer a analytici jsou informování e-mailem o přiřazení k RTP.

../_images/rtp-copy.png

10.5. Smazání RTP#

Mazání RTP je možné v seznamu dostupných plánů nebo detailu konkrétního plánu zvládání rizik. Oprávněný uživatel může mazat plány, které nejsou součástí žádných schvalovacích procesů.

10.6. Export RTP#

Export plánů je možný v patřičném modulu po kliknutí na tlačítko Export a vybrání typu exportu.

../_images/rtp-export.png

Export do MS Excel#

Export seznamu plánů zvládání rizik do sešitu aplikace Microsoft Excel má následující hodnoty. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis

#

Číslo záznamu v exportu

Klient

Název klienta

Termín pro vyřízení

Datum

Název

Název plánu zvládání rizik

Odpovědný manažer

Uživatel s rolí Risk manažer, který je odpovědný za dokončení RTP.

Analytici

Seznam uživatelů s rolí Risk analytici, kteří se podílejí/podíleli na vytváření plánu.

Stav

  • Založeno – plán byl založen, zatím se neprovádí.

  • Provádí se – plán je zpracováván.

  • Čeká na schválení – plán byl dokončen a čeká na schválení odpovědným manažerem.

  • Schváleno – plán dokončen a schválen odpovědným manažerem.

  • Neschváleno – plán dokončen, ale zatím neschválen odpovědným manažerem, vrácen k dopracování.

  • Ve Flow – dokončený a schválený plán zvládání rizika, který je součástí schvalovacího procesu.

  • Ve Flow, neschváleno – dokončený plán, který byla klientem v rámci schvalovacího procesu vrácen k dopracování.

  • Ve Flow, schváleno – dokončený plán, schválený odpovědným manažerem i příslušným klientem.

Průběh

Průběh provádění plánu vyjádřený v %.

Vytvořeno

Datum vytvoření záznamu

Čas vytvoření

Čas vytvoření záznamu

Vytvořil

E-mail uživatele, který záznam vytvořil.

Aktualizováno

Datum poslední změny záznamu

Poslední aktualizace

Čas poslední změny záznamu

Změnil/a

E-mail uživatele, který provedl poslední změny.

Export do PDF#

Export seznamu plánů do formátu PDF obsahuje soupis podobný výpisu v aplikaci. Obsahuje níže uvedené informace. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis.

#

Číslo záznamu v exportu.

Klient

Název klienta.

Plán zvládání rizik

Název plánu zvládání rizik a příslušné analýzy rizik, pro kterou je tvořen.

Termín pro vyřízení

Datum

Odpovědný manažer

Uživatel s rolí Risk manažer, který je odpovědný za dokončení.

Analytici

Seznam uživatelů s rolí Risk analytici, kteří se podílejí/podíleli na provádění.

Stav

  • Založeno – analýza byla založena, zatím se neprovádí.

  • Provádí – analýza je ve stavu řešení.

  • Schváleno – plán dokončen a schválen odpovědným manažerem.

  • Neschváleno – plán dokončen, ale zatím neschválen odpovědným manažerem, vrácen k dopracování.

  • Ve Flow – dokončený a schválený plán zvládání rizika, který je součástí schvalovacího procesu.

  • Ve Flow, neschváleno – dokončený plán, který byla klientem v rámci schvalovacího procesu vrácen k dopracování.

  • Ve Flow, schváleno – dokončený plán, schválený odpovědným manažerem i příslušným klientem.

Průběh

Průběh provádění plánu vyjádřený v %.

Export do JSON#

Export plánů do formátu JSON je dostupný pouze administrátorům instance. Tento typ exportu je možné využívat pouze v licenci Enterprise. Exportovaný soubor může sloužit jako jednoduchá záloha nebo může být využit k importu do aplikací třetích stran.

10.7. Detail RTP#

Oprávněné osoby mohou nahlížet do pro ně dostupných plánů zvládání rizik. Administrátor či odpovědné osoby mohou přidávat a editovat řádky. Uživatelé s oprávněním editovat mohou zatím neschválené plány editovat přímo v jejím detailu, stejně jako funguje správa aktiv.

../_images/rtp-detail.png

10.8. Přidání řádků#

Při vytvoření nového plánu zvládání rizik se k němu utomaticky naimportují všechna neakceptovatelná rizik z příslušné analýzy rizik, případněi ta akceptovatelná v závislosti na vybraném typu tvořenéo plánu zvládání rizik. Akceptovatelná rizika je možné do plánu přidávat a odebírat. Neakceptovatelná rizika, nelze z plánu zvládání rizik vynechat.

Formulář pro přidání rizika je možné najít na adrese https://NAZEV-INSTANCE.riskflow.cz/cs/ risks/risk-plan/\<ID RTP\>/row/create/ nebo po kliknutí na tlačítko Přidat do plánu.

Parametr

Vyžadován

Popis

Řádek analýzy rizik

Ano

Výběr rizika příslušné analýzy rizik, pro které bude navrhováno bezpečnostní opatření.

Editace řádku RTP#

Oprávněný uživatel může provádět úpravu řádků plánu přímo v jeho detailu nebo v editačním formuláři konkrétního řádku. V tomto formuláři můžete využívat výhod Risk Flow katalogu, ze kterého lze čerpat konkrétní texty popisů opatření, jejích cílů a přínosů a metrik pro hodnocení. Vyhledávání v katalogu funguje po zadání alespoň tří znaků a jeho použití demonstruje následující obrázek.

../_images/rtp-edit.png

Využití katalogu rizik je v tomto formuláři možné pro následující pole – Opatření, Popis opatření, Cíle a přínosy, Metrika pro hodnocení.

Manažeři a analytici mohou katalog rizik doplňovat ponecháním zaškrtnutéh políčka Přidat do katalogu rizik. Katalog může být používán všemi manažery a analytiky u všech analýz rizik, a proto by do katalogu neměly být přidávány texty specifické pro zpracovávaného klienta. Editovat katalog má práva pouze administrátor instance.

Parametr

Vyžadován

Popis

Ozn.

Ano

Označení pro zlepšení orientace v systému.

Opatření

Ano

Název bezpečnostního opatření.

Popis opatření

Ano

Detailní popis navrhovaného bezpečnostního opatření.

Cíle a přínosy

Ano

Soupis toho, čím bude implementací opatření dosaženo.

Zodpovídá

Ano

Osoba, oddělení či společnost, která odpovídá za implementaci bezpečnostního opatření.

Termín zavedení

Ano

Termín pro zavedení opatření.

Technické zdroje

Ano

Soupis nutného vybavení, prostor, atd.,které jsou nutné k úspěšnému zavedení opatření.

Finanční zdroje

Ano

Odhad finanční náročnosti zavedení opatření.

Lidské zdroje

Ano

Odhad časové náročnosti zavedení opatření (např. MD – člověko-dní).

Metrika pro hodnocení

Ano

Definice měřitelného způsobu k ověření efektivnosti aplikovaného bezpečnostní opatření.

Smazání řádku RTP#

Oprávněný uživatel může provádět mazání řádků zatím neschváleného plánu přímo v jeho detailu v detailu konkrétního řádku po otevření příslušného formuláře kliknutím na ikonu odpadkového koše a následným potvrzením v modální okně.

10.9. Schvalování RTP#

Jakmile jsou všechny řádku kompletně vyplněné a v parametru průběhu plánu zvládání rizik se zobrazuje hodnota 100%, může plán postoupit ke schválení.

Žádost o schválení dokončeného plánu#

Uživatel s rolí manažera nebo analytika může odeslat požadavek na schválení RTP. Odpovědný manažer je o požadavku informován e-mailem a vyzván k akci.

Schválení či vrácení k dopracování#

Schválení provádí odpovědný manažer konkrétního plánu. Jakmile je plán schválena, uzamkne se pro editaci a může být dále využit ve schvalovacích flows. Dokud není plán schválen odpovědným manažerem, je možné jej dále editovat. Dokud není plán součástí schvalovacího flow, může odpovědný manažer vzít své schválení zpět a vrátit plán analytikům k dopracování.

10.10. Komentáře#

Ke všem plánům mohou oprávnění uživatelé přidávat komentáře. Všechny komentáře je možno zobrazit po kliknutí na tlačítko Komentáře, jenž otevře stránku se soupisem existujících komentářů a formulářem pro přidání nového.

Přidání komentáře#

Přidat komentář je možné po vyplnění patřičného pole pro zadání textu komentáře a odeslání tlačítkem Přidat komentář.

Interní a veřejné komentáře#

Uživatelé mohou přidávat interní a veřejné komentáře. Interní komentáře se nezobrazují klientům, pro něž je plán zvládání rizik zpracováván. Administrátoři, manažeři, analytici a auditoři vidí všechny evidované komentáře a přílohy.

Přílohy ke komentářům#

Ke každému komentáři je možné přidávat přílohy. Pro výběr více příloh podržte klávesu CTRL a levým tlačítkem myši označte více souborů pro vložení nebo označte všechny soubory k nahrání a myší je přetáhněte do pole pro nahrávání souborů.