1 Üldine
Riskihaldus (Risk Management, edaspidi riskihaldus) sisaldab koordineeritud tegevusi organisatsiooni juhtimiseks lähtuvalt riskidest.
Riskide haldamise eesmärk on:
• hoida madalaimat majanduslikult õigustatud riski taset, mis tagab ülikooli tegevuse talitluspidevuse ja konkurentsivõime pikaajalises vaates;
• ülikooli tegevuses sisalduvate riskide identifitseerimine ja juhtimine vastavalt ülikooli protsesside ulatusele, keerukusele ja olemasolevale kogemusele;
• luua alus riskide enesehindamiseks ja riski kahjusid ennetavale tegevusele.
Infoturbe alast riskihaldus teostatakse infosüsteemide ja infotehnoloogiliste varade põhiselt (riskid, mis on seotud konfidentsiaalsuse, terviklikkuse ja käideldavusega). Riskihaldus toetab infoturbe juhtimise (ISMS-i) protsessi. Ülikooli mõjutavate riskide kaalutlemine, käsitlemine ja seire toimub süstemaatiliselt ja järjepidevalt.
2 Riskihalduse protsess
Riskihalduse protsess koosneb järgmistest tegevustest:
Joonis 1 Riskihalduse protsess
2.1 Konteksti loomine
Riskijuhtimise raamistiku kavandamisel tuleb arvestada ülikooli sisemist ja välimist keskkonda.
Välise keskkonna puhul tuleb kaaluda järgmisi mõjutegureid:
• rahvusvahelisi, riiklikke, piirkondlikke või kohalikke sotsiaalseid, kultuurilisi, poliitilisi, õiguslikke, normatiivseid, rahanduslike, tehnoloogilisi, majanduslikke ja keskkonnaalaseid tegureid;
• organisatsiooni eesmärke mõjutavaid peamisi tegureid ja sündmusi;
• väliste sidusgruppide suhteid, arusaamu, väärtusi, vajadusi, lepingulisi suhteid ja pühendumusi;
• võrgustikke ja sõltuvuste keerukust.
Sisemise keskkonna puhul tuleb kaaluda järgmisi mõjutegureid:
• organisatsiooni visiooni, missiooni ja väärtusi;
• vastutustundlikku juhtimist, organisatsioonilist struktuuri, rolle ja aruandekohustusi;
• strateegiat, eesmärke ja juhtimise põhimõtteid;
• organisatsiooni kultuuri;
• organisatsiooni kohandatud standardeid, juhiseid ja mudeleid;
• suutlikust ressursside ja teadmiste mõistes (nt kapital, aeg, inimesed, intellektuaalne omand protsessid, süsteemid ja tehnoloogiad);
• andmeid, infosüsteeme ja infovooge;
• suhteid sisemiste sidusgruppidega, võttes arvesse nende arusaamu ja väärtusi;
• lepingulisi suhteid ja pühendumusi.
2.2 Riskide kaalutlemine
Riskide kaalutlemine on riskide tuvastamise, riskianalüüsi ja riskide hindamise üldine protsess. Riskide kaalutlemine toimub infosüsteemi ja infotehnoloogiliste varade põhiselt. Riskide kaalutlemine toimub vähemalt üks kord aastas. Lisaks teostatakse riskide kaalutlemist süsteemide märkimisväärsete muudatuste korral.
Riskide tuvastamine
Riskituvastuse eesmärk on kindlaks teha, mis võib juhtuda või millised olukorrad võivad mõjutada ülikooli eesmärkide saavutamist, ülesannete täitmist ning plaanipärast toimimist.
Riski olemasoluks peab eksisteerima teatud oht, mis võib ära kasutada mõnda ülikoolis esinevat nõrkust. Olenevalt valdkonnast võib esineda mitmesuguseid ohte ning nõrkusi, mis tuleb kirja panna ning mida tuleb analüüsida.
Riskide tuvastamisel võib kasutada järgmiseid allikaid sisendi saamiseks, näiteks:
• avalik või asutusesisene statistika
• uuringutulemused,
• eksperthinnangud,
• registreeritud intsidendid, nende analüüs ja saadud kogemus,
• varasemast ohtude hindamisest saadud kogemus jms,
• väliste osapoolte kogemus ja/või materjalid, hinnangud.
Tuvastatud riskid varustatakse unikaalse identifikaatoriga ning talletatakse taasesitataval kujul. Riskihalduse järgmistes järkudes rikastatakse seda teavet uute üksikasjadega. Riskid sisestatakse riskiregistrisse (JIRAsse).
Riskide sõnastamisel lähtutakse järgnevast ülesehitusest: „Riskiteguri“ tagajärjel toimub riskisündmus“, mis põhjustab „riskist tuleneva kahju ehk mõju“.
Riskide tuvastamine infosüsteemide ja infotehnoloogiliste varade lõikes
Infosüsteemide ja infotehnoloogiliste varade riskide tuvastamisel teostatakse esmalt mõjude analüüs vastavalt lisas 1 toodud üheksale kategooriale. Mõjude analüüsi tulemus kirjeldatakse ära JIRAs infosüsteemi vara või infotehnoloogilise vara kaardi juures.
Täiendavat riskide tuvastamist ja analüüsi ei pea teostama infosüsteemidele, kui on täidetud järgmised tingimused:
- Mõjuanalüüsi üheksa kategooria keskmiseks skooriks vähem kui 3
- Mõju üheksast kategooriast mitte üheski ei esine väärtust 4 või 5
Infosüsteemi või infotehnoloogilise vara, mille mõjude analüüsi keskmine skoor on 3 või kõrgem või mille puhul ühes või mitmes kategoorias esineb väärtus 4 või 5, peab tuvastama riskid, mis on põhjustanud kõrge skoori.
Tuvastada tuleb ülikooli nii sisemisi kui väliseid riske, st selliseid riske, mille infosüsteemid või infotehnoloogilised varad on ülikooli enda kontrolli all, kui ka neid, mis ei ole. Riskide tuvastamise käigus tuleks välja selgitada konfidentsiaalsus-, terviklus- ja/või käideldavusrikke võimalikud tagajärjed varadele.
Nõrkused võivad ilmneda järgmistel aladel: organisatsiooni struktuur, protsessid ja protseduurid, haldusrutiinid, personal, füüsiline keskkond, infosüsteemi konfiguratsioon, riistvara, tarkvara või sideseadmed, sõltuvus välistest osapooltest.
Lähteandmeid pakuvad infosüsteemide või infotehnoloogiliste varade omanikud, protsessijuhid, IT projektijuhid, peakasutajad, IT projektijuhid, partnerid ja muud seotud osapooled.
Infosüsteemide ja infotehnoloogiliste varade tuvastamise väljundiks on riskide loetelu, mis sisaldab järgnevat:
• infosüsteem või infotehnoloogiline vara
• infosüsteemi või infotehnoloogilise vara komponent (detailsem osa, nt server, andmebaas, jne)
• nõrkus ehk infotehnoloogilise vara, infosüsteemi või protsessi nõrk koht või turvameetme puudulikkus või puudumine (turvaauk)(nõrkuse olemasolu iseenesest ei tekita kahju)
• oht/puudus ehk ründaja ja ründemeetod, mis võib ära kasutada nõrkust/puudust (kes, kuidas ja mida; võivad tekitada tõsist kahju ja on konkreetse rakenduse ja kasutusala puhul realistlikud; E-ITS alusoht, mooduloht, või väline lisaoht)
• riskitegur (ehk kui oht nõrkuse ära kasutab)
• riskisündmus (konfidentsiaalsus, terviklikkus ja käideldavus)
• riskimõju kirjeldus (toimed, kahjud, tagajärjed)
• suurim võimalik kahju (teenuskahju, finantskahju, mainekahju,
• risk (riski sõnastamisel lähtutakse järgnevast ülesehitusest: „Riskiteguri“ tagajärjel toimub riskisündmus“, mis põhjustab „riskist tuleneva kahju ehk mõju“.)
• riski omanik (infosüsteemi äriprojektijuht või infotehnoloogilise vara omanik)
Tuvastatud risk varustatakse unikaalse identifikaatoriga ning talletatakse JIRAs riskiregistris Riskihalduse järgmistes järkudes rikastatakse seda teavet uute üksikasjadega.
Riskide analüüsimine
Riskianalüüsi eesmärk on pakkuda teavet riskide hindamiseks, et otsustada, kuidas tuvastatud võimalikke riske edasi käsitleda ning kuidas kasutada olemasolevaid ressursse kõige olulisemate riskidega tegelemiseks.
Riskianalüüsi käigus määrab riski omanik tuvastatud sündmuse esinemise tõenäosuse ning võimalikud tagajärjed ehk kahjud ehk riski mõju.
Mõju määramise juures ehk tagajärgede analüüsi käigus kirjeldab riski omanik, mis juhtub, kui risk realiseerub ehk kui oht nõrkuse ära kasutab. Tagajärgede analüüsis tuleb välja tuua kõik võimalikud riski realiseerumise tagajärjed. Tagajärgede mõju hindamisel tuleb arvestada erinevaid riskihalduse objektiks olevaid riski liike kombineerituna, st peab arvestama erinevate riskide koosmõju.
Võimalikkuse analüüsis tuvastatakse riski realiseerumise tõenäosus. Tõenäosuse hindamiseks on võimalik saada infot erinevatest allikatest, näiteks:
• ajalooline esinemissagedus ehk statistika;
• prognoosimine, võttes arvesse seadmete vanust jms;
• eksperthinnang;
• võrdlus teiste sarnaste organisatsioonidega.
Juhul kui info võimalike tagajärgede ja/või esinemise võimalikkuse kohta ei ole kättesaadav ehk esineb määramatus, tuleb ka määramatuse iseloomu otsuste langetamisel arvesse võtta (sh sellest otsustajatele teada anda). Riskide tõenäosuse hindamisel lähtutakse tabelis nr 2 toodud skoorist
Tabel 1 Riski mõju määramine
Mõju hinnang | Skoor | Kriteeriumid |
Ebaoluline mõju | 1 | Riski realiseerumisel on ülikooli tegevus vähesel määral häiritud (mõjutatud vähe oluliste teenuste ja infosüsteemide või infotehnoloogiliste varade toimine või nende kasutamine ajutiselt või ka pikemaajaliselt takistatud, üksikud rahulolematud või häiritud kasutajad, võimalikud rahalised kahjud minimaalsed ning ei vaja täiendavaid ressursse. Riski realiseerumisel ei ole ohus isikuandmed, infosüsteemid või infotehnoloogilised varad käsitlevad avalikuks kasutamiseks mõeldud informatsiooni ning andmete terviklikkus ei ole oluline. Ülikooli eesmärkide saavutamist ei mõjuta. |
Väike mõju | 2 | Riski realiseerumisel on tegevused on osaliselt häiritud (mitmete teenuste ootuspärane toimine on mõjutatud, esineb teenustes katkestusi, kuid mida suudetakse operatiivselt lahendada (ühe kuni kolme tööpäeva jooksul). Mõjutatud on vähesed kasutajad (10-100 kasutajad), kes näitavad üles rahulolematust, rahalised kahjud väikesed, regulaatorid võivad tunda huvi riski realiseerumisel järele pärimistega. Riski realiseerumisel võivad avalikuks saada asutuse siseseks kasutamiseks mõeldud informatsioon, kuid ohus ei ole isikuandmed. Ülikooli eesmärkide saavutamine ei ole ohus. |
Mõõdukas mõju | 3 | Riski realiseerumisel on ülikooli tegevused oluliselt häiritud (mitme teenuse toimimine on mõjutatud ja katkestusi ei suudeta operatiivselt lahendada (kolme tööpäeva jooksul), mõjutatud on mõõdukalt kasutajaid (100-500), kes näitavad üles rahulolematust, rahalised kahjud mõõdukad (kuni 50 000 eurot), võib esineda üksik negatiivne meediakajastus, regulaatoritel tekib suur huvi organisatsiooni tegevuse vastu, esinevad õiguslikud vaidlused poolte vahel.) Riski realiseerumisel võivad saada avalikuks tundlikud või olulised piiratud kättesaadavusega andmed (nt isikute töötasud) ning riive isikuandmetele on võimalik. Algse olukorra taastamiseks võib vaja olla täiendavaid lisaressursse, kuid ülikooli eesmärkide saavutamine endiselt võimalik. |
Oluline mõju | 4 | Riski realiseerumisel on ülikooli tegevus olulised häiritud (mitmete kriitiliste ja oluliste teenuste toimimine on mõjutatud ja katkestusi ei suudeta operatiivselt lahendada (kuni kolme tööpäeva jooksul), mõjutatud on oluline arv kasutajaid (500-5000 kasutajat), kes avalikult kritiseerivad; rahaliselt oluline kahju (kuni 100 000 eurot), episoodiline negatiivne meediakajastus, regulaatoritel suur huvi sekkuda organisatsiooni tegevusse, kohtuvälised vaidlused poolte vahel, osaliselt rakendatakse sanktsioone). Riski realiseerumisel on ohus eriliigilised isikuandmed või salastatud andmed, riive käitatavatele isikuandmete on tõenäoline. Algse olukorra taastamiseks on vaja oluliselt lisaressursse. Ülikooli põhitegevus võib selle tulemusel seiskuda ning ülikoolile seatud eesmärkide täitmine ei ole võimalik. |
Kriitiline mõju | 5 | Riski realiseerumisel on ülikooli tegevus kriitiliselt häiritud (kriitiliste teenuste töös pikaajalised katkused, mida ei suudeta nädala jooksul lahendada), mõjutatud enam kui 5000 kasutajat, kes kriitiliselt avalikult sõna võtmas ning näitavad üles soovi teenusest loobuda, suur rahaline kahju (üle 100 000 euro), organisatsiooni maine oluline kahjustus läbi ulatusliku negatiivse meediakajastuse, regulaatoritel ülisuur huvi sekkuda organisatsiooni tegevusse, kaasnevad kohtuvaidlused, menetlustegevused, sanktsioonid. Riski realiseerumisel on ohus ülikooli kõige kriitilisemad andmed (võidakse avalikustada, hävitada, jne) ning riive käitatavatele isikuandmetele on väga tõenäoline. Algse olukorra taastamine nõuab ulatuslikult lisaressursse või osaliselt algse olukorra taastamine üldse võimatu. Ülikooli põhitegevus riski realiseerumisel võib seiskuda ja ülikool ei suuda omale seatud eesmärke saavutada. |
Tabel 2 Riski tõenäosuse määramine
Tõenäosuse hinnang | Skoor | Kriteeriumid |
Ebatõenäoline | 1 | Riski realiseerumine on pigem teoreetiline või praktikas väga harv; esineb ca 1 kord 10 aasta jooksul või harvem; |
Vähetõenäoline | 2 | Riski realiseerumine on võimalik, aga praktilised näited on väga üksikud; võib juhtuda lähiaastatel (2-3 aasta jooksul); |
Võimalik | 3 | Eksisteerivad tõendusmaterjalid selle kohta, et riski realiseerumine on tõenäoline; võib juhtuda lähima 2-3 aasta jooksul; |
Tõenäoline | 4 | Eksisteerivad tõendusmaterjalid selle kohta, et riski realiseerumine on tõenäoline; võib juhtuda aasta jooksul; |
Kindel | 5 | Risk on varasemalt realiseerunud või on vältimatu; võib juhtuda päevade ja nädalate jooksul; |
Riski analüüsides ja selle mõju hinnates on oluline võtta arvesse ka selle tekkepõhjust, allikat ning motivatsiooni ohu allika käitumise taga. Samuti tuleb riski realistlikuks analüüsimiseks võtta arvesse juba rakendatud kontrolle/meetmeid selle riski käsitlemisel.
Riski analüüsimise tulemusel saadakse riskitase, mis hilisemas faasis on oluline riskikäsitluse prioriteedi seadmiseks.
Riskitase
Riski mõju skoori ning tõenäosuse skoori korrutisena arvutatakse riskitase. Riskitaseme põhjal koostatakse riskimaatriks ning prioritiseeritakse kõik riskid alates kõrgeimast riskitasemest kuni madalaimani. Juhul kui mitme riski tase on võrdne, siis on prioriteetsem kõrgema mõjuhinnanguga risk. Riskide tuvastamine ja riskitaseme määramine toimub allpool oleva tabeli nr 3 alusel.
Tabel 3 Riskitaseme arvutamine
Tõenäosus | ||||||
Mõju | Ebatõenäoline (1) | Vähetõenäoline (2) | Võimalik (3) | Tõenäoline (4) | Kindel (5) | |
Kriitiline mõju (5) | 5 – madal | 10 – keskmine | 15 – keskmine | 20 – kõrge | 25 – kriitiline | |
Oluline mõju (4) | 4 – väga madal | 8 – madal | 12 – keskmine | 16 – kõrge | 20 – kõrge | |
Mõõdukas mõju (3) | 3 – väga madal | 6 – madal | 9 – madal | 12 – keskmine | 15 – keskmine | |
Väike mõju (2) | 2 – väga madal | 4 – madal | 6 – madal | 8 – madal | 10 – keskmine | |
Ebaoluline mõju (1) | 1 – väga madal | 2 – väga madal | 3 – väga madal | 4 – väga madal | 5 – madal |
Riskitase = Mõju hinnangu skoor * tõenäosuse hinnangu skoor
Riskitaseme muutmine
Põhjendatud vajaduse korral on võimalik riskitaset subjektiivselt muuta, kuid sel juhul on oluline kirjalikult dokumenteerida sellise otsuse aluseks olnud põhjendused.
Riskide hindamine
Riskide hindamise eesmärk on tagada, et organisatsioon kasutaks olemasolevaid ressursse kõige olulisemate riskidega tegelemiseks. Seejuures tuleb arvestada, et mitmed väikesed, kuid sageli esinevad riskid võivad omada kokkuvõttes olulist mõju.
Riskide hindamisel võrreldakse riskianalüüsi käigus tuvastatud riskitaset aktsepteeritavate riskinormidega (Tabel 4 ülikooli riskinormid ja tegevused vastavate riskitasemete puhul).
Kogu riski kaalutlemist peab dokumenteerima.
Ülikooli riskinormid ehk riskide aktsepteerimise tingimused
Tabel 4 ülikooli riskinormid ja tegevused vastavate riskitasemete puhul
Riskitase | Tegevus | |
1-4 | Väga madal | Riski aktsepteeritakse, seiratakse vähemalt kord aastas. |
5-9 | Madal | Riski aktsepteeritakse, seiratakse vähemalt kord aastas. |
10-14 | Keskmine | Riskiga tegeletakse võimaluse korral. Juhul, kui otsustatakse aktsepteerida riski, siis on see vajalik riskiomaniku poolt kirjalikult põhjendada. Riski seiratakse vähemalt kord aastas |
15-19 | Kõrge | Risk vajab tegelemist. Riskiomanik peab panema paika tegevuskava. Riski seiratakse vähemalt kord 6 kuu jooksul. |
20-25 | Kriitiline | Risk vajab kohest rektoraadi otsust ning tegelemist. Riski omanik peab viima riski rektoraati, seda selgitama ning tegema ettepanekud riski käsitluseks. Riski seiratakse ja tegevusi tehakse vastavalt rektoraadi otsuses toodud tähtaegadele |
3 Riskikäsitlus
Kõik riskid, mille riskitase ei vasta riski aktsepteerimise tingimustele, tuleb muul moel aktsepteeritavale tasemele tuua. Selleks tuleb igale riskile valida sobilik riskikäsitlusviis. Infoturbejuht koostab riskikäsitluse tegevuskava. Eesmärk on, et tuvastatud riskide jääkrisk oleks aktsepteeritaval tasemel (vähemalt madal või keskmine).
Lähtudes riski iseloomust tuleb valida järgnevate riskikäsitlusmeetodite vahel ning need iga riski vaates ka sisustada – määrata tegevus, tähtaeg ning vastutaja.
3.1 Riski vältimine (avoid)
Riski vältimise puhul välditakse tegevusi või tingimusi, mis riski tekitavad, nt loobutakse seadme kasutamisest, kolitakse teise asukohta vms. Riski vältimise käigus võivad tehtud muudatuste kaudu ilmneda uued riskid, mille puhul on tarvilik täiendav riskikäsitlus.
3.2 Riski vähendamine (mitigate)
Riski muutmine ehk riski vähendamine tähendab seda, et täiendava meetme/kontrolli rakendamise, kõrvaldamise või muutmise teel vähendatakse riski mõju ja/või esinemise tõenäosust nii, et riskitase muutub korduvkaalutlemisel aktsepteeritavaks. (Näiteks rakendatakse infoturbe kontrolle E-ITS või ISO 27001)
Riski vähendamise meetme valikul tuleb arvestada, et pärast meetmete rakendamist oleks riskitase aktsepteeritav. Samas tuleb meetme valikul arvestada ajaliste, rahaliste, tehniliste jms kitsendustega. Riskide aktsepteerimise tingimused ja võimalused on toodud allpool.
3.3 Riski jagamine/ üleandmine (transfer)
Riski jagamise puhul jagatakse riski mõne teise (välise) osapoolega, kes suudab selle konkreetse riskiga kõige paremini toime tulla (nt kindlustamine, allhankimine jms). Tuleb silmas pidada, et on võimalik jagada riski juhtimise kohustust tegevuse edasiandmise teel, kuid vastutus jääb siiski riski omanikule. Riski jagamine võib kaasa tuua ka uusi riske, mille puhul on tarvilik täiendav riskikäsitlus.
3.4 Riski säilitamine (accept)
Riski säilitamise puhul langetatakse teadlik otsus edasistest tegevustest riski suhtes loobuda ning risk aktsepteerida. Ka aktsepteeritud riski tuleb monitoorida. Juhul kui riskitase ei rahulda riski aktsepteerimise kriteeriume, kuid siiski soovitakse riski aktsepteerida ning seda säilitada, peab otsus olema põhjendatud ning dokumenteeritud. Sellise otsuse peab kinnitama ülikooli rektoraat. Sellisel juhul jääb riski juurde märge “risk avatud”.
Jääkrisk
Üldjuhul säilib riskikäsitluse järgselt teatud jääkrisk. Enamasti on jääkrisk sellisel tasemel, et seda on võimalik riski kriteeriumite kohaselt aktsepteerida. Jääkriski ei eksisteeri juhul, kui oht või nõrkus kaob täielikult ehk riski ei eksisteeri.
4 Riskide seire ja läbivaatus
Riskiomanikel tuleb regulaarselt seirata tuvastatud riske, nende käsitlusmeetodite tulemuslikkust ning võimalikke uusi ilmnenud riske.
Uute riskide seirega tegelevad protsessijuhid, infosüsteemide äriprojektijuhid, IT projektijuhid, infotehnoloogiliste varade omanikud ning infosüsteemidega seotud osapooled pidevalt ning riski tuvastamisel teavitavad sellest infoturbejuhti. Uue riski tuvastamisele järgneb ülejäänud riski kaalutlemise protsess, mille teostab vastava riskiomanik ning vajadusel nõustab riskiomanikku selles protsessis infoturbejuht.
5 Suhtlus. Teavitus. Konsulteerimine
Infosüsteemidega ja infotehnoloogiliste varadega seotud riskide haldus toimub tsentraliseeritult ning riskid registreeritakse ühises töövahendis, mis võimaldab riskialase informatsiooni jõudmise osapooltele õigeaegselt ning riskihalduse protsess on läbipaistev kõigile huvitatud osapooltele.
Riskiteavitus toimub läbi konsultatsioonide, koolituste ja infomaterjalide. Riskiteavitus tagab organisatsioonis väärtuste ühtlustamise ja riskihalduse sammude korratavuse. Riskiteavitus tagab erinevate riskimuljete ühtlustumise nii, et kogu organisatsioon on kursis riskihalduse protsessi ja tulemustega.
6 Rollid
6.1 Kantsler
• Kinnitab infoturbealase riskihalduse korralduse;
6.2 Infoturbejuht:
• infoturbealast riskide metoodika välja töötamine ja rakendamine;
• nõustab, juhendab ning koolitab inimesi;
• koondab tervikülevaadet infoturbealastest riskidest lähtudes registreeritud intsidentidest;
• analüüsib intsidente ja seotud infoturbe riske;
• küsib vajadusel intsidendi registreerijalt ja/või lahendajalt täiendavaid andmeid intsidendiasjaolude kohta;
• teeb rektorile (rektoraadile) vähemalt kord aastas ülevaate organisatsiooni infoturbealasest riskihaldusest;
• teeb ettepanekuid riskihalduse protsessi täiendamiseks;
6.3 Riskiomanik
• Riskiomanik on isik (infosüsteemide äriprojektijuht või infotehnoloogise vara omanik), kes kaalutleb ja käsitleb riske, koostab riskikäsitluse tegevuskava oma riskide maandamiseks ning vastutab selle täitmise eest enda vastutusala piires.
• Omanik hindab riski mõju ja esinemise tõenäosust, otsustab riskikäsitluse tegevused ning nende eest vastutajad, sh lepib kokku vastutajad ja maandamistegevused ka väljaspool enda vastutusala, kui need on vajalikud riski maandamiseks.
1 LISA 1
Mõju analüüs
Tabel 5 Mõjude hindamine
Tagajärg | Vähene mõju | Piiratud mõju | Mõõdukas mõju | Oluline mõju | Kriitiline mõju |
Skoor | 1 | 2 | 3 | 4 | 5 |
Ülikooli eesmärkide täitmine | Tegevused on vähesel määral häiritud, aga eesmärkide saavutamine on võimalik ilma täiendavate ressurssideta. | Tegevused on oluliselt häiritud, aga eesmärkide saavutamine on võimalik ülikoolisiseste ressursside ümberjaotamise teel, mis ei mõjuta teiste eesmärkide saavutamist. | Tegevused on oluliselt häiritud, aga eesmärkide saavutamine on võimalik ülikoolisiseste ressursside ümberjaotamise teel, mis ei mõjutab osaliselt eesmärkide saavutamist. | Tegevused on oluliselt häiritud ning eesmärkide saavutamiseks on vaja oluliselt lisaressursse. | Ülikoolile seatud eesmärke ei ole võimalik saavutada ja ülikooli põhiprotsessid ei toimi. |
Mainekahju | Negatiivsed kuulujutud üksikute klientide seas, mõni üksik kliendi kaebus. | • Negatiivsed kuulujutud klientide, partnerite, avalikkuse seas. • Regulaatorid näitavad üles huvi organisatsiooni tegevuse osas järelepärimiste esitamisega. |
• Negatiivne üksik meediakajastus. • Regulaatorite suur huvi organisatsiooni tegevuse osas. • Ülikooli usaldusväärsus on seatud kahtluse alla |
• Negatiivne episoodiline meediakajastus. • Paljud kasutajad avalikult kritiseerivad • Regulaatorite suur huvi või sekkumine organisatsiooni tegevusse. • Ülikooli usaldusväärsuse langus olulisel määral. |
• Organisatsiooni maine laiem kahjustumine ulatusliku negatiivse meediakajastuse tõttu. • Paljud kasutajad kritiseerivad ja väljendavad soovi teenustest loobuda. • Regulaatorite ülisuur huvi või sekkumine organisatsiooni tegevusse. • Ülikooli usaldusväärsuse langus kriitilisel määral. |
Mõjutatud osapooled | Üks kuni 10 kasutajat | 10-100 kasutajat | 100-500 kasutajat | 500-5000 kasutajat | Enam kui 5000 kasutajat |
Õiguslikud kohustused | Suuline hoiatus. | Kirjalik hoiatus. | Kohtuvälised vaidlused, poolte kokkulepe võimalik. | Kohtuvälised vaidlused, poolte kokkulepe võimalik, osalised sanktsioonid. | Järgnevad menetlustegevused, kohtuvaidlused ja sanktsioonid. |
Kaasnevad kulud | Kuni 2 000 eurot | 2000-10 000 eurot | 10001-49 999 eurot | 49 999 –100 000 eurot | Üle 100 000 euro |
Käideldavus | Üksikute väheoluliste teenuste toimimine mõjutatud või ajutiselt takistatud, kuid ei mõjuta ülikooli toimimist tervikuna. | Mitme teenuse ootuspärane toimimine on mõjutatud, esineb teenuse katkestusi, mida suudetakse operatiivse lahendada ning ülikooli toimimist tervikuna ei mõjuta. | Mitme teenuse toimimine on mõjutatud ja katkestusi ei suudeta operatiivselt lahendada (kolme tööpäeva jooksul). Mõjutatud on saanud mitmed olulised ülikooli protsessid ning sellega osaliselt ülikooli tegevust häiritud. | Mitme kriitiliste ja oluliste teenuste toimimine on mõjutatud ja katkestusi ei suudeta operatiivselt lahendada (kolme tööpäeva jooksul). Mõjutatud on ülikooli põhitegevust ning sellega ülikooli tegevus tugevalt häiritud. | Kriitiliste teenuste töös pikaajalised katkestused, mida ei suudeta nädala jooksul lahendada. Mõjutatud on väga tugevalt ülikooli põhiprotsessid ning sellega osaliselt ülikooli tegevus seiskunud. |
Terviklus | Andmete terviklus ei ole oluline, eraldi tervikluskontrolle ega logimistoiminguid pole vaja. | Andmete terviklus on oluline, vajalik on tuvastada tehtud muudatused. | Andmete terviklus on oluline, vajalik on tuvastada tehtud muudatused, kes tegi, millal tegi, kust ja kuhu pöördus, mida küsis ja mida sai vastuseks. | Andmete terviklus on väga oluline, vajalik on tuvastada tehtud muudatused, kes tegi, millal tegi, kust ja kuhu pöördus, mida küsis ja mida sai vastuseks. | Andmete terviklus on oluline, vajalik on tuvastada tehtud muudatused, kes tegi, millal tegi, kust ja kuhu pöördus, mida küsis ja mida sai vastuseks. Oluline on ka andmete tervikluse tõestamine ehk vajalikud on tervikluse kontrollid kasutades krüptoprotseduure ning protseduuride kasutamine nende tervikluse kinnitamiseks. |
Konfidentsiaalsus | Infovarad on seotud või käitavad avalikuks kasutamiseks mõeldud informatsiooni. | Infovarad on seotud või käitavad ülikooli siseseks kasutamiseks mõeldud andmeid ja/või informatsiooni. | Infovarad on seotud või käitavad tundlikke või olulised piiratud kättesaadavusega andmeid (nt isikute töötasud, jne). | Infovarad on seotud või käitavad eriliigilisi isikuandmeid ja/või ülikoolisaladust. | Infovarad on seotud või käitavad kriitilisel tasemel ülikoolisaladust. |
Privaatsus | Isikuandmed puuduvad. | Riive käitavatele isikuandmetele on ebatõenäoline. | Riive käitavatele isikuandmetele on võimalik. | Riive käitavatele isikuandmetele on tõenäoline. | Riive käitavatele isikuandmetele on väga tõenäoline. |