Skip to content
Kordoni juhised

Riskihaldus

Kordoni riskihaldus loob terviku, sidudes riskid äriprotsesside, teenusepakkujate, varade ja dünaamiliste meetmetega. See kaasab protsessi ka riskide omanikud ja haldurid ning võimaldab jälgida leevendusmeetmete toimivust pidevalt.

Käesolev juhend annab ülevaate funktsionaalsuse eesmärkidest, tööpõhimõtetest ja praktilistest sammudest igapäevaseks riskihalduseks.

ℹ️ Turundusliku ülevaate saamiseks vaadake tootelehte: https://kordon.app/risk-management/.
🔌 API viidete jaoks külastage Riskide API-t. Juhend keskendub toote funktsionaalsusele, vältides tehnilise dokumentatsiooni dubleerimist.

Eesmärgid

Section titled “Eesmärgid”
  • Ühtne tõeallikas – Hoida kõiki organisatsiooni riske ühes usaldusväärses kohas, mitte hajutatuna tabelites.
  • Seostatud tervikpilt – Luua selged seosed äriprotsesside, riskide, varade, teenusepakkujate ja meetmete vahel.
  • Reaalajas seire – Jälgida jääkriski ja maandatud riski taset vastavalt meetmete tegelikule toimivusele. Kui kontroll ei toimi, kajastub see koheselt riski skooris.
  • Vastutus ja aruandlus – Eristada selgelt riski omanikud (strateegiline vastutus) ja haldurid (tegevuslik vastutus).
  • Vähem auditikoormust – Struktureeritud andmed ja automaatselt kogunev tõendusmaterjal muudavad auditid sujuvamaks.

Põhimõisted

Section titled “Põhimõisted”
  • Risk — Potentsiaalne sündmus või olukord, mis võib mõjutada eesmärke. Riskil on pealkiri, kirjeldus, mõju/tõenäosuse hinnang, staatus, vastutajad ning seosed teiste objektidega.
  • Vara (Asset) — Väärtus, mida tuleb kaitsta (süsteemid, teave, protsessid, rajatised, inimesed). Riskide sidumine varadega näitab, mis on ohus ja kes sellest sõltub.
  • Dünaamiline meede (Dynamic control) — Tegevus, poliitika või tehniline lahendus, mis toimib ajas. Meede sisaldab ülesandeid ja kogub tõendusmaterjali, peegeldades leevenduse tegelikku tõhusust. Kui ülesanded jäävad tegemata, muutub meede “Ebaõnnestunuks” (Failing) ja seotud risk suureneb.
  • Teenusepakkuja (Vendor) — Väline osapool (kolmas osapool), kes võib põhjustada riske või olla riskidest ohustatud.
  • Ülesanne (Task) — Tegevus (hooldus, audit, ülevaatus), mis tagab meetme toimivuse. Ülesande täitmine loob automaatselt tõendusmaterjali.
  • Äriprotsess — Tegevuste kogum, mis loob väärtust. Protsessid võivad olla riskiallikad või kannatajad, mistõttu on nende sidumine mõjuanalüüsis kriitiline.

Tööpõhimõte

Section titled “Tööpõhimõte”

Riskihaldus Kordonis ei ole staatiline register, vaid elav süsteem:

  1. Kirjeldamine – Riskid koondatakse ühte kohta ja klassifitseeritakse.
  2. Sidumine – Riskid seotakse varade, teenusepakkujate ja äriprotsessidega.
  3. Leevendamine – Lisatakse meetmed, mis genereerivad ülesandeid.
  4. Vastutus – Määratakse omanikud ja haldurid.
  5. SeireSee on Kordoni eripära: Kui meetme ülesanded hilinevad, loetakse meede ebaõnnestunuks. See tõstab automaatselt riski maandatud skoori, andes kohese signaali, et olukord on halvenenud.
  6. Ülevaatus – Regulaarselt uuendatakse hinnanguid ja planeeritakse järeltegevusi.

Alustamine

Section titled “Alustamine”

Samm 1 — Riski loomine

Section titled “Samm 1 — Riski loomine”
  1. Liigu vaatesse Riskihaldus ja alusta Uus risk.
  2. Sisesta Pealkiri ja Kirjeldus (mis võib juhtuda ja miks see on oluline).
  3. Vali Omanik (strateegiline vastutaja, sageli äripoole juht) ja Haldur (igapäevane teostaja, spetsialist).
  4. Hinda riski Mõju ja Tõenäosust (algne hinnang ilma meetmeteta).

Nipp: Hoia pealkirjad lühikesed ja konkreetsed (nt “Põhiandmebaasi katkestus”). Kirjelduses ava kontekst ja võimalikud tagajärjed.

Samm 2 — Objektide sidumine

Section titled “Samm 2 — Objektide sidumine”

Riskide sidumine organisatsiooni objektidega loob tervikliku vaate mõjust.

Varad

Section titled “Varad”
  • Lisa Varad, mida risk ohustab. Need on süsteemid, andmed või inimesed, mis saaksid riski realiseerumisel kahjustada.
  • See võimaldab koondvaateid: “Millised varad on hetkel suurimas ohus?”.

Äriprotsessid

Section titled “Äriprotsessid”
  • Seo Äriprotsessid, mida risk võib häirida. Mõtle protsessidele, mis peatuksid või aeglustuksid.
  • See aitab tuvastada talitluspidevuse murekohti ja prioritiseerida riske ärilisest vaatest.

Teenusepakkujad

Section titled “Teenusepakkujad”
  • Teenusepakkujast tulenevad riskid: Seo teenusepakkuja, kui tema on riski allikas (nt andmeleke partneri juures).
  • Teenusepakkujat ohustavad riskid: Seo teenusepakkuja, kui risk võib teda mõjutada (nt looduskatastroof teenusepakkuja asukohas).

Nipp: Üks risk võib puudutada mitut objekti. Näiteks “Makseteenuse katkestus” on seotud nii teenusepakkujaga (allikas), äriprotsessiga (mõjutatud tegevus) kui ka kliendiandmetega (ohustatud vara).

Samm 3 — Meetmete lisamine

Section titled “Samm 3 — Meetmete lisamine”

Seo riskiga meetmed, mis leevendavad riski, vähendades selle esinemise tõenäosust, mõju või mõlemat.

Mõju vähendamine

Section titled “Mõju vähendamine”
  • Meetmed, mis piiravad kahju riski realiseerumisel (nt varukoopiad, liiasus, ohjeldusmeetmed).
  • Süsteemis määratakse, mitme punkti võrra meede mõju skoori vähendab (nt 5-lt 3-le).
  • Näide: “Automaatne skaleerimine” vähendab DDoS rünnaku mõju 2 punkti võrra, säilitades teenuse kättesaadavuse, kuid ei hoia rünnakut ennast ära.

Tõenäosuse vähendamine

Section titled “Tõenäosuse vähendamine”
  • Meetmed, mis ennetavad riske või tuvastavad neid varakult (nt tulemüürid, seire, koolitus).
  • Süsteemis määratakse, mitme punkti võrra meede tõenäosuse skoori vähendab.
  • Näide: “DDoS kaitseteenus” vähendab rünnaku tõenäosust 3 punkti võrra (4-lt 1-le), filtreerides pahaloomulise liikluse.

Kombineeritud vähendamine

Section titled “Kombineeritud vähendamine”
  • Mõned meetmed mõjutavad nii tõenäosust kui ka mõju.
  • Näide: “Intsidendi lahendamise plaan” võib vähendada nii tõenäosust (varajane avastamine) kui ka mõju (kiirem taastumine).

Meetmed võimaldavad luua korduvaid ülesandeid ja koguda tõendusmaterjali, mis tagab riskide nähtavuse ja leevendamise tõhususe ajas.

Nipp: Hinda meetmete tõhusust realistlikult. Üksik meede kõrvaldab riski harva täielikult – keskendu mõõdetavatele ja saavutatavatele tulemustele.

Samm 4 — Ühenda meetmed ülesannetega

Section titled “Samm 4 — Ühenda meetmed ülesannetega”
  • Ühenda meetmed (hooldus, audit, ülevaatus) asjakohase sagedusega (kord kuus, kvartalis jne). Regulaarsed ülesanded aitavad hoida leevendused toimivana ja koguda vajalikku tõendusmaterjali.

--- ja “elus” riskihaldus

See on koht, kus Kordon erineb traditsioonilistest Exceli-põhistest registritest.

  • Meetmetest tulenevad signaalid: Riskihinnang ei ole staatiline number, vaid sõltub meetmete tervisest. Kui meetme ülesanne (nt “Iganädalane varukoopia kontroll”) jääb tegemata, loetakse meede ebaõnnestunuks.
  • Automaatne riski suurenemine: Ebaõnnestunud meetme puhul kaotab see oma mõju ja riski maandatud skoor tõuseb automaatselt tagasi algse (maandamata) taseme suunas.
  • Filtrid: Riske saab analüüsida siltide, omanike, varade, teenusepakkujate ja ohunäitajate alusel.

Tulemus: Juhtkond näeb alati tegelikku riskitaset hetkeseisuga, mitte seda, mis oli kirjas viimases auditiaruandes.

Kohandamine

Section titled “Kohandamine”
  • Väljad ja sildid: Kasutage kohandatud välju ja silte (nt kategooriad nagu Operatsiooniline, Turvalisus, Vastavus), et rühmitada riske aruandluse jaoks.
  • Hindamine: Seadistage organisatsioonile sobiv hindamismaatriks (nt 5x5 või 3x3) riskide seadetes.
  • Töövood: Standardiseerige ülevaatuse rütmid ja menetluse protsessid.
  • Teavitused: Veenduge, et e-post on seadistatud. Nii saavad omanikud ja haldurid meeldetuletusi, kui risk vajab ülevaatust või meede tähelepanu.

Omanikud ja rollid

Section titled “Omanikud ja rollid”

Kordoni filosoofia on, et turvalisus on terve organisatsiooni vastutus.

  • Riski omanik (sageli äripoole juht) — Vastutab riski aktsepteerimise ja riskitaseme strateegilise haldamise eest.
  • Riski haldur (sageli tehniline spetsialist) — Juhib igapäevast leevendamist, teeb muudatusi ja viib ellu uuendusi.

Nipid ja parimad praktikad

Section titled “Nipid ja parimad praktikad”
  • Alusta lihtsalt: Kaardista esimesed 10–20 riski, mis on organisatsioonile kriitilised; laienda haaret hiljem, kui protsess on paigas.
  • Seo iga oluline risk vähemalt ühe vara ja ühe meetmega. Ilma meetmeta risk on vaid mure; koos meetmega on see juhitud risk.
  • Kalibreeri hindamine koos valdkonna spetsialistidega, et vähendada subjektiivsust.
  • Kasuta silte järjepidevalt, et hoida ülevaated struktureerituna.
  • Sulge ring: Kui meede ebaõnnestub, tegele juurpõhjusega, mitte ära märgi lihtsalt ülesannet tehtuks.

Seotud võimalused

Section titled “Seotud võimalused”
  • Varahaldus — Mõista, millised varad on ohus ja kes neist sõltuvad: Varahaldus
  • Teenusepakkujate haldus — Halda kolmandate osapoolte riske ja seo need varade ning meetmetega: [Teenusepakku
  • Varahaldus — Mõista, millised varad on ohus ja kes neist sõltuvad: Varahaldus
  • Tarnijate haldus — Halda kolmandate osapoolte riske ja seo need varade ning meetmetega: Tarnijad

API lingid (integreerimiseks)

Section titled “API lingid (integreerimiseks)”

Märkus: See juhend keskendub toote loogikale. Täpsed päringu ja vastuse mudelid leiate API dokumentatsioonist.

Sõnastik

Section titled “Sõnastik”
  • Leevendamine (Mitigation) — Meetmed või tegevused, mis vähendavad riski tõenäosust või mõju.
  • Jääkrisk (Residual risk) — Risk, mis jääb alles pärast meetmete rakendamist.
  • Riskikäsitlemine — Otsus ja plaan: aktsepteerida, leevendada, üle kanda või vältida.