METODOLOGIA PRIVIND ANALIZA SI MANAGEMENTUL

RISCULUI
SC ABC SRL
Ediţia 1 Revizia 0 COD: P15
Data aplicării:

Versiunea electronică aflată pe

serverul societăţii este cea oficială.
Orice copie electronică aflată pe alt
suport sau orice versiune tipărită, alta
decât exemplarul martor, sunt copii
necontrolate.

POLITICA
METODOLOGIA PRIVIND ANALIZA SI
MANAGEMENTUL RISCULUI
COD: P15

Numele şi Prenumele Functie Data Semnatura

Elaborat RMI
Verificat/
Director General
Aprobat

Page 1 of 8
 METODOLOGIA PRIVIND ANALIZA SI MANAGEMENTUL
RISCULUI
SC ABC SRL
Ediţia 1 Revizia 0 COD: P15
Data aplicării:

SECTIUNE INTRODUCTIVA
ÎNREGISTRAREA REVIZIILOR
ReviziaEditia /

Cauza Autorul
Pag/Cap Descrierea modificarii Data
reviziei modificarii

Nota: Pentru o utilizare mai uşoara, modificarile ultimei revizii sunt marcate grafic cu culoare roşie/bold.

DIFUZARE:
Documentatia SMSI este disponibila pentru intreg personalul pe serverul societatii. Este mentinut un
exemplar martor tiparit gestionat de R-SMSI.

Page 2 of 8
 METODOLOGIA PRIVIND ANALIZA SI MANAGEMENTUL
RISCULUI
SC ABC SRL
Ediţia 1 Revizia 0 COD: P15
Data aplicării:

1. Scop
Metodologie vizeaza asigurarea unui control global al riscului in cadrul SC ABC SRL, si
permite mentinerea unui nivel acceptabil al expunerii la risc cu costuri minime.

2. Descriere
Riscurile sunt identificate si definite in raport cu obiectivele a caror realizare este afectata de
materializarea lor. Din aceasta cauza existenta unui sistem de obiective clar definite
constituie premisa esentiala pentru identificarea si definirea riscurilor.

Riscul reprezinta posibilitatea ca obiectivele stabilite sa nu fie realizate.

Ca orice activitate, si cea care vizeaza managementul securitatii informatiei este supusa
riscurilor, dintre cele mai diverse. De aceea, riscul exista permanent, el insoteste toate
activitaile si se produce sau nu, in functie de conditiile care i se creeaza.

Prin risc se intelege elementul de incertitudine care poate afecta derularea unei operatiuni
care concura la realizare unui obiectiv.
Riscul trebuie definit foarte clar pentru a sti la ce ne referim.
Riscul nu se poate defini pornind numai de la o situatie judecata ca nesatisfacatoare. In
primul rând, trebuie sa stim care este situatia satisfacatoare, apoi trebuie sa strângem o
suma de fapte indiscutabile, sa le cautam cauzele si consecintele si, in final, sa propunem o
solutie.

Riscul se poate spune ca este un fenomen care apare pe parcursul derularii activitatilor si
care provoaca efecte negative asupra activitatilor respective, prin deteriorarea calitatii
rezultatelor asteptate.

La baza teoriei riscului se afla urmatoarele ipoteze:

Riscul este prezent in orice activitate si, respectiv, riscul influenteaza deciziile firmei.
Atitudinea fata de risc este diferita si depinde de doi factori: marimea impactului si
probabilitatea de a aparitie.
Sunt doua modalitati posibile de evaluare a riscului:
- prin metode calitative, cand se va determina “utilitatea” rezultatelor activitatii asteptate si
influenta pierderilor posibile asupra firmei;
- prin metode cantitative, cand se va evalua marimea impactul prognozat si probabilitatea
producerii acestuia.

Metodologia descrisa se bazeaza pe identificarea efectului incertitudinii asupra atingerii

obiectivelor.

Metoda aleasa este de tip cantitativ pentru calculul nivelului de risc este:

Page 3 of 8
 METODOLOGIA PRIVIND ANALIZA SI MANAGEMENTUL
RISCULUI
SC ABC SRL
Ediţia 1 Revizia 0 COD: P15
Data aplicării:

Risc = Probabilitate x Impact x 10

Probabilitatea va avea valori intre 0 si 100% iar impactul intre 1 si 5 conform tabelului de mai
jos:

Impact
Probabilitatea de aparitie
Confidentilitate Integritate Disponibilitate Impact
rezultat
(C+I+D)
Foarte (80%-100%] - 5 = impact major 5 = impact major 5 = impact major
ridicata Se intampla cel Pierdere financiara Pierdere financiara Pierdere financiara 15
putin o data la 3 > 10 000 euro > 10 000 euro sau > 10 000 euro
luni
(60%-80%] = 4 =impact 4 =impact considerabil 4 =impact
Ridicata prezenta foarte considerabil Pierdere financiara considerabil 12
probabila Pierdere financiara cuprinsa in intervalul Pierdere financiara
cuprinsa in [6001, 10000] euro cuprinsa in
Se intampla anual
intervalul [6001, intervalul [6001,
10000] euro 10000] euro
(40%-60%] - 3 = impact moderat 3 = impact moderat 3 = impact
Medie prezenta probabila Pierdere financiara Pierdere financiara moderat 9
S-a intamplat peste cuprinsa in cuprinsa in intervalul Pierdere financiara
intervalul [3001, [3001, 6000] euro cuprinsa in
5 ori in ultimii 3 ani
6000] euro intervalul [3001,
6000] euro
(20%-40%] – 2 = impact minor 2 = impact minor 2 = impact minor
Redusa prezenta putin Pierdere financiara Pierdere financiara Pierdere financiara 6
probabila cuprinsa in cuprinsa in intervalul cuprinsa in
intervalul [1001, [1001, 3000] euro intervalul [1001,
S-a intamplat 2-3 in
3000] euro 3000] euro
ultimii 3 ani
(0%-20%] – 1 = impact 1 = impact 1 = impact
Foarte prezenta neglijabila Foarte redus Foarte redus Foarte redus 3
redusa S-a intamplat o Pierdere financiara Pierdere financiara Pierdere financiara
< 1000 euro < 1000 euro < 1000 euro
singura data in
ultimii 3 ani

Formula de calcul a riscului: Risc = Probabilitate x Impact x 10

Valoare maxima riscului = 150

Valoarea nivelului de risc acceptat de organizatie: 20

Intrucat produsul maxim poate avea valoarea 150 pentru nivelul de risc se defineste valoarea
4 ca fiind valoarea pragului de risc acceptat
Orice risc sub aceasta valoare este asumat de organizatie.

Page 4 of 8
 METODOLOGIA PRIVIND ANALIZA SI MANAGEMENTUL
RISCULUI
SC ABC SRL
Ediţia 1 Revizia 0 COD: P15
Data aplicării:

Riscurile identificate cu valori intre [20, 150] nu sunt acceptate si trebuie tratate pentru a fi
reduse sub valoarea pragului de risc acceptat prin aplicarea sistematica a masurilor de
securitate.
Responsabilul cu gestionare riscurilor numit prin decizie a managementului informeaza
conducerea daca totusi nivelul de risc ramane peste valoarea de prag stabilita chiar si dupa
aplicarea.

Risc rezidual: expunere la risc – (expunere la risc x eficienta masurii (%))

Pentru noile riscuri ce vor fi identificate si introduse ulterior in analiza de risc se va folosi
intotdeauna aceeasi formula de calcul pentru a se asigura obtinerea de rezultate comparabile
si care pot fi reproduse. Pentru aceasta se va tine seama de incadrarea cea mai buna a
probabilitatii de aparitie si a impactului in functie de nivelurile definite mai sus.
Se va tine seama si de riscuri economice, demografice, sociale, politice specifice zonei
geografice in care se afla organizatia dar si de datele statistice furnizate de diverse institutii
specializate.

Elemente lamuritoare cu privire la identificarea riscurilor.

La identificarea riscurilor din cadrul organizatiei se va tine cont de urmatoarele aspecte:
Riscurile trebuie identificate la orice nivel unde se sesizeaza ca exista consecinte asupra
atingerii obiectivelor si pot fi luate masuri specifice de solutionare a problemelor, ridicate de
respectivele riscuri.

Riscul este o incertitudine, si nu ceva sigur. Prin urmare, atunci când se identifica un “risc”
trebuie analizat daca nu este vorba despre o situatie existenta, care are un impact asupra
obiectivului. De cele mai multe ori, situatia existenta reprezinta un risc materializat, adica unul
care s-a produs. In niciunul din cazurile de mai sus nu mai este vorba despre un risc, ci
despre o problema dificila, care trebuie gestionata sau despre o oportunitate care trebuie
exploatata.

Nu constituie riscuri probleme (situatii, evenimente) care nu pot apare.

Riscurile sunt probleme care pot apare si nu probleme (situatii, evenimente) a caror aparitie
este imposibila.

Nu constituie risc o problema care va aparea cu siguranta. Acestea nu sunt riscuri, ci

certitudini.

Valoarea riscurile trebuie definite prin impactul lor asupra obiectivelor si probabilitatea de
aparitie. Impactul nu este risc, ci consecinta materializarii riscurilor asupra realizarii
obiectivelor. Impactul este un efect ce isi are originea in risc si nu riscul insasi. Riscurile sunt
situatii, evenimente probabile, care daca s-ar materializa ar avea consecinte asupra
obiectivelor

Page 5 of 8
 METODOLOGIA PRIVIND ANALIZA SI MANAGEMENTUL
RISCULUI
SC ABC SRL
Ediţia 1 Revizia 0 COD: P15
Data aplicării:

Nu se identifica riscuri care nu afecteaza obiectivele. Nu exista riscuri in mod absolut, ci

numai riscuri corelate cu obiectivele.

Identificarea riscurilor nu este un scop in sine. Scopul identificarii riscurilor este tocmai
inventarierea acelor probleme care ar putea conduce la nerealizarea obiectivelor, daca s-ar
materializa (ar deveni situatii de fapt).

Elemente lamuritoare cu privire la evaluarea riscurilor.

La evaluarea riscurilor se va tine cont de urmatoarele aspecte:
Evaluarea riscurilor presupune evaluarea probabilitatii de producere si a impactului asupra
obiectivelor in cazul in care acestea se materializeaza. Combinatia dintre nivelul estimat al
probabilitatii si nivelul estimat al impactului constituie expunerea la risc, in baza careia se
realizeaza profilul riscurilor.

Se calculeaza riscul (prima iteratie) pe baza formulei de mai sus si a tabelului pentru
determinarea probabilitatii si impactului, va rezulta un nivel de risc cu valoare intre 0 si 50. In
determinarea probabilitatii si impactului un rol insemnat il are experienta si formarea
evaluatorul de risc, determinarea exacta a acestora este marcata de un anumit grad de
subiectivitate si situatii anterioare.

Se stabileste impreuna cu conducerea SC ABC SRLnivelul de prag pentru riscul minim

acceptat sa aiba valoarea mai mica decat 4. Orice risc ce depaseste aceasta valoare trebuie
tratat prin aplicare masuri de securitate, transfer sau asumare (in cazul in care primele doua
metode de tratare sunt considerate ca fiind costisitoare).

Se stabilesc aspectele cele mai expuse (nivelul de risc cel mai ridicat). Aceste zone vor fi
tratate primele. Pentru aceasta se elaboreaza ‚Planul de tratare a riscului’ care consta in
alegerea masurilor adecvate pentru reducerea riscului la un nivel acceptabil, identificarea
detinatorilor de resurse, termene de timp privind implementarea masurilor si resursele
necesare. In ‚Planul de tratare a riscului’ are loc a doua iteratie riscul calculat acum fiind cel
estimat ca real dupa aplicarea masurilor de securitate.
Responsabilii pentru atingerea obiectivelor sunt instiintati asupra riscurilor identificate dar mai
ales asupra celor reziduale.

NOTA: Trebuie precizat ca inca din etapa de planificare a SMSI se stabilesc si masurile de
securitate ce vor fi luate pentru reducerea riscurilor (aplicarea efectiva a masurilor se va face
in etapa de implementare si mentinere a SMSI). Tot in faza de planificare se vor estima si
riscurile reziduale ce raman in urma aplicarii masurilor selectate.
Toate riscurile reziduale se vor constientiza si accepta de catre conducere.

Page 6 of 8
 METODOLOGIA PRIVIND ANALIZA SI MANAGEMENTUL
RISCULUI
SC ABC SRL
Ediţia 1 Revizia 0 COD: P15
Data aplicării:

Note:
1. Indisponibilitate de max. ………….% din timp conform cerintele contractuale si ale
afacerii
2. Coruperea informatie in proportie de ...............
3. Confidentialitate - atribut de securitate care se referablocare accesului utiliztorilor
neautorizati/ nelegitimi la informatii.
4. Integritatea - atribut de securitate care se refera la protejarea informatiei de modificari
neautorizate sau accidentate. Ex. stegere, adaugare, inlocuirea unei parti sau
ainocuire in intregime.
5. Disponibilitatea - atribut de securitate care se refera la punerea la dispozitia
utilizatorilor legali a informatiei atunci cand acestia au nevoie conform reglementarilor
stabilite.
6. Autenticitatea - atributul de securitate care permite asocierea informatiei cu autorul ei.
( vezi si lege 455/2001)
7. Non-repudierea - atribut de securitatea care permite asocierea informatiei cu dovada
ca informatia fost trimisa de expeditor la destinatarul legal iar acesta a primit-o fara ca
acestia sa poata contesta acest lucru.
8. Expunere a la risc - o combinaţie de probabilitate şi impact, pe care le poate resimţi o
organizaţie în raport cu obiectivele prestabilite, în cazul în care riscul se
materializeaza. Se defineste ca produsul dintre probabilitate si impact conform
formulei convenite.

3. INREGISTRARI SI ANEXE
3.1. Formular – Registrul riscurilor, cod: R-15-01/ Ed 1, Rev. 0
3.2. Plan de tratare a riscurilor, cod: R-15-02/ / Ed 1, Rev. 0

Page 7 of 8
 METODOLOGIA PRIVIND ANALIZA SI MANAGEMENTUL
RISCULUI
SC ABC SRL
Ediţia 1 Revizia 0 COD: P15
Data aplicării:

Page 8 of 8