Jak provést analýzu rizik s pomocí aktiv

Datum poslední aktualizace: 12. 12. 2024

5 základních kroků analýzy rizik s pomocí aktiv

Analýza a zhodnocení rizik na základě aktiv (Asset-based Risk Assessment) je jedním ze způsobů identifikace rizik. Provedeme vás postupem, který je založený na zhodnocení aktiv a skládá se z pěti základních kroků. 

Vytvoření katalogu rizik ve firmě je zcela jistě výzva. Je proto důležité vědět, kde začít a jak s vytvořením pokračovat. V tomto článku se budeme zabývat jedním z nejobvyklejších způsobů vzniku katalogu rizik a to na základě registru firemních aktiv. Tento způsob je celkem široce používán a je běžný zejména v oblasti bezpečnosti informací, například při zavádění ISO 27000.

Dali jsme pro vás dohromady 5 základních kroků, které vás provedou zhodnocením rizik tak, abyste se v nich neutopili. Jistě existují i další postupy, toto je pouze jeden z možných přístupů. 

5 kroků analýzy rizik

Krok 1: Vyjmenujte vaše firemní aktiva

Aktiva jsou společně s procesy zdrojem rizik. Jako výchozí bod je tedy třeba mít přehled firemních aktiv, od kterých se bude vaše analýza a hodnocení rizik odvíjet. Vytvořte si přehled aktiv, o kterých víte, že mají pro firmu zásadní hodnotu nebo jejichž ohrožení může ohrozit firmu. Tím dostanete jasnou představu o prioritách a budete se soustředit na podstatná firemní aktiva - tedy taková, která jsou pro firmu hodnotná.

Využijte k tomu registr aktiv, ve kterém máte nastavené základní typy aktiv jako jsou:

  • Fyzická aktiva: Budovy, vybavení, stroje a infrastruktura.
  • Lidská aktiva: Zaměstnanci, dodavatelé a jejich dovednosti, odbornost a zdraví.
  • Informační aktiva: Data, duševní vlastnictví, obchodní tajemství a vlastnické procesy.
  • Reputační aktiva: Hodnota značky, důvěra zákazníků a vnímání veřejnosti.
  • Finanční aktiva: Hotovost, investice a pohledávky.
  • Technologická aktiva: IT systémy, software a sítě.
  • Služby: např. dodávka elektřiny, cloudové služby

Pro každý výše uvedený typ aktiva zadejte a pojmenujte vaše konkrétní firemní aktiva. Buďte konkrétní. 

Vyberte aktiva kritická pro chod vaší organizace

  • Vyjmenujte aktiva, která jsou pro chod vaší firmy nepostradatelná
  • Vyjmenujte aktiva, která jsou pro chod vaší firmy klíčová a na kterých závisí jiná aktiva
jak naplnit registr aktiv

Krok 2: Najděte a pojmenujte k aktivům rizika

  • Pro každé aktivum identifikujte rizika
  • Rizika dejte dohromady společně s vlastníky aktiv
  • Vlastníci mají odpovědnost za ošetření rizik a mají dostatečnou pravomoc riziko řídit.
  • Pro popis jednotlivých rizik využijte registr rizik.
  • Každé aktivum může podlehnout nějakým hrozbám a má své zranitelnosti. To zvyšuje pravděpodobnost vzniku rizika. Pečlivě analyzujte každé aktivum a identifikujte a přiřaďte k němu potenciální hrozby a zranitelnosti
  • S ohledem na třetí krok se soustřeďte na vaše kritická aktiva

Krok 3: Zhodnoťte každé jednotlivé riziko a vyberte prioritní

  • V seznamu rizik z předchozího kroku musíte vytvořit priority. 
  • Priority jsou důležité, pomohou vám soustředit se na klíčová rizika. Nelze řešit vše najednou. K tomu vám pomůže matice rizik, která vám vizualizuje rizika podle jejich pravděpodobnosti a dopadu. 
  • Zhodnoťte všechna rizika z předchozího kroku, každé riziko zhodnoťte jeho dopadem a pravděpodobností vzniku
  • Dopad vyplývá z hodnoty aktiva
  • Pravděpodobnost vzniku rizika souvisí se zranitelností aktiva a také vyplývá z existujících hrozeb. 
  • Největší prioritu mají pochopitelně rizika s vysokou mírou pravděpodobnosti a dopadu. Ta vás mohou ohrozit nejvíce, těm má cenu se přednostně věnovat. 
Jak naplint registr rizik z aktiv

Krok 4: Rozhodněte, jak s riziky naložíte 

Na základě priorit se pustíte do posledního kroku, kterým je způsob jakým každé riziko ošetříte. Z předchozího kroku vyberte nejvíce kritická rizika a rozhodněte, jak s nimi naložíte, jak jednotlivá rizika ošetříte. Rizika nelze nikdy zcela odstranit, pouze snížit jejich pravděpodobnost nebo dopad. 

  • Rozhodněte, jakou strategii pro každé riziko zvolíte
  • Vytvořte opatření a preventivní akce k vybraným rizikům
  • K jednotlivým opatřením přiřadíte vlastníky a pomocí úkolů budete řídit jejich realizaci v čase.
  • Schůzky a jejich výsledky zapisujte a sdílejte pomocí zápisů.
  • Soustřeďte se na 10 nejkritičtějších rizik.
  • Rovněž doporučujeme vedení pravidelných schůzek s hodnocením stavu.
Jak nastavit opatření z analýzy aktiv a rizik

Krok 5: Provádějte přehodnocení

Situace se mění a vy na změny musíte reagovat. Některá rizika zanikají, mění se jejich pravděpodobnost a některá nová rizika vznikají.  Je třeba v tomto smyslu udržovat také aktuální vaše aktivity, abyste neřešili opatření k rizikům která již zanikla a naopak vám neunikla nově vzniklá rizika.

  • Objevují se nová rizika a stará mohou mizet nebo jejich význam může klesat
  • Je důležité dělat pravidelně přehodnocení
  • Roční cyklus je nejvhodnější
Jak realizovat opatření z analýzy aktiv a rizik