Metodologie Managementul Riscurilor

Cadrul de evaluare calitativă a riscurilor: Probabilitate × Impact, revizuire anuală

Cadrul de Evaluare a Riscurilor

SSM.ro aplică o evaluare calitativă a riscurilor bazată pe scala Probabilitate × Impact cu trei niveluri: Scăzut / Mediu / Ridicat.

Fiecare risc identificat este mapat la controalele existente; riscul rezidual reprezintă expunerea rămasă după aplicarea acestor controale.

Procesul de Evaluare

Identificare — riscurile sunt identificate pe baza analizei arhitecturii, componentelor, fluxurilor de date și amenințărilor cunoscute pentru platforma SSM.ro
Evaluare pe două dimensiuni:
- Probabilitate (Likelihood): cât de probabil este să se materializeze — Scăzută (L) / Medie (M) / Ridicată (H)
- Impact: consecința materializării — Scăzut (L) / Mediu (M) / Ridicat (H)
Mapare controale — fiecare risc este mapat la controalele în vigoare care îl atenuează
Risc rezidual — expunerea rămasă după controale; obiectivul este ca toate riscurile reziduale să fie la nivel Scăzut
Aprobare — riscurile reziduale sunt acceptate formal, cu dată de aprobare documentată

Cadru de Revizuire

Registrul de riscuri este revizuit:

Cel puțin anual
La orice schimbare arhitecturală semnificativă

Documentul de evaluare este versioned, datat și clasificat Confidențial.

Domeniu de Aplicare

Evaluarea acoperă modelul Partajat (multi-tenant). Implementările Enterprise (single-tenant/dedicat) sunt evaluate separat sub un set de controale distinct.

Categorii de Riscuri Evaluate

Categorie	Exemple de riscuri
Acces și identitate	Acces neautorizat la conturi, acces neautorizat la documente în object storage
Disponibilitate	Indisponibilitate serviciu, epuizare capacitate
Integritate cod	Eșec deployment, dependențe vulnerabile, cod nesigur
Date	Pierdere date relaționale, pierdere documente
Credențiale	Expunere secrete și credențiale
Audit	Alterare log-uri, pierdere trail semnare
Terți	Compromitere sub-procesor
Conformitate	Retenție date, drepturi persoane vizate, transport securizat