Exemplul - Calcul - Evaluare Riscuri - Masuri - Control - Sablon - Raportare - Riscuri - Operationale

Valoare Masuri de
Categorie Resursă/ Denumire sistem Valoare Valoare

resursa / Risc (descriere / amenintare) Vulnerabilitate (factori de risc) Valoare risc control al
Activitate informatic probabilitate vulnerabilitate
activitate riscului
[1] [2] [3] [4] [5] [6] [7] [3]+[6]+[7] [8]
Categoria 1 - riscuri operaționale OAMENI
Conducerea executivă
Stație de lucru / bază de nerespectarea proceselor, Lipsa unor instrumente de control pentru situatia in
Conducerea societatii date / sisteme informatice 3 procedurilor sau a instrucțiunilor de care conducerea executiva nu respecta procesele si 1 3 7 Anexa 1
importante lucru procedurile de lucru
Stație de lucru / bază de
Implementarea unor controale insuficiente sau
Conducerea societatii date / sisteme informatice 3 Automulțumire
ineficiente.
1 3 7 Anexa 1
importante
Stație de lucru / bază de operațiuni suspecte de spălarea
Conducerea societatii date / sisteme informatice 3 banilor și finanțarea actelor de Lipsa filtrelor eficiente pentru tranzactiile suspecte. 1 3 7 Anexa 1
importante terorism
Stație de lucru / bază de Lipsa filtrelor eficiente pentru tranzactiile suspecte.
nerespectarea regimului de sancțiuni
Conducerea societatii date / sisteme informatice 3
internaționale
Neaducerea la zi a noutatilor cu privire la 1 3 7 Anexa 1
importante sanctiunile internationale
Stație de lucru / bază de Lipsa verificarilor eficace. Lipsa principiului celor
Conducerea societatii date / sisteme informatice 3 Frauda interna patru ochi. Management impropriu al drepturilor de 1 3 7 Anexa 1
importante acces in aplicatie.
Relatia cu clientii
Sistem front-office / Stație

de lucru / bază de date / Vanzarea de produse Functionarea defectuoasa a sistemelor de front
Personal si activitati
front-office
sisteme informatice 3 necorespunzatoare clientilor office. Incadrarea defectuoasa in categoriile de risc 1 3 7 Anexa 1
importante / Alte sisteme respectivi pentru clientii noi.
informatice importante

de lucru / bază de date / erori de introducere manuală sau de
Personal si activitati cunostinte si pregătire insuficiente a personalului
front-office
sisteme informatice 3 utilizare neadecvată a sistemelor
financiar contabil
1 3 7 Anexa 1
importante / Alte sisteme informatice

de lucru / bază de date / cunostinte si pregătire insuficiente a personalului
Personal si activitati Stergerea accidentala a informatiilor
front-office
sisteme informatice 3
stocate in bazele de date
financiar contabil. Management impropriu al 1 3 7 Anexa 1
importante / Alte sisteme drepturilor de acces in aplicatie
Operatiuni
Sistem operatiuni / Stație
de lucru / bază de date / Lipsa verificarilor eficace. Lipsa principiului celor
operatiuni
sisteme informatice 3 Frauda interna patru ochi. Management impropriu al drepturilor de 1 3 7 Anexa 1
importante / Alte sisteme acces in aplicatie.

de lucru / bază de date / nerespectarea proceselor, Lipsa unor instrumente de control pentru situatia in
operatiuni
sisteme informatice 3 procedurilor sau a instrucțiunilor de care conducerea executiva nu respecta procesele si 1 3 7 Anexa 1
importante / Alte sisteme lucru procedurile de lucru

de lucru / bază de date /
Personal si activitati Implementarea unor controale insuficiente sau
operatiuni
sisteme informatice 3 Automulțumire
ineficiente.
1 3 7 Anexa 1
importante / Alte sisteme

de lucru / bază de date / operațiuni suspecte de spălarea
operatiuni
sisteme informatice 3 banilor și finanțarea actelor de Lipsa filtrelor eficiente pentru tranzactiile suspecte. 1 3 7 Anexa 1
importante / Alte sisteme terorism

de lucru / bază de date / Lipsa filtrelor eficiente pentru tranzactiile suspecte.
Personal si activitati nerespectarea regimului de sancțiuni
operatiuni
internaționale
Neaducerea la zi a noutatilor cu privire la 1 3 7 Anexa 1
importante / Alte sisteme sanctiunile internationale

operatiuni

operatiuni
de lucru / bază de date / modificarea informațiilor sau a
Personal si activitati Raportarea eronata catre autoritatile de
operatiuni
sisteme informatice 3 datelor din rapoarte, fără
supraveghere
1 3 7 Anexa 1
importante / Alte sisteme documentarea adecvată

operatiuni
financiar contabil
1 3 7 Anexa 1

operatiuni

operatiuni
sisteme informatice 3 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1

operatiuni
sisteme informatice 3 Erori de procesare Procesarea eronata a documentelor justificative 1 3 7 Anexa 1

operatiuni
sisteme informatice 3 Erori de plata Plata eronata a unor sume de bani 1 3 7 Anexa 1

operatiuni
sisteme informatice 3 utilizare neadecvată a sistemelor Procesarea eronata a unor operatiuni 1 3 7 Anexa 1
operatiuni

Personal si activitati Inexistenta unui back-up pentru persoanele cheie
operatiuni
sisteme informatice 3 dependența de angajați cheie
din companie. Proceduri de recrutare ineficiente.
1 3 7 Anexa 1

operatiuni
sisteme informatice 3 Personal insuficient 1 3 7 Anexa 1

lipsa unei delimitări clare între
Personal si activitati rolurile persoanelor care
operatiuni
accesează/administrează/dezvoltă
Proceduri de lucru neclare sau nepuse in aplicare 1 3 7 Anexa 1
sistemele informatice

conflict de interese între personalul
de lucru / bază de date / Inexistenta unor proceduri privind gestiunea
Personal si activitati care dezvoltă și cel care
operatiuni
administrează sistemele informatice
conflictelor de interesa sau nepunerea in aplicare a 1 3 7 Anexa 1
importante / Alte sisteme acesteia
ori între utilizatorii acestora

cunostințe, experiență și pregătire
Personal si activitati insuficientă a personalului care Buget de training insuficient. Lipsa implicarii
operatiuni
utilizează sau deservește sistemele managementului in acest aspect.
1 3 7 Anexa 1
informatice

de lucru / bază de date / Alterarea datelor din sistemele informatice, fara
operatiuni
sisteme informatice 3 alterarea datelor posibilitatea identificarii autorului si a informatiilor 1 3 7 Anexa 1
importante / Alte sisteme initiale
de lucru / bază de date / nerespectarea proceselor,
Personal si activitati Procese organizatorice, proceduri si instructiuni de
operatiuni
sisteme informatice 3 procedurilor sau a instrucțiunilor de
lucru neimplementate sau inexistente
2 3 8 Anexa 1
importante / Alte sisteme lucru

Personal si activitati Lipsă de comunicare și cooperare Necomunicarea la timp a unor informatii critice de
operatiuni
între angajați la un departament catre altul
1 3 7 Anexa 1

de lucru / bază de date / Proceduri de recrutare ineficiente. Buget de resurse
operatiuni
sisteme informatice 3 Personal insuficient umane insuficient. Evaluarea eronata e necesarului 1 3 7 Anexa 1
importante / Alte sisteme de personal
Financiar - contabilitate
Sistem financiar contabil /

Stație de lucru / bază de modificarea informațiilor sau a
Personalul si activitati Raportarea eronata catre autoritatile de
financiar contabile
date / sisteme informatice 2 datelor din rapoarte, fără
supraveghere
1 3 6 Anexa 1
importante / Alte sisteme documentarea adecvată

Stație de lucru / bază de erori de introducere manuală sau de
Personalul si activitati cunostinte si pregătire insuficiente a personalului
financiar contabile
date / sisteme informatice 2 utilizare neadecvată a sistemelor
financiar contabil
1 3 6 Anexa 1

Stație de lucru / bază de cunostinte si pregătire insuficiente a personalului
Personalul si activitati Stergerea accidentala a informatiilor
financiar contabile
date / sisteme informatice 2

Personalul si activitati
financiar contabile
date / sisteme informatice 2 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1
financiar contabile
date / sisteme informatice 2 Erori de procesare Procesarea eronata a documentelor justificative 1 3 6 Anexa 1

financiar contabile
date / sisteme informatice 2 Erori de plata Plata eronata a unor sume de bani 1 3 6 Anexa 1

Stație de lucru / bază de erori de introducere manuală sau de
financiar contabile
date / sisteme informatice 2 utilizare neadecvată a sistemelor Procesarea eronata a unor operatiuni 1 3 6 Anexa 1

financiar contabile
date / sisteme informatice 2 Frauda interna patru ochi. Management impropriu al drepturilor de 1 3 6 Anexa 1
Functii cheie ale entitatii
Sistem cheie / Stație de

lucru / bază de date /
Functii cheie si Inexistenta unui back-up pentru persoanele cheie
activitati aferente
sisteme informatice 3 dependența de angajați cheie
1 3 7 Anexa 1

Functii cheie si
activitati aferente
sisteme informatice 3 Personal insuficient 1 3 7 Anexa 1
Tehnologia informatiei
lipsa unei delimitări clare între
rolurile persoanelor care
Personal si sisteme IT date / sisteme informatice 2
accesează/administrează/dezvoltă
Proceduri de lucru neclare sau nepuse in aplicare 1 3 6 Anexa 1
importante
sistemele informatice
conflict de interese între personalul
Stație de lucru / bază de Inexistenta unor proceduri privind gestiunea
care dezvoltă și cel care
administrează sistemele informatice
conflictelor de interesa sau nepunerea in aplicare a 1 3 6 Anexa 1
importante acesteia
ori între utilizatorii acestora
cunostințe, experiență și pregătire
insuficientă a personalului care Buget de training insuficient. Lipsa implicarii
utilizează sau deservește sistemele managementului in acest aspect.
1 3 6 Anexa 1
importante
informatice
Stație de lucru / bază de Alterarea datelor din sistemele informatice, fara
Personal si sisteme IT date / sisteme informatice 2 alterarea datelor posibilitatea identificarii autorului si a informatiilor 1 3 6 Anexa 1
importante initiale
Stație de lucru / bază de nerespectarea proceselor,
Procese organizatorice, proceduri si instructiuni de
Personal si sisteme IT date / sisteme informatice 2 procedurilor sau a instrucțiunilor de
lucru neimplementate sau inexistente
2 3 7 Anexa 1
importante lucru
Lipsă de comunicare și cooperare Necomunicarea la timp a unor informatii critice de
între angajați la un departament catre altul
1 3 6 Anexa 1
importante
Suport
Proceduri de recrutare ineficiente. Buget de resurse
Functii suport si Stație de lucru / bază de
activitati aferente date
1 Personal insuficient umane insuficient. Evaluarea eronata e necesarului 1 3 5 Anexa 1
de personal
Categoria 2 - riscuri operaționale PROCESE
Stație de lucru / bază de Procese organizatorice neimplementate sau
Conducerea societatii
date
3 lipsa proceselor organizatorice
inexistente
2 3 8 Anexa 1
Controlul efectuat de personal necorespunzator.

date
3 control inadecvat al proceselor Neefectuarea controalelor conform cerintelor 1 3 7 Anexa 1
interne
Inexistenta strategiei privind guvernanta
date
3 insuficienţa guvernanţei corporative corporativa. Mecanisme de guvernanta corporativa 1 3 7 Anexa 1
necorespunzatoare
Relatia cu clientii
Vanzarea de produse Functionarea defectuoasa a sistemelor de front
front-office
Sistem front-office 3 necorespunzatoare clientilor office. Incadrarea defectuoasa in categoriile de risc 1 3 7 Anexa 1
respectivi pentru clientii noi.

front-office
financiar contabil
1 3 7 Anexa 1

front-office
Operatiuni
Personal si activitati lipsa separării drepturilor și Tranzactionarea efectuata de catre personal
operatiuni
atribuțiilor necalificat sau fara atributii in domeniul respectiv
1 3 7 Anexa 1

Personal si activitati Tranzactionarea eronata a unor instrumente
operatiuni
sisteme informatice 3 depășirea limitelor
financiare
1 3 7 Anexa 1

Personal si activitati Tranzactionarea eronata a unor instrumente
operatiuni
sisteme informatice 3 riscuri de volum
financiare
1 3 7 Anexa 1

de lucru / bază de date / Alterarea datelor din sistemele informatice, fara
operatiuni
sisteme informatice 3 riscuri de securitate posibilitatea identificarii autorului si a informatiilor 1 3 7 Anexa 1
importante / Alte sisteme initiale

Personal si activitati Raportarea eronata catre autoritatile de
operatiuni
sisteme informatice 3 riscuri de raportare
supraveghere
1 3 7 Anexa 1

Personal si activitati riscuri de înregistrări contabile Procesarea eronata a tranzactiilor cu instrumente
operatiuni
neadecvate financiare
1 3 7 Anexa 1

Personal si activitati control inadecvat al activităților Lipsa unor controale interne cu privire la activitati
operatiuni
externalizate critice
1 3 7 Anexa 1
Personal si activitati Un sistem informatic critic nu poate fi accesat
operatiuni
sisteme informatice 3 întreruperea furnizării serviciilor
pentru o lunga perioada de timp
1 3 7 Anexa 1

de lucru / bază de date / neidentificarea operațiunilor în speță Neidentificarea indicatorilor de risc. Parametrizarea
operatiuni
sisteme informatice 3 în funcție de indicatorii de risc și necorespunzatoare a variabilelor analitice 1 3 7 Anexa 1
importante / Alte sisteme variabile analitice prestabilite prestabilite.

Personal si activitati Procese organizatorice neimplementate sau
operatiuni
sisteme informatice 3 lipsa proceselor organizatorice
inexistente
2 3 8 Anexa 1

de lucru / bază de date / Controlul efectuat de personal necorespunzator.
operatiuni
sisteme informatice 3 control inadecvat al proceselor Neefectuarea controalelor conform cerintelor 1 3 7 Anexa 1
importante / Alte sisteme interne

de lucru / bază de date / Inexistenta strategiei privind guvernanta
operatiuni
sisteme informatice 3 insuficienţa guvernanţei corporative corporativa. Mecanisme de guvernanta corporativa 1 3 7 Anexa 1
importante / Alte sisteme necorespunzatoare

operatiuni

operatiuni
sisteme informatice 3 erori de execuție Executarea eronata a unor operatiuni contabile 1 3 7 Anexa 1
operatiuni
sisteme informatice 3 erori de înregistrare Inregistrarea eronata a unor operatiuni economice 1 3 7 Anexa 1

Personal si activitati managementul inadecvat al datelor și Neasigurarea caracteristicilor informatiilor
operatiuni
informațiilor (consistenta, durabilitate)
1 3 7 Anexa 1

Matching eronat datorat sistemelor informatice
Personal si activitati erori de matching, compensare și utilizate. Erori in cadrul procesului de compensare.
operatiuni
colateral Erori in cadrul procesului de adecvare a
1 3 7 Anexa 1
colateralului clientilor

Personal si activitati Erori cauzate de neintelegerea naturii economice de
operatiuni
sisteme informatice 3 complexitatea produselor
la baza unor produse financiare complexe
1 3 7 Anexa 1

de lucru / bază de date / Capacitate insuficienta a bazelor de date de a prelua
operatiuni
sisteme informatice 3 riscuri de capacitate informatiile. Capacitate insuficienta de personal de 1 3 7 Anexa 1
importante / Alte sisteme a gestiona volumul operatiunilor financiare

operatiuni
sisteme informatice 3 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1

Personal si activitati Divulgarea de informatii sensibile catre mediul
operatiuni
sisteme informatice 3 riscuri de confidențialitate
exterior. Furt de date cu caracter personal
1 3 7 Anexa 1
Personal si activitati Fraude cauzate de personal financiar contabil cu
operatiuni
sisteme informatice 3 fraude
acces la multiple sisteme si niveluri informatice.
1 3 7 Anexa 1

operatiuni
sisteme informatice 3 erori de metodologie sau de model Definirea gresita a modelelor econometrice 1 3 7 Anexa 1

operatiuni
sisteme informatice 3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1

de lucru / bază de date / Rezerve insuficiente pentru acoperirea pierderilor
Personal si activitati disponibilitatea rezervelor pentru
operatiuni
acoperirea pierderilor
operationale. Lichiditate insuficienta a activelor din 1 3 7 Anexa 1
importante / Alte sisteme rezerve

Personal si activitati Erori cauzate de neintelegerea naturii economice de
operatiuni
sisteme informatice 3 complexitatea modelelor
1 3 7 Anexa 1

de lucru / bază de date / Sofware fara functiile critice necesare. Software cu
Personal si activitati software neadecvate obiectivelor de
operatiuni
activitate
o viteza redusa de procesare, sau cu o capacitate 1 3 7 Anexa 1
importante / Alte sisteme insuficienta de procesare a informatiilor.

de lucru / bază de date / Proceduri de recrutare ineficiente. Buget de resurse
operatiuni
sisteme informatice 3 Personal insuficient umane insuficient. Evaluarea eronata e necesarului 1 3 7 Anexa 1
importante / Alte sisteme de personal
financiar contabile
date / sisteme informatice 2 erori de execuție Executarea eronata a unor operatiuni contabile 1 3 6 Anexa 1

financiar contabile
date / sisteme informatice 2 erori de înregistrare Inregistrarea eronata a unor operatiuni economice 1 3 6 Anexa 1

Personalul si activitati managementul inadecvat al datelor și Neasigurarea caracteristicilor informatiilor
financiar contabile
informațiilor (consistenta, durabilitate)
1 3 6 Anexa 1

Matching eronat datorat sistemelor informatice
Personalul si activitati erori de matching, compensare și utilizate. Erori in cadrul procesului de compensare.
financiar contabile
colateral Erori in cadrul procesului de adecvare a
1 3 6 Anexa 1
colateralului clientilor

Personalul si activitati Erori cauzate de neintelegerea naturii economice de
financiar contabile
date / sisteme informatice 2 complexitatea produselor
1 3 6 Anexa 1

Stație de lucru / bază de Capacitate insuficienta a bazelor de date de a prelua
financiar contabile
date / sisteme informatice 2 riscuri de capacitate informatiile. Capacitate insuficienta de personal de 1 3 6 Anexa 1

financiar contabile
date / sisteme informatice 2 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1
Personalul si activitati Divulgarea de informatii sensibile catre mediul
financiar contabile
date / sisteme informatice 2 riscuri de confidențialitate
exterior. Furt de date cu caracter personal
1 3 6 Anexa 1

Personalul si activitati Fraude cauzate de personal financiar contabil cu
financiar contabile
date / sisteme informatice 2 fraude
acces la multiple sisteme si niveluri informatice.
1 3 6 Anexa 1

Functii cheie si
activitati aferente
sisteme informatice 3 erori de metodologie sau de model Definirea gresita a modelelor econometrice 1 3 7 Anexa 1

Functii cheie si
activitati aferente
sisteme informatice 3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1

lucru / bază de date / Rezerve insuficiente pentru acoperirea pierderilor
Functii cheie si disponibilitatea rezervelor pentru
activitati aferente
acoperirea pierderilor
operationale. Lichiditate insuficienta a activelor din 1 3 7 Anexa 1
importante / Alte sisteme rezerve

Functii cheie si Erori cauzate de neintelegerea naturii economice de
activitati aferente
sisteme informatice 3 complexitatea modelelor
1 3 7 Anexa 1
Stație de lucru / bază de Sofware fara functiile critice necesare. Software cu

software neadecvate obiectivelor de
activitate
o viteza redusa de procesare, sau cu o capacitate 1 3 6 Anexa 1
importante insuficienta de procesare a informatiilor.
Suport
Proceduri de recrutare ineficiente. Buget de resurse
Functii suport si Stație de lucru / bază de
1 Personal insuficient umane insuficient. Evaluarea eronata e necesarului 1 3 5 Anexa 1
de personal
Categoria 3 - riscuri operaționale SISTEME
Sisteme care nu asigura functiile critice necesare.
Stație de lucru / bază de sistem inadecvat de management al
date
2
tehnologiei și securității
Inexistenta procedurilor de backup. Operabilitate 1 3 6 Anexa 1
redusa a sistemelor.
Relatia cu clientii
Personal si activitati Sisteme care nu asigura functiile critice necesare.
front-office
Sistem front-office 2 sisteme inadecvate
Operabilitate redusa a sistemelor.
1 3 6 Anexa 1

front-office
financiar contabil
1 3 6 Anexa 1

front-office
Operatiuni

de lucru / bază de date / Sisteme care nu asigura functiile critice necesare.
Personal si activitati sistem inadecvat de management al
operatiuni
tehnologiei și securității
Inexistenta procedurilor de backup. Operabilitate 1 3 7 Anexa 1
importante / Alte sisteme redusa a sistemelor.

Personal si activitati Sisteme care nu asigura functiile critice necesare.
operatiuni
sisteme informatice 3 sisteme inadecvate
Operabilitate redusa a sistemelor.
1 3 7 Anexa 1

Personal si activitati Prezenta datelor invalide, sau a datelor ce nu pot fi
operatiuni
sisteme informatice 3 coruperea datelor
accesate de către utilizatori
1 3 7 Anexa 1
de lucru / bază de date / Capacitate insuficienta a bazelor de date de a prelua
operatiuni
sisteme informatice 3 capacitate insuficientă de procesare informatiile. Capacitate insuficienta de personal de 1 3 7 Anexa 1

de lucru / bază de date / întreruperi în funcționarea sistemelor
Personal si activitati Lipsa sistemelor de back-up pentru energie electrica
operatiuni
sisteme informatice 3 (hardware, software, stocare,
sau a liniilor secundare de telecomunicatii
1 3 7 Anexa 1
importante / Alte sisteme telecomunicații)

operatiuni
sisteme informatice 3 căderi de rețea Inexistenta sistemelor de backup corespunzatoare 1 3 7 Anexa 1

Personal si activitati întreruperii în furnizarea serviciilor
operatiuni
prestate de furnizorii externi
Neraportarea incidentului către furnizor in timp util. 1 3 7 Anexa 1

Personal si activitati protecție inadecvată împotriva
operatiuni
malware
Sisteme critice importante afectate de malware 1 3 7 Anexa 1

de lucru / bază de date / Incapacitatea de a utiliza informatii sau fisiere
operatiuni
sisteme informatice 3 riscuri de compatibilitate necompatibile cu noile versiuni ale programelor 1 3 7 Anexa 1
importante / Alte sisteme software

Personal si activitati riscuri generate de Lipsa sistemelor de back-up pentru energie electrica
operatiuni
furnizori/vânzători sau a liniilor secundare de telecomunicatii
1 3 7 Anexa 1
Personal si activitati Buguri, posibile brese de securitate, procesare
operatiuni
sisteme informatice 3 erori de programare
inceata a datelor, baze de date instabile.
1 3 7 Anexa 1

Personal si activitati Plan BCP necorespunzator sau necunoscut de catre
operatiuni
sisteme informatice 3 riscuri de recuperare după dezastre
angajati. Locatie secundara improprie.
1 3 7 Anexa 1

Personal si activitati testare necorespunzătoare a Locatie secundara improprie. Testarea neefectuata la
operatiuni
recuperării în caz de dezastru timp, sau efectuata partial
1 3 7 Anexa 1

Personal si activitati sistem inadecvat de actualizare Pierderi sau coruperea informatiilor existente.
operatiuni
tehnologică Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1

Personal si activitati Pierderi sau coruperea informatiilor existente.
operatiuni
sisteme informatice 3 sisteme învechite
Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1

Personal si activitati lipsa metodologiilor de dezvoltare si Dezvoltare improprie a sistemelor informatice.
operatiuni
testare Testare ce nu tine cont de specificatiile de business
1 3 7 Anexa 1

de lucru / bază de date / Neconformitatea cu reglementarile legale respective
Personal si activitati servicii necorespunzătoare de suport
operatiuni
pentru sisteme
(resurse umane, PSI, autorizari / avizari autoritati 1 3 7 Anexa 1
importante / Alte sisteme locale)
Personalul si activitati Prezenta datelor invalide, sau a datelor ce nu pot fi
financiar contabile
date / sisteme informatice 2 coruperea datelor
accesate de către utilizatori
1 3 6 Anexa 1

lucru / bază de date / Capacitate insuficienta a bazelor de date de a prelua
Functii cheie si
activitati aferente
sisteme informatice 2 capacitate insuficientă de procesare informatiile. Capacitate insuficienta de personal de 1 3 6 Anexa 1
Stație de lucru / bază de întreruperi în funcționarea sistemelor
Lipsa sistemelor de back-up pentru energie electrica
Personal si sisteme IT date / sisteme informatice 3 (hardware, software, stocare,
1 3 7 Anexa 1
importante telecomunicații)
Personal si sisteme IT date / sisteme informatice 3 căderi de rețea Inexistenta sistemelor de backup corespunzatoare 1 3 7 Anexa 1
importante
întreruperii în furnizarea serviciilor
prestate de furnizorii externi
Neraportarea incidentului către furnizor in timp util. 1 3 7 Anexa 1
importante
protecție inadecvată împotriva
malware
Sisteme critice importante afectate de malware 1 3 7 Anexa 1
importante
Stație de lucru / bază de Incapacitatea de a utiliza informatii sau fisiere
Personal si sisteme IT date / sisteme informatice 3 riscuri de compatibilitate necompatibile cu noile versiuni ale programelor 1 3 7 Anexa 1
importante software
riscuri generate de Lipsa sistemelor de back-up pentru energie electrica
furnizori/vânzători sau a liniilor secundare de telecomunicatii
1 3 7 Anexa 1
importante
Buguri, posibile brese de securitate, procesare
Personal si sisteme IT date / sisteme informatice 3 erori de programare
inceata a datelor, baze de date instabile.
1 3 7 Anexa 1
importante
Plan BCP necorespunzator sau necunoscut de catre
Personal si sisteme IT date / sisteme informatice 3 riscuri de recuperare după dezastre
angajati. Locatie secundara improprie.
1 3 7 Anexa 1
importante
testare necorespunzătoare a Locatie secundara improprie. Testarea neefectuata la
recuperării în caz de dezastru timp, sau efectuata partial
1 3 7 Anexa 1
importante
sistem inadecvat de actualizare Pierderi sau coruperea informatiilor existente.
tehnologică Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
Pierderi sau coruperea informatiilor existente.
Personal si sisteme IT date / sisteme informatice 3 sisteme învechite
Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
lipsa metodologiilor de dezvoltare si Dezvoltare improprie a sistemelor informatice.
testare Testare ce nu tine cont de specificatiile de business
1 3 7 Anexa 1
importante
Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Router
Incendiu incediilor
Personal si sisteme IT (Model , Serie) 3
Cutremur Lipsa sistem supraveghere video
2 3 8 Anexa 1
Inundatie Defectiune hardware

Incendiu incediilor
Personal si sisteme IT IPS / IDS (Model , Serie) 3
2 3 8 Anexa 1

Incendiu incediilor
Personal si sisteme IT Switch 1,2 (Model, Serie) 3
2 3 8 Anexa 1

Server Mail (Model, Incendiu incediilor
Personal si sisteme IT
Serie)
3
2 3 8 Anexa 1

Server Backup
Incendiu incediilor
Personal si sisteme IT (Model, Serie) 3
2 3 8 Anexa 1

Server Web
Incendiu incediilor
2 3 8 Anexa 1

Server BD
Incendiu incediilor
2 3 8 Anexa 1
Server Aplicatie Online Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Clienti Incendiu incediilor
(Model, Serie)
3
2 3 8 Anexa 1

Sever Aplicatii Intranet
Incendiu incediilor
2 3 8 Anexa 1
N/A
Echipament1 locatie DR
(Model, Serie)
3 Echipament hostat intr-o locatie Defectiune hardware 1 1 5 N/A
alternativaN/A
– DataCenter
Echipament2 locatie DR
(Model, Serie)
3 Echipament hostat intr-o locatie Defectiune hardware 1 1 5 N/A
alternativa – DataCenter
Lipsa sistem automat de detectie si stingere a
Incendiu
incediilor
Personal si sisteme IT Imprimante, scanere 3 Cutremur
Lipsa sistem supraveghere video
1 3 7 Anexa 1
Inundatie
Defectiune hardware

Incendiu
incediilor
Personal si sisteme IT Echipament desktop 3 Cutremur
Lipsa sistem supraveghere video
1 3 7 Anexa 1
Inundatie
Defectiune hardware
Vulnerabilitati software
Erori de programare Lipsa testari periodice
Acces neautorizat Neaplicarea la timp a update-urilor necesare
Personal si sisteme IT Aplicatie online clienti 3
Modificări neautorizate ale software- Pregătire de specialitate necorespunză-toare a
2 3 8 Anexa 1
ului sau datelor personalului.
Erori de programare
Erori de programare
Lipsa testari periodice
Acces neautorizat
Personal si sisteme IT Aplicatie contabilitate 3
Modificări neautorizate ale software-
Neaplicarea la timp a update-urilor necesare 2 3 8 Anexa 1
ului sau datelor
Erori de operare
Lipsa testari periodice
Erori de programare
Neaplicarea la timp a update-urilor necesare
Acces neautorizat
Personal si sisteme IT Aplicatie Intranet 3
Modificări neautorizate ale software-
2 2 7 Anexa 1
Pregătire de specialitate necorespunză-toare a
ului sau datelor
personalului.
Erori de programare
Solutie securitate IT Lipsa testari periodice
(antivirus, firewall, etc)
3 Erori de programare
3 3 9 Anexa 1
Acces neautorizat
Vulnerabilitati software. Acces
Personal si sisteme IT Licente Sistem Operare 1 3
neautorizat Configurarea necorespunzătoare a funcţiilor de
2 3 8 Anexa 1
securitate ale sistemelor de operare
Acces neautorizat Lipsa filtru software
Personal si sisteme IT Contracte 3
Dezvaluire informatii Continut trafic utilizatori
2 3 8 Anexa 1

Personal si sisteme IT Corespondenta 3
2 3 8 Anexa 1

Personal si sisteme IT Arhiva date 3
2 3 8 Anexa 1

Personal si sisteme IT Declaratii 3
2 3 8 Anexa 1

Personal si sisteme IT Dosare personal 3
2 3 8 Anexa 1

Personal si sisteme IT Decizii 3
2 3 8 Anexa 1
Suport
Neconformitatea cu reglementarile legale respective
Functii suport si Stație de lucru / bază de servicii necorespunzătoare de suport
1
pentru sisteme
locale)
Categoria 4 - riscuri operaționale EXTERNE
Stație de lucru / bază de Inexistenta unui back-up pentru persoanele cheie

date
3 Pierderea persoanelor cheie
1 3 7 Anexa 1

cunostinte si pregătire insuficiente a personalului
Conducerea societatii sisteme informatice 3 utilizare neadecvată a sistemelor
financiar contabil
1 3 7 Anexa 1

Stergerea accidentala a informatiilor
Conducerea societatii sisteme informatice 3
Relatia cu clientii

front-office

front-office
financiar contabil
1 3 7 Anexa 1

front-office
Operatiuni

Personal si activitati întreruperi în furnizarea serviciilor Lipsa sistemelor de back-up pentru energie electrica
operatiuni
prestate de furnizori externi sau a liniilor secundare de telecomunicatii
1 3 7 Anexa 1
Personal si activitati Inexistenta unui back-up pentru persoanele cheie
operatiuni
sisteme informatice 3 Pierderea persoanelor cheie
1 3 7 Anexa 1

operatiuni

operatiuni
sisteme informatice 3 fraude și activități criminale externe patru ochi. Management impropriu al drepturilor de 1 3 7 Anexa 1

pierderi datorate evenimentelor Lipsa sistem automat de detectie si stingere a
Personal si activitati catastrofice/dezastrelor naturale sau incediilor
operatiuni
generate de oameni ori factori din Lipsa sistem supraveghere video
2 3 8 Anexa 1
afara organizației Defectiune hardware

Personal si activitati atacuri teroriste clasice sau Lipsa sistemelor de siguranta si de back-up a
operatiuni
informatice sistemelor informatice critice
1 3 7 Anexa 1

Personal si activitati criminalitate economică și/sau Lipsa sistemelor de siguranta si de back-up a
operatiuni
informatică sistemelor informatice critice
1 3 7 Anexa 1

Personal si activitati Lipsa sistemelor de back-up pentru energie electrica
operatiuni
sisteme informatice 3 căderi ale alimentarii cu electricitate
1 3 7 Anexa 1
Personal si activitati expuneri externe ale securității incediilor
operatiuni
sistemelor Lipsa sistem supraveghere video
1 3 7 Anexa 1
Defectiune hardware

de lucru / bază de date / Neconformitatea cu reglementarile legale respective
Personal si activitati servicii necorespunzătoare de suport
operatiuni
pentru sisteme
importante / Alte sisteme locale)

financiar contabile
date / sisteme informatice 2 fraude și activități criminale externe patru ochi. Management impropriu al drepturilor de 1 3 6 Anexa 1

pierderi datorate evenimentelor Lipsa sistem automat de detectie si stingere a
Functii cheie si catastrofice/dezastrelor naturale sau incediilor
activitati aferente
generate de oameni ori factori din Lipsa sistem supraveghere video
2 3 8 Anexa 1
afara organizației Defectiune hardware

Functii cheie si atacuri teroriste clasice sau Lipsa sistemelor de siguranta si de back-up a
activitati aferente
informatice sistemelor informatice critice
1 3 7 Anexa 1

Functii cheie si criminalitate economică și/sau Lipsa sistemelor de siguranta si de back-up a
activitati aferente
informatică sistemelor informatice critice
1 3 7 Anexa 1

Functii cheie si Lipsa sistemelor de back-up pentru energie electrica
activitati aferente
sisteme informatice 3 căderi ale alimentarii cu electricitate
1 3 7 Anexa 1
expuneri externe ale securității incediilor
sistemelor Lipsa sistem supraveghere video
1 3 6 Anexa 1
importante
Defectiune hardware
Suport
Neconformitatea cu reglementarile legale respective
Functii suport si Stație de lucru / bază de servicii necorespunzătoare de suport
1
pentru sisteme
locale)
Vulnerabilitate Nivel
Eveniment Prob. prod. Nivel
Nr. Crt nedorit Amenințare asociatã even. Impact risc Mãsuri de control al riscului
1 Incendiu Absența unui sistem Mica Mare Mediu Implementate
automat de detectie
-Verificarea si intreținerea instalațiilor.
si stingere a
incendiului. -Existenta procedurilor de creare a fișierelor de back –up care vizeza frecvența, tipul de back-up, persoanele autorizate și verificarea periodicã.
-Exista BCP, locatie alternativa de procesare a datelor.
Producerea
unui - Instruirea personalului autorizat al sistemului privind modul de acțiune la incendiu.
incendiu Masuri viitoare
-Existența unor mijloace automate de detectie si stingere a incendiului
-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de evenimente
-Existenta unui spatiu alternativ de reluare a activitatii pentru personal.
2 Cutremur Lipsa planurilor de Mica Mare Mediu Implementate
continuare a
-Structura de rezistențã a clãdirii este solidã.
activitatii sau a
procedurilor de -Pereții exteriori și despãrțitori ai camerelor în care sunt instalate echipamentele sistemului sunt din materiale solide.
recuperare /refacere
Producerea -Existenta procedurilor de creare a fișierelor de back –up care vizeza frecvența, tipul de back-up, persoanele autorizate și verificarea periodicã.
a informatiilor in caz
unui de cutremur
cutremur -Exista BCP, locatie alternativa de procesare a datelor.
Masuri viitoare
-Instruirea personalului autorizat al sistemului privind modul de acțiune in caz de cutremur.
-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de evenimente.
3 Cãderi ale Lipsa surselor Mica Mare Mediu Implementate
tensiunii de neîntreruptibile de
Alimentaren -Serverele de backup se afla intr-o locatie de tip data center avand disponibilitate de X%
alimentare alimentare cu
ecorespunzã energie electrica. -Toate serverele sunt prevazute cu UPS
toare cu
energie Masuri viitoare
electrica - implementare replicare sincrona intre sediul central si datacenter
-achizitionare generator electric
4 Dezvaluire Acces neautorizat - Mica Mare Mediu Implementate
informatii Copierea
-Existenta IDS, antivirus, Firewall.
neautorizatã de
date / software -Instruirea continua a personalului.
Copierea -Backup periodic al datelor in data center conform procedurilor operationale existente
neautorizatã
de date / Masuri viitoare
software -Utilizatorii cu drepturi de acces limitate ai sistemului trebuie sã aibã o pregãtire corespunzãtoare privind utilizarea resurselor și serviciilor sistemului.
-De asemenea trebuie resprectata politica de securitate existenta.

-In zona serverelor si nu numai, accesul se va face pe baza de cartela magnetica.
Configurarea Mica Mare Mediu Implementate
necorespunzãtoare a - Exista elaborata o politica de securitate care sã ținã cont de rolul și misiunea sistemului, grupele de utilizatori autorizați ai sistemului și de aplicarea
funcțiilor de principiului necesitãții de a cunoaște.
securitate ale -S-a creat o locatie alternativa de backup in DataCenter-ul X.
sistemelor de -Exista elaborarta o procedura de creare a fișierelor de back –up care sã vizeze frecvența, tipul de back-up, persoanele autorizate și verificarea periodicã a
operare. fișierelor de back-up.
- Toate update-urile pe aplicatiile software se testeaza pe mediul de test inainte de implemtarea in mediul de productie.
Masuri viitoare
-Cursuri de specialitate
Erori de
Utilizarea
operare ale
Implementate
- Exista elaborata o politica de securitate care sã ținã cont de rolul și misiunea sistemului, grupele de utilizatori autorizați ai sistemului și de aplicarea
principiului necesitãții de a cunoaște.
-S-a creat o locatie alternativa de backup in DataCenter-ul X.
-Exista elaborarta o procedura de creare a fișierelor de back –up care sã vizeze frecvența, tipul de back-up, persoanele autorizate și verificarea periodicã a
fișierelor de back-up.
- Toate update-urile pe aplicatiile software se testeaza pe mediul de test inainte de implemtarea in mediul de productie.
Lipsa fișierelor de Mica Mare Mediu Masuri viitoare
back-up. -Cursuri de specialitate
Pregãtire de Mica Mediu Mic

specialitate
Erori de
Utilizarea necorespunzãtoare a
operare ale
necorespunz personalului.
personalului
ãtoare a
resurselor și Configurarea Mica Mare Mediu
serviciilor necorespunzãtoare a
sistemului funcțiilor de
(erori de securitate ale
utilizare) sistemelor de
operare.
Lipsa fișierelor de Mica Mare Mediu

back-up.
Pregãtire de Mica Mare Mediu
specialitate
necorespunzãtoare a
Erori de
personalului.
programare
Lipsa fișierelor de Mica Mare Mediu
back-up.
Pregãtire de Mica Mare Mediu
Modificãri
specialitate
neautorizate
necorespunzãtoare a
ale software-
personalului.
5 ului
Valoare Măsuri de
Categorie Resursă/ Valoare Valoare
Denumire sistem informatic resursa / Risc (descriere / amenintare) Vulnerabilitate (factori de risc) Valoare risc control al
Activitate probabilitate vulnerabilitate
activitate riscului
[1] [2] [3] [4] [5] [6] [7] [3]+[6]+[7] [8]
Categoria 1 - riscuri operaționale OAMENI
Structura organizatorica 1
resursa / activitate sistem informatic 1 risc (amenintare) vulnerabilitate 1 1 3 Anexa 1
Categoria 2 - riscuri operaționale PROCESE
Categoria 3 - riscuri operaționale SISTEME
Categoria 4 - riscuri operaționale EXTERNE

Exemplul - Calcul - Evaluare Riscuri - Masuri - Control - Sablon - Raportare - Riscuri - Operationale

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Exemplul - Calcul - Evaluare Riscuri - Masuri - Control - Sablon - Raportare - Riscuri - Operationale

Încărcat de

Drepturi de autor:

Formate disponibile

Valoare Masuri de

Categorie Resursă/ Denumire sistem Valoare Valoare

Sistem front-office / Stație

Sistem front-office / Stație

Sistem front-office / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem financiar contabil /

Sistem financiar contabil /

Sistem financiar contabil /

Sistem financiar contabil /

Sistem financiar contabil /

Sistem financiar contabil /

Sistem financiar contabil /

Functii cheie ale entitatii

Sistem cheie / Stație de

Sistem cheie / Stație de

Controlul efectuat de personal necorespunzator.

Sistem front-office / Stație

Sistem front-office / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem operatiuni / Stație

Sistem financiar contabil /