rejestr ident ryzyka-nr 2-14-2
Transkrypt
rejestr ident ryzyka-nr 2-14-2
załącznik A do I1/P9 z dnia 25.03.2014 REJESTR IDENTYFIKACJI I OCENY RYZYKA NR 2/2014 - RYZYKO W OBSZARACH WSKAZANE PRZEZ ZKZ IDENTYFIKACJA RYZYKA Lp. 1 Obszar/ proces Zadania 2 3 ANALIZA RYZYKA Numer celu, Istniejące mechanizmy Prawdopodo Wartość Potencjalne do którego Opis ryzyka/ zagrożenia kontroli wewnętrznej bieństwao ryzyka skutki ryzyka w zadaniach odnosi się (podjęte działania, ryzyka w kolumna w skali 1-5 zadanie procedury, zasady itp.) skali 0,2-1 7*8 4 5 ciągłość działania IT 1. awaria serwera przeciwdziałanie przerwom w działalności działania zabezpieczenia związane doskonalące ZKZ z zapewnieniem ciągłości działania dla systemów IT 2. działania doskonalące ZKZ zarządzanie oprogramowaniem i licencjami - zapobieganie utracie, uszkodzeniu lub naruszeniu aktywów 3. zapewnienie, że pracownicy odchodzą z uczelni lub zmieniają stanowisko w sposób zorganizowany 4. 5. uwierzytelnianie problemy związane z uwierzytelnieniem i hasłami 6. bezpieczeństwo IT 7. 8. 9. działania doskonalące ZKZ utrata danych - awaria zasilania zainstalowanie przez pracowników na komputerach firmowych nielicencjonowanego oprogramowania 6 wykonywanie przez administratora serwera kopi bezpieczeństwa ważnych danych, serwer zapasowy do uruchomienia w przypadku awarii serwera głównego, przeglądanie logów systemowych przez administratora serwera, aktualizacja oprogramowania serwera, uruchomione zabezpieczenia system dysków lustrzanych (RAID 1), wykonywanie przez administratora serwera kopi bezpieczeństwa ważnych danych, awaryjne podtrzymanie zasilania polityka bezpieczeństwa AM, nadzór osoby odpowiedzialnej w jednostce (LASI), sieciowe wersje oprogramowania z dostępem do licencji dla pracowników poprzez sieć uczelnianą nie zablokowane na czas konta w systemach działania informatycznych, osób doskonalące które zakończyły pracę w ZKZ uczelni nie dotyczy przetwarzanie danych osobowych z uwagi na działania brak przeglądu uprawnień uprawnienia aktualizowane doskonalące przez LABI/LASI w jednostkach okresowo ZKZ działania niedostateczne doskonalące zabezpieczenie dostępu ZKZ do danych (słabe hasło) brak lub zbyt słabe działania zabezpieczenia doskonalące antywirusowe na stacjach ZKZ roboczych brak skutecznego zabezpieczenia działania antywirusowego z uwagi doskonalące na brak nadzoru nad ZKZ aktualnością zabezpieczeń polityka bezpieczeństwa AMG, blokowanie kont po wykryciu nieautoryzowanego dostepu z powodu słabych haseł polityka bezpieczeństwa AMG, nadzór ze strony inż. ds. aparatury, polityka bezpieczeństwa AMG, nadzór ze strony inż. ds. aparatury, blokada serwera pocztowego jednostki z uwagi na uleganie wyłudzaniu danych dostępowych do swojego działania konta pocztowego doskonalące (phishing) ZKZ nie dotyczy ODPOWIEDŹ NA RYZYKO Poziom ryzyka P-pomijalne A-akceptowalne N-nieakceptowalne Opis działań korygujących Osoba odpopowiedzialna 11 12 planowana wymiana serwera Administrator serwera 7 8 9 10 0,2 1 0,2 P 0,2 1 0,2 KONTROLA WYKONANIA Planowany Osoba termin odpowiedzialna wykonania 13 P Administrator serwera 0,4 3 1,2 A kontola okresowa LABI, LASI LABI, LASI 0 0,2 2 0,4 P LABI,LASI 0,4 2 0,8 P 0,2 3 0,6 P LASI, LABI 0,2 4 0,8 P LASI 0,4 3 1,2 A informowanie pracowników o zagrożeniach oraz instruowanie jakie należy podjąć działania w związku z działalnością hackerów X - XI 2014 14 Numer "karty ryzyka" Wynik kontroli Uwagi 15 16 17 kopie zapasowe backup i odtwarzanie danych - zapewnienie integralności i dostępności działania informacji doskonalące 10. utrata danych z uwagi na brak objęcia backupem wszystkich systemów lub ich nieodpowiednia częstotliwość ZKZ utrata informacji/danych osobowych z uwagi na utratę/uszkodzenie bezpieczeństwo sprzętu działania /kradzież sprzętu ochrona informacji na doskonalące mobilnego wyniesionego urządzeniach mobilnych ZKZ poza terenem uczelni 11. zapobieganie utracie sprzętu/danych 12. zgłaszanie zdarzeń i monitoring niewystarczające monitorowanie działań użytkowników i zdarzeń związanych z bezpieczeństwem informacji: 13. 14. bezpieczeństwo sprzętu zapobieganie utracie sprzętu lub danych 15. zapewnienie ochrony przed nieautoryzowanym bezpieczeństwo fizyczne dostępem fizycznym, zabezpieczenie pomieszczeń i sprzętu 16. polityka bezpieczeństwa AMG, nadzór osoby odpowiedzialnej w jednostce (LASI) 0,4 polityka bezpieczeństwa AMG, nadzór osoby odpowiedzialnej w jednostce (LASI) 0,4 utrata informacji/danych osobowych z uwagi na działania wyniesienie sprzętu doskonalące mobilnego bez zgody ZKZ przełożonego polityka bezpieczeństwa AMG, nadzór osoby odpowiedzialnej w jednostce (LASI) polityka bezpieczeństwa AMG, nadzór osoby zagrożenie bezpieczeństwa informacji odpowiedzialnej w z uwagi na nie zgłaszanie jednostce (LASI), próby włamania zgłaszane do ABI zdarzeń naruszenia w oraz ASI systemach działania informatycznych/ ataki doskonalące hackerskie ZKZ polityka bezpieczeństwa utrata/ udostępnienie danych z uwagi na przekazanie sprzętu komputerowego do naprawy bez działania odpowiedniego doskonalące zabezpieczenia danych na ZKZ dysku nieautoryzowane fizyczne umożliwienie dostępu do pomieszczeń w których przetwarzane są dane osobowe (pozostawienie otwartych pomieszczeń, działania udostępnienie kluczy doskonalące osobom ZKZ nieupoważnionym) utrata sprzętu z uwagi na słabe zabezpieczenia pomieszczeń przed nieautoryzowanym dostępem (słabe zamki, działania brak alarmów, doskonalące niezabezpieczone okna, ZKZ itd) 4 4 1,6 1,6 A regularna aktualizacja danych na serwerze wydziałowym oraz w dziekanacie osoby wyznaczone, administartor serwera A zarządzający sprzętem mobilnym 0,4 4 1,6 A zarządzający sprzętem mobilnym 0,4 3 1,2 A LASI, ASI, ABI, administartor serwera wydziałowego AMG, nadzór osoby odpowiedzialnej w jednostce (LASI), nadzór ze strony inż. ds. aparatury, wykonywanie kopii danych oraz czyszczenie dysków przed oddaniem sprzętu do naprawy 0,2 regulamin pracy, karta odpowiadzialności i uprawnień, lista osób uprawnionych do pobierania kluczy do pomieszczeń, książka pokwitowań kluczy 0,2 3 0,6 P polityka bezpieczeństwa AMG, audity bezpieczeństwa, nadzór osób odpowiedzialnych w jednostce 0,2 4 0,8 P 2 0,4 P LASI, inż. ds. aparatury 17. Polityka bezpieczeństwa 18. 19. 20. 21. realizacja Projektów krajowych i zagranicznych 23. współpraca z otoczeniem zewnętrznym (współpraca z uczelniami, instytucjami, międzynarodowa wymiana studentów i pracowników) 26. wspomaganie zarządzania archiwizacja i przechowywanie dokumentacji 28. 29. poprawny kosztorys projektu, kontrola kierownika projektu, nadzór działania powstanie osoby odpowiedzialnej z doskonalące niekwalifikowanych Kwestury ZKZ wydatków w projekcie poprawny kosztorys projektu, prowadzenie wydatków zgodnie z kosztorysem działania konieczność zwrotu zaakceptowanym w doskonalące środków w wyniku zaleceń umowie, kontrola ZKZ pokontrolnych kierownika projektu działania doskonalące niewłaściwa archiwizacja Kwestura, kierownik ZKZ dokumentów projektu działania doskonalące ZKZ działania doskonalące ZKZ 24. 27. utrata danych osobowych polityka bezpieczeństwa z uwagi na przetwarzanie AMG, audity ich przez osoby nie działania bezpieczeństwa, nadzór posiadające upoważnienia doskonalące osób odpowiedzialnych w ZKZ jednostce nieautoryzowane powierzenie danych polityka bezpieczeństwa firmom/wykonawcom AMG, audity działania zewnętrznym bez bezpieczeństwa, nadzór doskonalące uprzedniego zawarcia osób odpowiedzialnych w ZKZ umowy w tym zakresie jednostce błędy w kierowaniu działania projektem z uwagi na doskonalące niejednolite zasady ZKZ rozliczania projektów 22. 25. niestosowanie postanowień Polityki bezpieczeństwa, zasad przetwarzania danych osobowych i instrukcji zarządzania systemami informatycznymi AMG 0,2 3 0,6 P 0,2 3 0,6 P 0,4 3 1,2 A 0,4 2 0,8 P 0,2 2 0,4 P 0,2 3 0,6 P 0,6 2 1,2 A 0,4 2 0,8 P 0,2 1 0,2 P 0,2 1 0,2 P 0,3 2 0,6 P kierownik projektu brak osoby do wyszukiwania i przekazywania informacji o projektach nie dotyczy brak zainteresowania misja uczelni, misja podejmowaniem nowych wydziału, plany KZ projektów zbyt niskie środki działania finansowe na podjęcie doskonalące współpracy z otoczeniem ZKZ zewnętrznym brak aktualnych przepisów wewnętrznych dot. działania archiwizowania i obiegu doskonalące dokumentów (instrukcja ZKZ kancelaryjna) niestosowanie postanowień zawartych w instrukcji kancelaryjnej i działania przepisach archiwalnych doskonalące (nieprawidłowe ZKZ znakowanie spraw) prodziekan ds. naukowych budżet wydziału, środki z DS. procedury ISO, instrukcja kancelaryjna procedury ISO, instrukcja kancelaryjna przypisanie zbyt wielu kompetencji/obowiązków działania jednej osobie doskonalące uniemożliwiające statut uczelni, ustawa o ZKZ prawidłowe działanie szkolnictwie wyższym delegowanie obowiązków na pracowników działania nieposiadających doskonalące dostatecznych kwalifikacji procedury ISO, statut ZKZ do ich pełnienia uczelni Dziekan, Kierownicy Katedr 0,2 2 0,4 P Dziekan, Kierownicy Katedr 30. wspomaganie zarządzania komunikacja i obieg informacji działania doskonalące brak koncepcji rozwoju ZKZ inwestycyjnego jednostki 31. 32. inwestycje i remonty 33. gospodarowanie środkami trwałymi 35. 37. 38. zamówienia publiczne 41. 42. działania brak kompetentnych osób doskonalące wyszukujących źródeł misja i strategia uczelni i ZKZ finansowania wydziału brak współdziałania DT z jednostkami organizacyjnymi w celu szybkiego i sprawnego działania/realizacji działania inwestycji bez doskonalące przerywania ciągłości ZKZ pracy nie dotyczy wybór niekonkurencyjnego trybu lub błędny wybór trybu określonego w ustawie PZP bądź powołanie się na niewłaściwą podstawę działania prawna w przypadku nie doskonalące stosowania przepisów ZKZ ustawy PZP niewłaściwe określenie przedmiotu zamówienia publicznego oraz kosztów ze względu na działania delegowanie zadań w tym doskonalące zakresie na pracowników ZKZ jednostek działania doskonalące nabywanie zamówień ZKZ niskiej jakości działania doskonalące źle oszacowana wartość ZKZ zamówienia dopuszczenie do pracy działania pracownika bez doskonalące aktualnych badań ZKZ lekarskich 2 0,4 P 0,2 2 0,4 P osoby odpowiedzialne na szczeblu uczelni, Dziekan, Kierownicy Katedr Dziekan 0,4 4 1,6 A Dziekan 1 0,2 P wyznaczone osoby, Kierownicy Katedr, z-cy Kierowników Katedr 0,2 1 0,2 P 0,2 1 0,2 P wyznaczone osoby, Kierownicy Katedr, z-cy Kierowników Katedr wyznaczone osoby, Kierownicy Katedr, z-cy Kierowników Katedr zespół ds. zamówień publicznych 0,2 1 0,2 P ustawa o PZP; przepisy wewn. o PZP 0,4 4 1,6 A działania kierownika jednostki organizacyjnej 0,4 4 1,6 A nie wprowadzanie na bieżąco nowych zakupów inwentaryzacja prowadzona do ewidencji na bieżąco błędy w specyfikacjach 0,2 0,2 majątek zinwentaryzowany niezgodnie z działania obowiązującymi doskonalące przepisami wewnętrznymi inwentaryzacja prowadzona ZKZ (brak kodu kreskowego) na bieżąco działania doskonalące ZKZ działania doskonalące ZKZ 36. 40. misja i strategia wydziału, plan budżetu wydziału, plany inwestycji i remontów nieterminowe uzgadnianie ksiąg inwentarzowych prowadzonych w działania jednostkach doskonalące organizacyjnych z działem inwentaryzacja prowadzona ZKZ inwentaryzacji na bieżąco 34. 39. niewłaściwy obieg informacji/dokumentacji działania (nieautoryzowanie doskonalące dokumentów, procedury ISO, ZKZ publikowanych informacji) rozporządzenia rektora inż. Ds. aparatury, Dziekan, Kierownicy Katedr, dział zamówień publicznych Dziekan, Kierownicy Katedr wstępna ocena kosztów; wstępne oferty firm niedpuszczalne 0,4 4 1,6 A 0,2 3 0,6 P 0,2 5 1 A Kierownicy Katedr, dział kadr 43. 44. 45. 46. zarządzanie zasobami ludzkimi 47. 48. 49. 51. 52. 54. 55. niedopuszczalne brak kontroli aktualności działania badań lekarskich przez doskonalące kierowników jednostek ZKZ organizacyjnych nieprawidłowo określona statut uczelni, ustawa o szkolnictwie wyższym, dokument określający zakres obowiązków kierownika jednostki lub nieokreślona charakterystyka warunków środowiska pracy w wystawianych skierowaniach w sytuacjach występowania działania czynników szkodliwych lub wykaz stanowisk pracy w doskonalące warunków uciążliwych w których występują warunki pracy szkodliwe ZKZ działania doskonalące plan urlopów w jednostkach ZKZ brak planów urlopowych organizacyjnych wypłaty ekwiwalentów urlopowych mające związek z nieprawidłową działania polityką urlopową doskonalące jednostek organizacyjnych ZKZ - duże zaległości urlopowe ograniczone środki finansowe (nie zabezpieczenie w planach rzeczowo finansowych jednostek) środków na szkolenia zarówno działania zgłaszane przez doskonalące pracownika jak i z inicjatywy uczelni ZKZ nie wywiązywanie się kierowników jednostek organizacyjnych z obowiązku sporządzania i bieżącego aktualizowania działania zakresów obowiązków i doskonalące uprawnień podległych ZKZ pracowników działania brak zakresów czynności doskonalące dla nauczycieli ZKZ akademickich 50. 53. nieaktualne badania okresowe i brak ważnych badań kontrolnych po działania okresie absencji doskonalące chorobowej trwającej ZKZ powyżej 30 dni działalność naukowobadawcza polityka urlopowa tak prowadzona aby nie wystąpiła taka sytuacja procedura ISO, statut uczelni ustawa o szkolnictwie wyższym, zakres obowiązków kierowników jednostej organizacyjnych (katedr) misja i cele uczelni i wydziału, plany KZ, regulamin oceny okresowej pracowników, omawianie wyników badań naukowych na RW zbyt powolna ścieżka działania kariery naukowej doskonalące zmniejszanie się ZKZ potencjału naukowego nieprawidłowo i nieefektywnie działania wydatkowane środki DS. - ustawa o finansach doskonalące brak związku z publicznych, procedura P2, ZKZ realizowanym tematem regulamin DS. misja i cele uczelni i wydziału, plany KZ, regulamin oceny okresowej pracowników, omawianie działania niewielka aktywność wyników badań naukowych doskonalące naukowa pracowników na RW ZKZ (minimalizm twórczy) działania mała liczba znaczących doskonalące publikacji naukowych, misja i cele uczelni i ZKZ monografii wydziału, plany KZ, działania brak aktualnych danych w doskonalące bazie Polska Bibliografia ZKZ Naukowa nie dotyczy 0,2 4 0,8 P 0,2 4 0,8 P 0,2 1 0,2 P dział kadr, Kierownicy Katedr, Dziekan dział kadr, Kierownicy Katedr, Dziekan dział kadr, Kierownicy Katedr, Dziekan 0,2 1 0,2 P 0,2 2 0,4 P Kierownicy katedr, dziekan Kierownicy Katedr, Dziekan 0,4 2 0,8 P 0,2 3 0,6 P Kierownicy Katedr, Dziekan 0,2 3 0,6 P 0,2 3 0,6 P 0,3 3 0,9 P 0,3 5 1,5 A 0,2 3 0,6 P działania dyscyplinujące, rotacja zgodnie z ustawą, zebezpieczenie środków finansowych na badania naukowe Kierownicy Katedr Dziekan, Prodziekan ds naukowych,Kierow nicy Katedr, opienkun naukowy promotor Kierownicy DS., Dziekan, Kierownicy Katedr działania dyscyplinujące, rotacja zgodnie z ustawą, negatywna ocena okresowa, zwolnienie pracownika lub przekwalifikowanie działania dyscyplinujące, rotacja zgodnie z ustawą Kierownicy DS., Dziekan, Kierownicy Katedr, komisja ds. okresowej oceny pracowników Kierownicy DS., Dziekan, Kierownicy Katedr niski poziom naukowy realizowanych tematów efekty działalności działania naukowej nie odpowiadają doskonalące standardom ZKZ międzynarodowym cytowanie przez studentów cudzych utworów w taki sposób, by prezentowane treści wyglądały na własne działania przemyślenia i refleksje doskonalące studenta-prace ZKZ dyplomowe niewłaściwe (tj. niezgodne z obowiazującą normą i działania zwyczajami doskonalące wydawniczymi) cytowanie cudzych prac ZKZ ryzyko finansowe związane z nieprawidłowym pobraniem zaliczek(50% koszty uzyskania przychodów) na podatek działania dochodowy od osób doskonalące będących właścicielami praw autorskich ZKZ 56. 57. 58. 59. ochrona własności intelektualnej brak ewidencji prac działania twórczych, które stanowią doskonalące przedmiot prawa autorskiego ZKZ 60. brak programu antyplagiatowego; recenzje promotora, recenzenta, opiekuna naukowego 62. proces kształcenia 63. 64. proces kształcenia-ocena pracy nauczycieli akademickich szkolenie na wydziałach WE, WM,WN zgodnie z wymaganiami prawnymi nie dotyczy coroczne plany i sprawozdania z działaności twórczej; coroczne informacja pracowników o ich publikacjach rozporządzenie mistra w działania brak uznania ministerstwa sprawie kształcenia doskonalące na przeprowadzenie członków statków morskich; ZKZ szkoleń przez jednostkę procedury ISO brak możliwości działania organizacji takiego doskonalące szkolenia w ramach ZKZ własnej jednostki brak wpływu dokonanej oceny na dalszą karierę działania zawodową ocenianego doskonalące (pozytywne i negatywne konsekwencje) ZKZ 3 0,6 P recenzenci 0,4 3 1,2 A Promotor, recenzent 0,2 3 0,6 P 0,2 1 0,2 P 0,4 3 1,2 A procedury czasopism naukowych, recenzenzje ryzyko plagiatu z uwagi naniestosowanie systemu informatycznego pozwalającego na szybkie i działania sprawne przeprowadzenie doskonalące oceny prac na szeroką brak systemu antyZKZ skalę plagiatowego nieaktualny program kształcenia z uwagi na zmiany w rozporządzeniu w sprawie ramowych działania programów przeszkoleń doskonalące dla członków statków procedura P1-1 ZKZ morskich 61. 65. 0,2 recenzje wyników badań naukowych i publikacji redaktor czasopism naukowych, recenzenci wydziałowe komisje ds. jakości kształcenia wydziałowe komisje 0,2 5 1 A 0,4 3 1,2 A ds. jakości kształcenia, Dziekan, Prodziekan ds. kształcenia nie dotyczy ustawa o szkolnictwie wyższym, regulamin oceny okresowej nauczycieli akademickich Dziekan, Kierownicy Katedr