Professional Documents
Culture Documents
003
СТАНДАРД Август 2017.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Процена ризика
II издање
Референтна ознака
SRPS A.L2.003:2017 (sr)
© ИСС
Издаје Институт за стандардизацију Србије
Овај стандард донео је директор Института за стандардизацију Србије решењем бр. 2910/46-51-02/2017
од 31. августа 2017. године.
Садржај
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
Страна
Предговор..........................................................................................................................................................4
Увод ...................................................................................................................................................................6
2 Нормативне референце....................................................................................................................7
1
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Прилози
Прилог А1 (информативан) Приказ процеса процене ризика..................................................................49
Прилог А2 (информативан) Приказ активности у процесу процене ризика ..........................................50
Прилог Б (информативан) Штићене вредности......................................................................................51
Прилог В (нормативан) Критеријуми за идентификацију ризика општих пословних
активности............................................................................................................................................52
Прилог Г (нормативан) Критеријуми за идентификацију ризика по безбедност и здравље
на раду ..................................................................................................................................................53
Прилог Д (нормативан) Критеријуми за идентификацију правних ризика ......................................55
Прилог Ђ (нормативан) Критеријуми за идентификацију ризика од противправног
деловања ...............................................................................................................................................60
Прилог Е (нормативан) Критеријуми за идентификацију ризика од пожара ...................................64
Прилог Ж (нормативан) Критеријуми за идентификацију ризика од елементарних непогода
и других несрећа ..................................................................................................................................66
Прилог З (нормативан) Критеријуми за идентификацију ризика од експлозија..............................68
Прилог И (нормативан) Критеријуми за идентификацију ризика од неусаглашености
са стандардима.....................................................................................................................................71
Прилог J (нормативан) Критеријуми за идентификацију ризика по животну средину...................73
Прилог К (нормативан) Критеријуми за идентификацију ризика у управљању људским
ресурсима .............................................................................................................................................75
2
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Библиографија ..............................................................................................................................................125
3
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Предговор
Скреће се пажња на могућност да неки од елемената овог документа могу да буду предмет патентних
права. Институт за стандардизацију Србије не сноси одговорност за идентификовање било којег или
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Коришћењем овог стандарда се обезбеђује извршење свеобухватне процене ризика за органе јавне
власти, организације које пружају или користе услуге обезбеђивања лица, имовине и континуитета
пословања, тј. организују самозаштитну делатност (ради обезбеђивања своје имовине, пословања,
радних и технолошких процеса, објеката, простора и лица у њима). Резултати процене ризика служе
организацијама за избор одговарајуће врсте услуга обезбеђивања лица, имовине и континуитета
пословања, односно начина организовања самозаштитне делатности. Такође, организација може и
самостално да процењује ризике за сопствене потребе у складу са овим стандардом.
У тачки 1 овог стандарда описани су предмет, подручје примене и сврха процене ризика у области
безбедности и отпорности.
У тачки 2 су дате нормативне референце које су послужиле као основа за израду овог стандарда.
У тачки 3 су дефинисани термини који су важни за разумевање процене ризика, а нису дефинисани у
стандарду SRPS A.L2.001, Друштвена безбедност – Услуге приватног обезбеђења – Речник.
У тачки 4 је описан процес процене ризика кроз следеће фазе: успостављање контекста, идентификација
ризика, анализа ризика, вредновање ризика и поступање са ризиком. Посебна пажња је посвећена
контроли и ревизији донетих мера за поступање са ризиком и припреми и изради планова за примену
донетих мера. Ради примене донетих мера у процесу доношења одлука, обрађене су опције за
изводљивост и анализа цена–ефикасност.
У тачки 5 су дефинисани захтеви које организација мора да узме у обзир ради ефективне процене
ризика.
Oрганизација може да врши процену ризика у складу са захтевима овог стандарда за властите
потребе и за потребе корисника услуга приватног обезбеђења и других заинтересованих страна,
укључујући и органе јавне власти и осигураваче.
Овај стандард је логичан, смисаони и функционалан наставак стандарда SRPS A.L2.001, Друштвена
безбедност – Услуге приватног обезбеђења – Речник, и логички, смисаоно и функционално претходи
стандарду SRPS A.L2.002, Друштвена безбедност – Услуге приватног обезбеђења – Захтеви и упутство
за оцењивање усаглашености.
4
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Заинтересоване стране изложене потенцијалним опасностима и претњама које нису обухваћене или
нису детаљно дефинисане захтевима и критеријумима за идентификацију потенцијалних опасности и
ризика у овом стандарду, користиће захтеве и критеријуме *) који ће бити дефинисани у посебним
деловима SRPS A.L2.003, под заједничким називом Безбедност и отпорност друштва – Процена
ризика, и то:
– Део 4: Одбрана;
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
– Део 7: Здравство;
– Део 8: Просвета.
Увод
Независно од њихове врсте и величине, организације се суочавају са ризицима који могу да утичу на
остваривање њихових, како визија и мисија, тако и оперативних циљева. Ови циљеви могу да се
односе на разне активности организације, од стратешких иницијатива до функционисања, процеса и
пројеката. Нивои утицаја могу да се огледају у: друштвеним исходима, заштитним, безбедносним и
исходима који се односе на окружење; комерцијалним, финансијским и економским мерама;
друштвеним, културним, политичким утицајима, као и утицајима на репутацију организације.
Све активности организације укључују ризике којима се управља тако што организација врши
процену ризика и примењује одлуке засноване на процени. Процес процене ризика доприноси
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
ефективности одлучивања, тиме што узима у обзир неизвесност и могућност појаве будућих,
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
намераваних или ненамераваних, догађаја и околности, као и њихових утицаја на усвојену визију,
мисију и циљеве.
Овај стандард препознаје разноврсност и сложеност природе и нивоа ризика и пружа конкретна упутства
и процедуре за израчунавање нивоа ризика. Он посебно истиче начин на који би организација требало
да схвата специфичан контекст у оквиру којег примењује процес процене ризика.
Свака посебна активност или примена процене ризика носи са собом посебне потребе, одговарајуће
заинтересоване стране, приступе и критеријуме. Овај стандард нарочито ставља акценат на укључивање
активности „успостављања контекста”, као почетне активности процеса процене ризика. Овим приступом
се обухватају различитост критеријума и природа и комплексност ризика и других чинилаца који
морају да буду размотрени и којима у сваком појединачном случају мора да се управља.
Подручјe примене процеса процене ризика може се односити на различите нивое деловања – од
посебних функција и нивоа, до целокупне организације.
– осигуравајућим друштвима;
– онима који интерно у организацији или екстерно оцењују примену захтева SRPS A.L2.002, Друштвена
безбедност – Услуге приватног обезбеђења – Захтеви и упутство за оцењивање усаглашености или
проверавају усаглашености са захтевима стандарда SRPS A.L2.002;
– онима који интерно или екстерно пружају саветодавну или едукативну помоћ организацији у вези
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
са SRPS A.L2.002.
2 Нормативне референце
На следећа документа у целини или на поједине делове тих докумената нормативно се позива у овом
документу и они су неопходни за његову примену. Када се наводе датиране референце, примењује се
искључиво цитирано издање. Када се наводе недатиране референце, примењује се најновије издање
референтног документа (укључујући и његове измене).
SRPS ISO 31000:2015, Менаџмент ризиком – Принципи и смернице (ISO 31000:2009, IDT)
SRPS ISO Guide 73:2015, Менаџмент ризиком – Речник (ISO Guide 73:2009, IDT)
SRPS ISO 22300:2014, Друштвена безбедност – Терминологија (ISO 22300:2012,IDT)
SRPS EN 31010:2011, Менаџмент ризиком – Технике оцене ризика (ISO/IEC 31010:2009, IDT)
SRPS ISO 9001:2015, Системи менаџмента квалитетом – Захтеви (ISO 9001:2015, IDT)
SRPS ISO 14001:2015, Системи менаџмента животном средином – Захтеви са упутством за
коришћење (ISO 14001:2015, IDT)
SRPS ISO 22000:2007, Системи менаџмента безбедношћу хране – Захтеви за сваку организацију у
ланцу хране (ISO 22000:2005, IDT)
SRPS ISO 22301:2014, Систем менаџмента континуитетом пословања – Захтеви (ISO 22301:2012,
IDT)
SRPS A.L2.002:2015, Друштвена безбедност – Услуге приватног обезбеђења – Захтеви и
упутство за оцењивање усаглашености
SRPS ISO/IEC 27001:2014, Информационе технологије – Технике безбедности – Системи менаџмента
безбедношћу информација – Захтеви (ISO/IEC 27001:2013, IDT)
SRPS ISO 22320:2014, Менаџмент ванредним ситуацијама – Захтеви за одговор на инцидент
(ISO 22320:2011, IDT)
SRPS OHSAS 18001:2008, Систем управљања заштитом здравља и безбедношћу на раду – Захтеви
(OHSAS 18001:2007, IDT)
SRPS EN 16082:2014, Аеродромске и ваздухопловне службе безбедности1) (EN 16082:2011, IDT)
SRPS EN 16747:2016, Услуге безбедности у поморству и лукама 2) (EN 16747:2015, IDT)
SRPS ISO 28000:2010, Спецификација за системе менаџмента обезбеђењем у ланцу снабдевања
(ISO 28000:2007, IDT)
3 Термини и дефиниције
1)
Стандард се односи на услуге обезбеђења на аеродромима.
2)
Стандард се односи на услуге обезбеђења у поморству и лукама.
7
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
3.1.2
отпорност (resilience)
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
штетних ефеката одржава основне функције током и након реметилачког догађаја (3.3.5)
3.1.3
обезбеђење (security)
скуп мера и активности усмерених на спречавање настанка догађаја (3.3.5) и/или ублажавање
последица (3.4.6) за штићене вредности (3.1.1)
3.1.4
континуитет пословања (business continuity)
способност организације да настави извршавање послова из своје надлежности, као и испоруку
производа или услуга на прихватљивим претходно дефинисаним нивоима у условима реметилачког
догађаја (3.3.5)
3.1.5
ризик (risk)
утицај неизвесности на остваривање циљева
3.1.7
методологија процене ризика (risk assesment metodology)
скуп упутстава, критеријума и начина за процену ризика (3.3.1)
3.1.8
менаџер ризика (risk manager)
овлашћена особа одговорна за процес менаџмента ризиком, која је уједно и вођа тима за менаџмент
ризиком
НАПОМЕНА 2 Основна улога менаџера ризика је организовање састанака, обезбеђивање подршке руководства,
обезбеђивања одговарајућих услова за рад, поштовање принципа менаџмента ризицима, упознавање чланова тима са
захтевима руководства, праћење ефективности предузетих мера и извештавање највишег руководства о резултатима.
3.2.1
менаџмент ризиком (risk management)
координиране активности вођењa организације и управљање њоме имајући у виду ризик (3.1.5)
3.2.2
процес менаџмента ризиком (risk management process)
систематска примена политике, процедура и праксе менаџмента у активностима комуницирања,
консултовања, успостављања контекста, као и идентификовања, анализирања, вредновања, поступања
са ризиком (3.1.5), праћења (3.7.1) и преиспитивања ризика (3.7.2)
3.2.3
комуницирање и консултације (communication and consultation)
стални и итеративни процеси које организација спроводи како би обезбедила, разменила или добила
информације и укључила се у дијалог са заинтересованим странама (3.2.4) у погледу менаџмента
ризиком (3.2.1)
3.2.4
заинтересована страна (stakeholder)
особа или организација која може да утиче, да буде под утицајем, или сматра да је под утицајем
одлуке или активности
НАПОМЕНА 1 Доносилац одлуке може да буде заинтересована страна (3.2.4).
9
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
3.2.5
перцепција ризика (risk perception)
став заинтересованих страна (3.2.4) о ризику (3.1.5)
НАПОМЕНА 1 Перцепција ризика одражава потребе, захтеве, знање, веровање и вредности заинтересованих
страна (3.2.4).
3.2.6
успостављање контекста (establishing the context)
дефинисање екстерних и интерних параметара које треба узети у обзир приликом менаџмента
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
3.2.7
екстерни контекст (external context)
екстерно окружење у коме организација тежи да постигне своје циљеве
3.2.8
интерни контекст (internal context)
интерно окружење у коме организација тежи да постигне своје циљеве
3.2.9
критеријуми за ризик (risk criteria)
услови према којима се вреднује значај ризика (3.1.5)
10
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
3.2.10
оквир менаџмента ризиком (risk management framework)
скуп компонената које обезбеђују основе и организационе аранжмане за пројектовање, примену, праћење
(3.7.1), преиспитивање и стално побољшавање менаџмента ризиком (3.2.1) широм организације
НАПОМЕНА 1 Основа укључује политику, циљеве, мандат и посвећеност управљању ризиком (3.1.5).
НАПОМЕНА 2 Организациони аранжмани обухватају планове, односе, крајње одговорности, ресурсе, процесе
и активности.
НАПОМЕНА 3 Оквир менаџмента ризиком уграђен је у целокупну стратешку и оперативну политику и праксу
организације.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
3.3.1
процена ризика (risk assessment)
свеукупни процес идентификације ризика (3.3.2), анализе ризика (3.4.1) и вредновања ризика (3.5.1)
3.3.2
идентификација ризика (risk identification)
процес проналажења, препознавања и описивања ризика (3.1.5)
НАПОМЕНА 1 Идентификација ризика укључује идентификацију извора ризика (3.3.4), догађаја (3.3.5),
њихове узроке и њихове потенцијалне последице (3.4.6).
НАПОМЕНА 2 Идентификација ризика може да укључује историјске податке, теоријску анализу, стручна
мишљења и мишљења заснована на информацијама, као и потребе заинтересованих страна (3.2.4).
3.3.3
опис ризика (risk description)
структурирана изјава о ризику која обично садржи четири елемента: изворе ризика (3.3.4), догађаје
(3.3.5), узроке и последице (3.4.6)
3.3.4
извор ризика (risk source)
елемент који самостално или у комбинацији са другим елементима има сопствени потенцијал да
доведе до ризика (3.1.5)
3.3.5
догађај (event)
појава или промена одређеног скупа околности
НАПОМЕНА 1 Догађај могу да чине једна или више појава и може имати неколико узрока.
11
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
НАПОМЕНА 4 Догађај или ситуација који може да се деси или да доведе до поремећаја, губитка, ванредне
ситуације или кризе, у смислу овог стандарда, зове се „реметилачки” догађај.
НАПОМЕНА 5 За догађај без последица (3.4.6) такође могу да се употребе изрази „једва избегнут”, „инцидент”,
„само што се није десио” и „умало да се деси”.
3.3.6
опасност (hazard)
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
3.3.7
удес (emergency)
изненадни и неконтролисани догађај или низ догађаја који је измакао контроли приликом управљања
одређеним средствима за рад и приликом поступања са опасним материјама у производњи, употреби,
транспорту, промету, преради, складиштењу и одлагању, а чије последице угрожавају безбедност и
животе људи, материјална добра и животну средину
НАПОМЕНА Удес може да буде пожар, експлозија, хаварија, саобраћајни удес у друмском, речном, железничком
и авио-саобраћају, удес у рудницима и тунелима, застој рада жичара за транспорт људи, рушење брана, хаварија
на електроенергетским, нафтним и гасним постројењима, инциденти приликом руковања радиоактивним и
нуклеарним материјама и др.
3.3.8
власник ризика (risk owner)
особа или ентитет који су крајње одговорни и овлашћени за менаџмент ризиком (3.2.1)
3.4.1
анализа ризика (risk analysis)
процес схватања природе ризика (3.1.5) и одређивање нивоа ризика (3.4.10)
НАПОМЕНА 1 Анализа ризика пружа основу за вредновање ризика (3.5.1) и за одлуке о поступању са
ризиком (3.6.1).
3.4.2
вероватноћа догађања (likelihood)
шанса да се нешто догоди
НАПОМЕНА 1 Често се означава као мера извесности догађања, изражена као број између 0 и 1, где 0
представља немогућност, а 1 потпуну сигурност.
НАПОМЕНА 2 У терминологији менаџмента ризиком се реч „вероватноћа” користи онда када се односи на шансу
да се нешто догоди, било да је дефинисано, мерено или одређено објективно или субјективно, квалитативно
или квантитативно, и описано коришћењем општих појмова или математички (као што је вероватноћа у
12
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
3.4.3
изложеност (exposure)
степен до којег су организација и/или заинтересована страна (3.2.1) подложне утицају неког
догађаја (3.3.5)
НАПОМЕНА 1 Изложеност подразумева подложност ризицима штићених вредности које могу трпети ефекте
одређеног догађаја у јединици времена.
3.4.4
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
учесталост (frequency)
број догађаја (3.3.5) или исхода у дефинисаној јединици времена
НАПОМЕНА 1 Учесталост се може применити на прошле догађаје (3.3.5) или потенцијалне будуће догађаје
ако се може користити као мера вероватноће догађања.
3.4.5
рањивост (vulnerability)
карактеристичне особине штићених вредности које резултирају осетљивошћу према извору ризика
(3.3.4), што може довести до догађаја (3.3.5) са последицама (3.4.6)
НАПОМЕНА 2 Рањивост може да се дефинише као степен до којег је организација и/или заинтересована
страна (3.2.4) подложна утицају неког догађаја (3.3.5) због своје изложености (3.4.3).
НАПОМЕНА 3 Уколико је обим штете (3.4.8) дефинисан трајањем штетних утицаја на штићене вредности
(3.1.1), онда рањивост (3.4.5) укључује и отпорност (3.1.2). Овај закључак произлази из претпоставке да
рањивост (3.4.5) подразумева подложност ефектима неког догађаја (3.3.5), односно осетљивост организације
на догађај (3.3.5).
3.4.6
последица (consequence)
исход догађаја (3.3.5) који утиче на циљеве
НАПОМЕНА 2 Последица може да буде извесна или неизвесна и може да има позитивне или негативне
ефекте на циљеве.
3.4.7
критичност (criticity)
13
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
мера важности штићене вредности (3.1.1) за организацију, односно мера осетљивости организације
према догађају (3.3.5) са последицама (3.4.6) на штићене вредности (3.1.1)
3.4.8
штета (damage)
мера оштећења штићене вредности (3.1.1)
НАПОМЕНА Мера оштећења може да буде изражена у новчаним јединицама, процентуално, бројем повреда,
бројем изгубљених живота или у некој другој величини која је погодна за описивање последица (3.4.6).
3.4.9
матрица ризика (risk matrix)
алат за рангирање и приказивање ризика (3.1.5), дефинисањем опсега за последице (3.4.6) и вероватноће
догађања (3.4.2)
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
3.4.10
ниво ризика (level of risk)
величина ризика или комбинације ризика, изражена као комбинација последица (3.4.6) и њихове
вероватноће догађања (3.4.2)
3.4.11
одређивање приоритета (prioritize)
разврставање ризика према нивоу ризика (3.4.10), од највећег према најмањем
3.4.12
категоризација ризика (risk categorization)
разврставање ризика према нивоу ризика (3.4.10) у одређене категорије, у односу на одређени
критеријум
3.5.1
вредновање ризика (risk evaluation)
процес поређења резултата анализе ризика (3.4.1) са критеријумима за ризик (3.2.9) да би се утврдило
да ли је ризик (3.1.5) и/или величина ризика прихватљива или се може толерисати
3.5.2
став према ризику (risk attitude)
приступ организације оцени и на крају оптимизацији, задржавању, прихватању или одбацивању
ризика (3.1.5)
3.5.3
склоност ка прихватању ризика (risk appetite)
14
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
количина и врста ризика (3.1.5) којим је организација вољна да се бави или да га задржи
3.5.4
толерисање ризика (risk tolerance)
спремност организације или заинтересоване стране (3.2.4) да сноси ризик (3.1.5) после поступања
са ризиком (3.6.1) како би постигла своје циљеве
НАПОМЕНА На толерисање ризика могу утицати захтеви закона, осталих прописа и стандарда.
3.5.5
аверзија према ризику (risk aversion)
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
3.5.6
агрегација ризика (risk aggregation)
комбиновање извесног броја ризика у један ризик (3.1.5) да би се развило потпуније разумевање
целокупног ризика
3.5.7
прихватање ризика (risk acceptance)
на информацијама заснована одлука да се одређени ризик (3.1.5) прихвати
НАПОМЕНА 1 Ризик се може прихватити без потребе да се са њим поступа (3.6.1) или у току процеса
поступања са ризиком.
НАПОМЕНА 2 Прихваћени ризици су предмет праћења (3.7.1) и преиспитивања (3.7.2).
3.6.1
поступање са ризиком (risk treatment)
процес за модификовање ризика (3.1.5)
НАПОМЕНА 3 Поступање са ризиком може да створи нове или да модификује постојеће ризике.
3.6.2
управљање (control)
мера којом се модификује ризик (3.1.5)
НАПОМЕНА 1 Управљање обухвата сваки процес, политику, уређај, праксу, или друге мере којима се модификује
ризик.
НАПОМЕНА 2 Управљањем се не може увек постићи жељени или претпостављени ефекат модификације
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
3.6.3
избегавање ризика (risk avoidance)
одлука заснована на информацијама, која подразумева неукључивање у неку активност или повлачење
из ње, да не би постојала изложеност одређеном ризику (3.1.5)
НАПОМЕНА 1 Избегавање ризика може да се заснива на резултатима вредновања ризика (3.5.1) и/или правним
и регулаторним обавезама.
3.6.4
дељење ризика (risk sharing)
начин поступања са ризиком (3.6.1) који обухвата договорену поделу ризика (3.1.5) са другим странама
НАПОМЕНА 1 Правни или регулаторни захтеви могу да ограниче, забране или доделе овлашћење за дељење
ризика.
НАПОМЕНА 2 Дељење ризика може да се врши путем осигурања или других облика уговора.
НАПОМЕНА 3 До које мере ће ризик бити расподељен, може да зависи од поузданости и јасноће споразума о
дељењу ризика.
3.6.5
финансирање ризика (risk financing)
начин поступања са ризиком (3.6.1) који обухвата резервне споразуме за непредвиђене ситуације, за
обезбеђивање фондова, како би се сагледале или модификовале финансијске последице (3.4.6), уколико
до њих дође
3.6.6
задржавање ризика (risk retention)
прихватање потенцијалне користи од добитка или терета губитка, када је у питању одређени ризик
(3.1.5)
16
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
3.6.7
преостали ризик (residual risk)
ризик (3.1.5) који преостаје након поступања са ризиком (3.6.1)
3.7.1
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
праћење (monitoring)
стално проверавање, надгледање, критичко посматрање или утврђивање статуса да би се идентификовале
промене у односу на захтеване или очекиване нивое перформанси
НАПОМЕНА Праћење може да се примени на оквир менаџмента ризиком (3.2.10), процес менаџмента
ризиком (3.2.2), ризик (3.1.5), или управљање (3.6.2). Праћење може да врши највише руководство, стручна
екстерна организација или орган, искључиво по налогу највишег руководства које је одговорно за примену
методологије и реалност процене.
3.7.2
преиспитивање (review)
предузета активност ради утврђивања погодности, адекватности и ефективности дате материје за
постизање постављених циљева
НАПОМЕНА Преиспитивање може да се примени на оквир менаџмента ризиком (3.2.10), процес менаџмента
ризиком (3.2.2), ризик (3.1.5), или управљање (3.6.2). Преиспитивање може да врши највише руководство,
стручна екстерна организација или орган, искључиво по налогу највишег руководства које је одговорно за примену
методологије и реалност процене.
3.7.3
извештавање о ризику (risk reporting)
облик комуницирања предвиђен за информисање одређених интерних или екстерних заинтересованих
страна (3.2.4), пружањем информација о тренутном стању ризика (3.1.5) и менаџменту ризиком (3.2.1)
17
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Сврха израде овог стандарда је стварање услова за доношење ефикасних и ефективних одлука у функцији
унапређења безбедности и отпорности на основу свеобухватне процене ризика.
Процена ризика треба да допринесе уочљивом постизању циљева и унапређењу, на пример ефикасности
радних и технолошких процеса, функционисања органа јавне власти, заштите животне средине,
финансијског учинка, корпоративног руковођења, безбедности и здравља на раду, квалитета производа,
усаглашавању са правним и регулаторним захтевима, друштвеној одговорности и репутацији и
другим циљевима у складу са специфичностима организације.
Процена ризика треба да буде део руководећих дужности и интегрални део уобичајених организационих
процеса, као и процеса праћења промена. Процена ризика не би требало да буде издвојена активност,
односно не би смела да буде одвојена од најважнијих организационих активности и процеса, већ мора
да представља иманентно својство организационих процеса.
в) Процена ризика је незаобилазан део процеса доношења одлука
18
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Процена ризика се бави оним аспектима одлучивања у организацији које карактерише неизвесност,
бави се природом те неизвесности и начинима на које би се њом могло поступати.
Улазни подаци у процес процене ризика треба да буду засновани на изворима информација, као што
су искуства, повратне информације, посматрања, предвиђања и мишљења експерата. Доносиоци одлука
треба да буду упозорени на ограничења употребљених података и њихову веродостојност, начин
њихове обраде или могућност постојања различитих виђења експерата, што мора де се узме у обзир у
процесу доношења одлуке. Организација треба да користи податке који су јавно публиковани и податке
које поседују јавне службе.
Процена ризика мора да омогући препознавање могућности, перцепција и намера заинтересованих страна,
изван и унутар организације, који би могли олакшати или отежати остваривање циљева организације.
19
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
г) спецификовањем носиоца ризика или категорија ризика у циљу примене мера поступања са
ризицима, одржавања контоле ризика и интерног извештавања о релевантним информацијама о
ризику и
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
4.4 Ресурси
б) информатичку подршку;
Пре приступања процесу процене ризика је важно разумети екстерни и интерни контекст организације.
20
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
– властите могућности и снаге, у смислу ресурса и знања (капитал, људи, компетенције, процеси,
системи и технологије);
– политика и процеси;
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
Успостављање контекста процене ризика је почетна и кључна фаза у процесу процене ризика и
организација мора да је узме у обзир. Приликом успостављања контекста процене ризика организација
треба да узме у обзир тачке од 4.5 до 4.8 овог стандарда.
4.9.1 Опште напомене
21
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Организација треба да успостави циљеве, стратегије, обим и параметре активности, организације или
оних њених делова у којима се примењује процена ризика.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Контекст процене ризика може да варира у односу на потребе организације која је врши или за чије
потребе се врши процена ризика. Може да укључује, али није ограничен на:
– одређивање одговорности;
– одређивање обима пројекта, процеса, функција или активности у погледу времена и локације;
– одређивање односа између одређеног пројекта или активности и других пројеката или активности
организације;
– идентификовање неопходних студија, њиховог опсега, циљева и ресурса неопходних за такву студију.
Обраћање пажње на ове и друге релевантне факторе треба да обезбеди да усвојен приступ процене
ризика буде адекватан и пропорционалан окружењу организације и ризицима који утичу на постизање
циљева, а у складу са захтевима у тачки 5 овог стандарда.
Екстерни контекст подразумева све факторе изван организације који могу да имају утицај на њене
циљеве.
22
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Приликом успостављања екстерног контекста организација треба да уочи и екстерне факторе који
представљају активност различитих субјеката, догађаја или појава, а физички се не налазе у кругу
или просторијама организације.
а) макролокација;
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
б) микролокација;
в) конкуренција и
Екстерне факторе који су процењени као утицајни у дефинисању конкретног контекста организација
мора да посматра у односу на захтеве дефинисане у тачки 5 овог стандарда.
Интерни контекст подразумева све чиниоце унутар организације који могу остварити утицај на
процену ризика. Одређивање интерног контекста је значајно, јер:
– циљеви и критеријуми одређеног пројекта или активности треба да се размотре у светлу циљева
организације као целине;
– постојање великих ризика ствара конфузију у раду организације на свим пољима деловања.
– способности, схваћене у смислу организационог знања (нпр. капитал. људи, стручност, процеси,
системи и технологије);
– политика и процеса;
23
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Организација приликом успостављања интерног контекста треба да уочи и интерне факторе који
представљају активност различитих субјеката, догађаја или појава, а физички се налазе у кругу или
просторијама организације.
б) величина организације;
в) начин организовања;
Интерне факторе који су процењени као утицајни у дефинисању конкретног контекста организација
мора да посматра у односу на захтеве дефинисане у тачки 5 овог стандарда.
Организација може да изостави факторе који нису процењени као актуелни за процену ризика.
Изостављене факторе треба да прати менаџер ризика, ради процењивања њиховог утицаја на штићене
вредности.
4.10.1 Опште
Процена ризика је, у ужем смислу, свеобухватни процес идентификације ризика, анализе и вредновања
ризика.
У идентификацији ризика важно је утврдити постојеће стање које обухвата: изворе опасности,
међузависност извора, текуће мере контроле, реметилачке догађаје и потенцијалне последице. Извори
опасности су непосредни узроци повезани са реметилачким догађајима. Нпр. поплаве могу да настану
услед интензивних киша, оштећења на брани, или услед наглог топљења снежних наноса који
представљају изворе опасности. Такође су удар грома, људски фактор са атрибутом намерности и
ненамерности уобичајени узроци пожара. Извори опасности и реметилачки догађаји се увек
сагледавају у интеракцији са опасностима које представљају услове под којима су штићене вредности
изложене изворима опасности, тј. ризицима. Ови услови се тичу карактеристика окружења (нпр. налази
се у окружењу у коме су учестале крађе или разбојништа...) и постојања мера превенције и контроле.
У контексту опасности, друштвене заједнице које имају висок ниво изложености изворима опасности
и због недостатка одговарајућих мера контроле и превенције мање су способне да се прилагоде
опасности и сматраће се рањивијим.
24
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Уобичајено је да се опције ублажавања ризика деле на: контролу понашања која се заснива на
људским активностима које су иницирали појединаци или група, засновану на њиховом искуству;
процедуралну контролу засновану на људским активностима на основу претходно дефинисаних
приступа унутар система менаџмента; физичко-техничку контролу која обухвата пасивне/статичке
мере контроле или аутоматизоване системе у оквиру система менаџмента, без људских активности.
Опције ублажавања ризика се примењују за смањење вероватноће појаве догађаја и/или смањење
њиховог утицаја (последица). Уобичајено је да се мере превенције и приправности користе за превенцију
или ублажавање изложености или утицаја елемената под ризиком, док се мере одговора и опоравка
користе за ублажавање утицаја, односно последица. Документовање највиших нивоа ублажавања ризика
(превенције/приправности и одговора/опоравка) у односу на догађаје и њихове последице обезбедиће
битне информације током вредновања мера за поступање са ризиком. Идентификација ризика ће
открити елементе који су изложени ризику и њихов капацитет да се суоче са ризиком, како би се
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Анализа ризика обухвата разматрање узрока и извора потенцијалних опасности, њихових позитивних
и негативних последица, као и вероватноћу појављивања. Ризици се анализирају тако што се одређују
последице и вероватноћа њиховог настанка, као и остале битне особине (Прилог А2). Догађај или низ
околности могу да имају вишеструке последице и да утичу на већи број циљева. У разматрање такође
треба узети постојеће мере поступања са ризиком и њихову ефикасност. Анализа ризика пружа улазну
информацију за вредновање ризика и одлуке да ли и које је мере потребно предузети приликом
поступања са ризиком.
Начин на који су изражени вероватноћа настанка догађаја и њихове последице и начин на који се они
комбинују ради утврђивања нивоа ризика варираће у зависности од врсте опасности и сврхе излазне
информације о процени ризика. Сви елементи морају да се анализирају у складу са критеријумом за
анализу ризика прописаним у овом стандарду. Такође је важно размотрити међузависност различитих
опасности, ризика и њихових извора.
Анализи ризика треба прићи са различитим степеном детаљности, који зависи од врсте опасности,
сврхе анализе и информација, података и извора који су доступни. Анализа може да се подели на
квалитативну, полуквантитативну и квантитативну, или њихову комбинацију, у зависности од околности.
У пракси се квалитативна анализа често примењује прва у циљу долажења до опште индикације
величине опасности и откривања највећих опасности. Када год је то могуће и одговарајуће, потребно
је да се изврши и квантитативна анализа ризика као следећи корак. Без обзира на врсту анализе, мора
да се изврши квантификација нивоа ризика.
Последице могу да се одреде израдом модела исхода неког догађаја или низа догађаја, екстраполацијом
из експерименталних проучавања или из доступних података. Последице могу да се изразе у виду
одређених и неодређених утицаја. У неким случајевима је неопходно располагати већим бројем
нумеричких или описних вредности да би се прецизирале последице за различита времена, места,
групе, или ситуације.
Циљ вредновања ризика је да се помогне у доношењу одлука, на основу резултата анализе ризика, о
томе којим се ризицима треба бавити, као и доношењу одлука о приоритетима за поступање са ризиком.
25
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Вредновање ризика обухвата поређење нивоа ризика који су детерминисани у току анализе ризика и
критеријума за ризике који су утврђени у току разматрања читавог контекста. У ситуацијама у којима
је потребно да се направи избор између више опција, он ће зависити од контекста организације.
Одлуке треба да узму у обзир шири контекст ризика и укључе разматрање толерисања ризика других
организација од којих организација има користи. Одлуке такође морају да узму у обзир ограничења
правне регулативе.
Уколико ниво ризика не задовољи критеријум за ризике (прихватљиви ризици), онда се тим ризиком
треба бавити (ризик би требало да буде разматран и да се дефинишу мере за поступање према њему).
Вредновање ризика у неким условима може да доведе до одлуке о наставку даље анализе. Вредновање
ризика, такође, може да води и ка одлуци да се ризик даље не ублажава ни на који други начин осим
применом постојећих мера ублажавања ризика. Ова одлука ће зависити од склоности организације ка
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Акт о процени ризика у заштити лица, имовине и пословања, чија је основна структура приказана у
Прилогу Ф, представља основу за доношење мера физичке, техничке и физичко-техничке заштите,
које се предузимају ради:
е) контроле спровођења прописаних мера заштите и унутрашњег реда у објекту и деловима објекта
под посебним режимом;
ж) интегрисане заштите с најмање једним локалним надзорним местом (контролном собом) и системом
везе са службеницима обезбеђења на штићеном објекту;
Велики број мера за поступање са ризиком може да буде разматран и примењен појединачно или у
комбинацији. Одлуке треба да узму у обзир: ризике који могу узроковати велику штету, чак и ако су
такви догађаји ретки; високофреквентне ризике са малим штетним последицама за сваки појединачни
догађај, који могу исцрпсти финансијске ресурсе организације својим кумулативним трошковима;
ризике за које постоје очигледна решења, повољна када су у питању трошкови, која могу бити лако
имплементирана. Одлуке треба да узму у обзир правне и регулаторне захтеве, као и ризике који прете
јавном угледу и репутацији, чак и ако поступање са тим ризицима изискује додатне финансијске
трошкове. Мере поступања са ризицима треба да размотре вредности и перцепције заинтересованих
страна, као и одговарајуће начине комуникације са њима. Иако можда подједнако ефективне, неке
мере поступања са ризицима могу да буду прихватљивије за заинтересоване стране од других.
Уколико су ресурси за поступање са ризицима ограничени, онда план поступања са ризицима треба
да јасно идентификује редослед приоритета по коме ће бити примењене појединачне мере поступања
са ризицима. Трошкови непредузимања било какве активности ради поступања са ризицима треба да
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Поступање са ризицима може да доведе до ризика услед неуспеха или неефикасности мера за поступање
са ризицима. Надгледање примене мера би требало да буде саставни део плана за поступање са
ризицима како би се проверило да ли су мере ефективне.
Поступање са ризицима може да доведе и до секундарних ризика које треба проценити, умањити,
надгледати и извршити њихову ревизију. Ови секундарни ризици треба да буду уграђени у исти план
за поступање са ризицима као и првобитно процењени ризици и њима се не би требало бавити као
новим ризицима. Такође је потребно идентификовати повезаност између ризика.
Након поступања са ризицима, преостали ризик треба да буде документован и подложан преиспитивању,
а онда када је то погодно, и даљем третирању у складу са новим околностима.
Опције за ублажавање ризика, тј. део мера за поступање са ризицима не искључују обавезно једна
другу, а такође нису применљиве у свим околностима. Опције обухватају следеће:
а) избегавање ризика;
б) смањење ризика изменом процедуре;
в) смањење ризика изменом постојеће технологије и техничко-технолошког поступка рада и/или
пословања;
г) смањење ризика увођењем нових безбедносних технологија и њихових процедура;
д) смањење вероватноће;
ђ) смањење последица потенцијалних опасности;
е) подела ризика;
ж) задржавање или прихватање ризика.
Свака мера за поступање са ризицима треба да буде узета у обзир по фазама процене ризика. Анализа
сваке опције мора да узме у обзир и цену коштања измене процедура или производа (услуга) у складу
са мерама за поступање са ризицима. Анализу изводљивости треба да изврше стручне финансијске
службе, а резултате анализе да доставе доносиоцу одлука.
а) особе које су одговорне за одобравање плана и особе које су одговорне за примену плана;
б) предложене мере;
в) мере деловања и ограничења;
г) захтеве за надгледање и извештавање;
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
ђ) очекивану корист и
е) временско усклађивање.
а) да се адекватно употребе резултати анализе и поуке извучене из догађаја, све настале измене и
трендови;
б) детектовање промена у екстерном и интерном контексту, укључујући промене самог ризика које могу
да захтевају преиспитивање опција поступања са ризицима и приоритета поступања са ризицима;
в) проверавање да ли су мере поступања са ризицима ефективне и у плановима и у реализацији.
Контрола и ревизија могу да укључују редовне, периодичне или изненадне провере или контроле, у
складу са проценом највишег руководства организације. Није довољно ослањати се само на повремене
ревизије и контроле, тј. потребно је планирати више начина контроле.
Резултати контроле и ревизије треба да буду регистровани и о њима је потребно обавестити интерне
и екстерне заинтересоване стране у виду извештаја када је то потребно, а могу се такође користити и
као улазне информације за ревизију концепта управљања ризицима у процесу управљања организацијом.
А. Идентификација ризика
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
1. Анализа постојеће евиденције или записа о догађајима – као извор информација се користе
јавне службе, запослени, заинтересоване стране, полисе осигурања;
2. прелиминарна матрица ризика – опис рањивих тачака и „уских грла”, анализа изложености
организације ризицима и потенцијални ефекти на ресурсе организације;
3. дијаграм „лептир-машна”;
7. чек-листе;
Б. Анализа ризика
2. анализа узрок–последица;
7. Марковљев модел;
В. Вредновање ризика
3. анализа „5 зашто”.
29
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Г. Поступање са ризицима
3. анализа цена–ефикасност.
Менаџер ризика треба да размотри и примену других метода и алата за процену ризика.
5.1 Опште
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
У случају да организација која пружа или користи услуге приватног обезбеђења ангажује другу
организацију за процену ризика, тада је неопходно да и ангажована организација испуњава захтеве
овог стандарда.
НАПОМЕНА 1 Процена ризика укључује процес идентификације интерних и екстерних претњи и рањивости,
идентификације вероватноће догађаја са порастом таквих претњи и рањивости, дефинисање кључних функција
потребних за континуитет функционисања организације, дефинисање контроле на месту потребном за смањење
изложености и евалуацију трошкова такве контроле.
НАПОМЕНА 2 Ови захтеви се односе на организацију која пружа услуге процене ризика и организацију која
врши процену ризика за сопствене потребе.
Организација која пружа услуге процене ризика или врши процену ризика за сопствене потребе мора да:
30
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
– правне ризике;
– ризике од пожара;
– ризике од експлозија;
Особа која врши послове менаџера ризика мора да поседује одговарајуће квалификације, као и
доказе за следеће:
Препоручује се да особа која врши послове менџера ризика поседује следеће квалификације, као и
доказе за следеће:
б) високо образовање на основним академским студијама у обиму од најмање 240 ЕСПБ бодова, мастер
академским студијама, специјалистичким академским студијама, специјалистичким струковним
студијама, односно на основним студијама у трајању од најмање четири године или специјалистичким
студијама на факултету из области безбедности, правних или економских наука, као и техничких
наука и најмање пет година радног искуства на пословима који су у оквиру предмета и подручја
примене стандарда;
31
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
НАПОМЕНА 1 Извештај мора да буде израђен по „Методологији за утврђивање података о бонитету привредних
друштава, задруга, установа и предузетника и давање оцена бонитета привредних друштава” (број:01-415/15, 2.
септембар 2015. године) која је утврђена у регистру финансијских извештаја Агенције за привредне регистре, а на
основу члана 42. Правилника о условима и начину јавног објављивања финансијских извештаја и вођењу
Регистра финансијских извештаја („Сл. гласник РС” број 127/2014).
НАПОМЕНА 2 Утврђене оцене бонитета: А – одличан; Б – веома добар; Ц – добар; Д – прихватљив; Е – веома
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
НАПОМЕНА 3 Исказане ознаке статуса: Пс – отворен стечајни поступак; Пл – покренут поступак ликвидације;
Тн – неликвидност у трајању дужем од 180 дана и неликвидност на дан израде скоринга – трајна неликвидност;
Псп – статусна промена у последње три године; Н – основано у последње три године; Мп – није доставило ниједан
финансијски извештај за последње три извештајне године или је тај извештај доставило без података; Мд –
нема довољно релевантних података.
б) поседује ажурну евиденцију о насталим штетама као последицама техничких ризика у пословању,
са величином опасности 2 по критеријуму из Прилога В;
НАПОМЕНА 4 Tехнички ризици су квар и лом машина и материјала, као и квар робе на залихама, застој у
реализацији пословних активности услед промена услова на тржишту.
в) поседује ажурну евиденцију о насталим штетама као последицама финансијских ризика у пословању,
са величином опасности 2 по критеријуму из Прилога В;
НАПОМЕНА 5 Финансијски ризици су лоши пословни уговори, погрешне калкулације и обрачуни, финансијске
мере у земљи и иностранству, варијабилни курсеви и каматне стопе.
г) поседује ажурну евиденцију о насталим штетама као последицама физичких ризика у пословању,
са величином опасности 2 по критеријуму из Прилога В;
НАПОМЕНА 6 Физички ризици су везани за непредвидиве догађаје који доводе до пропадања или нестајања
имовине, најчешће услед елементарних непогода и других несрећа.
Препоручује се да организација:
а) буде усаглашена са захтевима у SRPS ISO 22301, Друштвена безбедност – Системи менаџмента
континуитетом пословања – Захтеви;
НАПОМЕНА 8 Захтеви утврђени у овом стандарду су генерички и предвиђено је да буду применљиви на све
организације или њихове делове, без обзира на њихов тип, величину, или природу. Степен примене ових захтева
зависи од окружења у којем организација функционише, као и од сложености организације.
3)
„Скоринг” је оцена способности измиривања обавеза привредног друштва, утврђена на основу квантитативног
модела вредновања финансијских принципа пословања привредног друштва, заснованог на примени финансијске
анализе и статистичког мониторинга. Оцена бонитета је оцена способности измиривања обавеза привредног
друштва, која се даје у форми скоринга.
32
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
б) буде усаглашена са захтевима у SRPS ISO 9001, Системи менаџмента квалитетом – Захтеви, са
доказима о примени.
НАПОМЕНА 9 У овом стандарду се специфицирају захтеви за систем менаџмента квалитетом онда када
организација треба да покаже своју способност да конзистентно обезбеђује производ или услугу који
испуњавају захтеве корисника и применљивих закона и прописа. Ефективном применом система менаџмента
квалитетом, процеса сталног побољшавања и доказивањем усаглашености са захтевима корисника и применљивим
захтевима закона и прописа, остварују се повећање задовољства корисника и усаглашеност производа или
услуга које организација обезбеђује. Сви захтеви у овом стандарду су генерички и предвиђени су да буду
применљиви за било коју организацију, без обзира на њену врсту, величину или производе и услуге које
обезбеђује.
Приликом процене ризика по безбедност и здравље на радном месту и у радној околини организација
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
Приликом процене правних ризика организација мора да утврди да ли код корисника постоји
могућност наступања негативних последица на основу:
е) постојања неадекватних, непотпуних или противречних закона и осталих прописа који, сами по
себи или у вези један са другим, проузрокују тешкоће у погледу законитог функционисања
организације и безбедности њеног пословања.
33
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
а) имовинског криминалитета;
б) насилничког криминалитета и тежих прекршаја против јавног реда и мира;
в) политичког криминалитета;
г) привредног криминалитета и привредних преступа и прекршаја везаних за привредно и финансијско
пословање;
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
д) корупције и других облика злоупотребе службеног положаја или положаја одговорног лица;
ђ) незаконитог деловања у области радних односа и заштите безбедности и здравља на раду;
е) других кривичних дела, привредних преступа и прекршаја чије је извршење у високом степену
вероватно услед природе делатности или других околности везаних за пословање организације
(попут високотехнолошког, еколошког и криминала везаног за повреде права интелектуалне својине).
НАПОМЕНА Када је реч о објектима који, у складу са Законом о заштити од пожара, нису у надлежности
Министарства унутрашњих послова приликом изградње и коришћења, тада се изостављају захтеви из тачке 5.9
под а), ђ) и е), критеријуми из тачке 6.3.5 под а), ђ) и е) и њима одговарајући делови у Прилогу E.
а) плански документи у области смањења ризика и управљања ванредним ситуацијама (план заштите
и спасавања у ванредним ситуацијама и план заштите од удеса);
НАПОМЕНА Када је реч о објектима који, у складу са Законом о ванредним ситуацијама, нису у надлежности
Министарства унутрашњих послова приликом изградње и коришћења, тада се изостављају захтеви из тачке 5.10
под а), критеријуми из тачке 6.3.6 под а) и њима одговарајући делови у Прилогу Ж.
34
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Приликом процене ризика од експлозија организација мора да утврди да ли код корисника постоји:
а) нормативни акти и дозвола за рад са одређеним врстама експлозивних материјала (течним, чврстим,
гасовитим) у складу са правном регулативом;
б) нормативни акти у складу са правном регулативом за заштиту од пожара објеката и/или подручја
(и другим нормативима којима се уређује ова област);
НАПОМЕНА 2 Захтеви утврђени у овом стандарду су генерички и предвиђено је да буду применљиви на све
организације или њихове делове, без обзира на њихов тип, величину, или природу. Степен примене ових захтева
зависи од окружења у којем организација функционише, као и од сложености организације.
НАПОМЕНА 3 Коришћење овог стандарда помаже корисницима услуга да успоставе квалитетан систем
обезбеђења – избором понуђача са бољом оценом квалитета, или да провере квалитет процеса којима се
пружају и користе услуге приватног обезбеђења.
НАПОМЕНА 4 Овим стандардом се утврђују захтеви за успостављање, примену, рад, праћење, преиспитивање,
одржавање и побољшавање документованог система менаџмента безбедношћу информација, у контексту укупних
пословних ризика у организацији.
35
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
НАПОМЕНА 9 Овим стандардом се утврђују захтеви за пружаоце услуга аеродромског обезбеђења. Ти захтеви
се односе на квалитет организовања, процеса, кадрова и управљања услугама обезбеђења и/или њихових
огранака у складу са привредним правом и трговином.
НАПОМЕНА 10 Овим стандардом се утврђују захтеви за пружаоце услуга обезбеђења у поморству и лукама.
Ти захтеви се односе на квалитет организовања, процеса, кадрова и управљања услугама обезбеђења и/или
њихових огранака у складу са привредним правом и трговином.
е) ISO 18788:2015, Management system for private security operations (Систем менаџмента пословима
приватног обезбеђења);
НАПОМЕНА 11 Овим стандардом се утврђују принципи и захтеви за систем менаџмента пословима приватног
обезбеђења (SOMS – Security Operations Management System).
НАПОМЕНА 12 Стандард даје оквир за управљање пословањем и ризицима за организације које обављају или
уговарају послове обезбеђења и сродне активности и функције, демонстрирајући:
– спровођење стручних послова обезбеђења у интересу задовољавања захтева корисника и других заинтересованих
страна;
– одговорност за спровођење закона и поштовање људских права;
– усклађеност са добровољним обавезама које су прихваћене.
НАПОМЕНА 13 Овим стандардом се утврђују захтеви за систем менаџмента обезбеђењем, укључујући оне аспекте
који су критични за осигурање безбедности у ланцу снабдевања. Менаџмент обезбеђењем је повезан са многим
аспектима пословања. Аспекти обухватају све активности којима организација управља или оне које су под утицајем
организације које имају утицај на безбедност у ланцу снабдевања. Ове друге аспекте треба узети у обзир онда када они
имају утицај на менаџмент обезбеђењем, укључујући транспортовање ових роба дуж ланца снабдевања.
Приликом процене ризика по животну средину организација мора да утврди да ли код корисника
постоји:
4)
Видети фусноту 1 у Нормативним референцама.
5)
Видети фусноту 2 у Нормативним референцама.
36
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
НАПОМЕНА 1 Релевантни закони су: Закон о заштити животне средине, Закон о процени утицаја на животну
средину, Закон о хемикалијама.
Приликом процене ризика у управљању људским ресурсима организација мора да утврди да ли код
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
корисника постоји:
б) техничка, физичка и/или логичка средства заштите главних компонената ИКТ система и
електронских података;
37
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
У овој тачки стандарда је утврђена методологија за процену ризика и у складу са њом организација
која врши процену ризика мора да обради сваки појединачни проблем.
Организације које пружају услуге процене ризика или за сопствене потребе врше процену ризика
морају да испуњавају опште захтеве у 5.3 овог стандарда.
Захтеви за квалификованост особа које врше процену ризика, тј. менаџера ризика, дати су у 5.4 овог
стандарда.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
a) идентификацију ризика:
– правни ризици,
– ризици од пожара,
– ризици од експлозија,
б) анализу ризика;
ђ) процену ризика;
з) поступање са ризиком;
За идентификоване ризике користе се термини „постоји” и „не постоји” на оним обрасцима и на оне
начине који су прописани овим стандардом.
За евидентирање и прелиминарну анализу ризика организација мора да примени образац прописан овим
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
стандардом (Прилог Љ). Резултати прелиминарне анализе су улазни елементи за анализу ризика.
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
Критеријум за идентификацију ризика општих пословних активности дат је у Прилогу В, табела В.1.
Ризике у оквиру општих пословних активности организација мора да идентификује према следећим
ставкама:
б) евидентиране последице техничких ризика – квар и лом машина и материјала, као и квар робе на
залихама и сл, изражено у новчаном износу;
г) евидентиране последице физичких ризика – везани су за дејства која доводе до пропадања или
нестајања имовине услед елементарних непогода и других несрећа, изражено у новчаном износу
штете;
Критеријуми за идентификацију ризика по безбедност и здравље на раду дати су у Прилогу Г, табела Г.1.
а) могућности настајања правне одговорности или материјалне и/или репутационе штете због одавања
штићених података и докумената (пословних тајни, тајних података, података о личности и других
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
д) опасности од губитка судских, управних и других спорова и поступака које корисник води и
настајања правне одговорности и/или материјалне и/или репутационе штете по том основу;
ђ) могућности наступања материјалне и/или репутационе штете услед непостојања правних механизама
заштите или непоштовања законске регулативе у области физичке и техничке заштите лица и
имовине организације;
е) могућности настајања правне одговорности и/или материјалне и/или репутационе штете услед
непостојања, неадекватности, непотпуности или противречности закона и других прописа који се
односе на пословање организације.
а) имовинског криминалитета;
в) политичког криминалитета;
д) корупције и других облика злоупотребе службеног положаја или положаја одговорног лица;
е) других кривичних дела, привредних преступа и прекршаја чије је извршење вероватно у високом
степену услед врсте делатности или других околности везаних за пословање организације (попут
високотехнолошког, еколошког и криминалитета везаног за повреде права интелектуалне својине).
НАПОМЕНА Организација није дужна да утврђује постојање могућности вршења противправног деловања у
областима у којима, сходно врсти делатности и осталим околностима везаним за пословање, није вероватно да
до њега може доћи.
односно правила заштите од пожара, план заштите од пожара објекта или подручја);
Критеријум за идентификацију ризика по животну средину дат је у Прилогу Ј, табела Ј.1. Ризике по
животну средину организација треба да идентификује према следећем:
г) постојању екстерне организације која врши надзор и директне комуникације са одговорним особама у
државним службама за реаговање у ванредним ситуацијама или еколошким инцидентима.
6)
Видети фусноту 1 у Нормативним референцама.
7)
Видети фусноту 2 у Нормативним референцама.
42
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Критеријум за идентификацију ризика у управљању људским ресурсима дат је у Прилогу К, табела К.1.
Ризике у управљању људским ресурсима организација треба да идентификује према следећем:
а) постојању дефинисане безбедносне политике у ИКТ сектору и интерне регулативе која прописује
овлашћења, надлежности и процедуру приступа главним компонентама ИКТ система и регулише
значајне аспекте заштите података;
б) постојању техничких, физичких и/или логичких средстава заштите главних компонената ИКТ
система и електронских података;
Степеновање вероватноће организација мора да врши на следећи начин (Прилог Н, табела Н.1):
В=И#Р (1)
Изложеност (И) представља степен до којег је организација и/или заинтересована страна подложна
утицају неког догађаја.
Степеновање изложености (И) организација мора да врши на следећи начин (Прилог Н, табела Н.2):
а) код корисника услуге не постоји трогодишња евиденција, већ евиденција за краћи временски
период, али не краћи од једне године;
б) време постојања организације је краће од три године, a уколико постоје евиденције догађаја,
поред изложености, организација ће узети у разматрање и учесталост.
Организација може да одступи од овог временског одређења ако код корисника услуге:
а) не постоји трогодишња евиденција, већ евиденција за краћи временски период, али не краћи од
једне године, у случају када је време постојања организације краће од три године и
б) евиденција постоји за период дужи од три године и из ње се могу приказати битни показатељи
учесталости догађаја.
Рањивост (Р) представља постојеће стање заштите организације, односно осетљивост организације
на идентификоване ризике
Степеновање рањивости организација мора да врши на следећи начин (Прилог Н, табела Н.3):
Степеновање последица организација мора да врши на следећи начин (Прилог Њ, табела Њ.3):
П=Ш#К (2)
Степеновање штете организација мора да врши на следећи начин (Прилог Њ, табела Њ.1):
Критичност (К) је мера вредности, односно важности штићене вредности за организацију, односно
осетљивости организације на ефекте деловања штетног догађаја на штићене вредности.
Степеновање критичности организација мора да врши на следећи начин (Прилог Њ, табела Њ.2):
Ниво ризика је производ степена вероватноће и степена последица (Прилог O, табела O.2).
НР = В П (3)
Ниво ризика одређен према овом стандарду може да буде у границама од минимално 1 до
максимално 25 (Прилог O, табела O.1).
Ради процене ризика организација мора да класификује ризике у категорије, а потом да одреди који
су ризици прихватљиви, а који нису.
45
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Ради смањивања нивоа ризика организација мора да предузме једну меру или комбинацију следећих
мера.
а) Избегавање ризика
технолошке процесе.
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
д) Смањење вероватноће
Препоручује се да организација примени мере које ће смањити учесталост догађаја или временску
изложеност штићене вредности. Ово обухвата и увођење нових или побољшаних мера заштите
критичних елемената организације на принципима прорачунске процене побољшане отпорности
и/или смањене рањивости по критеријуму цена–ефикасност.
е) Подела ризика
Препоручује се да организација пренесе све или део ризика на организацију за осигурање од ризика
и/или организације које пружају услуге приватног обезбеђења, у складу са пословном политиком
организације.
У свакој фази процене ризика организација мора да размотри да ли је одређена мера за поступање са
ризицима примењива са аспекта:
Након коначног утврђивања мера за поступање са ризицима, примене мера за смањивање или
ублажавање ризика и оцене да ли постоји неприхватљив преостали ризик, користећи критеријуме за
процену ризика из овог стандарда, организација мора да изврши анализу и одреди величину стварних
трошкова даљег поступања са ризицима у складу са свим општим и посебним карактеристикама
организације. Анализу односа цена–ефикасност врше стручне службе организације, примењујући
општепризнате методе и методе утврђене правном регулативом.
Све релевантне информације о процени ризика треба евидентирати ради архивирања, у складу са
обрасцем прописаним овим стандардом (Прилог С).
Ако преостали ризик не испуњава ове критеријуме, онда организација треба да примени даље мере за
поступање са ризицима.
Ако је преостали ризик прихватљив, онда организација треба да изврши евиденцију релевантних
информација о ризику ради архивирања (Прилог С).
У процесу процене ризика организација мора да узме у обзир могућност да поједини ризици не утичу
самостално на штићене вредности.
Ако организација у процесу процене ризика уочи да било који појединачни ризик има већу вероватноћу
догађања или могуће последице по штићене вредности и да може доћи до мултипликовања догађаја,
односно повећања штетних ефеката због мултипликовања опасности, она онда мора да приступи
приоритетном поступању са таквим ризиком, ангажујући све потребне ресурсе, посебно ако агрегација
последица има шири утицај на окружење.
47
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
– метода дедукције и индукције (за извођење закључака о квалитету применом објективног алгоритма –
истог критеријума).
Ове методе могу да се примене као програмска апликација за обраду нумеричких података из тачке 6
овог стандарда, као и за оцењивање усаглашености у 5.2.1 и 5.2.2 овог стандарда.
За оцењивање испуњености захтева за особе које врше процену ризика (менаџер ризика) користи се Прилог
У, Матрица за оцењивање испуњености захтева за особе које врше процену ризика (менаџер ризика).
НАПОМЕНА Код органа јавне власти оцењивање испуњености захтева за особе које врше процену ризика
може да се врши у складу са прописима.
© ИСС 2017
49
SRPS A.L2.003:2017
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
50
SRPS A.L2.003:2017
Прилог Б
(информативан)
Штићене вредности
Ред.
Штићене вредности Области утицаја штићених вредности
број
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
Регулаторно-правне
НЕНОМИНАЛНЕ
Заинтересоване Негативан утицај на органе управе или запослене, морал запослених, утицај
6
стране на заинтересоване стране
51
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Прилог В
(нормативан)
1.1 Скоринг – оцена бонитета Е или Пс Д (Д+, Д–) Ц (Ц+, Ц–) или Б (Б+, Б–) А или Н
или ознака статуса или Пл или Тн Мп или Мд или Псп
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
52
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог Г
(нормативан)
53
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
54
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог Д
(нормативан)
55
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
цедура од стране слених и одго- слених и одго- слених и одго- слених и одго- слених и одго-
запослених и ворних лица ворних лица ворних лица ворних лица ворних лица
одговорних и спровођење и спровођењe и спровођењe и спровођењe и спровођењe
лица и спрово- мера за мера за мера за мера за мера за
ђења мера за превенцију и превенцију и превенцију и превенцију и превенцију и
превенцију поступање са поступање са поступање са поступање са поступање са
и поступање ризиком, уз ризиком, уз ризиком која се ризиком која ризиком која
са ризиком непостојање постојање не- не примењује се примењује се примењује
праксе фактич- aдекватне, редовно и редовно и редовно и
ког вршења нередовне и доследно, или доследно, али доследно, уз
контроле од недоследне непостојање уз непостојање постојање
стране посло- фактичке интерне регула- свести (међу свести (међу
водних органа контроле од тиве, уз посто- запосленима) запосленима)
стране посло- јање редовне и о значају и о значају и
водних органа доследне фак- оправданости оправданости
тичке контроле контролног контролног
процеса процеса
3.4 Постојање, 1. Непостојање 1. Непостојање 1. Постојање 1. Постојање 1. Постојање
потпуност и интерних про- интерних про- интерних про- интерних про- интерних про-
адекватност цедура којима цедура којима цедура којима цедура којима цедура којима
интерних се додељују се додељују се додељују се додељују се додељују
процедура и надлежности надлежности надлежности надлежности надлежности
процедура за запосленима у запосленима у запосленима у запосленима у запосленима у
мониторинг, вези са кон- вези са кон- вези са кон- вези са кон- вези са кон-
закључивање тролом закљу- тролом закљу- тролом закљу- тролом закљу- тролом закљу-
и реализацију чивања и реа- чивања и реа- чивања и реа- чивања и реа- чивања и реа-
домаћих и лизацијом лизацијом лизацијом лизације лизацијом
међународних уговора. уговора, али уговора, али уговора, али уговора које
уговора и 2. Непостојање уз постојање уз њихову нере- уз извесне се примењују
превенцију одговарајућих праксе вршења довну или недо- недоследности редовно и
настанка заштитних фактичке следну примену у примени које доследно.
имовинске клаузула у контроле над или њихово нису оставиле 2. Постојање
штете услед домаћим и закључивањем непостојање, значајније заштитних
закључења међународним и реализацијом уз фактичку последице, клаузула у
неповољних уговорима уговора која се контролу која уз фактичку домаћим и
пословних показала неаде- се показала контролу која међународним
аранжмана кватном, нере- као релативно се показала уговорима
довном или редовна и као адекватна, и њихова
недоследном. доследна. редовна и доследна
2. Непостојање 2. Постојање доследна. примена
одговарајућих заштитних 2. Постојање заш-
заштитних клаузула титних клаузула
клаузула у само у великим у домаћим и
домаћим и домаћим и међународним
међународним међународним уговорима, али
уговорима уговорима уз недоследност
у њиховој
примени
56
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
57
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
58
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
један са другим, обавезе за органи- обавезе за органи- обавезе за органи- обавезе за органи- обавезе за органи-
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
проузрокују зацију, које могу зацију, које могу зацију, које могу зацију, које могу зацију, које могу
тешкоће у изазвати неоткло- изазвати тешку изазвати штету изазвати мање изазвати мини-
погледу зако- њиву тешку штету штету по по пословање поремећаје у малне поремећаје
нитог функци- по пословање пословање процесу рада у процесу рада
онисања или не изазивају
организације никакве поремећаје
и безбедности у процесу рада
њеног
пословања
59
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Прилог Ђ
(нормативан)
ризика 5 4 3 2 1
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
60
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
реда и мира
мера за заштиту клијената, мера заштите мера заштите мера заштите
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
61
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
62
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
3. Нема ефиканих борбе против о потреби ностима борбе јена свест о по-
механизама корупције. борбе против против корупције, треби и могућ-
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
надзора над 3. Постоје дели- корупције. али она није на ностима борбе
радом одговор- мично развијени 3. Постоје разви- потребном нивоу. против корупције.
них или служ- механизми јени механизми 3. Постоје разви- 3. Постоје разви-
бених лица надзора над надзора над јени механизми јени механизми
радом одговор- радом одговор- надзора над надзора над радом
них или служ- них или службе- радом одговор- одговорних или
бених лица, али них лица, али су них или служ- службених
су приметни приметни извес- бених лица, али лица, и постоји
значајни пропу- ни пропусти у не постоји сис- системска и
сти у њиховој њиховој импле- темска и стална стална обука за
имплементацији ментацији обука за борбу борбу против ко-
против коруп- рупције и кориш-
ције и кориш- ћење законских
ћење законских механизама
механизама заштите.
заштите.
4.6 Могућност да 1. Организација не 1. Организација поседује одговарајуће акте из области БЗР-а сходно
организација поседује одговара- законским захтевима.
постане јуће акте из обла-
објекат сти БЗР-а сходно
незаконитог законским
деловања у захтевима.
области и не предузима aли они нису који су потпуни, који су потпуни, који су потпу-
радних односа на закону потпуни, адек- адекватни и адекватни и ни, адекватни и
и заштите засноване мере ватни или ажу- ажурни и иако ажурни и преду- ажурни; преду-
безбедности заштите БЗР-а. рни и иако пре- предузима на зима на закону зима на закону
и здравља 2. Не постоји јасна дузима на за- закону засно- засноване мере засноване мере
на раду расподела кону засноване ване мере заштите БЗР-а. заштите БЗР-а.
одговорности мере заштите заштите БЗР-а, 2. Постоји јасна 2. Постоји јасна
и послова у БЗР-а, оне су постоје извесни расподела одго- расподела одго-
области БЗР-а. нередовне и пропусти у им- ворности и пос- ворности и по-
3. Не постоје селективне. плементацији. лова у области слова у области
ефикасни меха- 2. Не постоји 2. Не постоји БЗР-а, али није БЗР-а која је дос-
низми надзора јасна расподела јасна расподела доследно спро- ледно спроведена
над радом одго- одговорности одговорности ведена кроз кроз системати-
ворних лица за и послова у и послова у систематизациј зацију радних
остваривање области БЗР-а. области БЗР-а. у радних места. места.
права по основу 3. Постоје меха- 3. Постоје меха- 3. Постоје меха- 3. Постоје меха-
рада и соци- низми надзора низми надзора низми надзора низми надзора
јалног осигу- над радом одго- над радом одго- над радом одго- над радом одго-
рања ворних лица за ворних лица за ворних лица за ворних лица за
остваривање остваривање остваривање остваривање
права по основу права по основу права по основу права по основу
рада и социјал- рада и социјалног рада и социјалног рада и социјалног
ног осигурања, осигурања који осигурања који осигурања који
али они нису по- су адекватни и су адекватни и су адекватни и
тпуни и адеква- потпуни, али су потпуни, али уз потпуни, постоји
тни и приметни приметни изве- извесне тешкоће квалитетна
су значајни про- сни пропусти у у комуникацији комуникација и
пусти у њиховој њиховој импле- и сарадњи између сарадња између
имплементацији ментацији представника представника
послодавца и послодавца и
запослених запослених
63
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Прилог Е
(нормативан)
аката у складу тивна акта и не заштите од тивна акта која тивна акта која нормативна
са правном примењује их у пожара који је није одобрио је оверио акта у складу
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
64
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
65
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Прилог Ж
(нормативан)
ризика 5 4 3 2 1
6.1 Постојање Организација Организација Организација Организација Организација
планских није спровела има појединачна поседује план поседује план поседује план
докумената процену угро- документа у виду заштите и заштите и заштите и
у области жености, не упутстава за рад спасавања и план спасавања у спасавања у
смањења поседује план на појединим заштите од удеса, ванредним ванредним
ризика и заштите и радним местима израђен у складу ситуацијама и ситуацијама и
управљања спасавања у о поступању у са важећим план заштите план заштите од
ванредним ванредним случају законом. Са од удеса, израђен удеса, потпуно
сутуацијама, ситуацијама, не елементарних планом нису у складу са усклађен са
тј. плана поседује план непогода и упознати његови важећим Законом важећим Законом
заштите и заштите од удеса других несрећа. носиоци и о ванредним о ванредним
спасавања у Запосленима се извршиоци. План ситуацијама. Са ситуацијама.
ванредним повремено скреће није усклађен са планом су у Са планом су у
ситуацијама и пажња на потребу планом заштите потпуности потпуности
плана заштите да примене та и спасавања у упознати његови упознати његови
од удеса, упутства ванредним носиоци, али не носиоци и
усклађеног ситуацијама и извршиоци. извршиоци. План
са планом јединице локалне План заштите је усклађен са
заштите и самоуправе, и спасавања у планом заштите
спасавања у односно ванредним и спасавања у
ванредним Републике. План ситуацијама ванредним
ситуацијама заштите и је делимично ситуацијама
надлежних спасавања у усклађен са јединице локалне
органа ванредним планом заштите самоуправе,
локалне ситуацијама није и спасавања у односно
самоуправе усклађен са ванредним Републике.
који је оверио суседним ситуацијама План је усклађен
надлежни прекограничним јединице локалне са суседним
орган субјектима самоуправе, прекограничним
односно субјектима
Републике. План
је делимично
усклађен са
суседним
прекограничним
субјектима
66
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
67
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Прилог З
(нормативан)
нормативних поседује дозволу поседује план поседује план поседује план поседује план
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
68
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
69
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
заштиту од
материјама експлозија се није оверио није оверио експлозивним експлозивним
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
70
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог И
(нормативан)
5 4 3 2 1
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
8.1 SRPS ISO 22301, Нема Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Друштвена имплементиран тиран стандард и тиран стандард и тиран стандард и тиран стандард и
безбедност – стандард води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
Системи записа којима то записа којима записа којима којима то
менаџмента доказује то доказује то доказује доказује
континуите-
том пословања –
Захтеви
8.2 SRPS A.L2.002, Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Друштвена тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
безбедност – води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
Услуге приват- записа којима то записа којима записа којима којима то
ног обезбеђења – доказује то доказује то доказује доказује
Захтеви и
упутство за
оцењивање
усаглашености
8.3 SRPS ISO/IEC Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
27001, тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
Информационе води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
технологије – записа којима то записа којима записа којима којима то
Технике доказује то доказује то доказује доказује
безбедности –
Системи
менаџмента
безбедношћу
информација –
Захтеви
8.4 SRPS ISO 22320, Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Друштвена тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
безбедност – води <50 посто води ≥50 посто води ≥80 посто води све записе
Менаџмент записа којим записа којима записа којима то којима то
ванредним то доказује то доказује доказује доказује
ситуацијама –
Захтеви за
одговор на
инцидент
71
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
8.7 ISO 18788, Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Систем тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
менаџмента води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
пословима записа којима записа којима записа којима којима то
приватног то доказује то доказује то доказује доказује
обезбеђења
8.8 SRPS ISO 28000, Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Спецификација тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
за системе води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
менаџмента записа којима записа којима записа којима којима то
обезбеђењем то доказује то доказује то доказује доказује
у ланцу
снабдевања
72
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог J
(нормативан)
органи- безбедности. не садржи све не садржи све садржи све садржи све
зацијске и 2. Не постоји неопходне неопходне неопходне неопходне
планске план заштите елементе. елементе. елементе. елементе.
регулативе од удеса. 2. Не постоји 2. _План заштите 2. План заштите 2. План заштите
из области план заштите од удеса је од удеса је од удеса је
3. Према
заштите од удеса. непотпун. непотпун. потпун.
животној
животне
средини се не 3. Према 3. _Према 3. Одговорно се 3. Одговорно се
средине
поступа на животној животној поступа према поступа према
одговоран средини се не средини се животној животној
начин поступа на поступа средини средини
одговоран делимично на
начин одговоран
начин
9.2 Опремљеност 1. Запослени нису 1. Запослени су 1. Запослени су 1. Запослени су 1. Запослени су
одговарајућом ни теоријски, оспособљени за оспособљени за оспособљени оспособљени
опремом за ни практично, реаговање у реаговање у за реаговање за реаговање
реаговање у оспособљени за ванредним ванредним у ванредним у ванредним
ванредним реаговање у ситуацијама ситуацијама ситуацијама ситуацијама
ситуацијама ванредним или еколошким или еколошким или еколошким или еколошким
или ситуацијама инцидентима инцидентима, инцидентима, инцидентима,
еколошким или еколошким теоријски, али теоријски и и теоријски и и теоријски и
инцидентима и инцидентима. не и практично. практично. практично. практично.
оспособљеност 2. Не спроводе се 2. Не спроводе се 2. Периодичне 2. Периодичне 2. Периодичне
људских периодичне периодичне провере провере оспо- провере оспо-
ресурса за провере оспо- провере оспо- оспособљеност собљености се собљености се
реаговање у собљености, собљености, и се спроводе спроводе за део спроводе за
њима запослених. посебно за делимично. запослених. све запослене.
3. Потпуна је радна места 3. Делимична је 3. Потпуна је 3. Потпуна је
неопремљеност са повећаним опремљеност опремљеност опремљеност
одговарајућом ризиком. одговарајућом одговарајућом одговарајућом
опремом за 3. Потпуна је опремом за опремом за опремом за
реаговање у неопремљеност реаговање у реаговање у реаговање у
ванредним одговарајућом ванредним ванредним ванредним
ситуацијама опремом за ситуацијама ситуацијама ситуацијама
или еколошким реаговање у или еколошким или еколошким или еколошким
инцидентима. ванредним инцидентима инцидентима инцидентима
ситуацијама
или еколошким
инцидентима.
73
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
потенцијал висок
коришћене
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
технологије
9.5 Постојање 1. Не постоји 1. Не постоји 1. Постоји 1. Постоји 1. Постоји
екстерне екстерна екстерна екстерна супер- екстерна супер- екстерна супер-
организације супервизорска супервизорска визорска орга- визорска орга- визорска орга-
која врши организација. организација. низација, без низација без низација са
надзор и 2. Не постоји 2. Постоји периодичних периодичних периодичним
директне директна директна провера. провера. проверама.
комуникације комуникација комуникација 2. Постоји 2. Постоји 2. Постоји
са одговорним са одговорним са одговорним директна директна директна
особама у особама у особама у комуникација комуникација комуникација
државним државним државним са одговорним са одговорним са одговорним
службама за службама за службама за особама у особама у особама у
реаговање у реаговање у реаговање у државним државним државним
ванредним ванредним ванредним службама за службама за службама за
ситуацијама ситуацијама ситуацијама реаговање у реаговање у реаговање у
или или еколошким или еколошким ванредним ванредним ванредним
еколошким инцидентима инцидентима, ситуацијама ситуацијама ситуацијама
инцидентима али без перио- или еколошким или еколошким или еколошким
дичних провера инцидентима, инцидентима, инцидентима,
али без перио- са перио- са перио-
дичних провера дичним дичним
проверама проверама
74
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог К
(нормативан)
ризика 5 4 3 2 1
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
75
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
стални/контину стални/конти-
-ирани процес нуирани ни/континуира- ни/континуира ни/континуи-
заснован на процес ни процес ни процес рани процес
циљевима заснован на заснован на заснован на заснован на
организације. циљевима. циљевима, већ циљевима. циљевима.
се спроводи ad 3. Критеријуми за 3. Утврђени су и
3. Нису утврђени 3. Нису утврђени
hoc. селекцију документовани
нити докумен- нити
товани крите- документовани 3. Критеријуми за кандидата за критеријуми за
ријуми за критеријуми за селекцију радне позиције селекцију
селекцију селекцију кандидата за су докумен- кандидата за
кандидата за кандидата за радне позиције товани, али радне позиције
радне позиције радне позиције су утврђени и постоје повре-
документовани, мена
али су непот- одступања од
пуни и нису у критеријума
складу са ана-
лизом радних
позиција/места
4. Кандидати 4. Кандидати 4. Кандидати 4. Кандидати 4. Сви кандидати
за посао не за посао за посао за посао за посао у
потписују потписују потписују потписују компанији
документ(а) документ(а) документ(а) документ(а) потписују
којима се упо- којима се којима се којима се документ(а)
знају са свим упознају са упознају са упознају са којима се
релевантним информацијама информацијама информацијама упознају са
информацијама везаним за везаним за везаним за свим реле-
везаним за будући посао, будући посао, будући посао, вантним
будући посао које нису у које нису у које нису у информацијама
и међусобним потупности потупности потупности везаним за
правима и релевантне и релевантне и релевантне и будући посао,
обавезама јасне, као ни јасне, као ни јасне, као ни као и међусо-
између органи- међусобна међусобна међусобна бним правима
зације и поје- права и обавезе права и обавезе права и обавезе и обавезама
динца између органи- између органи- између органи- између органи-
зације и поје- зације и поје- зације и поје- зације и поје-
динца динца динца динца
76
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
2. Менаџерима и 2. Менаџерима и
супервизорима/ или кратка. супервизорима/ 2. Менаџерима и социјална).
надзорницима 2. Менаџерима и надзорницима супервизорима/ 2. Менаџерима и
који су супервизорима/ који су надзорницима супервизорима/
одговорни за надзорницима одговорни за који су надзорницима
управљање који су управљање одговорни за који су одго-
запосленима одговорни за запосленима је управљање ворни за
нису управљање обезбеђена запосленима управљање
обезбеђени запосленима адекватна је обезбеђена запосленима
адекватна нису обука и адекватна обезбеђени
обука и обезбеђени могућност за обука и су адекватна
могућност за адекватна обу- развој њихових могућност за обука и
развој њихових ка и могућност управљачких развој њихових могућност за
управљачких и за развој и надзорних управљачких развој њихових
надзорних њихових вештина, али и надзорних управљачких
вештина. управљачких и је ad hoc. вештина. и надзорних
3. Запослени надзорних 3. Запослени 3. Сви запослени вештина.
немају план вештина, или имају план имају план 3. Сви запослени
рада и нор- не постоји рада и норму/ рада и норму/ имају план
му/циљеве који подршка за /циљеве који /циљеве који рада и норму/
одређују зада- примену. одређују зада- одређују зада- /циљеве који
тке/активности 3. Запослени тке/активности тке/активности одређују зада-
и очекиване немају план и очекиване и очекиване тке/активности
резултате за рада и нор- резултате за резултате за и очекиване
будуће задатке му/циљеве који будуће задатке, будуће задатке, резултате за
одређују зада- али се они али их понекад будуће задатке
тке/активности примењују не примењују
и очекиване повремено и сви запослени;
резултате за на поједине
будуће задатке, запослене
или су они
неусклађени,
нереални и/или
нејасни
77
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
нема развијене
накнада. ватна накнада. ватна накнада.
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
78
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
79
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
2. Организација
у оквиру одређени. недостатака. недостатака.
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
планира у
годишњег 2. Организација 2. Организација 2. Организација
оквиру
буџета планира у планира у планира у
годишњег
средства за оквиру годиш- оквиру оквиру годиш-
буџета
обуку и развој њег буџета годишњег њег буџета
средства за
запослених. средства за буџета средства за
обуку и развој
3. Не постоји запослених, обуку и развој средства за обуку и развој
евиденција али су та запослених, обуку и развој запослених.
запослених средства али се она не запослених, 3. Постоји
који су недовољна или издвајају. али су могућа евиденција
завршили се не издвајају. 3. Постоји повремена запослених
обуку на евиденција кашњења у који су
годишњем 3. Не постоји издвајању.
евиденција запослених завршили
нивоу који су 3. Постоји обуку на
запослених
који су завршили евиденција годишњем
завршили обуку на запослених нивоу
обуку на годишњем који су
годишњем нивоу, али је завршили
нивоу непотпуна обуку на
и/или годишњем
недоступна нивоу
запосленима
80
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
81
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Прилог Л
(нормативан)
ризика 5 4 3 2 1
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
82
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
83
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
ИКТ инфра- ИКТ инфра- ИКТ инфра- ИКТ инфра- ИКТ инфра-
структуре, структуре, структуре, структуре, структуре,
организација организација организација организација континуитет
није у могућ- није у могућ- није у могућ- није у могућ- пословања није
ности да спро- ности да спро- ности да спро- ности да спро- угрожен, јер је
води процесе води процесе води све процесе води све процесе организација у
реализације реализације реализације реализације стању да у
производа/услуге производа/услуге производа/услуге производа/услуге потпуности
из домена своје из домена своје из домена своје из домена своје обавља своју
делатности, делатности, делатности, делатности, делатност.
односно да односно да односно да у односно да у 3. Штета која
задовољи задовољи потпуности потпуности том приликом
потребе комите- потребе комите- задовољи задовољи може настати је
ната/клијената. ната/клијената. потребе комите- потребе комите- занемарљива
3. Уколико 3. Уколико ната/клијената. ната/клијената.
наступи наступи 3. Уколико 3. Уколико
дисфункција дисфункција наступи наступи
ИКТ система, ИКТ система, дисфункција дисфункција
организација организација ИКТ система, ИКТ система,
осим веома трпи веома организација организација
велике финан- велику финан- трпи велику трпи малу
сијске штете, сијску штету финансијску финансијску
трпи и штету штету штету
која се мани-
фестује наруша-
вањем њеног
угледа/репутаци-
је/кредибилитета
85
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Прилог Љ
(нормативан)
1 2 3
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
86
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
87
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
6
ДРУГИХ НЕСРЕЋА
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
88
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
89
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
90
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог М
(нормативан)
Процена ризика
1 2 3 4 5 6 7 8 9 10 11 12
НЕПРИ-
1 ОПШТИХ ПОСЛОВНИХ АКТИВНОСТИ 8) 9 ТРЕЋА ХВАТ-
ЉИВ
Скоринг – оцена бони-
1.1 2 2 4 2 2 4 2 4
тета или ознака статуса
Евидентиране после-
дице техничких ризика
1.2 – квар и лом машина и 5 5 1 5 5 1 5 25
материјала, као и квар
робе на залихама и сл.
Евидентиране после-
дице финансијских
ризика – лоши пословни
уговори, погрешне калку-
1.3 лације и обрачуни, 3 3 3 3 3 3 3 9
финансијске мере у
земљи и иностранству,
варијабилни курсеви и
каматне стопе
Евидентиране после-
дице физичких ризика –
везани су за дејства која
1.4 доводе до пропадања или 2 2 4 2 2 4 2 4
нестајања имовине услед
елементарних непогода
и других несрећа
Усаглашеност са
SRPS ISO 22301,
Друштвена безбедност –
1.5 3 3 3 3 3 3 3 9
Системи менаџмента
континуитетом
пословања – Захтеви
Усаглашеност са
SRPS ISO 9001,
1.6 2 2 4 2 2 4 2 4
Системи менаџмента
квалитетом – Захтеви
2 ПО БЕЗБЕДНОСТ И ЗДРАВЉЕ НА РАДУ
Постојање правне, орга-
низацијске и планске
регулативе из области
2.1
безбедности и здравља
на радном месту и у
радној околини
8)
Наведени подаци за процену ризика општих пословних активности дати су само као пример процене ризика
за ту групу ризика.
91
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
на радном месту и у
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
радној околини
Обавезно социјално
осигурање, колективно
осигурање од последица
2.3 повреда на раду и
профeсионалних
обољења, добровољно
додатно осигурање
3 ПРАВНИ РИЗИЦИ
Постојање, потпуност и
адекватност интерне
нормативне регулативе
којом се штите подаци
3.1 и документа (пословне
тајне, тајни подаци,
подаци о личности и
други осетљиви и
поверљиви подаци)
Постојање, потпуност и
адекватност равноправ-
них и организационих
3.2 механизама заштите
безбедности пословања
од запослених и/или
трећих лица
Постојање, потпуност
и адекватност интерне
регулативе којом се
предвиђа надлежност
у области надзора и
контроле законитости
3.3 пословања, поштовање
интерних процедура
од стране запослених
и одговорних лица и
спровођења мера за
превенцију и поступање
са ризиком
92
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
настанка имовинске
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
93
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
зација постане
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
4.3
објекат политичког
криминалитета
Могућност да органи-
зација постане објекат
привредног кримина-
литета и привредних
4.4
преступа и прекршаја
везаних за привредно
и финансијско
пословање
Могућност да органи‐
зација постане објекат
корупције и других
4.5 облика злоупотребе
службеног положаја
или положаја одго-
ворног лица
Могућност да органи-
зација постане објекат
незаконитог деловања у
4.6
области радних односа
и заштите безбедности
и здравља на раду
5 ОД ПОЖАРА
Постојање норматив-
них аката у складу са
правном регулативом
(правилник о заштити
5.1 од пожара, односно
правила заштите од
пожара, план заштите
од пожара објекта
или подручја)
Категоризација правног
лица и организовање
5.2 у складу са проценом
угрожености у складу са
правном регулативом
94
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Постојање и одржавање
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
95
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
за рад са одређеним
врстама експлозивних
7.1
материјала (течним,
чврстим, гасовитим),
у складу са правном
регулативом
Постојање норматив-
них аката у складу са
правном регулативом
за заштиту од пожара
7.2
објекта и/или подручја
(и другим
нормативима којима
се уређује ова област)
Категоризација правног
лица и организовање
7.3 у складу са проценом
угрожености у складу
са правном регулативом
Кадровска и техничка
испуњеност и квали-
фикованост запослених
који раде на пословима
7.4 заштите од експлозије
и руковања експло‐
зивним материјама
у складу са правном
регулативом
Постојање и одржавање
уређаја, опреме, инста-
лација и средстава за
заштиту од експлозија
7.5 према релевантним
законима, техничким
прописима, норма-
тивима и упутством
произвођача опреме
96
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
органа Министарства
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
унутрашњих послова на
7.7 инвестиционо-техничку
документацију, изведено
стање и употребу објекта
или дела објекта
Надзор инспекције и
постојање наложених
7.8
мера заштите од
експлозије
8 ОД НЕУСАГЛАШЕНОСТИ СА СТАНДАРДИМА
SRPS ISO 22301,
Друштвена безбедност –
8.1 Системи менаџмента
континуитетом
пословања – Захтеви
SRPS A.L2.002,
Друштвена безбедност –
Услуге приватног
8.2
обезбеђења – Захтеви
и упутство за оцењи-
вање усаглашености
SRPS ISO/IEC 27001,
Информационе техно-
логије – Технике безбед
8.3
ности – Системи менаџ-
мента безбедношћу
информација – Захтеви
SRPS ISO 22320,
Друштвена безбедност –
8.4 Менаџмент ванредним
ситуацијама – Захтеви
за одговор на инцидент
SRPS EN 16082,
Аеродромске и
8.5
ваздухопловне службе
безбедности
SRPS EN 16747,
8.6 Услуге безбедности у
поморству и лукама
ISO 18788:2015,
Систем менаџмента
8.7
пословима приватног
обезбеђења
97
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
организацијске и
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
98
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Планирање људских
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
ресурса и организаци-
10.6 оних промена, као и
идентификација
кључних запослених
У ОБЛАСТИ ИНФОРМАЦИОНО-КОМУНИКАЦИОНО-
11
-ТЕЛЕКОМУНИКАЦИОНИХ (ИКТ) СИСТЕМА
Постојање дефинисане
безбедносне политике
у ИКТ сектору и
интерне регулативе
која прописује овлаш-
11.1 ћења, надлежности и
процедуре приступа
главним компонентама
ИКТ система и регули-
сање значајних аспеката
заштите података
Постојање техничких,
физичких и/или логич-
ких средстава заштите
11.2
главних компонената
ИКТ система и еле‐
ктронских података
Адекватна кадровска
попуњеност ИКТ сек‐
11.3 тора и постојање
рационалне органи-
зације послова
Оспособљеност ИКТ
сектора за континуи-
11.4
рано функционисање
у кризним ситуацијама
Овлашћења запосле-
них за коришћење
корпоративних ИКТ
ресурса у приватне
сврхе (приступ прива-
тним налозима еле-
11.5
ктронске поште,
друштвеним мрежама
итд.) и приватних
преносних медијума у
корпоративним
просторијама
99
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Зависност пословања
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
11.7
од ИКТ инфраструктуре
Упутство за попуњавање и вођење обрасца SRPS A.L2.003/2, табела М.1:
1. Користећи критеријуме из овог стандарда (од Прилога В до Прилога Љ), унети вeличинe oпaснoсти (кол. 3) и
на основу тога одредити приоритете у даљем процесу анализе и вредновања ризика.
2. У колоне 4 и 5 уносе се подаци о степену изложености и степену рањивости (посебно за групе ризика), на
основу којих се у колони 6 израчунава вероватноћа (матрица у табели Н.5).
3. У кoлоне 7 и 8 уносе се подаци о степену штете и степену критичности, на основу којих се у колони 9
изрaчунaвaју последице (матрица у табели Њ.3).
4. У колонама 10 и 11 се аутоматски израчунава ниво ризика (матрица у табели О.2) и категорија ризика
(матрица у табели П.1), и то просечни за групу ризика и појединачни по ставкама у оквиру групе ризика (важно
је ради одређивања мера у поступању са ризицима у Прилогу Ф).
5. У колони 12 се аутоматски изражава закључак о прихватљивости ризика.
100
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог Н
(нормативан)
вероватноће вероватноће
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
101
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
102
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог Њ
(нормативан)
Врло
КРИТИЧНОСТ (К) Велика Средња Мала Минимална
велика
ШТЕТА (Ш) 1 2 3 4 5
Врло мала 1 3 2 1 1 1
Мала 2 4 3 2 2 1
Средња 3 5 4 3 2 2
Велика 4 5 4 3 3 3
Врло велика 5 5 5 4 3 3
103
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
104
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
до 10 %.
циљева је в) Већина резултира органи-
погоршана. ресурса је б) Озбиљан битним в) Непредви- зације траје
разорена утицај на ђени
в) Појава заинтересо- губитком неколико
повремених
или
ване стране могућности трошкови дана.
некорисна, финасирања или губици
обустава али може у периоду од од 50 до в) Кратко-
рада. неколико од стране рочни
да буде финансиј- 500 хиљада
г) Потребно је замењена у дана динара губитак у
ских орга- погледу
повећано кратком низација способност
ангажовање времен- у ограни- и и поло-
менаџмента. ском року ченом броју жаја орга-
д) Повремени области низације
поремећај за које је траје неко-
процеса. надлежна лико дана
ђ) Погоршање организација
показатеља
кључних
радних
карактери-
стика је од
1 % до 5 %
105
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
106
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
107
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
108
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог О
(нормативан)
занемарљив
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
4 Мали 3, 4 и 5
3 Умерено велики 6, 8 и 9
2 Велики ризик 10, 12, 15 и 16
1 Изразито велики 20 и 25
109
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Прилог П
(нормативан)
110
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог Р
(нормативан)
2. ДАТУМ 3. ДАТУМ
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
5. МЕНАЏЕР РИЗИКА
а. ПРЕЗИМЕ б. ИМЕ в. ОРГАНИЗАЦИЈА КОЈА ВРШИ ПРОЦЕНУ
111
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
112
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог С
(нормативан)
НАЗИВ ИДЕНТИФИКОВАНОГ
Ред. Карактеристика
РИЗИКА Напомена
број идентификованих ризика
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
1 2 3 4 5
1 Време идентификације
2 Организација/организациони део
3 Макролокација
Почетно стање
4 Микролокација
5 Угрожене штићене вредности
6 Ангажоване снаге
7 Предузете почетне мере
Процењене последице по штићене
8
вредности
9 Постојеће мере заштите
10 Време изложености ризику
11 Ниво ризика
12 Погођене штићене вредности
Завршно стање
113
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
3. Макролокација: описати ширу околину организације (ван круга), са свим детаљима који су повезани са
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
опасношћу.
4. Микролокација: описати ужу околину организације (и круг) са свим детаљима који су повезани са
опасношћу.
5. Угрожене штићене вредности: према Прилогу Б и Прилогу Њ, табела Њ.3, описати начин деловања
последица опасности на штићене вредности.
6. Ангажоване снаге: навести прецизно број људи и техничких средстава ангажованих на поступању са
идентификованим ризицима, навести и друге ресурсе који су ангажовани (објекти, заинтересоване стране и сл).
7. Предузете почетне мере: описати све мере које је донело руководство или лице овлашћено за процену
ризика, описати све мере које су имале позитиван и негативан ефекат.
8. Процењене последице по штићене вредности: навести резултат идентификације ризика који се односи на
последице по штићене вредности. Навести процене за све штићене вредности.
9. Постојеће мере заштите: навести које су мере заштите биле актуелне у моменту остваривања ефеката
опасности по штићене вредности, лице одговорно за имплементацију и реализацију мера, ефекат мера.
10. Време изложености ризику: изражено у временским јединицама, навести колико су штићене вредности,
појединачно, биле изложене ризику од момента када је опасност остварила одређене ефекте по штићене вредности.
11. Ниво ризика: из обрасца за процену ризика навести израчунати ниво ризика, добијен према методологији датој у
овом стандарду. Навести и величину вероватноће и последица које одређују ризик.
12. Погођене штићене вредности: на основу анализе ризика навести које су штићене вредности погођене
идентификованим опасностима, описати ефекат деловања опасности.
13. Последице на штићеним вредностима: навести ефекат штетног догађаја на штићене вредности.
14. Предузете мере: навести само мере које је предузело лице овлашћено за процену ризика или менаџмент. Ако су
запослени предузимали мере које су имале нарочито позитиван или негативан ефекат, онда их посебно навести.
15. Ниво преосталог ризика: из обрасца процене навести ниво преосталог ризика, описати зашто се не може довести
на прихватљив ниво.
16. Ефекат предузетих мера: навести како су предузете мере за поступање са ризицима деловале на штетан догађај,
навести и позитивне и негативне ефекте.
17. Интеракција са другим ризицима: навести случајеве када је један ризик узроковао један или више других ризика
(нпр. експлозија је изазвала пожар на више локација).
18. Ненаведене опасности : уписати карактеристику идентификованих ризика (штетног догађаја) која није наведена у
овом документу, а може допринети анализи опасности.
Колона 5: Напомена: Уписати све што је битно (према мишљењу лица овлашћеног за процену ризика) за поједину
карактеристику.
114
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Прилог Т
(нормативан)
1 2 1 2 3 1 2
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
Прилог Ћ
(нормативан)
116
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
117
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Прилог У
(нормативан)
118
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
5 Има
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
119
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
Прилог Ф
(нормативан)
I УВОД
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
II УСПОСТАВЉАЊЕ КОНТЕКСТА
1) Екстерни контекст (макролокација, микролокација, конкуренција, историја штетних догађаја)
120
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
IV ПОСТУПАЊЕ СА РИЗИЦИМА
1) Преглед мeра зa поступање са ризицима по групама ризика
МЕРЕ ЗА ПОСТУПАЊЕ СА РИЗИКОМ
(ознаке преузете из тачке V, ниже, пример су уноса и образложења)
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Норма-
ЗAХTEВИ ЗA Друге
тивно
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
121
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
9)
Наведене мере и опис и образложење у табели која следи дати су као пример.
10)
Овде (и надаље у тексту) три тачке значе да набрајање није коначно.
122
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
11)
Под забрањеним предметима и материјама се подразумевају оружја, експлозивне, радиоактивне, биолошке и
друге опасне материје и предмети.
123
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017
6) …
Д) Опције за изводљивост
1) Мере су усклађене са политиком организације
2) Мере нису усклађене са политиком организације; потребне су корективне мере
3) …
Ђ) Анализа цена–ефикасност (износи у еврима)
1) Увођење (годишњи износ) или износ корекције:
a) радних процеса и процедура (у случају Д.2)
б) производа или услуге (у случају Д.2)
в) …
2) Увођење (годишњи износ) или износ корекције:
a) мера физичке заштите
б) мера техничке заштите
в) мера менаџмента из контролног центра
г) …
3) Осигурање ризика (годишњи износ)
4) …
VI НАДГЛЕДАЊЕ И ПРЕИСПИТИВАЊЕ
Карактеристике идентификованих ризика – архивирање по групама идентификованих ризика,
1)
Прилог С
Прилози Љ, М и С из стандарда SRPS А.L2.003 чине саставни део акта о процени ризика у заштити
лица, имовине и пословања.
(МП/електронски
Менаџер ризика
потпис)
______________
124
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017
Библиографија
1. ASIS INTERNATIONAL: General security risk assessment guideline, 2003, ASIS Commission on
Standards and Guidelines
7. Правилник о начину и поступку процене ризика на радном месту и радној околини („Сл. гласник
РС” бр. 72/2006, 84/2006, 30/2010)
8. Закон о безбедности и здрављу на раду („Службени гласник РС”, број 101/05 и 91/15)
9. ISO/TR 31004:2013, Risk management – Guidance for the implementation of ISO 31000
10. ISO 18788:2015, Management system for private security operations – Requirements with guidance
for use
125
racun broj 1773
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !
ICS 03.100.01
Дескриптори: безбедност и отпорност, процена ризика, захтеви, услуге, оцењивање усаглашености
Descriptors: security and resiliance, risk assessment, requirements, services, conformity assessment
Укупно страна 125