Risk manager portal – SW RMT, SW VOKB - oborové řešení pro administrativně organizační opatření ZoKB - dle poslední platné metodiky NUKIB

Risk manager portal – SW RMT, SW VOKB - oborové řešení pro administrativně organizační opatření ZoKB - dle poslední platné metodiky NUKIB

Společnost NETIA dodává SW pro řízení rizik – Risk management tool Pomocí tohoto nástroje je možné řídit rizika přes celou společnost nebo úřad. Vedení rizik je v souladu s normou ISO 31000 – řízení rizik.

Implementované řízení rizik v SW Risk management toolu je ve shodě:

■   ISO 9001:2015, ISO 31000, ISO 27000, ISO13485, ISO 14000, Soulad s ISO 27001, ISO 20000-1

■   Rizika BOZP

■   Rizika dodavatelů

■   Rizika procesů

■   Rizika personální

■   Rizika strategická

■   Rizika operativní, výrobní

■   Zákon 320/2001 , Vyhláška 316/2014, standard COSO požadovanou Ministerstvem financí ČR

■   Zákon o kybernetické bezpečnosti  181/2014 Sb

■   Vyhláška  kybernetické bezpečnosti č. 316/2014 Sb.

■   GDPR – rizika

Máme připraveny vzorové katalogy rizik pro zdravotnictví, kyber zákon, GDPR, ISO27000 a BOZP.

 

SW RMT   -  funkčnosti

SW pokrývá následující procesy:

·        práce s incidenty (řízení a evidence incidentů),

·        práce s hrozbami, protiopatřeními,

·        řízení rizik,

·        práce s aktivy,

 

Práce s incidenty (řízení a evidence incidentů),

V rámci řešení SW je možné zadávat a řídit incidenty. Incidenty je možné automatizovaně přebírat z jiných prostředků –např SD, help desk.

S incidenty je možné pracovat  takto:

a)     Importovat incidenty nebo zadávat incidenty

b)     Provázat s organizační strukturou a rizikem

c)     Evidence identifikovaných incidentů organizace, tzv. vytvoření katalogu incidentů, které bude možno přiřadit do správy odpovědné osobě;

d)     Hodnocení stupně významnosti a určování priority incidentu dle variabilních kritérií;

e)     Oznámení existence nových incidentů či změn;

f)      Nastavení, průběžné sledování a evidence historie nápravných opatření k incidentu v závislosti na jejich plnění;

g)     Funkce plánování práce s incidentem až do jeho eliminace a úkolování uživatelů přes email (přidělování úkolů a upozorňování na ně);

h)     Sestavení finálního seznamu aktuálních incidentů dle priorit pro účely řízení rizik v příslušných útvarech organizace a pro účely plánování interního auditu a kontroly;

i)       Sestavení variabilních druhů pravidelných či adhoc reportingů dle priorit incidentů, dle útvarů, dle kategorie incidentu, dle stavu plnění nápravných opatření;

j)       Funkce vytváření reportů pro účely interního auditu nejen v oblasti incidentů, ale také nápravných opatření a jejich plnění a sledování a dále také pro účely efektivního sestavování auditní či kontrolních plánů;

k)     Funkce exportování/importování dat do/z MS Office (excel, word) a formátu .pdf;

l)       Funkce nastavení variabilních zasílání automatických upozornění zodpovědné osobě;

m)   Funkce zachování auditní stopy práce s rizikem (změny a záznamy uživatelských aktivit);

n)     Dokumentace SW pomocí Helpů

 

Práce s hrozbami, protiopatřeními

V rámci řešení SW je možné zadávat a řídit protiopatření.

S incidenty je možné pracovat následovně:

a)               Hodnocení stupně významnosti a určování priority rizika, incidentů dle variabilních kritérií;

b)              Oznámení existence nových rizik a incidentů či změn při monitorování rizik zodpovědné osobě;

c)               Nastavení, průběžné sledování a evidence historie nápravných opatření k seznamu aktuálních rizik, incidentů a jejich vliv na snižování rizika, incidentu v závislosti na jejich plnění;

d)              Funkce plánování práce s protiopatřením rizikem, incidenty až do jeho eliminace a úkolování uživatelů přes email (přidělování úkolů a upozorňování na ně);

e)               Sestavení finálního seznamu aktuálních hrozeb a protiopatření dle priorit pro účely řízení rizik v příslušných útvarech organizace a pro účely plánování interního auditu a kontroly;

f)                Sestavení variabilních druhů pravidelných či adhoc reportingů dle priorit rizika, dle útvarů, dle kategorie rizika, dle stavu plnění nápravných opatření;

g)               Funkce zachování auditní stopy práce s hrozbou a protiopatřením (změny a záznamy uživatelských aktivit);

 

Řízení rizik

V rámci řešení  je možné zadávat, evidovat, hodnotit a řídit rizika ( mitigovat, práce odpovídá normě ISO31000).

S riziky je možné pracovat takto:

a)     Evidence identifikovaných rizik organizace, tzv. vytvoření katalogu rizik, které bude možno přiřadit do správy odpovědné osobě;

a)     Hodnocení stupně významnosti a určování priority rizika dle variabilních kritérií;

b)     Oznámení existence nových rizik či změn při monitorování rizik zodpovědné osobě;

c)     Nastavení, průběžné sledování a evidence historie nápravných opatření k seznamu aktuálních rizik a jejich vliv na snižování rizika v závislosti na jejich plnění;

d)     Funkce plánování práce s rizikem až do jeho eliminace a úkolování uživatelů přes email (přidělování úkolů a upozorňování na ně);

e)     Sestavení finálního seznamu aktuálních rizik dle priorit pro účely řízení rizik v příslušných útvarech organizace a pro účely plánování interního auditu a kontroly;

f)      Sestavení variabilních druhů pravidelných či adhoc reportingů dle priorit rizika, dle útvarů, dle kategorie rizika, dle stavu plnění nápravných opatření;

g)     Funkce vytváření reportů pro účely interního auditu nejen v oblasti rizik, ale také nápravných opatření a jejich plnění a sledování a dále také pro účely efektivního sestavování auditní či kontrolních plánů;

h)     Funkce exportování/importování dat do/z MS Office (excel, word) a formátu .pdf;

i)       Funkce nastavení variabilních zasílání automatických upozornění zodpovědné osobě;

j)       Funkce zachování auditní stopy práce s rizikem (změny a záznamy uživatelských aktivit);

k)     Dokumentace SW pomocí Helpů

l)       Auditní stopa práce s rizikem, podrobný výpis

 

Práce s aktivy

V rámci SW  je možné pracovat s aktivy, je to možné využít pro certifikaci dle ISO27000 a ISMS. V rámci implementace se aktiva nastaví do patřičného detailu, ve shodě s technickými  systémy. V rámci aktiv jsou přednastaveny i zaměstnanci a dodavatelé.

S aktivy je možné  pracovat:

-        Rozpadnout je do patřičného detailu

-        Provázat je s organizační strukturou

-        Provázet je s riziky, incidenty

 

Obsahují základní aktiva dané organizace, které lze pomocí add-on konektorů importovat (synchronizovat). Aktuálně: Procesy, Majetek (asset), Organizační struktura (HR), Projekty

Aktiva v principu je možné definovat uvnitř nástroje, nicméně daleko vhodnější a doporučenou variantou je je synchronizovat z jiných a to dedikovaných  řešení (např. ARIS, SAP HR, MS Project/Primavera apod.)

Aktiva je možné stejně obdobně jako rizika měřit pomocí Indikátorů a definovat jim seznam, resp. plán opatření (zde se však naeplikuje logika dosažení skóre jako u rizik). Měření aktiv je přítomno zejména z důvodu schopnosti jejich klasifikace např. z pohledu finanční významnosti, kybernetických rizik, GDPR aj. za účelem vyhodnocení jejich kritičnosti vč. např. z pohledu BIA (Business Impact Analysis)

Vrcholová struktura (top level stromu aktiv) je dán výrobcem, jinak je zcela v moci vybrané role (uživatele SW řešení)

Předpisy a jiné požadavky

Nástroj pracuje a podporuje práci s:

·        Právními požadavky – ty bude možno vložit ručně nebo získat v rámci placené služby. Je podporována celý životní cyklus a struktura legislativních norem ČR/SR vč. změn, nahlížení historie, notivikaci na případy, kdy některé části normy přestaly platit nebo jsou dosud neúčinná

·        Adoptovanými normami – např. DN, ISO, interními normami organizace apod.

·        Smlouvy

·        Odvozenými požadavky – libovolnému objektu nebo objektům výše zmíněných kategorií je možné definovat odvozený požadavek. Smyslem je si definovat vlastní strom/strukturu vlastních interpretovaných požadavků vyplývajících zejména z lidsky málo uchopitelných legislativních norem. Např. odvozeným požadavkem je Zajistit požárně bezpečností řešení stavby, které však vyplývá a je upraveno v řadě bodů různých zákonů, vyhlášek a smluv.

K těmto odvozeným požadavků je pak možno asociovat rizika, aktiva (obdobně jako u primárních legislativních a jiných požadavků).

Stromovou strukturu požadavků si definuje uživatel aplikace (vybraná role). Vrcholová struktura / kategorie Legislativní, Odvozené... je předurčena výrobcem. Výrobce jako placenou službu (přístup platné legislativy) může importovat i věcnou stromovou strukturu legislativních požadavků s příznakem co je položka výrobce a co User defined.

Nástroj primárně pracuje s celou, resp. s libovolnou strukturou právních a jiných požadavků – jako s objekty. Díky tomuto přístupu a technologii je importovaný / zadaný dokument překlopen do stromové struktury až do např. úrovně paragrafového znění v případě zákona či smlouvy a je možné na jeho libovolnou část (normu jako celek, hlavu,  §, písmeno, odstavec) provádět identifikaci odvozených požadavků, rizik, aktivní kolaboraci formou tagů, aktivní diskuse.

U každého požadavku (úroveň dokumentu) je možné uchovávat informaci (link) na zdroj (např. DMS)

 

 

Společnost NETIA® připravila ucelené řešení pro implementaci administrativně organizačních opatření Zákona o kybernetické bezpečnost a Vyhlášky o kybernetické bezpečnosti. Naše řešení pokrývá:

  • Bezpečnostní politiky a dokumentaci
  • Bezpečnostní incidenty
  • Informační aktiva
  • Kybernetická rizika
  • Opatření
  • Prohlášení o aplikovatelnosti
  • Reporty
  • Školení v oblasti kybernetické bezpečnosti
  • Implementace SW TAS KYBEZ – pokrytí všech procesů

 

SW pro řízení rizik – úvodní obrazovka - Dashboard

SW pro řízení rizik - Dashboard - úvodní obrazovka

SW pro řízení rizik – řešené agendy

 

SW pro řízení rizik – Aktiva

 

SW pro řízení rizik – Rizika

 

SW pro řízení rizik – Bia analýza

 

SW pro řízení rizik – Incidenty

 

SW pro řízení rizik – Nápravní opatření

SW pro řízení rizik – Report Katalogu rizik

Další moduly:

Rozšíření SW o modul řízení rizik pro odbor bezpečnosti a krizového řízení - řízení incidentů, řízení aktiv, řízení kybernetických rizik.

Rozšíření SW o modul řízení korupčních rizik.

Rozšíření SW o sledování systémů ISO norem zákazníka.

Rozšíření SW o evidenci interních kontrol zákazníka.

 

Kontakt : info@netia.cz

 

 

Kdo jsme?

NETIA® s.r.o., je konzultační firma, dodavatel SW a služeb s orientací na digitalizaci procesů, projektové řízení, řízení rizik, interních auditů, konzultací a řešení GDPR/Data Protection Officer.

Předmět činnosti:

  • Projektové řízení – SW Oracle – Primavera – dodávka licencí, školení a implementace
  • Řízení rizik a interních auditů – SW Risk manager tool - dodávky licencí, školení, implementace – cloudové řešení.Tvorba metodik a směrnic
  • GDPR/Data Protection Officer – konzultace a zastupování firem a úřadů
  • Oborová řešení pro řízení rizik – zdravotnictví, strojírenství, veřejná správa
  • Implementace kybernetické bezpečnosti, BCM
  • Digitalizace procesů firem - implementace SW team assitant, BPM
  • Implementace ISO norem a příprava na certifikace
  • Školení - projektové řízení, risk management, precesy, kybernetická bezpečnost

Pracovníci společnosti NETIA® s.r.o. mají rozsáhlé zkušenosti z mnohaletého působení v IT a realizace projektů v České a Slovenské republice.

Více informací o nás

Proč si vybrat nás

  • Kvalitnědokončené projekty
  • Desítky Spokojených klientů
  • CertifikovaníKonzultanti