Řízení rizik You can’t effectively and consistently manage what you can’t measure, and you can’t measure what you haven’t defined... BIVŠ Řízení kvality.

Slides:



Advertisements
Podobné prezentace
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Advertisements

Strategické řízení školy s využitím sebehodnocení školy dle modelu CAF RNDr. Hana Žufanová.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Mgr. Jiří Šimon Odbor práva veřejných zakázek a koncesí Praha, Nová směrnice EU pro zadávání veřejných zakázek v kontextu společensky odpovědného.
Redukce lůžek Existuje prostor pro redukci lůžek akutní péče?
ŽIVELNÍ POHROMY A PROVOZNÍ HAVÁRIE Název opory –Zákon o prevenci závažných havárií a jejich význam Operační program Vzdělávání pro konkurenceschopnost.
Využití informačních technologií při řízení obchodního řetězce Interspar © Ing. Jan Weiser.
Zákon o kybernetické bezpečnosti č. 181/2014 Sb. Presentation title.
Procesy ve veřejné správě Ivo Vašíček Proces veřejné správy Získávání zdrojů dané, poplatky, pokuty Vnitřní a vnější bezpečnost Správa zdrojů Údržba.
 2006  Ministerstvo průmyslu a obchodu Příprava aplikace zákona č. 179/2006 sb. o ověřování a uznávání výsledků dalšího vzdělávání do působnosti Ministerstva.
Výzkum efektivnosti fungování veřejné správy Interní grant VŠP Jihlava Měrtlová - Nečadová - Kovář.
Vize propojení zdravotního a sociálního pojištění RNDr. Jiří Schlanger náměstek pro informatiku a mezinárodní věci.
Trh, ekonomika. ekonomická činnost výroba spotřeba obchod, směna.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
Výukový materiál zpracován v rámci projektu EU peníze školám Registrační číslo projektu : CZ.1.07/1.5.00/ Šablona:III/2č. materiálu:VY_32_INOVACE_12.
Městský úřad Šumperk Implementace modelu CAF
Téma 1. Charakteristika finančního řízení 1. Cíle finančního řízení 2. Hlavní oblasti finančního managementu 3. Finanční rozhodování podniku 4. Finanční.
Plánovací část projektu Cíl projektu - vychází z řešení z prognostické části, - odpovídá na otázku, čeho má být dosaženo? - představuje slovní popis účelu.
Podnik ro Název projektu: Nové ICT rozvíjí matematické a odborné kompetence Číslo projektu: CZ.1.07/1.5.00/ Název školy: Střední odborná.
Název kapitoly Název podkapitoly Text Schvalovací proces + hodnoticí kritéria Jakub Krátký Praha, 5. května 2016.
Failure Mode and Effect Analysis Fehler Möglichkeit und Einflüss Analyse Analýza možností vzniku chyb ANALÝZA RIZIK – FMEA.
1. WORKSHOP.
Jsou venkovské školy horší než městské?
Bezpečnost silniční a železniční dopravy
Schvalovací proces a hodnoticí kritéria
Mgr. Jiří Starý Odbor strategického rozvoje
Základy automatického řízení 1
Organizace výroby Organizace a řízení výroby
Úřad práce České republiky
Zkušenosti s implementací vybraných požadavků ISO 9001:2015
EVALUACE v OP RLZ PaedDr. Jaromír Krejčí Mgr. Jana Ostrýtová MŠMT.
RASC Standardy řízení služeb
Veřejná správa, Regionální rozvoj Litoměřice Jan Jůna 2012
Rozhodování 1.
Pracovní porada Pracovní list.
Účetnictví – význam informací
IAS 36 Snížení hodnoty aktiv.
Pracovní porada Pracovní list.
IAS 36 Snížení hodnoty aktiv.
eRecept – komunikace se základními registry
Přístupový systém aneb kontrola vstupů
Mobilní bezpečná platforma Policie ČR CZ / /17
Kompetenční modely Mgr. Andrea Drdáková.
Databáze MS ACCESS 2010.
Veřejná správa, Regionální rozvoj Litoměřice Jan Jůna 2012
Oblast: Dobré životní podmínky zvířat
2. P marketingového mixu Cena. 2. P marketingového mixu Cena.
OŠMS, Krajský úřad Kraje Vysočina
Schvalovací proces + hodnoticí kritéria
Účetní pravidla, změny v účetních odhadech a chyby
RIZIKO.
Management Přednáška 7, 8: Plánování.
Základy zpracování geologických dat testování statistických hypotéz
1. ročník oboru Mechanik opravář motorových vozidel
Schvalovací proces + hodnoticí kritéria
Národní konference GDPR 2017, Praha, 23. listopadu 2017
Etické kodexy v praxi Pavel Seknička.
RIZIKO.
METODICKÁ PODPORA ŘÍZENÍ KVALITY V ÚZEMNÍCH SAMOSPRÁVNÝCH CELCÍCH
Technická Evidence Zdravotnických Prostředků 1
Návrh aktualizace rámce COSO vymezení ŘKS
PROCES CERTIFIKACE EnMS
Kvalita a bezpečí jako hlavní principy k úspěšné a efektivní akreditaci Gabriela Franková.
Hodnocení korupčních rizik (CIA) Oddělení boje s korupcí Praha, 2018
Projektové řízení výstavby podle PMBOK 2. Řízení rozsahu
Název školy Gymnázium, střední odborná škola, střední odborné učiliště a vyšší odborná škola, Hořice Číslo projektu CZ.1.07/1.5.00/ Název materiálu.
Seminář AMG, Písek 2018 GDPR.
Obecné nařízení o ochraně osobních údajů
Martin VLASTNÍK, vedoucí oddělení politiky nerostných surovin
Hodnocení, realizace a kontrolní etapa
Transkript prezentace:

Řízení rizik You can’t effectively and consistently manage what you can’t measure, and you can’t measure what you haven’t defined... BIVŠ Řízení kvality (audit) IS

Osnova 1.Řízení rizik – základní pojmy 2.Proces řízení rizik 3.Druhy analýzy rizik 4.Softwarové nástroje

1. Řízení rizik (1) RIZIKA KONTROLYTESTOVÁNÍ

Postavení rizika v rámci EGIT Podniky jsou zde proto, aby vytvářely hodnoty pro stakeholdery Tvorba hodnot znamená realizaci přínosů při optimální spotřebě zdrojů za současné optimalizace rizik Optimalizace rizik je jednou ze základních částí všech governance systemů Optimalizace rizik je součástí tvorby hodnot (ovlivňuje spotřebu zdrojů a výši přínosů)

Risk Management Levels and Related Control Frameworks

Zmatek v terminologii Rizika IS (business risk) – kombinace strategických, manažerských a provozních činností zapojených do sběru, zpracování, ukládání, distribuci a využívání informací a souvisejících technologií. – Informační systémy jsou odlišné od informačních technologií (IT); informační systém má IT složku, která spolupracuje s komponentami procesů IT rizika - podnikatelské riziko spojené s užíváním, vlastnictvím, provozem, zapojením, a provozováním IT v rámci podniku (IT - hardware, software, komunikace a další zařízení použitá pro vstup, ukládání, zpracování, přenos a výstup dat v bez ohledu na formu) Informační rizika – informace není chráněna proti účinnosti, úspornosti, souladu, spolehlivosti, důvěrnosti, integritě, dostupnosti (informace je aktivum, které, stejně jako další významná obchodních aktiva, které je nezbytné pro business. Může existovat v mnoha formách. Rizika informační bezpečnosti - v rámci podniku, informace není chráněna proti prozrazení neoprávněným uživatelům (důvěrnost), nesprávné modifikaci (integrita), a odepření přístupu v případě potřeby (dostupnost)

Definice rizika Obecně se riziko definuje jako kombinace pravděpodobnosti události a jejích dopadů (ISO Guide 73). ´Dopady znamenají, že není dosaženo stanoveného cíle COBIT 5 for Risk definuje riziko IT jako business riziko, a to business riziko spojené s užíváním, vlastnictvím, provozem, využíváním, a přizpůsobováním IT v rámci organizace IT riziko se skládá z IT událostí, které mohou potenciálně negativněovlivnit business IT riziko existuje vždy – i tehdy, pokud není detekováno

Odpovědnost za řízení rizik

Základní pojmy podle ISO (1) Aktivum – vše, co má pro jednotlivce nebo organizaci hodnotu, která může být snížena působením hrozby. Příklad dělení aktiv: – Primární aktiva: Business procesy a činnosti (hlavní procesy, procesy zajišťující soulad s normami) Informace (základní potřebné pro business, osobní údaje, strategické, nákladné) – Podpůrná aktiva: HW SW Sítě Personál Budovy (fyzická zařízení nutná pro fungování organizace) Struktura organizací (personální struktury nutné pro zajištění procesů, projekty, subdodavatelé) Hrozba – potenciální příčina nechtěného incidentu, která může vyústit v poškození systému nebo organizace – frekvence výskytu hrozby – síla, (např. viry: destruktivní nedestruktivní, zemětřesení: údaj Richterovy stupnice atd.).

Základní pojmy (2) Hrozby – Příčina lidské prostředí: např. zemětřesení, blesk, povodeň, požár – Původ: interní, externí – Druh (náhodná/úmyslná, aktivní/pasivní) Aktivní hrozba – hrozba neoprávněné změny dat (modifikace, vložení, zničení) – problém autorizace Pasivní hrozba – hrozba prozrazení informací bez toho, aby se měnil obsah - problém utajení Agent hrozby – metoda nebo věc, která využije slabinu (např. motivace, zdroje, schopnost) Událost hrozby – fáze působení hrozby na slabinu systému

Základní pojmy (3) Slabina/zranitelnost – slabé místo aktiva nebo skupiny aktiv, které může být využito jednou nebo více hrozbami (např. heslo, které se nemění, hořlavý koberec, špatně nastavený firewall). Chybějící kontrola je považována za zranitelnost SlabinaHrozba Nekontrolované stahování SW a jeho užívání Viry Porušení autorského práva Nechráněné tabulky hesel Maskování identity uživatele Nedostatečná dokumentace Chyba operátora Nechráněné propojení na veřejnou síť Neoprávněné užívání SW

Základní pojmy (4) Škoda/Dopad – důsledek nežádoucího incidentu na podnikatelské aktivity Ochranná opatření/ kontroly/coutermeasures – praktiky, postupy, mechanismy pro ochranu před hrozbou. Často se rozlišuje fyzická ochrana (hardwarová, mříže, zámky atd.) a logická ochrana (softwarová, organizační) Riziko – kombinace pravděpodobnosti, že dojde k nežádoucí události a následků, které z takové události mohly vzniknout (je přímo úměrné slabině, pravděpodobnosti a velikosti škody)

Událost - Incident Událost informační bezpečnosti – rozpoznaný výskyt stavu systému, služby nebo sítě, který indikuje možné narušení politiky informační bezpečnosti, selhání kontrol nebo doposud neznámou situaci, která může být relevantní pro řízení informační bezpečnosti Incident informační bezpečnosti – jedno nebo série nechtěných nebo nečekaných událostí, které mají významnou pravděpodobnost, že ohrozí business procesy a poruší informační bezpečnost Události informační bezpečnostiIncidenty informační bezpečnosti Network scanning Opakující útoky na prolomení hesel Neúspěšné útoky SQL injections Ztracené laptopy nebo mobilní zařízení Přístup k serverům Botnet infekce Úspěšné útoky SQL injection Kompromitované účty (e.g. Spamming účtů) Denial of Service útoky Neautorizovaný přístup do aplikací

Vzorec pro výpočet rizika Úroveň rizika: s jakou pravděpodobností a s jakým dopadem se stane „něco špatného“ (bezpečnostní incident) Risk = pravděpodobnost x dopad Omezení tohoto vzorce: – nebere v úvahu existující kontroly – slabiny Risk = pravděpodobnost x dopad x slabina – nebere v úvahu vliv kritičnosti (criticality) aktiva – Explicitně nejsou vyjádřeny atributy bezpečnosti (důvěrnost, integrita, dostupnost) – nebere v úvahu dostupnost řešení – nejsou explicitně vyjádřeny charakteristiky IT a softwarové architektury

Riziková mapa vycházejí ze vzorce

Example: Call Center Risk Assessment Low High IMPACTIMPACT PROBABILITY High Risk Medium Risk Low Risk Loss of phones Loss of computers Credit risk Customer has a long wait Customer can’t get through Customer can’t get answers Entry errors Equipment obsolescence Repeat calls for same problem Fraud Lost transactions Employee morale

Risk governance- nový přístup Scénáře rizik – popis možných událostí, které, pokud nastanou budou mít neznámý dopad na dosažení cílů organizace. Dopad může být pozitivní i negativní (pozitivní – příležitost pro manažery zlepšit business) Časová dimenze scénáře: – Trvání události (doba nedostupnosti datového centra) – začátek (kdy dojde k události) – Časový úsek mezi začátkem a projevem dopadu (např. chyba sítě a následná nedostupnost ne o zpožděný dopad, např. chyba architektury a nakumulované prostředky pro její řešení) Rizikový apetit je výše rizika, kterou je management ochoten tolerovat při dosahování svých cílů (možné použít mapu rizik) Riziková tolerance je výše odchylky od stanoveného apetitu (např. standard určuje, že každý projekt se musí dokončit v rámci stanoveného rozpočtu a času, ale připouští se odchylky 10% od rozpočtu a 20% času) Aktér generuje hrozbu; může být člověk nebo jiný prvek (chyba člověka, přírodní událost), interní nebo externí (zaměstnanec, trh, regulátor, konkurence) Druh hrozby – S negativním dopadem nebo bez negativního dopadu – Náhodná nebo záměrná – Přírodní události

Cobit 5 for Risk – Druhy rizika Riziko přínosů/ hodnot z IT Riziko řízení programů a projektů Riziko provozní a dodávek služeb IT

Cobit 5 for Risk – Druhy rizika Riziko bez opatření na jeho snížení Inherentní riziko plus současná opatření/kontroly Současné riziko plus další opatření na základě analýzy současných rizik

Výskyt bezpečnostních incidentů za poslední dva roky ??? oad/PSIB_CR_2009.pdf

INCIDENTY S NEJVÁŽNĚJŠÍM DOPADEM ???

Kdy organizace naposledy prováděly analýzu rizik IS ???

4. Proces řízení rizika - vazby mezi „prvky“ řízení rizik

2. Proces řízení rizika (EU Agency for Network and Information Security

Proces řízení rizika podle Risk IT-Cobit 4.1

Proces řízení rizika podle Cobit 5 (scénáře rizik)

Proces řízení rizika podle ISO/IEC 27005:2008

Proces řízení rizika - etapy Řízení rizik (Risk Management) – koordinované činnosti sloužící k řízení a kontrole organizace s ohledem na rizika Určení kontextu (Context Establishment) – stanovení kriterií pro řízení inf. rizik Hodnocení rizik (Risk Assessment) – celkový proces analýzy a vyhodnocení rizik Analýza rizik (Risk Analysis) – systematické používání informací k odhadu míry rizika a k určení jeho zdrojů Vyhodnocení rizik (Risk Evaluation) – proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu Zvládání rizik (Risk Treatment) – proces výběru a přijímání opatření pro změnu rizika Akceptace rizika (Risk Acceptance) – rozhodnutí přijmout riziko

2.1 Určení kontextu Zahrnuje stanovení strategických, organizačních a obsahových aspektů dalších kroků – Určení kriterií hodnocení (bezpečnostní politika organizací) Právní, regulační, smluvní požadavky, Provozní důsledky nedostupnosti Důsledky ztráty důvěrnosti Důsledky ztráty integrity Vnímání dobré pověsti firmy atd. – Definování rizikových faktorů Požadavky na kontinuitu podnikových procesů Požadavky na bezpečnost Přijatelné ztráty a rizika Hranice pro přijetí akce Priority – Stanovení rozsahu a hranic (omezení pro proces řízení rizika) – Stanovení samostatných objektů hodnocení (např. fyzické nebo logické kontroly, kategorie aktiv, podnikatelské funkce/procesy, aplikace apod.)

2.2 Hodnocení rizik Zahrnuje analýzu rizik a vyhodnocení rizik Analýza rizika se skládá z – Identifikace rizik Hrozeb – co může způsobit škodu Slabin – co usnadní agresi Dopadu – jaká škoda nastane – Ocenění rizik Hodnocení efektivnosti kontrol Vyčíslení hrozeb, slabin a dopadu Pravděpodobnost, proveditelnost, četnost Výpočet rizika R = T (threat) * V (vulnerability) * I (impact)

2.2 Vyhodnocení rizik Porovnání vypočteného rizika s rizikovými kritérii/faktory (viz 1. etapa – podnikatelské potřeby, požadavky na bezpečnost atd.) Rozhodování č. 1: Je spokojenost s hodnocením rizika? – ANO – postup do dalšího subprocesu Zvládání rizik – NE – návrat na subproces Určení kontextu

Výsledky hodnocení rizik Rozhodování zda je hodnocení vyhovující Možnosti zvládání rizik: Omezení rizika Přijetí rizika Vyloučení rizika Přesunutí rizika Reziduální rizika Rozhodování, zda je spokojenost se zvládáním rizik

2.3 Zvládání rizika Omezení rizika pomocí vhodných kontrol, (např. podle ISO/IEC 27002) – Náklady – Integrace/vazby – Zbytkové riziko Přijetí rizika – není potřeba nasadit kontroly Vyloučení rizika – když je riziko velké a opatření drahá (např. přírodní rizika – přesun aktiv do jiného prostředí) Přesunutí rizika - sdílení s externími partnery – Pojištění – Outsourcing

Nákladový model pro realizaci bezpečnostních opatření velikost rizika bilancování nákladů na opatření s odhadovanou výší ztráty, kdyby opatření nebyla realizována

2.4 Akceptace rizika Rozhodování č. 2: je spokojenost se zvládáním rizika? – ANO – přechod na subproces Akceptace rizika – NE – návrat na subproces Určení kontextu Akceptace rizika je formální potvrzení akceptace reziduálního rizika

3. Druhy analýzy rizik (1) ISO/IEC : – základní přístup (baseline, ad hoc) – bez analýzy se nasadí kontroly podle nějakého standardu – neformální přístup (general) Nerozlišuje se hrozba a slabina Řešení na vyšší úrovni řízení (corporate, department level) rizika určí jednotlivci na základě zkušeností Neužívá se automatizovaná podpora, kvalitativní hodnocení – podrobná analýza rizik (detailed) Podrobná analýza základních komponent( aktiva, slabiny, hrozby rizika, opatření ) Podpora automatizovanými nástroji Kvantitativní i kvalitativní hodnocení Nákladné a často neprovázané s podnikatelskými cíli – kombinovaný přístup – nejlepší – kombinace předchozích

Druhy analýzy rizik (2) Kvalitativní metody Semi-kvantitativní metody Kvantitativní metody Kombinace předchozích

Kvalitativní metody Při kvalitativní analýze se škoda a pravděpodobnost podrobně popisují. Škály hodnot se mohou měnit podle prostředí a druhy rizika Použití: – Jako počáteční krok pro identifikaci rizik a potom podrobnější analýza – V případě, kdy se musejí vzít v úvahu obtížně měřitelné aspekty rizika (např. pověst, kultura, spokojenost zaměstnanců …) – Když nejsou dostupné statistické numerické údaje potřebné pro kvantitativní přístup

Kalitativní metody (pokr.) Je potřebné stanovit kategorie pro pravděpodobnost a doapd

DOPAD PRAVDĚPODOBNOST Nízké Střední Vysoké Kritické 5 katastrofální 4 významný 3 větší 2 menší 1 nevýznamný 1 vzácně 2 malá 3 střední 4 velká 5 častá

Semi-kvantitativní metoda Cílem je přiřadit určité hodnoty ke škále u jedné z proměnných (pravděpodobnost nebo dopad) Předstupeň kvantitativní metody Zařazení do jednotlivých kategorií není přesné Někdy obtížné správně stanovit tyto hodnoty

Kvantitativní metoda - verze I Číselné hodnoty jsou přiřazeny k oběma proměnným Hodnoty se získávají z různých zdrojů Kvality analýzy závisí na těchto hodnotách Dopad může být vyjádřen pomocí různých aspektů fungování aktiva (např. výpadek sítě) – Peněžní hodnoty (kolik se zaplatí na penále za nedostupnost služby) – Technické aspekty (jaké aplikace byly nedostupné) – Provozní aspekty (jak dlouho byla síť mimo provoz) – Lidské aspekty (ohrožení životů?) Škály a hodnoty se mohou měnit podle druhu rizika

Kvantitativní analýza (příklad) Škály hodnocení jsou doplněny orientačními hodnotami Dopad – Nevýznamný – dopad zanedbatelný – Menší – dopad jen na omezenou část businessu, nebo menší než 20 mil Kč – Větší – dopad na značku organizace nebo vyšší než 20 mil Kč – Významný – vyšší než 4 mld. Kč a vyžadující externí reporting – Katastrofální - selhání nebo významné snížení funkcionality organizace Pravděpodobnost – Vzácně – Malá - ne v posledních 5 letech – Střední - výskyt v posledních 5 letech, ale nikoliv v posledním roce – Velká – výskyt v posledním roce – Častá – výskyt opakovaný, pravidelný

Analýza rizik pro nouzový plán

Příklad kvantitativní analýzy rizik II Hodnota aktiva (X) HrozbaZtráta při jednom výskytu (SLE) Četnost výskytu Roční míra výskytu (ARO) Roční očekávaná ztráta (ALE) 1 mil. Tornado 20% nebo Jednou za dva roky 0, Postup výpočtu: ALE = X * SLE * ARO = kde ALE je Annualized Loss Expectancy

FAIR (Factor Analysis of Information Risk) FAIR představuje taxonomii faktorů, které mají vliv na riziko (pravděpodobnost a dopad) Faktory vytvářejí hierarchii Pomáhají upřesnit analýzu rizik

FAIR Factoring diagram

Metoda bodového hodnocení - 1 Zpřesňuje analýzu rizik pomocí rizikových faktorů Kroky: 1. Vyhodnocení cílů auditovaného subjektu (poskytování služeb vývoje aplikací) 2. Seznámení se s programy /činnostmi, procesy, vztahy/, vytvoření mapy procesů, (např. vytvoření seznamu vyvíjených aplikací, použitá metodologie, cena projektů, týmy, způsob kontroly atd.), 3. Identifikace rizik – seznam rizik – výběr oblasti auditu (vývoj aplikace XY),

Metoda bodového hodnocení Určení rizikových faktorů : Velikost, organizace a zkušenosti vývojového týmu Velikost aplikace Doba trvání vývoje Vývojová platforma Realizované kontroly (audity) Metodologie vývoje aplikace Zkušenost vedení projektu Využívání externích zdrojů 5. Stanovení stupně významnosti rizika, tj. váhy a míry rizikových faktorů: Velikost, organizace a zkušenosti vývojového týmu: váha 3 (stanoví užší skupina řízení rizik) Malý, žádné další odpovědnosti, zkušený1 Středně velký, centralizované vedení, zkušený2 Středně velký, různé priority, zkušený3 Středně velký, převážně centr. vedení, různé priority4 Velký, decentralizovaný, nezkušený, nejasný reporting5 6. Stanovení dopadů jednotlivými hodnotiteli 7. Stanovení objektivního stupně významnosti (aritmetickým průměrem: součet subjektivních významností rizik/počet hodnotitelů), 8. Seřazení rizik podle stupně významnosti a jejich grafické vyjádření.

Bodové hodnocení – krok 5 Velikost, organizace a zkušenosti týmu MAX A – součet maximálních rizik všech faktorů Atd. Rizikové faktory 1 2

Bodové hodnocení rizikových faktorů- krok 6 Velikost, organizace a zkušenost týmu326 Velikost aplikace

4. Softwarové nástroje Produkty orientované na zavedení systému řízení bezpečnosti na základě analýzy rizik (např. Cramm) Registry rizik – orientace na průběžné řízení rizik BTO (GRC) software (např. HP BTO) podporuje všechny procesy řízení IT (IT Governance včetně řízení rizik)

Příklady softwarových nástrojů pro řízení rizik (1)

Příklady softwarových nástrojů pro řízení rizik (2)

Příklady softwarových nástrojů pro řízení rizik (3)

Základní prvek moderního řízení rizik Registr rizika – ukládání informací o všech bezpečnostních rizikách Odpovědnost bezpečnostní manažer Softwarová podpora verze pro jednoho uživatele, např. RiskEasy verze pro skupinové užití, např. Risk Register for Workgroups verze pro řízení rizik projektů, např. Risk Register for Projects verze pro řízení celopodnikových rizik, např. Enterprise Risk Register

Enterprise Risk Register® (Noweco) Structura a prvky produktu

Postup rizikové analýzy podle Cramm