Baza wiedzy

Proces analizy ryzyka IT w JST (ISO 27005): metody, narzędzia i korzyści

18.12.2025

Metodyka analizy ryzyka w Urzędach: dlaczego warto unikać „gotowców” z Internetu?

Administratorzy Danych (AD) w JST mają swobodę w wyborze metodyki analizy ryzyka, jednak musi ona być adekwatna i udokumentowana. Stosowanie nieprzystających do realiów Urzędu, rozbudowanych „korporacyjnych” matryc 1-1000 lub, co gorsza, kopiowanie gotowców z Internetu, jest nie merytoryczne. UODO kwestionuje takie podejście, a sama analiza staje się fikcją, nie dając żadnej realnej ochrony przed incydentami.

Analiza ryzyka a ocena skutków dla ochrony danych – prezentacja UODO

Proces analizy ryzyka – krok po kroku (ekspertyza ISO 27005)

Prawidłowo przeprowadzony proces bazuje na uznanych metodykach, np. normy ISO/IEC 27005 (Zarządzanie Ryzykiem w Bezpieczeństwie Informacji).

  • Identyfikacja aktywów: określenie, co chronimy. Nie tylko sprzęt (serwery NAS), ale przede wszystkim dane mieszkańców, systemy IT (EZD, ePUAP), procedury i personel (np. pracownicy kancelarii).
  • Identyfikacja zagrożeń i podatności: ustalenie źródeł problemów (ataki hakerskie, błędy pracowników, awarie, brak aktualizacji) oraz słabych punktów (np. jedna osoba z pełnym dostępem, brak kopii offline, łatwe hasła).
  • Ocena prawdopodobieństwa i skutków: szacowanie ryzyka. W JST najczęściej stosowane są metody jakościowe, oparte na skalach słownych (niski, średni, wysoki). To najczytelniejsza i wystarczająca forma w kontekście RODO. Zawsze ocena wynika ze wspólnych kryteriów AD.
  • Wyznaczenie poziomu ryzyka i wybór reakcji:
  1. Redukcja/łagodzenie: wdrożenie zabezpieczeń (szyfrowanie, kopie zapasowe, szkolenia).
  2. Transfer: przeniesienie ryzyka (ubezpieczenie).
  3. Unikanie: rezygnacja z ryzykownego działania.
  4. Akceptacja: świadoma zgoda na niskie ryzyko (tylko za zgodą AD).
  • Plan postępowania z ryzykiem i monitoring: opracowanie harmonogramu wdrożeń, wskazanie osób odpowiedzialnych i co najważniejsze – ciągły monitoring i aktualizacja analizy.
Więcej o analizie ryzyka i DPIA

Najczęstsze błędy JST w realizacji analizy ryzyka

  • Brak zaangażowania kierowników wydziałów: analiza dotyczy procesów, nie tylko technologii.
  • Analiza robiona „do segregatora”: traktowanie jej jako jednorazowego obowiązku.
  • Brak aktualizacji po zmianach: analiza musi ewoluować wraz z Urzędem (nowi pracownicy, nowe systemy).
  • Akceptacja ryzyka przez IOD: IOD może doradzać, ale tylko Administrator Danych może świadomie akceptować ryzyko.

Efektywne narzędzia

Najbardziej efektywne w JST są proste arkusze Excel dostosowane do specyfiki Urzędu. Oparte na modelach ISO 27005 wykorzystują matryce ryzyka oparte na jakościowej skali (niski/średni/wysoki).

Rzetelna analiza ryzyka to klucz do lepszych decyzji budżetowych. Przestajesz kupować sprzęt dlatego, że są środki do wydania, a inwestycja trafia tam, gdzie ryzyko jest najwyższe, co przekłada się na realną stabilność i porządek organizacyjny. Zamiast improwizacji masz jasny plan działania dla całego Urzędu.

Czy Twoje wewnętrzne procedury są spójne z analizą ryzyka?

Umów się na spotkanie, podczas którego porozmawiamy o metodyce w kontekście wymogów UODO i normy ISO 27005. Postaw na spokój prawny i bezpieczeństwo.

Sprawdź naszą ofertę cybersecurity

Powrót

Zobacz również

Składanie wniosku rekrutacyjnego do szkoły w Zeto eNabór

20.01.2026

Sprawdź jak krok po kroku w prosty sposób złożyć wniosek rekrutacyjny do szkoły.

Czytaj

Składanie wniosku rekrutacyjnego do przedszkola w Zeto eNabór

20.01.2026

Sprawdź jak krok po kroku w prosty sposób złożyć wniosek rekrutacyjny do przedszkola.

Czytaj