Společnost NETIA dodává SW pro řízení rizik – Risk management tool Pomocí tohoto nástroje je možné řídit rizika přes celou společnost nebo úřad. Vedení rizik je v souladu s normou ISO 31000 – řízení rizik.
Implementované řízení rizik v SW Risk management toolu je ve shodě:
■ ISO 9001:2015, ISO 31000, ISO 27000, ISO13485, ISO 14000, Soulad s ISO 27001, ISO 20000-1
■ Rizika BOZP
■ Rizika dodavatelů
■ Rizika procesů
■ Rizika personální
■ Rizika strategická
■ Rizika operativní, výrobní
■ Zákon 320/2001 , Vyhláška 316/2014, standard COSO požadovanou Ministerstvem financí ČR
■ Zákon o kybernetické bezpečnosti 181/2014 Sb
■ Vyhláška kybernetické bezpečnosti č. 316/2014 Sb.
■ GDPR – rizika
Máme připraveny vzorové katalogy rizik pro zdravotnictví, kyber zákon, GDPR, ISO27000 a BOZP.
SW pokrývá následující procesy:
· práce s incidenty (řízení a evidence incidentů),
· práce s hrozbami, protiopatřeními,
· řízení rizik,
· práce s aktivy,
V rámci řešení SW je možné zadávat a řídit incidenty. Incidenty je možné automatizovaně přebírat z jiných prostředků –např SD, help desk.
S incidenty je možné pracovat takto:
a) Importovat incidenty nebo zadávat incidenty
b) Provázat s organizační strukturou a rizikem
c) Evidence identifikovaných incidentů organizace, tzv. vytvoření katalogu incidentů, které bude možno přiřadit do správy odpovědné osobě;
d) Hodnocení stupně významnosti a určování priority incidentu dle variabilních kritérií;
e) Oznámení existence nových incidentů či změn;
f) Nastavení, průběžné sledování a evidence historie nápravných opatření k incidentu v závislosti na jejich plnění;
g) Funkce plánování práce s incidentem až do jeho eliminace a úkolování uživatelů přes email (přidělování úkolů a upozorňování na ně);
h) Sestavení finálního seznamu aktuálních incidentů dle priorit pro účely řízení rizik v příslušných útvarech organizace a pro účely plánování interního auditu a kontroly;
i) Sestavení variabilních druhů pravidelných či adhoc reportingů dle priorit incidentů, dle útvarů, dle kategorie incidentu, dle stavu plnění nápravných opatření;
j) Funkce vytváření reportů pro účely interního auditu nejen v oblasti incidentů, ale také nápravných opatření a jejich plnění a sledování a dále také pro účely efektivního sestavování auditní či kontrolních plánů;
k) Funkce exportování/importování dat do/z MS Office (excel, word) a formátu .pdf;
l) Funkce nastavení variabilních zasílání automatických upozornění zodpovědné osobě;
m) Funkce zachování auditní stopy práce s rizikem (změny a záznamy uživatelských aktivit);
n) Dokumentace SW pomocí Helpů
V rámci řešení SW je možné zadávat a řídit protiopatření.
S incidenty je možné pracovat následovně:
a) Hodnocení stupně významnosti a určování priority rizika, incidentů dle variabilních kritérií;
b) Oznámení existence nových rizik a incidentů či změn při monitorování rizik zodpovědné osobě;
c) Nastavení, průběžné sledování a evidence historie nápravných opatření k seznamu aktuálních rizik, incidentů a jejich vliv na snižování rizika, incidentu v závislosti na jejich plnění;
d) Funkce plánování práce s protiopatřením rizikem, incidenty až do jeho eliminace a úkolování uživatelů přes email (přidělování úkolů a upozorňování na ně);
e) Sestavení finálního seznamu aktuálních hrozeb a protiopatření dle priorit pro účely řízení rizik v příslušných útvarech organizace a pro účely plánování interního auditu a kontroly;
f) Sestavení variabilních druhů pravidelných či adhoc reportingů dle priorit rizika, dle útvarů, dle kategorie rizika, dle stavu plnění nápravných opatření;
g) Funkce zachování auditní stopy práce s hrozbou a protiopatřením (změny a záznamy uživatelských aktivit);
V rámci řešení je možné zadávat, evidovat, hodnotit a řídit rizika ( mitigovat, práce odpovídá normě ISO31000).
S riziky je možné pracovat takto:
a) Evidence identifikovaných rizik organizace, tzv. vytvoření katalogu rizik, které bude možno přiřadit do správy odpovědné osobě;
a) Hodnocení stupně významnosti a určování priority rizika dle variabilních kritérií;
b) Oznámení existence nových rizik či změn při monitorování rizik zodpovědné osobě;
c) Nastavení, průběžné sledování a evidence historie nápravných opatření k seznamu aktuálních rizik a jejich vliv na snižování rizika v závislosti na jejich plnění;
d) Funkce plánování práce s rizikem až do jeho eliminace a úkolování uživatelů přes email (přidělování úkolů a upozorňování na ně);
e) Sestavení finálního seznamu aktuálních rizik dle priorit pro účely řízení rizik v příslušných útvarech organizace a pro účely plánování interního auditu a kontroly;
f) Sestavení variabilních druhů pravidelných či adhoc reportingů dle priorit rizika, dle útvarů, dle kategorie rizika, dle stavu plnění nápravných opatření;
g) Funkce vytváření reportů pro účely interního auditu nejen v oblasti rizik, ale také nápravných opatření a jejich plnění a sledování a dále také pro účely efektivního sestavování auditní či kontrolních plánů;
h) Funkce exportování/importování dat do/z MS Office (excel, word) a formátu .pdf;
i) Funkce nastavení variabilních zasílání automatických upozornění zodpovědné osobě;
j) Funkce zachování auditní stopy práce s rizikem (změny a záznamy uživatelských aktivit);
k) Dokumentace SW pomocí Helpů
l) Auditní stopa práce s rizikem, podrobný výpis
V rámci SW je možné pracovat s aktivy, je to možné využít pro certifikaci dle ISO27000 a ISMS. V rámci implementace se aktiva nastaví do patřičného detailu, ve shodě s technickými systémy. V rámci aktiv jsou přednastaveny i zaměstnanci a dodavatelé.
S aktivy je možné pracovat:
- Rozpadnout je do patřičného detailu
- Provázat je s organizační strukturou
- Provázet je s riziky, incidenty
Obsahují základní aktiva dané organizace, které lze pomocí add-on konektorů importovat (synchronizovat). Aktuálně: Procesy, Majetek (asset), Organizační struktura (HR), Projekty
Aktiva v principu je možné definovat uvnitř nástroje, nicméně daleko vhodnější a doporučenou variantou je je synchronizovat z jiných a to dedikovaných řešení (např. ARIS, SAP HR, MS Project/Primavera apod.)
Aktiva je možné stejně obdobně jako rizika měřit pomocí Indikátorů a definovat jim seznam, resp. plán opatření (zde se však naeplikuje logika dosažení skóre jako u rizik). Měření aktiv je přítomno zejména z důvodu schopnosti jejich klasifikace např. z pohledu finanční významnosti, kybernetických rizik, GDPR aj. za účelem vyhodnocení jejich kritičnosti vč. např. z pohledu BIA (Business Impact Analysis)
Vrcholová struktura (top level stromu aktiv) je dán výrobcem, jinak je zcela v moci vybrané role (uživatele SW řešení)
Předpisy a jiné požadavky
Nástroj pracuje a podporuje práci s:
· Právními požadavky – ty bude možno vložit ručně nebo získat v rámci placené služby. Je podporována celý životní cyklus a struktura legislativních norem ČR/SR vč. změn, nahlížení historie, notivikaci na případy, kdy některé části normy přestaly platit nebo jsou dosud neúčinná
· Adoptovanými normami – např. DN, ISO, interními normami organizace apod.
· Smlouvy
· Odvozenými požadavky – libovolnému objektu nebo objektům výše zmíněných kategorií je možné definovat odvozený požadavek. Smyslem je si definovat vlastní strom/strukturu vlastních interpretovaných požadavků vyplývajících zejména z lidsky málo uchopitelných legislativních norem. Např. odvozeným požadavkem je Zajistit požárně bezpečností řešení stavby, které však vyplývá a je upraveno v řadě bodů různých zákonů, vyhlášek a smluv.
K těmto odvozeným požadavků je pak možno asociovat rizika, aktiva (obdobně jako u primárních legislativních a jiných požadavků).
Stromovou strukturu požadavků si definuje uživatel aplikace (vybraná role). Vrcholová struktura / kategorie Legislativní, Odvozené... je předurčena výrobcem. Výrobce jako placenou službu (přístup platné legislativy) může importovat i věcnou stromovou strukturu legislativních požadavků s příznakem co je položka výrobce a co User defined.
Nástroj primárně pracuje s celou, resp. s libovolnou strukturou právních a jiných požadavků – jako s objekty. Díky tomuto přístupu a technologii je importovaný / zadaný dokument překlopen do stromové struktury až do např. úrovně paragrafového znění v případě zákona či smlouvy a je možné na jeho libovolnou část (normu jako celek, hlavu, §, písmeno, odstavec) provádět identifikaci odvozených požadavků, rizik, aktivní kolaboraci formou tagů, aktivní diskuse.
U každého požadavku (úroveň dokumentu) je možné uchovávat informaci (link) na zdroj (např. DMS)
Společnost NETIA® připravila ucelené řešení pro implementaci administrativně organizačních opatření Zákona o kybernetické bezpečnost a Vyhlášky o kybernetické bezpečnosti. Naše řešení pokrývá:
SW pro řízení rizik – úvodní obrazovka - Dashboard
SW pro řízení rizik – řešené agendy
SW pro řízení rizik – Aktiva
SW pro řízení rizik – Rizika
SW pro řízení rizik – Bia analýza
SW pro řízení rizik – Incidenty
SW pro řízení rizik – Nápravní opatření
SW pro řízení rizik – Report Katalogu rizik
Další moduly:
Rozšíření SW o modul řízení rizik pro odbor bezpečnosti a krizového řízení - řízení incidentů, řízení aktiv, řízení kybernetických rizik.
Rozšíření SW o modul řízení korupčních rizik.
Rozšíření SW o sledování systémů ISO norem zákazníka.
Rozšíření SW o evidenci interních kontrol zákazníka.
Kontakt : info@netia.cz
NETIA® s.r.o., je konzultační firma, dodavatel SW a služeb s orientací na digitalizaci procesů, projektové řízení, řízení rizik, interních auditů, konzultací a řešení GDPR/Data Protection Officer.
Předmět činnosti:
Pracovníci společnosti NETIA® s.r.o. mají rozsáhlé zkušenosti z mnohaletého působení v IT a realizace projektů v České a Slovenské republice.