You are on page 1of 128

СРПСКИ SRPS A.L2.

003
СТАНДАРД Август 2017.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Безбедност и отпорност друштва —


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Процена ризика

Security and resilliance of society — Risk assessment

II издање

Референтна ознака
SRPS A.L2.003:2017 (sr)

racun broj 1773


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

ЗАШТИЋЕНO АУТОРСКИM ПРАВОМ. СВА ПРАВА ЗАДРЖАНА

Ауторска права на српским стандардима и сродним документима припадају Институту за стандардизацију


Србије, у складу са законом којим се уређују ауторска и сродна права. Умножавање, у целини или делимично,
као и дистрибуција српских стандарда и сродних докумената дозвољени су само уз сагласност Института за
стандардизацију Србије.
Дозвола за умножавање и дистрибуцију српских стандарда и сродних докумената може се добити упућивањем
писаног захтева на адресу Института за стандардизацију Србије.

© ИСС
Издаје Институт за стандардизацију Србије

ИНСТИТУТ ЗА СТАНДАРДИЗАЦИЈУ СРБИЈЕ


11030 Београд, Стевана Бракуса 2, п.ф. 2105

Телефони: (011) 75-41-421, 34-09-301


Директор: (011) 75-41-256
Телефакс: (011) 75-41-257, 75-41-938
Продаја: (011) 65-47-496
Информациони центар: (011) 65-47-293
infocentar@iss.rs
prodaja@iss.rs
www.iss.rs

racun broj 1773


© ИСС 2017 SRPS A.L2.003:2017

Безбедност и отпорност друштва — Процена ризика

Овај стандард донео је директор Института за стандардизацију Србије решењем бр. 2910/46-51-02/2017
од 31. августа 2017. године.

Садржај
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Страна

Предговор..........................................................................................................................................................4
Увод ...................................................................................................................................................................6

1 Предмет и подручје примене ..........................................................................................................6


1.1 Опште ................................................................................................................................................6
1.2 Подручје примене ............................................................................................................................6

2 Нормативне референце....................................................................................................................7

3 Термини и дефиниције ....................................................................................................................7


3.1 Основни термини .............................................................................................................................8
3.2 Термини који се односе на менаџмент ризиком ...........................................................................9
3.3 Термини који се односе на процену ризика ................................................................................11
3.4 Термини који се односе на анализу ризика .................................................................................12
3.5 Термини који се односе на вредновање ризика...........................................................................14
3.6 Термини који се односе на поступање са ризиком .....................................................................15
3.7 Термини који се односе на праћење и мерење ............................................................................17

4 Процес процене ризика..................................................................................................................17


4.1 Сврха и предности .........................................................................................................................18
4.2 Принципи процене ризика ............................................................................................................18
4.3 Одговорности и овлашћења ..........................................................................................................19
4.4 Ресурси............................................................................................................................................20
4.5 Штићене вредности........................................................................................................................20
4.6 Разумевање организације и њеног контекста ..............................................................................20
4.7 Успостављање интерне комуникације и механизама извештавања..........................................21
4.8 Успостављање екстерне комуникације и механизама извештавања.........................................21
4.9 Успостављање контекста...............................................................................................................21
4.10 Процена ризика ..............................................................................................................................24
4.11 Поступање са ризиком...................................................................................................................26
4.12 Контрола и ревизија.......................................................................................................................28
4.13 Регистровање процеса процене ризика ........................................................................................28
4.14 Информатичка подршка процесу процене ризика ......................................................................29
4.15 Методе и алати за процену ризика ...............................................................................................29

5 Процена ризика – Захтеви .............................................................................................................30


5.1 Опште ..............................................................................................................................................30
5.2 Захтеви који се односе на процену ризика ..................................................................................30

1
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

5.3 Општи захтеви за организацију ....................................................................................................30


5.4 Захтеви за квалификованост менаџера ризика............................................................................31
5.5 Захтеви за процену ризика општих пословних активности .......................................................32
5.6 Захтеви за процену ризика по безбедност и здравље на раду....................................................33
5.7 Захтеви за процену правних ризика .............................................................................................33
5.8 Захтеви за процену ризика од противправног деловања............................................................34
5.9 Захтеви за процену ризика од пожара..........................................................................................34
5.10 Захтеви за процену ризика од елементарних непогода и других несрећа ................................34
5.11 Захтеви за процену ризика од експлозија ....................................................................................35
5.12 Захтеви за процену ризика од неусаглашености са стандардима..............................................35
5.13 Захтеви за процену ризика по животну средину.........................................................................36
5.14 Захтеви за процену ризика у управљању људским ресурсима ..................................................37
5.15 Захтеви за процену ризика у области информационо-комуникационо-
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

-телекомуникационих (ИКТ) система ..........................................................................................37


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

6 Упутство за процену ризика .........................................................................................................38


6.1 Опште ..............................................................................................................................................38
6.2 Критеријуми за процену ризика ...................................................................................................38
6.3 Критеријуми за идентификацију ризика......................................................................................39
6.4 Анализа ризика...............................................................................................................................43
6.5 Критеријум за одређивање вероватноће ......................................................................................43
6.6 Критеријум за одређивање последица .........................................................................................44
6.7 Критеријум за одређивање нивоа ризика.....................................................................................45
6.8 Вредновање ризика ........................................................................................................................45
6.9 Критеријум за одређивање категорије ризика.............................................................................45
6.10 Критеријум за одређивање прихватљивости ризика ..................................................................45
6.11 Поступање са ризицима.................................................................................................................45
6.12 Критеријум за одређивање опција за ублажавање......................................................................46
6.13 Критеријум за примену опција за изводљивост..........................................................................47
6.14 Критеријум за примену анализе односа цена–ефикасност ........................................................47
6.15 Критеријум за одређивање преосталог ризика............................................................................47
6.16 Критеријум за агрегацију ризика..................................................................................................47

7 Упутство за оцењивање организација и особа ............................................................................48


7.1 Методе и поступци оцењивања организација и особа................................................................48

Прилози
Прилог А1 (информативан) Приказ процеса процене ризика..................................................................49
Прилог А2 (информативан) Приказ активности у процесу процене ризика ..........................................50
Прилог Б (информативан) Штићене вредности......................................................................................51
Прилог В (нормативан) Критеријуми за идентификацију ризика општих пословних
активности............................................................................................................................................52
Прилог Г (нормативан) Критеријуми за идентификацију ризика по безбедност и здравље
на раду ..................................................................................................................................................53
Прилог Д (нормативан) Критеријуми за идентификацију правних ризика ......................................55
Прилог Ђ (нормативан) Критеријуми за идентификацију ризика од противправног
деловања ...............................................................................................................................................60
Прилог Е (нормативан) Критеријуми за идентификацију ризика од пожара ...................................64
Прилог Ж (нормативан) Критеријуми за идентификацију ризика од елементарних непогода
и других несрећа ..................................................................................................................................66
Прилог З (нормативан) Критеријуми за идентификацију ризика од експлозија..............................68
Прилог И (нормативан) Критеријуми за идентификацију ризика од неусаглашености
са стандардима.....................................................................................................................................71
Прилог J (нормативан) Критеријуми за идентификацију ризика по животну средину...................73
Прилог К (нормативан) Критеријуми за идентификацију ризика у управљању људским
ресурсима .............................................................................................................................................75
2
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог Л (нормативан) Критеријуми за идентификацију ризика у области


информационо-комуникационо-телекомуникационих система .....................................................82
Прилог Љ (нормативан) Образац за евиденцију идентификованих ризика и величина
опасности..............................................................................................................................................86
Прилог М (нормативан) Процена ризика ...............................................................................................91
Прилог Н (нормативан) Критеријуми за одређивање вероватноће, учесталости, изложености
и рањивости........................................................................................................................................101
Прилог Њ (нормативан) Критеријуми за одређивање последица, штете и критичности ................103
Прилог О (нормативан) Критеријуми за одређивање нивоа ризика..................................................109
Прилог П (нормативан) Критеријуми за одређивање категорије и прихватљивости ризика .........110
Прилог Р (нормативан) Радни лист процене ризика ..........................................................................111
Прилог С (нормативан) Карактеристике потенцијалне опасности (лист за архивирање података
о идентификованим ризицима) ........................................................................................................113
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Прилог Т (нормативан) Критеријуми за оцењивање испуњености захтева организација које


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

врше процену ризика.........................................................................................................................115


Прилог Ћ (нормативан) Матрица за оцењивање испуњености захтева за организације које врше
процену ризика ..................................................................................................................................116
Прилог У (нормативан) Матрица за оцењивање испуњености захтева за особе које врше
процену ризика (менаџер ризика) ....................................................................................................118
Прилог Ф (нормативан) Основна структура акта о процени ризика у заштити лица, имовине
и пословања........................................................................................................................................120

Библиографија ..............................................................................................................................................125

3
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Предговор

Овим стандардом се повлачи и замењује SRPS A.L2.003:2010, Друштвена безбедност – Процена


ризика у заштити лица, имовине и пословања, уз сходну примену свих одредаба наведених у
важећим прописима који се односе на процену ризика у заштити лица, имовине и пословања.

Овај стандард припремила је Комисија за стандарде и сродне документе KS A292, Безбедност и


отпорност.

Скреће се пажња на могућност да неки од елемената овог документа могу да буду предмет патентних
права. Институт за стандардизацију Србије не сноси одговорност за идентификовање било којег или
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

свих таквих права.


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Коришћењем овог стандарда се обезбеђује извршење свеобухватне процене ризика за органе јавне
власти, организације које пружају или користе услуге обезбеђивања лица, имовине и континуитета
пословања, тј. организују самозаштитну делатност (ради обезбеђивања своје имовине, пословања,
радних и технолошких процеса, објеката, простора и лица у њима). Резултати процене ризика служе
организацијама за избор одговарајуће врсте услуга обезбеђивања лица, имовине и континуитета
пословања, односно начина организовања самозаштитне делатности. Такође, организација може и
самостално да процењује ризике за сопствене потребе у складу са овим стандардом.

У тачки 1 овог стандарда описани су предмет, подручје примене и сврха процене ризика у области
безбедности и отпорности.

У тачки 2 су дате нормативне референце које су послужиле као основа за израду овог стандарда.

У тачки 3 су дефинисани термини који су важни за разумевање процене ризика, а нису дефинисани у
стандарду SRPS A.L2.001, Друштвена безбедност – Услуге приватног обезбеђења – Речник.

У тачки 4 је описан процес процене ризика кроз следеће фазе: успостављање контекста, идентификација
ризика, анализа ризика, вредновање ризика и поступање са ризиком. Посебна пажња је посвећена
контроли и ревизији донетих мера за поступање са ризиком и припреми и изради планова за примену
донетих мера. Ради примене донетих мера у процесу доношења одлука, обрађене су опције за
изводљивост и анализа цена–ефикасност.

У тачки 5 су дефинисани захтеви које организација мора да узме у обзир ради ефективне процене
ризика.

У тачки 6 је детаљно изложено упутство за процену ризика, са прецизно дефинисаним критеријумима


и начинима израчунавања нивоа ризика.

Oрганизација може да врши процену ризика у складу са захтевима овог стандарда за властите
потребе и за потребе корисника услуга приватног обезбеђења и других заинтересованих страна,
укључујући и органе јавне власти и осигураваче.

Овај стандард је логичан, смисаони и функционалан наставак стандарда SRPS A.L2.001, Друштвена
безбедност – Услуге приватног обезбеђења – Речник, и логички, смисаоно и функционално претходи
стандарду SRPS A.L2.002, Друштвена безбедност – Услуге приватног обезбеђења – Захтеви и упутство
за оцењивање усаглашености.

Овај стандард садржи прилоге A1, А2 и Б који су информативни и прилоге В, Г, Д, Ђ, Е, Ж, З И, Ј, К,


Л, Љ. М, Н, Њ, О, П, Р, С, Т, Ћ, У и Ф који су нормативни.

4
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Заинтересоване стране изложене потенцијалним опасностима и претњама које нису обухваћене или
нису детаљно дефинисане захтевима и критеријумима за идентификацију потенцијалних опасности и
ризика у овом стандарду, користиће захтеве и критеријуме *) који ће бити дефинисани у посебним
деловима SRPS A.L2.003, под заједничким називом Безбедност и отпорност друштва – Процена
ризика, и то:

– Део 1: Ванредне ситуације;

– Део 2: Пожари и експлозије;

– Део 3: Животна средина;

– Део 4: Одбрана;
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

– Део 5: Планирање система техничке заштите;

– Део 6: Област животног и неживотног осигурања;

– Део 7: Здравство;

– Део 8: Просвета.

*) Заинтересоване стране ће дефинисати своје захтеве и критеријуме у наведеним документима у складу са


Интерним правилима стандардизације, а посебне делове стандарда SRPS А.L2.003 израдиће Комисија KS A292.
5
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Увод
Независно од њихове врсте и величине, организације се суочавају са ризицима који могу да утичу на
остваривање њихових, како визија и мисија, тако и оперативних циљева. Ови циљеви могу да се
односе на разне активности организације, од стратешких иницијатива до функционисања, процеса и
пројеката. Нивои утицаја могу да се огледају у: друштвеним исходима, заштитним, безбедносним и
исходима који се односе на окружење; комерцијалним, финансијским и економским мерама;
друштвеним, културним, политичким утицајима, као и утицајима на репутацију организације.

Све активности организације укључују ризике којима се управља тако што организација врши
процену ризика и примењује одлуке засноване на процени. Процес процене ризика доприноси
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

ефективности одлучивања, тиме што узима у обзир неизвесност и могућност појаве будућих,
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

намераваних или ненамераваних, догађаја и околности, као и њихових утицаја на усвојену визију,
мисију и циљеве.

Процена ризика укључује примену логичких и систематичних метода за:


– комуникације и консултације током овог процеса;
– успостављање контекста организације ради идентификације, анализе, вредновања, поступања и
контроле ризика везаних за било коју активност, производ, функцију или процес и
– адекватно извештавање и архивирање резултата.

Овај стандард препознаје разноврсност и сложеност природе и нивоа ризика и пружа конкретна упутства
и процедуре за израчунавање нивоа ризика. Он посебно истиче начин на који би организација требало
да схвата специфичан контекст у оквиру којег примењује процес процене ризика.

Свака посебна активност или примена процене ризика носи са собом посебне потребе, одговарајуће
заинтересоване стране, приступе и критеријуме. Овај стандард нарочито ставља акценат на укључивање
активности „успостављања контекста”, као почетне активности процеса процене ризика. Овим приступом
се обухватају различитост критеријума и природа и комплексност ризика и других чинилаца који
морају да буду размотрени и којима у сваком појединачном случају мора да се управља.

1 Предмет и подручје примене


1.1 Опште

Овим стандардом се утврђују захтеви и методологија процене ризика у области безбедности и


отпорности друштва и дају конкретна и прецизна упутства везана за принципе, процес и адекватну
имплементацију резултата процене ризика, са циљем унапређења безбедности и отпорности
организације. Овим се стандардом такође усклађују начин коришћења и примена одредаба стандарда
SRPS A.L2.001, Друштвена безбедност – Услуге приватног обезбеђења – Речник и SRPS A.L2.002,
Друштвена безбедност – Услуге приватног обезбеђења – Захтеви и упутство за оцењивање
усаглашености, односно делова тих стандарда који се односе на менаџмент ризиком.

1.2 Подручје примене

Подручјe примене процеса процене ризика може се односити на различите нивое деловања – од
посебних функција и нивоа, до целокупне организације.

Овај стандард је намењен следећим корисницима:


– органима јавне власти;
– организацијама које пружају услуге приватног обезбеђења;
– организацијама које користе услуге приватног обезбеђења;
6
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

– организацијама које организују самозаштитну делатност, тј. унутрашњу службу обезбеђења;

– организацијама које врше процену ризика за сопствене потребе;

– осигуравајућим друштвима;

– онима који интерно у организацији или екстерно оцењују примену захтева SRPS A.L2.002, Друштвена
безбедност – Услуге приватног обезбеђења – Захтеви и упутство за оцењивање усаглашености или
проверавају усаглашености са захтевима стандарда SRPS A.L2.002;

– онима којима је потребно да се међусобно разумеју употребљавајући терминологију која се


користи у области обезбеђивања лица, имовине и континуитета пословања;
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

– онима који интерно или екстерно пружају саветодавну или едукативну помоћ организацији у вези
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

са SRPS A.L2.002.

2 Нормативне референце
На следећа документа у целини или на поједине делове тих докумената нормативно се позива у овом
документу и они су неопходни за његову примену. Када се наводе датиране референце, примењује се
искључиво цитирано издање. Када се наводе недатиране референце, примењује се најновије издање
референтног документа (укључујући и његове измене).

SRPS ISO 31000:2015, Менаџмент ризиком – Принципи и смернице (ISO 31000:2009, IDT)
SRPS ISO Guide 73:2015, Менаџмент ризиком – Речник (ISO Guide 73:2009, IDT)
SRPS ISO 22300:2014, Друштвена безбедност – Терминологија (ISO 22300:2012,IDT)
SRPS EN 31010:2011, Менаџмент ризиком – Технике оцене ризика (ISO/IEC 31010:2009, IDT)
SRPS ISO 9001:2015, Системи менаџмента квалитетом – Захтеви (ISO 9001:2015, IDT)
SRPS ISO 14001:2015, Системи менаџмента животном средином – Захтеви са упутством за
коришћење (ISO 14001:2015, IDT)
SRPS ISO 22000:2007, Системи менаџмента безбедношћу хране – Захтеви за сваку организацију у
ланцу хране (ISO 22000:2005, IDT)
SRPS ISO 22301:2014, Систем менаџмента континуитетом пословања – Захтеви (ISO 22301:2012,
IDT)
SRPS A.L2.002:2015, Друштвена безбедност – Услуге приватног обезбеђења – Захтеви и
упутство за оцењивање усаглашености
SRPS ISO/IEC 27001:2014, Информационе технологије – Технике безбедности – Системи менаџмента
безбедношћу информација – Захтеви (ISO/IEC 27001:2013, IDT)
SRPS ISO 22320:2014, Менаџмент ванредним ситуацијама – Захтеви за одговор на инцидент
(ISO 22320:2011, IDT)
SRPS OHSAS 18001:2008, Систем управљања заштитом здравља и безбедношћу на раду – Захтеви
(OHSAS 18001:2007, IDT)
SRPS EN 16082:2014, Аеродромске и ваздухопловне службе безбедности1) (EN 16082:2011, IDT)
SRPS EN 16747:2016, Услуге безбедности у поморству и лукама 2) (EN 16747:2015, IDT)
SRPS ISO 28000:2010, Спецификација за системе менаџмента обезбеђењем у ланцу снабдевања
(ISO 28000:2007, IDT)

3 Термини и дефиниције

1)
Стандард се односи на услуге обезбеђења на аеродромима.
2)
Стандард се односи на услуге обезбеђења у поморству и лукама.
7
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

За потребе овог стандарда се примењују термини и дефиниције дати у SRPS A.L2.001,


SRPS ISO Guide 73:2015, SRPS ISO 22300:2014, SRPS A.L2.002:2015 и SRPS ISO 22301:2014. Ради
потпуног разумевања процеса процене ризика, као и јединственог тумачења и коришћења термина и
дефиниција, неопходно је, поред датих термина и дефиниција у наведеним стандардима, користити и
следеће.

3.1 Основни термини


3.1.1
штићене вредности (protected asset)
елементи организације од значаја за њено постојање и функционисање

3.1.2
отпорност (resilience)
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

способност или капацитет организације да у одговарајућем временском оквиру и са што мање


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

штетних ефеката одржава основне функције током и након реметилачког догађаја (3.3.5)

НАПОМЕНА 1 Отпорност означава и меру способности организације да апсорбује негативне ефекте из


окружења или да се адаптира и опорави од реметилачког догађаја (3.3.5).
НАПОМЕНА 2 Отпорност обухвата проактивне и реактивне стратегије и мере са циљем смањења штетних
ефеката, као и мере прилагођавања са циљем избегавања штетних ефеката догађаја (3.3.5). На тај начин
отпорност подразумева и способност организације да одржи своју функционалност током догађаја (3.3.5), као
и да се опорави од насталог догађаја (3.3.5).
НАПОМЕНА 3 Отпорност је супротна карактеристика рањивости (3.4.5).

[SRPS ISO Guide 73, дефиниција 3.8.1.7, модификовано]

3.1.3
обезбеђење (security)
скуп мера и активности усмерених на спречавање настанка догађаја (3.3.5) и/или ублажавање
последица (3.4.6) за штићене вредности (3.1.1)

3.1.4
континуитет пословања (business continuity)
способност организације да настави извршавање послова из своје надлежности, као и испоруку
производа или услуга на прихватљивим претходно дефинисаним нивоима у условима реметилачког
догађаја (3.3.5)

[SRPS ISO 22300, дефиниција 2.1.10, модификовано]

3.1.5
ризик (risk)
утицај неизвесности на остваривање циљева

НАПОМЕНА 1 Утицај се изражава кроз одступање од очекиваног – позитивно или негативно.


НАПОМЕНА 2 Циљеви могу да имају различите аспекте (као што су финансијски, здравствени, безбедносни и
специфични циљеви у вези са животном средином) и могу да се примене на различите нивое (као што су
стратешки, на нивоу целе организације, пројектни, производни и процесни).
НАПОМЕНА 3 Ризик се често карактерише у односу на потенцијалне догађаје (3.3.5) и последице (3.4.6), или
на њихову комбинацију.
НАПОМЕНА 4 Ризик се често изражава комбинацијом последица неког догађаја (укључујући промене у
околностима) и придружене вероватноће догађања (3.4.2).
НАПОМЕНА 5 Неизвесност је стање, чак и делимичног недостатка информација у вези са разумевањем или
познавањем догађаја, његових последица или вероватноће појаве.

[SRPS ISO Guide 73, дефиниција 1.1, модификовано]


3.1.6
безбедност (safety)
8
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

одсуство неприхватљивог ризика (3.1.5)

3.1.7
методологија процене ризика (risk assesment metodology)
скуп упутстава, критеријума и начина за процену ризика (3.3.1)

3.1.8
менаџер ризика (risk manager)
овлашћена особа одговорна за процес менаџмента ризиком, која је уједно и вођа тима за менаџмент
ризиком

НАПОМЕНА 1 Mенаџер ризика је одговоран за спровођење и координацију процеса процене ризика у


организацији, за предлоге мера за поступање са ризиком и њихову имплементацију, као и контролу над
применом предузетих мера.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

НАПОМЕНА 2 Основна улога менаџера ризика је организовање састанака, обезбеђивање подршке руководства,
обезбеђивања одговарајућих услова за рад, поштовање принципа менаџмента ризицима, упознавање чланова тима са
захтевима руководства, праћење ефективности предузетих мера и извештавање највишег руководства о резултатима.

3.2 Термини који се односе на менаџмент ризиком

3.2.1
менаџмент ризиком (risk management)
координиране активности вођењa организације и управљање њоме имајући у виду ризик (3.1.5)

[SRPS ISO Guide 73, дефиниција 2.1.]

3.2.2
процес менаџмента ризиком (risk management process)
систематска примена политике, процедура и праксе менаџмента у активностима комуницирања,
консултовања, успостављања контекста, као и идентификовања, анализирања, вредновања, поступања
са ризиком (3.1.5), праћења (3.7.1) и преиспитивања ризика (3.7.2)

[SRPS ISO Guide 73, дефиниција 3.1]

3.2.3
комуницирање и консултације (communication and consultation)
стални и итеративни процеси које организација спроводи како би обезбедила, разменила или добила
информације и укључила се у дијалог са заинтересованим странама (3.2.4) у погледу менаџмента
ризиком (3.2.1)

НАПОМЕНА 1 Информације у вези са менаџментом ризиком могу да се односе на постојање, природу,


облик, вероватноћу догађања (3.4.2), значај, вредновање, прихватљивост и поступање.
НАПОМЕНА 2 Консултација је двосмерни процес комуницирања заснован на информацијама између
организације и њених заинтересованих страна о неком питању, пре доношења одлуке или одређивања правца у
вези са тим питањем. Консултација је:
– процес који утиче на доношење одлука кроз утицај, а не коришћење моћи и
– полазна тачка за доношење одлуке, а не заједничко доношење одлука.

[SRPS ISO Guide 73, дефиниција 3.2.1]

3.2.4
заинтересована страна (stakeholder)
особа или организација која може да утиче, да буде под утицајем, или сматра да је под утицајем
одлуке или активности
НАПОМЕНА 1 Доносилац одлуке може да буде заинтересована страна (3.2.4).

9
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

[SRPS ISO Guide 73, дефиниција 3.2.1.1]

3.2.5
перцепција ризика (risk perception)
став заинтересованих страна (3.2.4) о ризику (3.1.5)

НАПОМЕНА 1 Перцепција ризика одражава потребе, захтеве, знање, веровање и вредности заинтересованих
страна (3.2.4).

[SRPS ISO Guide 73, дефиниција 3.2.1.2]

3.2.6
успостављање контекста (establishing the context)
дефинисање екстерних и интерних параметара које треба узети у обзир приликом менаџмента
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

ризиком (3.2.1) и одређивање предмета и подручја примене и критеријума за ризик (3.2.9) за


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

политику менаџмента ризиком (3.2.1)

[SRPS ISO Guide 73, дефиниција 3.3.1]

3.2.7
екстерни контекст (external context)
екстерно окружење у коме организација тежи да постигне своје циљеве

НАПОМЕНА Екстерни контекст може да укључи:


– културно, друштвено, политичко, законско, регулаторно, финансијско, технолошко, економско, природно
окружење и конкуренцију, било на међународном, националном, регионалном или локалном нивоу;
– кључне покретачке снаге и трендове који имају утицај на циљеве организације и
– односе са екстерним заинтересованим странама (3.2.4) и њихове перцепције и вредности.

[SRPS ISO Guide 73, дефиниција 3.3.1.1]

3.2.8
интерни контекст (internal context)
интерно окружење у коме организација тежи да постигне своје циљеве

НАПОМЕНА Интерни контекст може да укључи:


– управљање, организациону структуру, улоге и крајње одговорности;
– политике и циљеве, као и стратегије које постоје за њихово достизање;
– способности и разумевање у погледу ресурса и знања (нпр. капитал, време, људи, процеси, системи и
технологије);
– информационе системе, токове информација и процесе доношења одлука (формалних и неформалних);
– односе са интерним заинтересованим странама (3.2.4) и њихове перцепције и вредности;
– културу организације;
– стандарде, смернице и моделе који су усвојени у организацији и
– облик и обим уговорних односа.

[SRPS ISO Guide 73, дефиниција 3.3.1.2]

3.2.9
критеријуми за ризик (risk criteria)
услови према којима се вреднује значај ризика (3.1.5)

НАПОМЕНА 1 Критеријуми за ризик су засновани на циљевима организације и екстерном (3.2.7) и интерном


контексту (3.2.8).
НАПОМЕНА 2 Критеријуми за ризик могу да се преузму из стандарда, закона, политике и других захтева.

10
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

[SRPS ISO Guide 73, дефиниција 3.3.1.3]

3.2.10
оквир менаџмента ризиком (risk management framework)
скуп компонената које обезбеђују основе и организационе аранжмане за пројектовање, примену, праћење
(3.7.1), преиспитивање и стално побољшавање менаџмента ризиком (3.2.1) широм организације

НАПОМЕНА 1 Основа укључује политику, циљеве, мандат и посвећеност управљању ризиком (3.1.5).

НАПОМЕНА 2 Организациони аранжмани обухватају планове, односе, крајње одговорности, ресурсе, процесе
и активности.

НАПОМЕНА 3 Оквир менаџмента ризиком уграђен је у целокупну стратешку и оперативну политику и праксу
организације.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

[SRPS ISO Guide 73, дефиниција 2.1.1]

3.3 Термини који се односе на процену ризика

3.3.1
процена ризика (risk assessment)
свеукупни процес идентификације ризика (3.3.2), анализе ризика (3.4.1) и вредновања ризика (3.5.1)

[SRPS ISO Guide 73, дефиниција 3.4.1, модификовано]

3.3.2
идентификација ризика (risk identification)
процес проналажења, препознавања и описивања ризика (3.1.5)

НАПОМЕНА 1 Идентификација ризика укључује идентификацију извора ризика (3.3.4), догађаја (3.3.5),
њихове узроке и њихове потенцијалне последице (3.4.6).

НАПОМЕНА 2 Идентификација ризика може да укључује историјске податке, теоријску анализу, стручна
мишљења и мишљења заснована на информацијама, као и потребе заинтересованих страна (3.2.4).

[SRPS ISO Guide 73, дефиниција 3.5.1]

3.3.3
опис ризика (risk description)
структурирана изјава о ризику која обично садржи четири елемента: изворе ризика (3.3.4), догађаје
(3.3.5), узроке и последице (3.4.6)

[SRPS ISO Guide 73, дефиниција 3.5.1.1]

3.3.4
извор ризика (risk source)
елемент који самостално или у комбинацији са другим елементима има сопствени потенцијал да
доведе до ризика (3.1.5)

НАПОМЕНА Извор ризика може да буде материјални и нематеријални.

[SRPS ISO Guide 73, дефиниција 3.5.1.2]

3.3.5
догађај (event)
појава или промена одређеног скупа околности
НАПОМЕНА 1 Догађај могу да чине једна или више појава и може имати неколико узрока.

11
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

НАПОМЕНА 2 Догађај може да се састоји од нечега што се не дешава.

НАПОМЕНА 3 Догађај се некада може назвати „инцидент” или „акцидент”.

НАПОМЕНА 4 Догађај или ситуација који може да се деси или да доведе до поремећаја, губитка, ванредне
ситуације или кризе, у смислу овог стандарда, зове се „реметилачки” догађај.

НАПОМЕНА 5 За догађај без последица (3.4.6) такође могу да се употребе изрази „једва избегнут”, „инцидент”,
„само што се није десио” и „умало да се деси”.

[SRPS ISO Guide 73, дефиниција 3.5.1.3, модификовано]

3.3.6
опасност (hazard)
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

извор могуће штете


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

НАПОМЕНА Опасност може да буде извор ризика (3.3.4).

[SRPS ISO Guide 73, дефиниција 3.5.1.4]

3.3.7
удес (emergency)
изненадни и неконтролисани догађај или низ догађаја који је измакао контроли приликом управљања
одређеним средствима за рад и приликом поступања са опасним материјама у производњи, употреби,
транспорту, промету, преради, складиштењу и одлагању, а чије последице угрожавају безбедност и
животе људи, материјална добра и животну средину

НАПОМЕНА Удес може да буде пожар, експлозија, хаварија, саобраћајни удес у друмском, речном, железничком
и авио-саобраћају, удес у рудницима и тунелима, застој рада жичара за транспорт људи, рушење брана, хаварија
на електроенергетским, нафтним и гасним постројењима, инциденти приликом руковања радиоактивним и
нуклеарним материјама и др.

3.3.8
власник ризика (risk owner)
особа или ентитет који су крајње одговорни и овлашћени за менаџмент ризиком (3.2.1)

[SRPS ISO Guide 73, дефиниција 3.5.1.5, модификовано]

3.4 Термини који се односе на анализу ризика

3.4.1
анализа ризика (risk analysis)
процес схватања природе ризика (3.1.5) и одређивање нивоа ризика (3.4.10)

НАПОМЕНА 1 Анализа ризика пружа основу за вредновање ризика (3.5.1) и за одлуке о поступању са
ризиком (3.6.1).

[SRPS ISO Guide 73, дефиниција 3.6.1, модификовано]

3.4.2
вероватноћа догађања (likelihood)
шанса да се нешто догоди

НАПОМЕНА 1 Често се означава као мера извесности догађања, изражена као број између 0 и 1, где 0
представља немогућност, а 1 потпуну сигурност.
НАПОМЕНА 2 У терминологији менаџмента ризиком се реч „вероватноћа” користи онда када се односи на шансу
да се нешто догоди, било да је дефинисано, мерено или одређено објективно или субјективно, квалитативно
или квантитативно, и описано коришћењем општих појмова или математички (као што је вероватноћа у
12
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

одређеном временском периоду).

[SRPS ISO Guide 73, дефиниција 3.6.1.1, модификовано]

3.4.3
изложеност (exposure)
степен до којег су организација и/или заинтересована страна (3.2.1) подложне утицају неког
догађаја (3.3.5)

НАПОМЕНА 1 Изложеност подразумева подложност ризицима штићених вредности које могу трпети ефекте
одређеног догађаја у јединици времена.

[SRPS ISO Guide 73, дефиниција 3.6.1.2, модификовано]


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

3.4.4
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

учесталост (frequency)
број догађаја (3.3.5) или исхода у дефинисаној јединици времена

НАПОМЕНА 1 Учесталост се може применити на прошле догађаје (3.3.5) или потенцијалне будуће догађаје
ако се може користити као мера вероватноће догађања.

[SRPS ISO Guide 73, дефиниција 3.6.1.5, модификовано]

3.4.5
рањивост (vulnerability)
карактеристичне особине штићених вредности које резултирају осетљивошћу према извору ризика
(3.3.4), што може довести до догађаја (3.3.5) са последицама (3.4.6)

НАПОМЕНА 1 Рањивост може да представља меру квалитета постојећег стања заштите.

НАПОМЕНА 2 Рањивост може да се дефинише као степен до којег је организација и/или заинтересована
страна (3.2.4) подложна утицају неког догађаја (3.3.5) због своје изложености (3.4.3).

НАПОМЕНА 3 Уколико је обим штете (3.4.8) дефинисан трајањем штетних утицаја на штићене вредности
(3.1.1), онда рањивост (3.4.5) укључује и отпорност (3.1.2). Овај закључак произлази из претпоставке да
рањивост (3.4.5) подразумева подложност ефектима неког догађаја (3.3.5), односно осетљивост организације
на догађај (3.3.5).

[SRPS ISO Guide 73, дефиниција 3.6.1.6, модификовано]

3.4.6
последица (consequence)
исход догађаја (3.3.5) који утиче на циљеве

НАПОМЕНА 1 Догађај може да доведе до низа последица.

НАПОМЕНА 2 Последица може да буде извесна или неизвесна и може да има позитивне или негативне
ефекте на циљеве.

НАПОМЕНА 3 Последице могу да буду изражене квалитативно или квантитативно.

НАПОМЕНА 4 Почетне последице могу да изазову домино ефекте.

[SRPS ISO Guide 73, дефиниција 3.6.1.3]

3.4.7
критичност (criticity)

13
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

мера важности штићене вредности (3.1.1) за организацију, односно мера осетљивости организације
према догађају (3.3.5) са последицама (3.4.6) на штићене вредности (3.1.1)

3.4.8
штета (damage)
мера оштећења штићене вредности (3.1.1)

НАПОМЕНА Мера оштећења може да буде изражена у новчаним јединицама, процентуално, бројем повреда,
бројем изгубљених живота или у некој другој величини која је погодна за описивање последица (3.4.6).

3.4.9
матрица ризика (risk matrix)
алат за рангирање и приказивање ризика (3.1.5), дефинисањем опсега за последице (3.4.6) и вероватноће
догађања (3.4.2)
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

[SRPS ISO Guide 73, дефиниција 3.6.1.7]

3.4.10
ниво ризика (level of risk)
величина ризика или комбинације ризика, изражена као комбинација последица (3.4.6) и њихове
вероватноће догађања (3.4.2)

[SRPS ISO Guide 73, дефиниција 3.6.1.8]

3.4.11
одређивање приоритета (prioritize)
разврставање ризика према нивоу ризика (3.4.10), од највећег према најмањем

3.4.12
категоризација ризика (risk categorization)
разврставање ризика према нивоу ризика (3.4.10) у одређене категорије, у односу на одређени
критеријум

НАПОМЕНА 1 За потребе овог стандарда се користе категорије од 1 до 5.


НАПОМЕНА 2 Начелно, у прву категорију улазе ризици са највишим нивоом ризика, а у пету са најнижим
нивоом ризика.

3.5 Термини који се односе на вредновање ризика

3.5.1
вредновање ризика (risk evaluation)
процес поређења резултата анализе ризика (3.4.1) са критеријумима за ризик (3.2.9) да би се утврдило
да ли је ризик (3.1.5) и/или величина ризика прихватљива или се може толерисати

НАПОМЕНА Вредновање ризика помаже приликом одлучивања о поступању са ризиком (3.6.1).


[SRPS ISO Guide 73, дефиниција 3.7.1]

3.5.2
став према ризику (risk attitude)
приступ организације оцени и на крају оптимизацији, задржавању, прихватању или одбацивању
ризика (3.1.5)

[SRPS ISO Guide 73, дефиниција 3.7.1.1]

3.5.3
склоност ка прихватању ризика (risk appetite)
14
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

количина и врста ризика (3.1.5) којим је организација вољна да се бави или да га задржи

[SRPS ISO Guide 73, дефиниција 3.7.1.2]

3.5.4
толерисање ризика (risk tolerance)
спремност организације или заинтересоване стране (3.2.4) да сноси ризик (3.1.5) после поступања
са ризиком (3.6.1) како би постигла своје циљеве

НАПОМЕНА На толерисање ризика могу утицати захтеви закона, осталих прописа и стандарда.

[SRPS ISO Guide 73, дефиниција 3.7.1.3]


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

3.5.5
аверзија према ризику (risk aversion)
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

став да се не улази у ризик (3.1.5)

[SRPS ISO Guide 73, дефиниција 3.7.1.4]

3.5.6
агрегација ризика (risk aggregation)
комбиновање извесног броја ризика у један ризик (3.1.5) да би се развило потпуније разумевање
целокупног ризика

НАПОМЕНА Агрегација ризика обухвата и домино ефекат догађаја са последицама.

[SRPS ISO Guide 73, дефиниција 3.7.1.5, модификовано]

3.5.7
прихватање ризика (risk acceptance)
на информацијама заснована одлука да се одређени ризик (3.1.5) прихвати

НАПОМЕНА 1 Ризик се може прихватити без потребе да се са њим поступа (3.6.1) или у току процеса
поступања са ризиком.
НАПОМЕНА 2 Прихваћени ризици су предмет праћења (3.7.1) и преиспитивања (3.7.2).

[SRPS ISO Guide 73, дефиниција 3.7.1.6]

3.6 Термини који се односе на поступање са ризиком

3.6.1
поступање са ризиком (risk treatment)
процес за модификовање ризика (3.1.5)

НАПОМЕНА 1 Поступање са ризиком може да обухвати:


– избегавање ризика доношењем одлуке да се не започну или не наставе активности које доводе до ризика;
– прихватање ризика;
– уклањање извора ризика (3.3.4);
– промена вероватноће догађања (3.4.2);
– промена последица (3.4.6);
– подела ризика са другом страном или странама [укључујући уговоре и финансирање ризика (3.6.5)] и
– задржавање ризика према одлуци донетој на основу информација.
НАПОМЕНА 2 За поступања са ризиком која се баве негативним последицама понекад могу да се употребе
изрази „ублажавање ризика”, „елиминисање ризика”, „превенција ризика” и „смањење ризика”.
15
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

НАПОМЕНА 3 Поступање са ризиком може да створи нове или да модификује постојеће ризике.

[SRPS ISO Guide 73, дефиниција 3.8.1, модификовано]

3.6.2
управљање (control)
мера којом се модификује ризик (3.1.5)

НАПОМЕНА 1 Управљање обухвата сваки процес, политику, уређај, праксу, или друге мере којима се модификује
ризик.

НАПОМЕНА 2 Управљањем се не може увек постићи жељени или претпостављени ефекат модификације
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

[SRPS ISO Guide 73, дефиниција 3.8.1.1]


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

3.6.3
избегавање ризика (risk avoidance)
одлука заснована на информацијама, која подразумева неукључивање у неку активност или повлачење
из ње, да не би постојала изложеност одређеном ризику (3.1.5)

НАПОМЕНА 1 Избегавање ризика може да се заснива на резултатима вредновања ризика (3.5.1) и/или правним
и регулаторним обавезама.

[SRPS ISO Guide 73, дефиниција 3.8.1.2]

3.6.4
дељење ризика (risk sharing)
начин поступања са ризиком (3.6.1) који обухвата договорену поделу ризика (3.1.5) са другим странама

НАПОМЕНА 1 Правни или регулаторни захтеви могу да ограниче, забране или доделе овлашћење за дељење
ризика.

НАПОМЕНА 2 Дељење ризика може да се врши путем осигурања или других облика уговора.

НАПОМЕНА 3 До које мере ће ризик бити расподељен, може да зависи од поузданости и јасноће споразума о
дељењу ризика.

НАПОМЕНА 4 Преношење ризика је облик дељења ризика.

[SRPS ISO Guide 73, дефиниција 3.8.1.3]

3.6.5
финансирање ризика (risk financing)
начин поступања са ризиком (3.6.1) који обухвата резервне споразуме за непредвиђене ситуације, за
обезбеђивање фондова, како би се сагледале или модификовале финансијске последице (3.4.6), уколико
до њих дође

[SRPS ISO Guide 73, дефиниција 3.8.1.4]

3.6.6
задржавање ризика (risk retention)
прихватање потенцијалне користи од добитка или терета губитка, када је у питању одређени ризик
(3.1.5)

НАПОМЕНА 1 Задржавање ризика обухвата прихватање преосталог ризика (3.6.7).


НАПОМЕНА 2 Ниво задржаног ризика може да зависи од критеријума за ризик (3.2.9).

16
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

[SRPS ISO Guide 73, дефиниција 3.8.1.5]

3.6.7
преостали ризик (residual risk)
ризик (3.1.5) који преостаје након поступања са ризиком (3.6.1)

НАПОМЕНА 1 Преостали ризик може да садржи неидентификовани ризик.

НАПОМЕНА 2 За преостали ризик може да се употреби и израз „задржани” ризик.

[SRPS ISO Guide 73, дефиниција 3.8.1.6]

3.7 Термини који се односе на праћење и мерење


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

3.7.1
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

праћење (monitoring)
стално проверавање, надгледање, критичко посматрање или утврђивање статуса да би се идентификовале
промене у односу на захтеване или очекиване нивое перформанси

НАПОМЕНА Праћење може да се примени на оквир менаџмента ризиком (3.2.10), процес менаџмента
ризиком (3.2.2), ризик (3.1.5), или управљање (3.6.2). Праћење може да врши највише руководство, стручна
екстерна организација или орган, искључиво по налогу највишег руководства које је одговорно за примену
методологије и реалност процене.

[SRPS ISO Guide 73, дефиниција 3.8.2.1, модификовано]

3.7.2
преиспитивање (review)
предузета активност ради утврђивања погодности, адекватности и ефективности дате материје за
постизање постављених циљева

НАПОМЕНА Преиспитивање може да се примени на оквир менаџмента ризиком (3.2.10), процес менаџмента
ризиком (3.2.2), ризик (3.1.5), или управљање (3.6.2). Преиспитивање може да врши највише руководство,
стручна екстерна организација или орган, искључиво по налогу највишег руководства које је одговорно за примену
методологије и реалност процене.

[SRPS ISO Guide 73, дефиниција 3.8.2.2, модификовано]

3.7.3
извештавање о ризику (risk reporting)
облик комуницирања предвиђен за информисање одређених интерних или екстерних заинтересованих
страна (3.2.4), пружањем информација о тренутном стању ризика (3.1.5) и менаџменту ризиком (3.2.1)

[SRPS ISO Guide 73, дефиниција 3.8.2.3]

4 Процес процене ризика


Да би организација могла да изврши ефективну процену ризика, претходно мора да успостави контекст
процене, а по завршеној процени одреди мере за поступање са ризиком. Највише руководство мора
стално да контролише и ревидира процес процене ризика, као и да преиспитује све заинтересоване
стране. У процесу процене ризика је неопходно одржавати комуникације и консултације са интерним
и екстерним заинтересованим странама (Прилог А).

У складу са овим стандардом, процена ризика треба да омогући:

– свест о потреби процене ризика и поступања са ризиком;


– усаглашеност са релевантним правним и регулаторним захтевима и стандардима;

17
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

– поуздану и ефективну основу за планирање и доношење одлука;


– дефинисање контролних механизама којима се омогућава ефективно и ефикасно доношење одлука
и планирање;
– ефективну припрему и коришћење ресурса за процену ризика;
– већи степен примене мера заштите;
– унапређено корпоративно управљање;
– унапређено финансијско извештавање;
– унапређену идентификацију прилика и потенцијалних опасности;
– унапређену превенцију и суочавање са реметилачким догађајима;
– побољшану оперативну ефективност и ефикасност;
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

– повећано поверење кључних заинтересованих страна;


– смањење губитака и
– ефикасно проактивно управљање.

4.1 Сврха и предности

Сврха израде овог стандарда је стварање услова за доношење ефикасних и ефективних одлука у функцији
унапређења безбедности и отпорности на основу свеобухватне процене ризика.

Процена ризика од највишег руководства организације захтева стриктну и одрживу примену и


свеобухватно стратешко и прецизно оперативно планирање. Највише руководство мора да:

а) искаже потребу за проценом ризика и одобри процену ризика;


б) информише све заинтересоване стране о предностима и резултатима процене ризика;
в) дефинише индикаторе перформанси процеса процене ризика који одговарају организационим
перформансама;
г) осигура подударност мера установљених проценом ризика, са циљевима и стратегијом организације;
д) обезбеди законитост и усаглашеност са правним актима и стандардима и
ђ) обезбеди расподелу потребних ресурса за потребе процене ризика.

4.2 Принципи процене ризика

Да би била ефективна и ефикасна, процена ризика се руководи следећим принципима:

а) Проценом ризика организација ствара вредности

Процена ризика треба да допринесе уочљивом постизању циљева и унапређењу, на пример ефикасности
радних и технолошких процеса, функционисања органа јавне власти, заштите животне средине,
финансијског учинка, корпоративног руковођења, безбедности и здравља на раду, квалитета производа,
усаглашавању са правним и регулаторним захтевима, друштвеној одговорности и репутацији и
другим циљевима у складу са специфичностима организације.

б) Процена ризика је интегрални део организационих процеса

Процена ризика треба да буде део руководећих дужности и интегрални део уобичајених организационих
процеса, као и процеса праћења промена. Процена ризика не би требало да буде издвојена активност,
односно не би смела да буде одвојена од најважнијих организационих активности и процеса, већ мора
да представља иманентно својство организационих процеса.
в) Процена ризика је незаобилазан део процеса доношења одлука

18
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Процена ризика омогућава да се утврде приоритети и разликују алтернативни правци одвијања


активности. Процена ризика помаже укључивање доносилаца одлука у ток информација. Коначно,
процена ризика је од користи приликом одлучивања о неприхватљивости ризика, као и адекватности
и ефективности менаџмента ризиком.

г) Процена ризика се експлицитно бави неизвесношћу

Процена ризика се бави оним аспектима одлучивања у организацији које карактерише неизвесност,
бави се природом те неизвесности и начинима на које би се њом могло поступати.

д) Процена ризика је систематска и структурирана


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Различити приступи процени ризика треба да осигурају конзистентност, упоредивост и поузданост


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

резултата, као и њихову проверљивост.

ђ) Процена ризика је заснована на најбољим доступним информацијама

Улазни подаци у процес процене ризика треба да буду засновани на изворима информација, као што
су искуства, повратне информације, посматрања, предвиђања и мишљења експерата. Доносиоци одлука
треба да буду упозорени на ограничења употребљених података и њихову веродостојност, начин
њихове обраде или могућност постојања различитих виђења експерата, што мора де се узме у обзир у
процесу доношења одлуке. Организација треба да користи податке који су јавно публиковани и податке
које поседују јавне службе.

е) Процена ризика је прилагођена

Процена ризика мора да одговара интерном и екстерном контексту организације.

ж) Процена ризика узима у обзир људски фактор

Процена ризика мора да омогући препознавање могућности, перцепција и намера заинтересованих страна,
изван и унутар организације, који би могли олакшати или отежати остваривање циљева организације.

з) Процена ризика је транспарентна и отворена за сугестије

Одговарајућим и правовременим укључивањем релевантних заинтересованих страна и, посебно,


доносилаца одлука на свим нивоима организације, требало би да буду осигурани релевантност и
ажурност процене ризика. Укљученост такође омогућава заинтересованим странама да буду на прави
начин заступљене и да њихова мишљења буду узета у обзир приликом одређивања критеријума за
ризик и прихватљивог нивоа ризика.

и) Процена ризика је динамична, циклична и спремна да одговори на све врсте промена

Наступањем интерних и екстерних догађаја се мењају контекст и сазнања, приступа се контроли и


преиспитивању ризика, неки ризици се повећавају и постају уочљиви, док се други умањују.
Организација мора да обезбеди процес процене ризика који ће бити у стању да континуирано
детектује и одговара на промене.

ј) Процес процене ризика подразумева стално побољшавање и дораду

Организација мора да развије стратегије унапређивања процеса процене ризика, паралелно са


унапређивањем других аспеката организације.

4.3 Одговорности и овлашћења

19
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Организација мора да дефинише одговорности и овлашћења за менаџмент ризицима, адекватност и


ефективност поступања са ризицима, примену мера и одрживост процеса процене ризика. Ово се
може остварити:

а) дефинисањем, праћењем и сталним прилагођавањем политике менаџмента ризиком;

б) применом одговарајућих механизама признања, награда, похвала и казни;

в) успостављањем метрике резултата и интерног и/или екстерног извештавања о напретку;

г) спецификовањем носиоца ризика или категорија ризика у циљу примене мера поступања са
ризицима, одржавања контоле ризика и интерног извештавања о релевантним информацијама о
ризику и
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

д) спецификовањем одговорности за развој, примену и одржавање концепта процене ризика.

4.4 Ресурси

Организација примењује практичне методе и средства за реализацију процеса процене ризика,


укључујући расподелу одговарајућих ресурса за процес процене ризика.

Процена ризика мора да обухвати следеће:

а) документоване процесе и процедуре;

б) информатичку подршку;

в) оспособљене људске ресурсе и

г) остале ресурсе неопходне за сваку фазу процеса процене ризика.

4.5 Штићене вредности

Штићене вредности организације су:

а) номиналне (пословање, безбедност, финансијски учинак),

б) неноминалне (регулаторне/правне норме, углед и заинтересоване стране).

Области које обухватају штићене вредности су приказане у Прилогу Б, табела Б.1.

4.6 Разумевање организације и њеног контекста

Пре приступања процесу процене ризика је важно разумети екстерни и интерни контекст организације.

Утврђивање поузданости података и извора података је од битног утицаја на идентификацију ризика,


као и на одређивање нивоа ризика и израду плана поступања са ризиком.

Екстерни контекст организације обухвата:

– културно, политичко, правно, финансијско, економско и конкурентско окружење, међународно,


национално или регионално;

– кључне чиниоце и трендове који утичу на циљеве организације и


– перцепцију и вредности заинтересованих страна.

20
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Такође је битно утврдити интерни контекст организације који чине:

– властите могућности и снаге, у смислу ресурса и знања (капитал, људи, компетенције, процеси,
системи и технологије);

– проток информација и процеса доношења одлука;

– интерне заинтересоване стране;

– циљеви и стратегије за њихово остваривање;

– перцепција, вредност и култура;


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

– политика и процеси;
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

– стандардни референтни модели које је усвојила организација и

– структуре (управљање, улоге и одговорности).

4.7 Успостављање интерне комуникације и механизама извештавања

Потребно је да организација успостави интерну комуникацију и механизме извештавања да би обезбедила


да релевантне информације настале проценом ризика буду доступне одговарајућим нивоима руковођења
у организацији као основа за доношење одлука и подршка у остваривању организационих циљева. Ови
механизми треба да обухвате процесе за прикупљање информација о ризику у које ће бити укључени
разни извори, узимајући у обзир поузданост извора и кредибилитет информација. У процес комуникације
морају да буду укључени сви нивои руковођења, као и сви запослени.

4.8 Успостављање екстерне комуникације и механизама извештавања

Потребно је да организација развије и примени план обезбеђивања комуникације са екстерним


заинтересованим странама. Ово треба да укључи:

a) комуникацију са заинтересованим странама пре и током реметилачког догађаја;

б) ангажовање одговарајућих екстерних заинтересованих страна и омогућавање ефективне размене


информација;

в) интерно и екстерно извештавање на законит, правно основан начин и са овлашћењем органа


управљања;

г) интерно извештавање о утицају процене ризика на однос са заинтересованим странама, о ефективности


и резултатима процене ризика;

д) доступност информација у складу са прописима;

ђ) обезбеђивање повратне информације у комуникацијама и

е) коришћење комуникација ради осигурања транспарентности и изградње поверења у организацију.

4.9 Успостављање контекста

Успостављање контекста процене ризика је почетна и кључна фаза у процесу процене ризика и
организација мора да је узме у обзир. Приликом успостављања контекста процене ризика организација
треба да узме у обзир тачке од 4.5 до 4.8 овог стандарда.
4.9.1 Опште напомене

21
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Препоручује се да процес процене ризика буде усклађен са окружењем, културом, процесима,


структуром и циљевима организације. Не препоручује се примена шаблона у дефинисању и реализацији
процене ризика.

Успостављањем контекста процене ризика утврђују се основне карактеристике организације, обим и


критеријуми од значаја за процену ризика. Контекст може да садржи и интерне и екстерне параметре
релевантне за организацију.

4.9.2 Успостављање контекста процене ризика

Организација треба да успостави циљеве, стратегије, обим и параметре активности, организације или
оних њених делова у којима се примењује процена ризика.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Процена ризика треба да се предузме са пуним уважавањем потребе да се оправдају извори


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

употребљени у спровођењу процене ризика. Потребни ресурси, одговорности и овлашћења треба да


буду спецификовани до најситнијх детаља који омогућавају спровођење детаљне и свеобухватне процене.

Контекст процене ризика може да варира у односу на потребе организације која је врши или за чије
потребе се врши процена ризика. Може да укључује, али није ограничен на:

– одређивање одговорности;

– одређивање дубине и ширине активности процене ризика;

– одређивање обима пројекта, процеса, функција или активности у погледу времена и локације;

– дефинисање пројекта, процеса, функција, активности и њихових циљева и предмета;

– одређивање односа између одређеног пројекта или активности и других пројеката или активности
организације;

– одређивање методологије процене ризика;

– утврђивање начина на који се процењују перформансе процеса процене ризика;

– идентификовање и спецификовање одлука које треба да се донесу и

– идентификовање неопходних студија, њиховог опсега, циљева и ресурса неопходних за такву студију.

Обраћање пажње на ове и друге релевантне факторе треба да обезбеди да усвојен приступ процене
ризика буде адекватан и пропорционалан окружењу организације и ризицима који утичу на постизање
циљева, а у складу са захтевима у тачки 5 овог стандарда.

4.9.3 Успостављање екстерног контекста

Екстерни контекст подразумева све факторе изван организације који могу да имају утицај на њене
циљеве.

Разумевање екстерног контекста је важно како би се осигурало да екстерне заинтересоване стране,


њихови циљеви и интереси буду размотрени приликом развијања критеријума за ризик. Он се
заснива на контексту целе организације, али са специфичним детаљима законских и регулаторних
услова, идентификовању заинтересованих страна и других аспеката ризика, специфичних за подручје
примене процене ризика.
Екстерни контекст или окружење може да укључи, али није ограничен на:

22
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

– културну, политичку, правну, регулаторну, финансијску, економску и конкурентску средину, било


међународну, националну или регионалну;

– кључне покретаче и трендове који имају утицај на циљеве организације;

– перцепције и вредности екстерних заинтересованих страна.

Приликом успостављања екстерног контекста организација треба да уочи и екстерне факторе који
представљају активност различитих субјеката, догађаја или појава, а физички се не налазе у кругу
или просторијама организације.

Екстерни фактори могу бити:

а) макролокација;
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

б) микролокација;

в) конкуренција и

г) историја штетних догађаја.

Екстерне факторе који су процењени као утицајни у дефинисању конкретног контекста организација
мора да посматра у односу на захтеве дефинисане у тачки 5 овог стандарда.

4.9.4 Успостављање интерног контекста

Интерни контекст подразумева све чиниоце унутар организације који могу остварити утицај на
процену ризика. Одређивање интерног контекста је значајно, јер:

– велики ризик за неке организације представља неуспех у постизању стратешких, пројектних и


пословних циљева, при чему ризик утиче на текуће ангажовање, кредибилитет и вредности
организације;

– циљеви и критеријуми одређеног пројекта или активности треба да се размотре у светлу циљева
организације као целине;

– процена ризика се реализује у контексту циљева организације и

– постојање великих ризика ствара конфузију у раду организације на свим пољима деловања.

Организација треба да схвати интерни контекст у погледу:

– способности, схваћене у смислу организационог знања (нпр. капитал. људи, стручност, процеси,
системи и технологије);

– протока информација и процеса доношења одлука;

– интерних заинтересованих страна;

– циљева и стратегија за њихово достизање;

– политика и процеса;

– стандарда и референтних модела које је усвојила организација и

– структуре (нпр. руковођење, улоге и одговорности).

23
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Организација приликом успостављања интерног контекста треба да уочи и интерне факторе који
представљају активност различитих субјеката, догађаја или појава, а физички се налазе у кругу или
просторијама организације.

Интерни фактори могу бити:

a) историја штетних догађаја;

б) величина организације;

в) начин организовања;

г) начин и степен заштите;


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

д) деловање интерних заинтересованих страна.

Интерне факторе који су процењени као утицајни у дефинисању конкретног контекста организација
мора да посматра у односу на захтеве дефинисане у тачки 5 овог стандарда.

Организација може да изостави факторе који нису процењени као актуелни за процену ризика.
Изостављене факторе треба да прати менаџер ризика, ради процењивања њиховог утицаја на штићене
вредности.

4.10 Процена ризика

4.10.1 Опште

Процена ризика је, у ужем смислу, свеобухватни процес идентификације ризика, анализе и вредновања
ризика.

4.10.2 Идентификација ризика

Идентификација ризика и одређивање величине опасности важно је за планирање обима процеса


процене ризика у организацији, као и одређивање приоритета у анализи, поступању са ризицима и
контроли ризика.

Идентификација ризика, у смислу овог стандарда, обухвата идентификацију потенцијалних опасности,


извора опасности, догађаја или низа околности и њихових потенцијалних последица, релевантних за
циљеве наведене у тачки 4 овог стандарда. Идентификација ризика треба да укључи све опасности,
без обзира на то да ли су под контролом организације или нису и без обзира на то да ли су у датом
моменту актуелне или не. Опасности које у овом стадијуму нису идентификоване, остају необухваћене
даљом анализом.

У идентификацији ризика важно је утврдити постојеће стање које обухвата: изворе опасности,
међузависност извора, текуће мере контроле, реметилачке догађаје и потенцијалне последице. Извори
опасности су непосредни узроци повезани са реметилачким догађајима. Нпр. поплаве могу да настану
услед интензивних киша, оштећења на брани, или услед наглог топљења снежних наноса који
представљају изворе опасности. Такође су удар грома, људски фактор са атрибутом намерности и
ненамерности уобичајени узроци пожара. Извори опасности и реметилачки догађаји се увек
сагледавају у интеракцији са опасностима које представљају услове под којима су штићене вредности
изложене изворима опасности, тј. ризицима. Ови услови се тичу карактеристика окружења (нпр. налази
се у окружењу у коме су учестале крађе или разбојништа...) и постојања мера превенције и контроле.
У контексту опасности, друштвене заједнице које имају висок ниво изложености изворима опасности
и због недостатка одговарајућих мера контроле и превенције мање су способне да се прилагоде
опасности и сматраће се рањивијим.
24
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Уобичајено је да се опције ублажавања ризика деле на: контролу понашања која се заснива на
људским активностима које су иницирали појединаци или група, засновану на њиховом искуству;
процедуралну контролу засновану на људским активностима на основу претходно дефинисаних
приступа унутар система менаџмента; физичко-техничку контролу која обухвата пасивне/статичке
мере контроле или аутоматизоване системе у оквиру система менаџмента, без људских активности.

Опције ублажавања ризика се примењују за смањење вероватноће појаве догађаја и/или смањење
њиховог утицаја (последица). Уобичајено је да се мере превенције и приправности користе за превенцију
или ублажавање изложености или утицаја елемената под ризиком, док се мере одговора и опоравка
користе за ублажавање утицаја, односно последица. Документовање највиших нивоа ублажавања ризика
(превенције/приправности и одговора/опоравка) у односу на догађаје и њихове последице обезбедиће
битне информације током вредновања мера за поступање са ризиком. Идентификација ризика ће
открити елементе који су изложени ризику и њихов капацитет да се суоче са ризиком, како би се
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

рањиви елементи који се налазе под ризиком класификовали по приоритету.


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

У процесу идентификације ризика су веома битне релевантне и ажуриране одговарајуће претходне


информације о ризику, као и експертска знања из одређене области.

4.10.3 Анализа ризика

Анализа ризика обухвата разматрање узрока и извора потенцијалних опасности, њихових позитивних
и негативних последица, као и вероватноћу појављивања. Ризици се анализирају тако што се одређују
последице и вероватноћа њиховог настанка, као и остале битне особине (Прилог А2). Догађај или низ
околности могу да имају вишеструке последице и да утичу на већи број циљева. У разматрање такође
треба узети постојеће мере поступања са ризиком и њихову ефикасност. Анализа ризика пружа улазну
информацију за вредновање ризика и одлуке да ли и које је мере потребно предузети приликом
поступања са ризиком.

Начин на који су изражени вероватноћа настанка догађаја и њихове последице и начин на који се они
комбинују ради утврђивања нивоа ризика варираће у зависности од врсте опасности и сврхе излазне
информације о процени ризика. Сви елементи морају да се анализирају у складу са критеријумом за
анализу ризика прописаним у овом стандарду. Такође је важно размотрити међузависност различитих
опасности, ризика и њихових извора.

Поверење у процењени ниво ризика и осетљивост процене на предуслове и претпоставке морају да


буду размотрени и пренети доносиоцима одлука и осталим заинтересованим странама, уколико се то
захтева. Фактори попут неслагања у мишљењима експерата или ограничења у примењеним моделима
треба да буду јасно предочени.

Анализи ризика треба прићи са различитим степеном детаљности, који зависи од врсте опасности,
сврхе анализе и информација, података и извора који су доступни. Анализа може да се подели на
квалитативну, полуквантитативну и квантитативну, или њихову комбинацију, у зависности од околности.
У пракси се квалитативна анализа често примењује прва у циљу долажења до опште индикације
величине опасности и откривања највећих опасности. Када год је то могуће и одговарајуће, потребно
је да се изврши и квантитативна анализа ризика као следећи корак. Без обзира на врсту анализе, мора
да се изврши квантификација нивоа ризика.

Последице могу да се одреде израдом модела исхода неког догађаја или низа догађаја, екстраполацијом
из експерименталних проучавања или из доступних података. Последице могу да се изразе у виду
одређених и неодређених утицаја. У неким случајевима је неопходно располагати већим бројем
нумеричких или описних вредности да би се прецизирале последице за различита времена, места,
групе, или ситуације.

4.10.4 Вредновање ризика

Циљ вредновања ризика је да се помогне у доношењу одлука, на основу резултата анализе ризика, о
томе којим се ризицима треба бавити, као и доношењу одлука о приоритетима за поступање са ризиком.
25
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Вредновање ризика обухвата поређење нивоа ризика који су детерминисани у току анализе ризика и
критеријума за ризике који су утврђени у току разматрања читавог контекста. У ситуацијама у којима
је потребно да се направи избор између више опција, он ће зависити од контекста организације.

Одлуке треба да узму у обзир шири контекст ризика и укључе разматрање толерисања ризика других
организација од којих организација има користи. Одлуке такође морају да узму у обзир ограничења
правне регулативе.

Уколико ниво ризика не задовољи критеријум за ризике (прихватљиви ризици), онда се тим ризиком
треба бавити (ризик би требало да буде разматран и да се дефинишу мере за поступање према њему).

Вредновање ризика у неким условима може да доведе до одлуке о наставку даље анализе. Вредновање
ризика, такође, може да води и ка одлуци да се ризик даље не ублажава ни на који други начин осим
применом постојећих мера ублажавања ризика. Ова одлука ће зависити од склоности организације ка
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

ризику и постављених критеријума за ризике.


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

4.11 Поступање са ризиком

4.11.1 Опште напомене

Поступање са ризицима обухвата опције за ублажавање ризика, опције за изводљивост и анализу


цена–ефикасност.

Поступање са ризиком може да укључи и цикличан процес оцењивања поступања са ризиком,


закључивања да преостале ризике није могуће обухватити постојећим мерама, стварање нових мера за
поступање са ризиком и процењивање њихових ефеката до постизања одговарајућег нивоа преосталог
ризика који организација може да умањи према критеријуму за ризике.

4.11.2 Избор мера за поступање са ризиком

Избор одговарајућих мера за поступање са ризиком обухвата балансирање трошкова и напора у


примени мере и користи која се из тога може извући.

Акт о процени ризика у заштити лица, имовине и пословања, чија је основна структура приказана у
Прилогу Ф, представља основу за доношење мера физичке, техничке и физичко-техничке заштите,
које се предузимају ради:

а) онемогућавања неовлашћеног приступа објекту;

б) сигнализације неовлашћеног уласка у штићени простор и дојаву контролном центру;

в) онемогућавања уношења у објекат оружја, експлозивних, радиоактивних, биолошких и других


опасних предмета и материја;

г) заштите појединачних вредности помоћу система електрохемијске заштите (кофери, контејнери,


касе, трезори и др);

д) вршења радњи усмерених на спречавање кривичних дела и других идентификованих ризика;

ђ) праћења кретања око и у штићеном простору и појединачно штићеним просторијама (контрола


приступа и видео-обезбеђење) уз видео-запис који се чува најкраће 30 дана;

е) контроле спровођења прописаних мера заштите и унутрашњег реда у објекту и деловима објекта
под посебним режимом;

ж) интегрисане заштите с најмање једним локалним надзорним местом (контролном собом) и системом
везе са службеницима обезбеђења на штићеном објекту;

з) писане процедуре за случајеве наступања ризика.


26
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Велики број мера за поступање са ризиком може да буде разматран и примењен појединачно или у
комбинацији. Одлуке треба да узму у обзир: ризике који могу узроковати велику штету, чак и ако су
такви догађаји ретки; високофреквентне ризике са малим штетним последицама за сваки појединачни
догађај, који могу исцрпсти финансијске ресурсе организације својим кумулативним трошковима;
ризике за које постоје очигледна решења, повољна када су у питању трошкови, која могу бити лако
имплементирана. Одлуке треба да узму у обзир правне и регулаторне захтеве, као и ризике који прете
јавном угледу и репутацији, чак и ако поступање са тим ризицима изискује додатне финансијске
трошкове. Мере поступања са ризицима треба да размотре вредности и перцепције заинтересованих
страна, као и одговарајуће начине комуникације са њима. Иако можда подједнако ефективне, неке
мере поступања са ризицима могу да буду прихватљивије за заинтересоване стране од других.

Уколико су ресурси за поступање са ризицима ограничени, онда план поступања са ризицима треба
да јасно идентификује редослед приоритета по коме ће бити примењене појединачне мере поступања
са ризицима. Трошкови непредузимања било какве активности ради поступања са ризицима треба да
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

се упореде са буџетским уштедама.


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Поступање са ризицима може да доведе до ризика услед неуспеха или неефикасности мера за поступање
са ризицима. Надгледање примене мера би требало да буде саставни део плана за поступање са
ризицима како би се проверило да ли су мере ефективне.

Поступање са ризицима може да доведе и до секундарних ризика које треба проценити, умањити,
надгледати и извршити њихову ревизију. Ови секундарни ризици треба да буду уграђени у исти план
за поступање са ризицима као и првобитно процењени ризици и њима се не би требало бавити као
новим ризицима. Такође је потребно идентификовати повезаност између ризика.

Након поступања са ризицима, преостали ризик треба да буде документован и подложан преиспитивању,
а онда када је то погодно, и даљем третирању у складу са новим околностима.

4.11.2.1 Опције за ублажавање ризика

Опције за ублажавање ризика, тј. део мера за поступање са ризицима не искључују обавезно једна
другу, а такође нису применљиве у свим околностима. Опције обухватају следеће:
а) избегавање ризика;
б) смањење ризика изменом процедуре;
в) смањење ризика изменом постојеће технологије и техничко-технолошког поступка рада и/или
пословања;
г) смањење ризика увођењем нових безбедносних технологија и њихових процедура;
д) смањење вероватноће;
ђ) смањење последица потенцијалних опасности;
е) подела ризика;
ж) задржавање или прихватање ризика.

4.11.2.2 Опције за изводљивост

Свака мера за поступање са ризицима треба да буде узета у обзир по фазама процене ризика. Анализа
сваке опције мора да узме у обзир и цену коштања измене процедура или производа (услуга) у складу
са мерама за поступање са ризицима. Анализу изводљивости треба да изврше стручне финансијске
службе, а резултате анализе да доставе доносиоцу одлука.

4.11.2.3 Анализа цена–ефикасност

Анализа цена–ефикасност је последњи корак у спровођењу мера за поступање са ризицима. Потребно


је утврдити колика је стварна цена коштања примене предложених мера за поступање са ризицима и
одредити величину финансијских и других трошкова који настају применом предложених мера. Анализу
треба да изведу стручне финансијске службе, а резултате анализе да доставе доносиоцу одлука.
27
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

4.12 Контрола и ревизија


Сви елементи процеса процене ризика морају да буду изложени сталној контроли и ревизији. Процена
ризика резултира одређивањем мера за поступање са ризицима које треба да помогну доносиоцу
одлука да каналише будуће активности организације. Реализација одлуке претпоставља постојање
плана за поступање са ризицима и имплементацију мера на свим нивоима управљања. Информације
које улазе у планове поступања са ризицима могу да обухвате:

а) особе које су одговорне за одобравање плана и особе које су одговорне за примену плана;
б) предложене мере;
в) мере деловања и ограничења;
г) захтеве за надгледање и извештавање;
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

д) захтеве навођења извора;


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

ђ) очекивану корист и
е) временско усклађивање.

Планови за поступање са ризицима треба да буду интегрисани у управљачке процесе организације и о


њима би требало разговарати са одговарајућим заинтересованим странама.

Контрола и ревизија треба да омогуће:

а) да се адекватно употребе резултати анализе и поуке извучене из догађаја, све настале измене и
трендови;
б) детектовање промена у екстерном и интерном контексту, укључујући промене самог ризика које могу
да захтевају преиспитивање опција поступања са ризицима и приоритета поступања са ризицима;
в) проверавање да ли су мере поступања са ризицима ефективне и у плановима и у реализацији.

Контрола и ревизија могу да укључују редовне, периодичне или изненадне провере или контроле, у
складу са проценом највишег руководства организације. Није довољно ослањати се само на повремене
ревизије и контроле, тј. потребно је планирати више начина контроле.

Резултати контроле и ревизије треба да буду регистровани и о њима је потребно обавестити интерне
и екстерне заинтересоване стране у виду извештаја када је то потребно, а могу се такође користити и
као улазне информације за ревизију концепта управљања ризицима у процесу управљања организацијом.

Одговорности за контролу и ревизију треба да буду јасно дефинисане.

4.13 Регистровање процеса процене ризика


Организација мора да успостави могућност бележења активности процене ризика, у складу са важећим
прописима. Документовање података везаних за процену ризика треба практиковати у штампаном и
електронском облику. Неопходност бележења и постојања архиве везано је за потребу извештавања,
редовног или ванредног, и накнадне анализе. Организација за непрекидно бележење процеса процене
ризика мора да користи образац прописан овим стандардом (Прилог Р). Радни лист процене ризика
(Прилог Р) организација је дужна да покаже контролном телу на његов захтев.

Одлуке о документовању података треба да узму у обзир:


а) користи од поновног коришћења информација за циљеве управљања;
б) трошкове и напоре уложене у састављање и чување архиве;
в) правне, регулаторне и оперативне потребе архиве;
г) метод приступа, поновног проналажења и складиштења медија;
д) период чувања и
ђ) осетљивост информација.
28
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

4.14 Информатичка подршка процесу процене ризика


Организација која врши процену ризика мора да поседује информатичку опрему са адекватним
софтвером помоћу којег може да врши примену методологије за процену ризика, на обрасцима и на
оне начине који су прописани овим стандардом. Начин чувања образаца и ниво проверљивости не
смеју да буду двосмислени и морају да буду у сваком моменту расположиви контролном телу према
прописаној процедури.

4.15 Методе и алати за процену ризика


За потребе процене ризика, а у зависности од сложености организације, за идентификацију ризика,
анализу ризика, вредновање ризика и поступање са ризиком препоручује се примена једне или
комбинација наведених метода:
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

А. Идентификација ризика
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

1. Анализа постојеће евиденције или записа о догађајима – као извор информација се користе
јавне службе, запослени, заинтересоване стране, полисе осигурања;

2. прелиминарна матрица ризика – опис рањивих тачака и „уских грла”, анализа изложености
организације ризицима и потенцијални ефекти на ресурсе организације;

3. дијаграм „лептир-машна”;

4. структурне технике: графикон протока („flow charting”), студија потенцијалних опасности и


оперативности (Hazard and Operability studies – HAZOP);

5. „шта ако” анализа и анализа сценарија;


6. „stocks and flow” дијаграм;

7. чек-листе;

8. независна истраживања удружена са методом интервјуа;


9. „brainstorming” или размена идеја.

Б. Анализа ризика

1. Анализа стабла грешака;

2. анализа узрок–последица;

3. „stocks and flow” дијаграм;

4. анализа стабла грешака управљања;

5. технике управљања безбедношћу организације;

6. „go to” метода;

7. Марковљев модел;

8. „шта ако” анализа.

В. Вредновање ризика

1. Анализа стабла догађаја;

2. анализа стабла грешака;

3. анализа „5 зашто”.

29
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Г. Поступање са ризицима

1. Анализа опција за ублажавање ризика;

2. анализа опција за изводљивост и

3. анализа цена–ефикасност.

Менаџер ризика треба да размотри и примену других метода и алата за процену ризика.

5 Процена ризика – Захтеви


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

5.1 Опште
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

У овом стандарду су захтеви за процену ризика исказани квантитативно и квалитативно, у зависности од


тога на који начин контролна тела за оцењивање усаглашености организација, односно акредитоване
организације за оцењивање усаглашености особа, могу вредновати усаглашеност.

У случају да организација која пружа или користи услуге приватног обезбеђења ангажује другу
организацију за процену ризика, тада је неопходно да и ангажована организација испуњава захтеве
овог стандарда.

У овом стандарду се користе следећи глаголски облици:

– „мора” означава захтев;

– „сме” означава дозволу;

– „препоручује се” и „треба” означавају препоруку;

– „може” означава могућност или способност.

5.2 Захтеви који се односе на процену ризика

Процена ризика је свеобухватан процес идентификације, анализе и вредновања ризика.

НАПОМЕНА 1 Процена ризика укључује процес идентификације интерних и екстерних претњи и рањивости,
идентификације вероватноће догађаја са порастом таквих претњи и рањивости, дефинисање кључних функција
потребних за континуитет функционисања организације, дефинисање контроле на месту потребном за смањење
изложености и евалуацију трошкова такве контроле.

НАПОМЕНА 2 Ови захтеви се односе на организацију која пружа услуге процене ризика и организацију која
врши процену ризика за сопствене потребе.

5.3 Општи захтеви за организацију

Организација која пружа услуге процене ризика или врши процену ризика за сопствене потребе мора да:

а) испуњава сву релевантну правну регулативу применљиву на делатност организације;

б) осигура себе од одговорности за штету која би могла настати у њеном раду;

в) поседује информатичку опрему и одговарајући софтвер који обезбеђују несметану, правилну и


систематичну употребу образаца и алата за процену ризика прописаних у овом стандарду и
евиденције о процесу процене ризика;

30
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

г) користи доступне евиденције, сазнања и базе података надлежних органа о ризицима;

д) именује особу за послове менаџера ризика;

ђ) у процени ризика обухвати следеће групе ризика:

– ризике општих пословних активности;

– ризике по безбедност и здравље на раду;

– правне ризике;

– ризике од противправног деловања;


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

– ризике од пожара;

– ризике од елементарних непогода и других несрећа;

– ризике од експлозија;

– ризике по животну средину;

– ризике у процесу управљања људским ресурсима;

– ризике у области информационо-комуникационо-телекомуникационих система.

Организацији се препоручује да у процени ризика обухвати и следећу групу ризика:

е) ризике од неусаглашености са стандардима.

5.4 Захтеви за квалификованост менаџера ризика

Особа која врши послове менаџера ризика мора да поседује одговарајуће квалификације, као и
доказе за следеће:

а) да испуњава сву правну регулативу применљиву на предметне услуге;

Препоручује се да особа која врши послове менџера ризика поседује следеће квалификације, као и
доказе за следеће:

б) високо образовање на основним академским студијама у обиму од најмање 240 ЕСПБ бодова, мастер
академским студијама, специјалистичким академским студијама, специјалистичким струковним
студијама, односно на основним студијама у трајању од најмање четири године или специјалистичким
студијама на факултету из области безбедности, правних или економских наука, као и техничких
наука и најмање пет година радног искуства на пословима који су у оквиру предмета и подручја
примене стандарда;

в) познавање најмање једног страног језика;

г) последипломско специјалистичко усавршавање из области безбедности, односно области сродних


послова који се обављају приликом пружања услуга обезбеђења лица, имовине и пословања;

д) положен стручни испит из заштите од пожара;

ђ) лиценцу за процену ризика у заштити лица, имовине и пословања.

31
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

5.5 Захтеви за процену ризика општих пословних активности

Приликом процене ризика општих пословних активности организација мора да:

а) поседује ажурни извештај о бонитету у форми скоринга3), са величином опасности по критеријуму из


Прилога В;

НАПОМЕНА 1 Извештај мора да буде израђен по „Методологији за утврђивање података о бонитету привредних
друштава, задруга, установа и предузетника и давање оцена бонитета привредних друштава” (број:01-415/15, 2.
септембар 2015. године) која је утврђена у регистру финансијских извештаја Агенције за привредне регистре, а на
основу члана 42. Правилника о условима и начину јавног објављивања финансијских извештаја и вођењу
Регистра финансијских извештаја („Сл. гласник РС” број 127/2014).

НАПОМЕНА 2 Утврђене оцене бонитета: А – одличан; Б – веома добар; Ц – добар; Д – прихватљив; Е – веома
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

слаб бонитет; или као у напомени 3.


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

НАПОМЕНА 3 Исказане ознаке статуса: Пс – отворен стечајни поступак; Пл – покренут поступак ликвидације;
Тн – неликвидност у трајању дужем од 180 дана и неликвидност на дан израде скоринга – трајна неликвидност;
Псп – статусна промена у последње три године; Н – основано у последње три године; Мп – није доставило ниједан
финансијски извештај за последње три извештајне године или је тај извештај доставило без података; Мд –
нема довољно релевантних података.

б) поседује ажурну евиденцију о насталим штетама као последицама техничких ризика у пословању,
са величином опасности  2 по критеријуму из Прилога В;

НАПОМЕНА 4 Tехнички ризици су квар и лом машина и материјала, као и квар робе на залихама, застој у
реализацији пословних активности услед промена услова на тржишту.

в) поседује ажурну евиденцију о насталим штетама као последицама финансијских ризика у пословању,
са величином опасности  2 по критеријуму из Прилога В;

НАПОМЕНА 5 Финансијски ризици су лоши пословни уговори, погрешне калкулације и обрачуни, финансијске
мере у земљи и иностранству, варијабилни курсеви и каматне стопе.

г) поседује ажурну евиденцију о насталим штетама као последицама физичких ризика у пословању,
са величином опасности  2 по критеријуму из Прилога В;

НАПОМЕНА 6 Физички ризици су везани за непредвидиве догађаје који доводе до пропадања или нестајања
имовине, најчешће услед елементарних непогода и других несрећа.

Препоручује се да организација:

а) буде усаглашена са захтевима у SRPS ISO 22301, Друштвена безбедност – Системи менаџмента
континуитетом пословања – Захтеви;

НАПОМЕНА 7 У овом стандарду се утврђују захтеви за планирање, успостављање, примену, функционисање,


праћење, преиспитивање, одржавање и стално побољшавање документованог система менаџмента ради заштите
од инцидената или реметилачких догађаја, смањења вероватноће њиховог појављивања, спремности и одговора
на њих, као и опоравка од њих онда када се појаве.

НАПОМЕНА 8 Захтеви утврђени у овом стандарду су генерички и предвиђено је да буду применљиви на све
организације или њихове делове, без обзира на њихов тип, величину, или природу. Степен примене ових захтева
зависи од окружења у којем организација функционише, као и од сложености организације.

3)
„Скоринг” је оцена способности измиривања обавеза привредног друштва, утврђена на основу квантитативног
модела вредновања финансијских принципа пословања привредног друштва, заснованог на примени финансијске
анализе и статистичког мониторинга. Оцена бонитета је оцена способности измиривања обавеза привредног
друштва, која се даје у форми скоринга.
32
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

б) буде усаглашена са захтевима у SRPS ISO 9001, Системи менаџмента квалитетом – Захтеви, са
доказима о примени.

НАПОМЕНА 9 У овом стандарду се специфицирају захтеви за систем менаџмента квалитетом онда када
организација треба да покаже своју способност да конзистентно обезбеђује производ или услугу који
испуњавају захтеве корисника и применљивих закона и прописа. Ефективном применом система менаџмента
квалитетом, процеса сталног побољшавања и доказивањем усаглашености са захтевима корисника и применљивим
захтевима закона и прописа, остварују се повећање задовољства корисника и усаглашеност производа или
услуга које организација обезбеђује. Сви захтеви у овом стандарду су генерички и предвиђени су да буду
применљиви за било коју организацију, без обзира на њену врсту, величину или производе и услуге које
обезбеђује.

5.6 Захтеви за процену ризика по безбедност и здравље на раду


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Приликом процене ризика по безбедност и здравље на радном месту и у радној околини организација
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

мора да утврди да ли код корисника постоји:

а) правна, организацијска и планска регулатива из области безбедности и здравља на радном месту


и у радној околини;

б) опремљеност одговарајућом заштитном опремом и оспособљеност људских ресурса за сповођење


правне регулативе из области безбедности и здравља на радном месту и у радној околини;

в) обавезно социјално осигурање, колективно осигурање од последица повреда на раду и професионалних


обољења, добровољно додатно осигурање.

5.7 Захтеви за процену правних ризика

Приликом процене правних ризика организација мора да утврди да ли код корисника постоји
могућност наступања негативних последица на основу:

а) постојања, потпуности и адекватности интерне нормативне регулативе којом се штите подаци и


документа (пословне тајне, тајни подаци, подаци о личности и други осетљиви и поверљиви
подаци);

б) постојања, потпуности и адекватности равноправних и организационих механизама заштите


безбедности пословања од запослених и/или трећих лица;

в) постојања, потпуности и адекватности интерне регулативе којом се предвиђа надлежност у области


надзора и контроле законитости пословања, поштовања интерних процедура од стране запослених и
одговорних лица и спровођења мера за превенцију и поступање са ризиком;

г) постојања, потпуности и адекватности интерне регулативе и процедура за мониторинг, закључивања


и реализације домаћих и међународних уговора и превенције настанка имовинске штете услед
закључења неповољних пословних аранжмана;

д) постојања, потпуности и адекватности унутрашњих механизама за праћење судских, управних и


других спорова и поступака које корисник води;

ђ) постојања, потпуности и адекватности интерне регулативе којом се конституише адекватан


систем унутрашње контроле над радом запослених и ангажованих лица/организација задужених
за физичку и техничку заштиту лица, имовине и континуитета пословања;

е) постојања неадекватних, непотпуних или противречних закона и осталих прописа који, сами по
себи или у вези један са другим, проузрокују тешкоће у погледу законитог функционисања
организације и безбедности њеног пословања.

33
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

5.8 Захтеви за процену ризика од противправног деловања


Приликом процене ризика од противправног деловања организација мора да утврди да ли постоји
могућност да постане објекат кривичних дела или других облика незаконитог деловања чије се
последице огледају у повреди или угрожавању лица, имовине или пословања организације и/или могу
довести до одговорности саме организације као правног лица у следећим областима (у зависности од
врсте делатности):

а) имовинског криминалитета;
б) насилничког криминалитета и тежих прекршаја против јавног реда и мира;
в) политичког криминалитета;
г) привредног криминалитета и привредних преступа и прекршаја везаних за привредно и финансијско
пословање;
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

д) корупције и других облика злоупотребе службеног положаја или положаја одговорног лица;
ђ) незаконитог деловања у области радних односа и заштите безбедности и здравља на раду;
е) других кривичних дела, привредних преступа и прекршаја чије је извршење у високом степену
вероватно услед природе делатности или других околности везаних за пословање организације
(попут високотехнолошког, еколошког и криминала везаног за повреде права интелектуалне својине).

5.9 Захтеви за процену ризика од пожара


Приликом процене ризика од пожара организација мора да утврди да ли код корисника постоји:

а) нормативна акта у складу са правном регулативом (правилник о заштити од пожара, односно


правила заштите од пожара, план заштите од пожара објекта или подручја);
б) категоризација правног лица и организовање у складу са проценом угрожености у складу са
прописима;
в) кадровска и техничка попуњеност и квалификованост људства које ради на пословима заштите од
пожара у складу са прописима;
г) постојање и одржавање уређаја, опреме, инсталација и средстава за заштиту од пожара према Закону
о заштити од пожара, техничким прописима и упутству произвођача опреме;
д) програм основне обуке и евиденција обуке запослених из области заштите од пожара;
ђ) сагласност надлежног органа Министарства унутрашњих послова на инвестиционо-техничку
документацију, изведено стање и употребу објекта или дела објекта и
е) надзор противпожарне инспекције и постојање наложених мера заштите од пожара.

НАПОМЕНА Када је реч о објектима који, у складу са Законом о заштити од пожара, нису у надлежности
Министарства унутрашњих послова приликом изградње и коришћења, тада се изостављају захтеви из тачке 5.9
под а), ђ) и е), критеријуми из тачке 6.3.5 под а), ђ) и е) и њима одговарајући делови у Прилогу E.

5.10 Захтеви за процену ризика од елементарних непогода и других несрећа


Приликом процене ризика од елементарних непогода и других несрећа организација мора да утврди
да ли код корисника постоји:

а) плански документи у области смањења ризика и управљања ванредним ситуацијама (план заштите
и спасавања у ванредним ситуацијама и план заштите од удеса);

б) оспособљеност и опремљеност за поступање у ванредним ситуацијама.

НАПОМЕНА Када је реч о објектима који, у складу са Законом о ванредним ситуацијама, нису у надлежности
Министарства унутрашњих послова приликом изградње и коришћења, тада се изостављају захтеви из тачке 5.10
под а), критеријуми из тачке 6.3.6 под а) и њима одговарајући делови у Прилогу Ж.

34
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

5.11 Захтеви за процену ризика од експлозија

Приликом процене ризика од експлозија организација мора да утврди да ли код корисника постоји:

а) нормативни акти и дозвола за рад са одређеним врстама експлозивних материјала (течним, чврстим,
гасовитим) у складу са правном регулативом;

б) нормативни акти у складу са правном регулативом за заштиту од пожара објеката и/или подручја
(и другим нормативима којима се уређује ова област);

в) категоризација правног лица и организовање у складу са проценом угрожености у складу са


правном регулативом;

г) кадровска и техничка испуњеност и квалификованост запослених који раде на пословима заштите


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

од експлозије и рукују експлозивним материјама у складу са правном регулативом;


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

д) постојање и одржавање уређаја, опреме, инсталација и средстава за заштиту од експлозија према


релевантним законима и техничким прописима, нормативима и упутствима произвођача опреме;

ђ) програм основне обуке и евиденција обуке запослених из области заштите од експлозија и


руковања експлозивним материјама;

е) сагласност надлежног органа Министарства унутрашњих послова на инвестиционо-техничку


документацију, изведено стање и употребу објекта или дела објекта;

ж) надзор државне инспекције и постојање наложених мера заштите од експлозије.

5.12 Захтеви за процену ризика од неусаглашености са стандардима

Приликом процене ризика се препоручује да организација буде усаглашена са захтевима стандарда:

а) SRPS ISO 22301, Друштвена безбедност – Системи менаџмента континуитетом пословања –


Захтеви;

НАПОМЕНА 1 У овом стандарду се утврђују захтеви за планирање, успостављање, примену, функционисање,


праћење, преиспитивање, одржавање и стално побољшавање документованог система менаџмента ради заштите
од инцидената или реметилачких догађаја, смањења вероватноће њиховог појављивања, спремности и одговора
на њих, као и опоравка од њих онда када се појаве.

НАПОМЕНА 2 Захтеви утврђени у овом стандарду су генерички и предвиђено је да буду применљиви на све
организације или њихове делове, без обзира на њихов тип, величину, или природу. Степен примене ових захтева
зависи од окружења у којем организација функционише, као и од сложености организације.

б) SRPS A.L2.002, Друштвена безбедност – Услуге приватног обезбеђења – Захтеви и упутство за


оцењивање усаглашености;

НАПОМЕНА 3 Коришћење овог стандарда помаже корисницима услуга да успоставе квалитетан систем
обезбеђења – избором понуђача са бољом оценом квалитета, или да провере квалитет процеса којима се
пружају и користе услуге приватног обезбеђења.

в) SRPS ISO/IEC 27001, Информационе технологије – Технике безбедности – Системи менаџмента


безбедношћу информација – Захтеви;

НАПОМЕНА 4 Овим стандардом се утврђују захтеви за успостављање, примену, рад, праћење, преиспитивање,
одржавање и побољшавање документованог система менаџмента безбедношћу информација, у контексту укупних
пословних ризика у организацији.

НАПОМЕНА 5 Овим стандардом се утврђују захтеви за имплементацију безбедносног управљања прилагођеног


потребама појединих организација или њихових делова.

35
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

г) SRPS ISO 22320, Друштвена безбедност – Менаџмент ванредним ситуацијама – Захтеви за


одговор на инцидент;

НАПОМЕНА 6 Овим стандардом се утврђују минимални захтеви за ефективан одговор на инцидент и


обезбеђује основа за руковођење, оперативне информације, координацију и кооперацију унутар организације
надлежне за одговор на инцидент.
НАПОМЕНА 7 Стандард укључује организационе структуре и процедуре за руковођење, подршку одлучивању,
следљивост, менаџмент информацијама и интероперативност. Он успоставља захтеве за оперативне информације за
одговор на инцидент. Тим захтевима се утврђују процеси, системи рада, прикупљање информација и менаџмент
ради стварања правовремене, релевантне и прецизне информације.
НАПОМЕНА 8 Стандард подржава процес руковођења, координације и кооперације, унутар организације и
екстерно, са другим укљученим странама и специфицира захтеве за координацију и кооперацију између организација.
Овај стандард је применљив на сваку организацију (приватну, јавну, владину, или непрофитну) укључену у
припрему или одговор на инциденте на међународном, националном, регионалном, или локалном нивоу.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

д) SRPS EN 16082, Аеродромске и ваздухопловне службе безбедности 4);

НАПОМЕНА 9 Овим стандардом се утврђују захтеви за пружаоце услуга аеродромског обезбеђења. Ти захтеви
се односе на квалитет организовања, процеса, кадрова и управљања услугама обезбеђења и/или њихових
огранака у складу са привредним правом и трговином.

ђ) SRPS EN 16747, Услуге безбедности у поморству и лукама 5);

НАПОМЕНА 10 Овим стандардом се утврђују захтеви за пружаоце услуга обезбеђења у поморству и лукама.
Ти захтеви се односе на квалитет организовања, процеса, кадрова и управљања услугама обезбеђења и/или
њихових огранака у складу са привредним правом и трговином.

е) ISO 18788:2015, Management system for private security operations (Систем менаџмента пословима
приватног обезбеђења);

НАПОМЕНА 11 Овим стандардом се утврђују принципи и захтеви за систем менаџмента пословима приватног
обезбеђења (SOMS – Security Operations Management System).
НАПОМЕНА 12 Стандард даје оквир за управљање пословањем и ризицима за организације које обављају или
уговарају послове обезбеђења и сродне активности и функције, демонстрирајући:
– спровођење стручних послова обезбеђења у интересу задовољавања захтева корисника и других заинтересованих
страна;
– одговорност за спровођење закона и поштовање људских права;
– усклађеност са добровољним обавезама које су прихваћене.

ж) SRPS ISO 28000:2010, Спецификација за системе менаџмента обезбеђењем ланца снабдевања.

НАПОМЕНА 13 Овим стандардом се утврђују захтеви за систем менаџмента обезбеђењем, укључујући оне аспекте
који су критични за осигурање безбедности у ланцу снабдевања. Менаџмент обезбеђењем је повезан са многим
аспектима пословања. Аспекти обухватају све активности којима организација управља или оне које су под утицајем
организације које имају утицај на безбедност у ланцу снабдевања. Ове друге аспекте треба узети у обзир онда када они
имају утицај на менаџмент обезбеђењем, укључујући транспортовање ових роба дуж ланца снабдевања.

5.13 Захтеви за процену ризика по животну средину

Приликом процене ризика по животну средину организација мора да утврди да ли код корисника
постоји:

а) извештај о безбедности са свим неопходним елементима, план у случају удеса и да ли је примењена


релевантна правна регулатива у области заштите животне средине;

4)
Видети фусноту 1 у Нормативним референцама.
5)
Видети фусноту 2 у Нормативним референцама.
36
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

б) оспособљеност запослених за реаговање у случају удеса, периодична провера оспособљености


запослених, одговорна особа и адекватна опремљеност одговарајућом опремом за реаговање у
ванредним ситуацијама или еколошким инцидентима;

в) ниво биохазардног потенцијала коришћене технологије;

г) надзор и директна комуникација са одговорним особама у државним службама за реаговање у


ванредним ситуацијама или еколошким инцидентима.

НАПОМЕНА 1 Релевантни закони су: Закон о заштити животне средине, Закон о процени утицаја на животну
средину, Закон о хемикалијама.

5.14 Захтеви за процену ризика у управљању људским ресурсима


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Приликом процене ризика у управљању људским ресурсима организација мора да утврди да ли код
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

корисника постоји:

а) политика управљања људским ресурсима уређена интерном нормативном регулативом;

б) стандардизовани критеријуми и интерне процедуре за регрутацију, селекцију и класификацију


запослених;

в) процедуре за адаптацију, развој и евалуацију запослених;

г) функционално, безбедно и инклузивно радно место и окружење;

д) планови за обуке, стицање знања и развој запослених;

ђ) планирање људских ресурса и организационих промена, као и идентификација кључних запослених.

5.15 Захтеви за процену ризика у области информационо-комуникационо-


-телекомуникационих (ИКТ) система 

Приликом процене ризика у области информационо-комуникационо-телекомуникационих система


организација мора да утврди да ли код корисника постоји:

а) дефинисане безбедносне политике у ИКТ сектору и унутрашња регулатива која прописује


овлашћења, надлежности и процедура приступа главним компонентама ИКТ система и регулисање
значајних аспеката заштите података;

б) техничка, физичка и/или логичка средства заштите главних компонената ИКТ система и
електронских података;

в) адекватна кадровска попуњеност ИКТ сектора и постојање рационалне организације послова;

г) оспособљеност ИКТ сектора за континуирано функционисање у кризним ситуацијама;

д) овлашћења запослених за коришћење корпоративних ИКТ ресурса у приватне сврхе (приступ


приватним налозима електронске поште, друштвеним мрежама итд) и приватних преносних
медијума у корпоративним просторијама;

ђ) оспособљеност руководства и запослених за примерено реаговање у случају сајбер-напада или


других облика високотехнолошког криминала;

е) зависност пословања од ИКТ инфраструктуре.

37
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

6 Упутство за процену ризика


6.1 Опште

У овој тачки стандарда је утврђена методологија за процену ризика и у складу са њом организација
која врши процену ризика мора да обради сваки појединачни проблем.

Организације које пружају услуге процене ризика или за сопствене потребе врше процену ризика
морају да испуњавају опште захтеве у 5.3 овог стандарда.

Захтеви за квалификованост особа које врше процену ризика, тј. менаџера ризика, дати су у 5.4 овог
стандарда.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

6.2 Критеријуми за процену ризика


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Критеријуми за процену ризика у овој методологији морају да обухвате:

a) идентификацију ризика:

– ризици општих пословних активности,

– ризици по безбедност и здравље на раду,

– правни ризици,

– ризци од противправног деловања,

– ризици од пожара,

– ризици од елементарних непогода и других несрећа,

– ризици од експлозија,

– ризици по животну средину,

– ризици у процесу управљања људским ресурсима,

– ризици у области информационо-комуникационо-телекомуникационих система;

б) анализу ризика;

в) критеријуме за одређивање вероватноће;

г) критеријуме за одређивање последица;

д) критеријуме за одређивање нивоа ризика;

ђ) процену ризика;

е) критеријуме за одређивање категорије ризика;

ж) критеријуме за одређивање прихватљивости ризика;

з) поступање са ризиком;

и) критеријуме за одређивање опција за ублажавање;


38
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

ј) критеријуме за примену опција за изводљивост;

к) критеријуме за примену анализе односа цена–ефикасност;

л) критеријум за одређивање преосталог ризика;

љ) критеријум за агрегацију ризика.

За идентификоване ризике користе се термини „постоји” и „не постоји” на оним обрасцима и на оне
начине који су прописани овим стандардом.

6.3 Критеријуми за идентификацију ризика

За евидентирање и прелиминарну анализу ризика организација мора да примени образац прописан овим
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

стандардом (Прилог Љ). Резултати прелиминарне анализе су улазни елементи за анализу ризика.
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

6.3.1 Критеријуми за идентификацију ризика општих пословних активности

Критеријум за идентификацију ризика општих пословних активности дат је у Прилогу В, табела В.1.

Ризике у оквиру општих пословних активности организација мора да идентификује према следећим
ставкама:

а) скоринг – ажурни извештај о бонитету у форми скоринга, са одговарајућом величином опасности;

б) евидентиране последице техничких ризика – квар и лом машина и материјала, као и квар робе на
залихама и сл, изражено у новчаном износу;

в) евидентиране последице финансијских ризика – лоши пословни уговори, погрешне калкулације и


обрачуни, финансијске мере у земљи и иностранству, варијабилни курсеви и каматне стопе,
изражено у новчаном износу губитака;

г) евидентиране последице физичких ризика – везани су за дејства која доводе до пропадања или
нестајања имовине услед елементарних непогода и других несрећа, изражено у новчаном износу
штете;

д) усаглашеност са SRPS ISO 22301, Друштвена безбедност – Системи менаџмента континуитетом


пословања – Захтеви;

ђ) усаглашеност са SRPS ISO 9001, Системи менаџмента квалитетом – Захтеви.

6.3.2 Критеријуми за идентификацију ризика по безбедност и здравље на раду

Критеријуми за идентификацију ризика по безбедност и здравље на раду дати су у Прилогу Г, табела Г.1.

Ризике по безбедност и здравље на радном месту и у радној околини организација мора да


идентификује према следећем:

а) постојању правне, организацијске и планске регулативе из области безбедности и здравља на


радном месту и у радној околини,

– да ли организација поседује засновану правну, организацијску и планску регулативу усаглашену


са релевантним законима и у којој мери је она заступљена у раду организације;

б) опремљености одговарајућом заштитном опремом и оспособљеност људских ресурса за спровођење


правне регулативе из области безбедности и здравља на радном месту и у радној околини,

– да ли су запослени оспособљени за безбедан и здрав рад и да ли је и у којој мери организација


обезбедила одговарајућу заштитну опрему;
39
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

в) обавезном социјалном осигурању, колективном осигурању од последица повреда на раду и


професионалних обољења, добровољном додатном осигурању,

– да ли организација осигурава запослене од повреда и оштећења здравља на радном месту и у


радној околини у складу са законом.

6.3.3 Критеријуми за идентификацију правних ризика

Критеријуми за идентификацију правних ризика дати су у Прилогу Д, табела Д.1.

Правне ризике организација мора да идентификује према следећем:

а) могућности настајања правне одговорности или материјалне и/или репутационе штете због одавања
штићених података и докумената (пословних тајни, тајних података, података о личности и других
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

осетљивих и поверљивих података) непозваном лицу и/или организацији;


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

б) могућности наступања материјалне и/или репутационе штете услед непостојања равноправних и


организационих механизама заштите у односу на запослене или трећа лица;

в) опасности од правне одговорности услед кршења законских норми о привредном и финансијском


пословању и/или прописа о радним односима и обавезном социјалном осигурању;

г) опасности од правне одговорности и/или штете услед неискоришћавања правних механизама


заштите приликом закључивања неповољних уговора, преузимања несразмерних обавеза, пословних
аранжмана са непоузданим или несолвентним партнерима/клијентима/корисницима;

д) опасности од губитка судских, управних и других спорова и поступака које корисник води и
настајања правне одговорности и/или материјалне и/или репутационе штете по том основу;

ђ) могућности наступања материјалне и/или репутационе штете услед непостојања правних механизама
заштите или непоштовања законске регулативе у области физичке и техничке заштите лица и
имовине организације;

е) могућности настајања правне одговорности и/или материјалне и/или репутационе штете услед
непостојања, неадекватности, непотпуности или противречности закона и других прописа који се
односе на пословање организације.

6.3.4 Критеријуми за идентификацију ризика од противправног деловања

Критеријум за идентификацију ризика од противправног деловања дат је у Прилогу Ђ, табела Ђ.1.

Са аспекта ризика од противправног деловања, организација мора да идентификује да ли постоји


могућност да постане објекат кривичних дела или других облика незаконитог деловања, чије се
последице огледају у повреди или угрожавању лица, имовине или пословања организације и/или могу
довести до одговорности саме организације као правног лица у следећим областима (у зависности од
врсте делатности):

а) имовинског криминалитета;

б) насилничког криминалитета и тежих прекршаја против јавног реда и мира;

в) политичког криминалитета;

г) привредног криминалитета и привредних преступа и прекршаја везаних за привредно и финансијско


пословање;

д) корупције и других облика злоупотребе службеног положаја или положаја одговорног лица;

ђ) незаконитог деловања у области радних односа и заштите безбедности и здравља на раду;


40
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

е) других кривичних дела, привредних преступа и прекршаја чије је извршење вероватно у високом
степену услед врсте делатности или других околности везаних за пословање организације (попут
високотехнолошког, еколошког и криминалитета везаног за повреде права интелектуалне својине).

НАПОМЕНА Организација није дужна да утврђује постојање могућности вршења противправног деловања у
областима у којима, сходно врсти делатности и осталим околностима везаним за пословање, није вероватно да
до њега може доћи.

6.3.5 Критеријуми за идентификацију ризика од пожара

Критеријум за идентификацију ризика од пожара дат је у Прилогу E, табела E.1.

Ризике од пожара организација мора да идентификује према следећем:


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

а) постојању нормативних аката у складу са правном регулативом (правилник о заштити од пожара,


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

односно правила заштите од пожара, план заштите од пожара објекта или подручја);

б) категоризацији правног лица и организовању у складу са проценом угрожености у складу са


правном регулативом;

в) кадровској и техничкој попуњеност и квалификованости људства које ради на пословима заштите


од пожара у складу са правном регулативом;

г) постојању и одржавању уређаја, опреме, инсталација и средстава за заштиту од пожара према


Закону о заштити од пожара, техничким прописима, упутству произвођача опреме;

д) програму основне обуке и евиденцији обуке запослених из области заштите од пожара;

ђ) сагласношћу надлежног органа Министарства унутрашњих послова на инвестиционо-техничку


документацију, изведено стање и употребу објекта или дела објекта и

е) надзору противпожарне инспекције и спровођење наложених мера заштите од пожара.

6.3.6 Критеријуми за идентификацију ризика од елементарних непогода и других несрећа

Критеријум за идентификацију ризика од елементарних непогода и других несрећа дат је у Прилогу Ж,


табела Ж.1. Ризике од елементарних непогода и других несрећа организација мора да идентификује
према следећем:

а) постојању планских докумената у области смањења ризика и управљања ванредним ситуацијама


(план заштите и спасавања у ванредним ситуацијама и план заштите од удеса);

б) оспособљености и опремљености за поступање у ванредним ситуацијама.

6.3.7 Критеријуми за идентификацију ризика од експлозије

Критеријум за идентификацију ризика од експлозије дат је у Прилогу З, табела З.1.

Ризике од експлозија организација мора да идентификује према следећем:

а) постојању нормативних аката и дозвола за рад са одређеним врстама експлозивних материјала


(течним, чврстим и гасовитим) у складу са правном регулативом;

б) постојању нормативних аката у складу са правном регулативом за заштиту од пожара објекта


и/или подручја (и другим нормативима којима се уређује ова област);

в) категоризацији правног лица и организовању у складу са проценом угрожености дефинисаном


правном регулативом;
41
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

г) кадровској и техничкој испуњености и квалификованости запослених који раде на пословима


заштите од експлозије и руковања експлозивним материјама у складу са правном регулативом;

д) постојању и одржавању уређаја, опреме, инсталација и средстава за заштиту од експлозија према


релевантним законима, техничким прописима, нормативима и упутствима произвођача опреме;

ђ) програму основне обуке и евиденција обуке запослених из области заштите од експлозија и


руковања експлозивним материјама;

е) сагласности надлежног органа Министарства унутрашњих послова на инвестиционо-техничку


документацију, изведено стање и употребу објекта или дела објекта;

ж) надзору инспекције и постојању наложених мера заштите од експлозије.


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

6.3.8 Критеријуми за идентификацију ризика од неусаглашености са стандардима


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Критеријум за идентификацију ризика од неусаглашености са стандардима дат је у Прилогу И, табела И.1.

Ризике од неусаглашености са стандардима организација треба да идентификује према следећем:

а) SRPS ISO 22301, Друштвена безбедност – Системи менаџмента континуитетом пословања –


Захтеви;

б) SRPS A.L2.002, Друштвена безбедност – Услуге приватног обезбеђења – Захтеви и упутство за


оцењивање усаглашености;

в) SRPS ISO/IEC 27001, Информационе технологије – Технике безбедности – Системи менаџмента


безбедношћу информација – Захтеви;

г) SRPS ISO 22320, Друштвена безбедност – Менаџмент ванредним ситуацијама – Захтеви за


одговор на инцидент;

д) SRPS EN 16082, Аеродромске и ваздухопловне службе безбедности; 6)

ђ) SRPS EN 16747, Услуге безбедности у поморству и лукама; 7)

е) ISO 18788, Систем менаџмента пословима приватног обезбеђења;

ж) SRPS ISO 28000, Спецификација за системе менаџмента обезбеђењем ланца снабдевања.

6.3.9 Критеријуми за идентификацију ризика по животну средину

Критеријум за идентификацију ризика по животну средину дат је у Прилогу Ј, табела Ј.1. Ризике по
животну средину организација треба да идентификује према следећем:

а) постојању извештаја о безбедности са свим неопходним елементима и плана заштите од удеса;

б) оспособљености запослених за реаговање у случају удеса, периодичној провери оспособљености


запослених, постојању одговорне особе и адекватне опремљености одговарајућом опремом за
реаговање у ванредним ситуацијама или еколошким инцидентима;

в) нивоу биохазардног потенцијала коришћене технологије;

г) постојању екстерне организације која врши надзор и директне комуникације са одговорним особама у
државним службама за реаговање у ванредним ситуацијама или еколошким инцидентима.

6)
Видети фусноту 1 у Нормативним референцама.
7)
Видети фусноту 2 у Нормативним референцама.
42
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

6.3.10 Критеријуми за идентификацију ризика у управљању људским ресурсима

Критеријум за идентификацију ризика у управљању људским ресурсима дат је у Прилогу К, табела К.1.
Ризике у управљању људским ресурсима организација треба да идентификује према следећем:

а) постојању политике управљања људским ресурсима, односно интерне нормативне регулативе;

б) постојању стандардизованих критеријума и интерних процедура за регрутацију, селекцију и


класификацију запослених;

в) постојању процедура за адаптацију, развој и евалуацију запослених;

г) обезбеђењу функционалног, безбедног и инклузивног радног места и окружења;


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

д) постојању планова за обуку, стицање знања и развој запослених;


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

ђ) постојању процеса планирања људских ресурса и организационих промена, као и идентификације


кључних запослених.

6.3.11 Критеријуми за идентификацију ризика у области информационо–комуникационо-


-телекомуникационих (ИКТ) система

Критеријум за идентификацију ризика у области информационо-комуникационо-телекомуникационих


система дат је у Прилогу Л, табела Л.1. Ризике у овој области организација треба да идентификује
према следећем:

а) постојању дефинисане безбедносне политике у ИКТ сектору и интерне регулативе која прописује
овлашћења, надлежности и процедуру приступа главним компонентама ИКТ система и регулише
значајне аспекте заштите података;

б) постојању техничких, физичких и/или логичких средстава заштите главних компонената ИКТ
система и електронских података;

в) адекватној кадровској попуњености ИКТ сектора и постојању рационалне организације послова;

г) оспособљености ИКТ сектора за континуирано функционисање у кризним ситуацијама;

д) овлашћењу запослених за коришћење корпоративних ИКТ ресурса у приватне сврхе (приступ


приватним налозима електронске поште, друштвеним мрежама итд) и приватних преносних
медијума у корпоративним просторијама;

ђ) оспособљености руководства и запослених за примерено реаговање у случају сајбер-напада или


других облика високотехнолошког криминала;

е) зависности пословања од ИКТ инфраструктуре.

6.4 Анализа ризика

Анализа ризика резултује одређивањем нивоа ризика (Прилог М).

6.5 Критеријум за одређивање вероватноће

Вероватноћа (В) представља комбинацију изложености и рањивости организације, дела организације,


односно штићене вредности у односу на идентификовани ризик (Прилог Н, табела Н.4).

Степеновање вероватноће организација мора да врши на следећи начин (Прилог Н, табела Н.1):

1 – немогуће, 2 – невероватно, 3 – вероватно, 4 – скоро извесно и 5 – сигурно.


43
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Вероватноћа се одређује према следећем изразу:

В=И#Р (1)

Изложеност (И) представља степен до којег је организација и/или заинтересована страна подложна
утицају неког догађаја.

Степеновање изложености (И) организација мора да врши на следећи начин (Прилог Н, табела Н.2):

1 – занемарљива, 2 – повремена, 3 – дуга, 4 – претежна и 5 – трајна.

Временски период за који организација треба да примени критеријум за одређивање изложености је


најмање за последње три календарске године.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Организација може да одступи од овог временског периода ако:

а) код корисника услуге не постоји трогодишња евиденција, већ евиденција за краћи временски
период, али не краћи од једне године;

б) време постојања организације је краће од три године, a уколико постоје евиденције догађаја,
поред изложености, организација ће узети у разматрање и учесталост.

Учесталост (У) се односи на понављање догађаја у одређеном временском периоду и представља


саставни део изложености.

Организација врши процену учесталости на основу података о постојању валидних евиденција о


догађајима, у фази идентификације контекста проблема.

Организација треба да примени процену учесталости у временском периоду од најмање последње


три календарске године.

Организација може да одступи од овог временског одређења ако код корисника услуге:

а) не постоји трогодишња евиденција, већ евиденција за краћи временски период, али не краћи од
једне године, у случају када је време постојања организације краће од три године и

б) евиденција постоји за период дужи од три године и из ње се могу приказати битни показатељи
учесталости догађаја.

Препоручује се да организација ради сагледавања изложености и учесталости користи примарне податке


(добијене непосредним посматрањем, интервјуом, путем анкете или чек-листом и др) и секундарне
податке (статистички и други подаци које су објавиле јавне и друге службе, документациона грађа,
правна регулатива).

Рањивост (Р) представља постојеће стање заштите организације, односно осетљивост организације
на идентификоване ризике

Степеновање рањивости организација мора да врши на следећи начин (Прилог Н, табела Н.3):

1 – врло велика, 2 – велика, 3 – средња, 4 – мала и 5 – врло мала.

6.6 Критеријум за одређивање последица

Последице (П) представљају ефекат штетног догађаја на штићене вредности организације, а


манифестују се кроз величину губитка (штету) у односу на критичност штићене вредности (Прилог Њ,
табела Њ.4).
44
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Степеновање последица организација мора да врши на следећи начин (Прилог Њ, табела Њ.3):

1 – минималне, 2 – мале, 3 – умерене, 4 – озбиљне и 5 – катастрофалне.

Последице се одређују према следећем изразу:

П=Ш#К (2)

Штета (Ш) је мера оштећења штићених вредности.

Степеновање штете организација мора да врши на следећи начин (Прилог Њ, табела Њ.1):

1 – врло мала, 2 – мала, 3 – средња, 4 – велика и 5 – врло велика.


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Критичност (К) је мера вредности, односно важности штићене вредности за организацију, односно
осетљивости организације на ефекте деловања штетног догађаја на штићене вредности.

Степеновање критичности организација мора да врши на следећи начин (Прилог Њ, табела Њ.2):

1 – врло велика, 2 – велика, 3 – средња, 4 – мала и 5 – минимална.

6.7 Критеријум за одређивање нивоа ризика

Ниво ризика је производ степена вероватноће и степена последица (Прилог O, табела O.2).

Ниво ризика организација мора да одређује према следећем изразу:

НР = В  П (3)

Ниво ризика одређен према овом стандарду може да буде у границама од минимално 1 до
максимално 25 (Прилог O, табела O.1).

6.8 Вредновање ризика

Ради процене ризика организација мора да класификује ризике у категорије, а потом да одреди који
су ризици прихватљиви, а који нису.

6.9 Критеријум за одређивање категорије ризика

Организација мора да класификује ризике у категорије, и то од најниже (пета) до највише (прва),


(Прилог П, табела П.1).

6.10 Критеријум за одређивање прихватљивости ризика

На основу листе прихватљивих и неприхватљивих ризика, организација мора да дефинише листу


приоритета. Приоритетно се поступа са ризицима који имају највећи ниво ризика, тј. неприхватљив
ниво ризика. Приликом одређивања са којим ће се ризицима приоритетно поступати, организација
треба да обрати пажњу на могућност постојања ризика са ниским нивоом који након примене мера
поступања са њима могу да прерасту у високе ризике, према којима се треба односити као према
приоритетним ризицима, тј. неприхватљивим ризицима (Прилог П, табела П.2).

6.11 Поступање са ризицима

Поступањем са неприхватљивим ризицима, односно предузимањем разноврсних мера, организација


мора да смањи ниво ризика на прихватљив ниво.

45
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

6.12 Критеријум за одређивање опција за ублажавање

Ради смањивања нивоа ризика организација мора да предузме једну меру или комбинацију следећих
мера.

а) Избегавање ризика

Препоручује се да организација изврши замену започетих активности алтернативним активностима,


без нарушавања пројектованих циљева.

б) Смањење ризика изменом процедуре

Препоручује се да организација ревидира начин/процедуру реализације критичних активности, без


нарушавања пројектованих циљева и усаглашености са имплементираним стандардима за радне и
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

технолошке процесе.
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

НАПОМЕНА Менаџер ризика треба да процени да ли су примењени стандарди и процедуре довољни и да


препоручи друге стандарде и процедуре ради повећања ефикасности организације.

в) Смањење ризика изменом постојеће технологије и техничко-технолошког поступка рада и/или


пословања

Препоручују се нове мере технолошке заштите и аутоматизације, као и даљинског управљања


безбедносно критичним радним и техничко-технолошким процесима.

г) Смањење ризика увођењем нових безбедносних технологија и њихових процедура

Препоручују се нове безбедносне технологије надзора, праћења, бележења и алармирања опасности,


укључујући даљинско-навигационо-контролне технологије.

д) Смањење вероватноће

Препоручује се да организација примени мере које ће смањити учесталост догађаја или временску
изложеност штићене вредности. Ово обухвата и увођење нових или побољшаних мера заштите
критичних елемената организације на принципима прорачунске процене побољшане отпорности
и/или смањене рањивости по критеријуму цена–ефикасност.

ђ) Смањење последица потенцијалних опасности

Препоручује се да организација предузме мере заштите штићених вредности на принципима прорачунске


процене побољшане отпорности и/или смањене рањивости по критеријуму цена–ефикасност.

е) Подела ризика

Препоручује се да организација пренесе све или део ризика на организацију за осигурање од ризика
и/или организације које пружају услуге приватног обезбеђења, у складу са пословном политиком
организације.

ж) Задржавање или прихватање ризика;


Препоручује се да организација настави обављање активности на постојећем нивоу ризика. Такви
ризици треба да буду под контролом и организација треба да предузима адекватне мере да ниво
ризика не постане неприхватљив. Организација прихвата ризик само онда када постоји оправданост
исказана кроз ефикасност.

По доношењу одлуке о примени мера за поступање са ризиком, организација мора да евидентира


релевантне информације о идентификованим ризицима ради архивирања на обрасцу прописаном
овим стандардом (Прилог С, табела С.1).
46
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

6.13 Критеријум за примену опција за изводљивост

У свакој фази процене ризика организација мора да размотри да ли је одређена мера за поступање са
ризицима примењива са аспекта:

а) усклађености са политиком организације;

б) цене измене радних процеса и процедура и

в) цене измене производа или услуге.

Анализу опција за изводљивост реализују стручне службе организације. У процесу одређивања


опција за изводљивост мера за поступање са ризицима, препоручује се да организација примењује
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

општепризнате методе и методе дефинисане правном регулативом.


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

6.14 Критеријум за примену анализе односа цена–ефикасност

Након коначног утврђивања мера за поступање са ризицима, примене мера за смањивање или
ублажавање ризика и оцене да ли постоји неприхватљив преостали ризик, користећи критеријуме за
процену ризика из овог стандарда, организација мора да изврши анализу и одреди величину стварних
трошкова даљег поступања са ризицима у складу са свим општим и посебним карактеристикама
организације. Анализу односа цена–ефикасност врше стручне службе организације, примењујући
општепризнате методе и методе утврђене правном регулативом.

Ако анализа резултира показатељима који су у супротности са користима добијеним поступањем са


ризицима, онда ризик треба сматрати неприхватљивим.

Све релевантне информације о процени ризика треба евидентирати ради архивирања, у складу са
обрасцем прописаним овим стандардом (Прилог С).

6.15 Критеријум за одређивање преосталог ризика

По завршетку процеса процене ризика, односно дефинисања мера за поступање са неприхватљивим


ризицима, организација мора да установи постојање преосталог ризика. Сваки преостали ризик који
остаје после примене мера за поступање са ризицима организација треба да вреднује, коришћењем
критеријума за процену ризика прописаних у овом стандарду.

Ако преостали ризик не испуњава ове критеријуме, онда организација треба да примени даље мере за
поступање са ризицима.

Ако је преостали ризик прихватљив, онда организација треба да изврши евиденцију релевантних
информација о ризику ради архивирања (Прилог С).

Након примене и верификације мера за поступање са појединачним ризицима, организација треба да


одлучи да ли је прихватљив преостали ризик производа или услуге, користећи критеријуме за оцену
прихватљивости ризика дефинисане овим стандардом.

6.16 Критеријум за агрегацију ризика

У процесу процене ризика организација мора да узме у обзир могућност да поједини ризици не утичу
самостално на штићене вредности.

Ако организација у процесу процене ризика уочи да било који појединачни ризик има већу вероватноћу
догађања или могуће последице по штићене вредности и да може доћи до мултипликовања догађаја,
односно повећања штетних ефеката због мултипликовања опасности, она онда мора да приступи
приоритетном поступању са таквим ризиком, ангажујући све потребне ресурсе, посебно ако агрегација
последица има шири утицај на окружење.
47
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

7 Упутство за оцењивање организација и особа


У овој тачки стандарда се прописују начин и критеријуми за оцењивање испуњености захтева за
организације које пружају услуге процене ризика или процену ризика врше за сопствене потребе,
као и испуњености захтева за особе које врше процену ризика (менаџер ризика).

Оцењивање усаглашености са захтевима из овог стандарда се врши у складу са методама описаним у


релевантним стандардима.

7.1 Методе и поступци оцењивања организација и особа


За оцењивање усаглашености са захтевима из овог стандарда користи се:
– метода моделовања са математичким, логичким и статистичким функцијама;
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

– консултација експерата (за одређивање утицаја ресурса на квалитет услуга);


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

– метода дедукције и индукције (за извођење закључака о квалитету применом објективног алгоритма –
истог критеријума).

Ове методе могу да се примене као програмска апликација за обраду нумеричких података из тачке 6
овог стандарда, као и за оцењивање усаглашености у 5.2.1 и 5.2.2 овог стандарда.

Програмска апликација представља шаблон (документ, образац) за оцењивање усаглашености са


захтевима које организације и особе морају да испуњавају, или се препоручују у процесу процене
ризика, а попуњене табеле представљају запис о испуњености захтева за пружање услуга процене
ризика за организацију и особе које се оцењују и подршку за издавање сертификата о усаглашености
са специфичним захтевима који издају акредитоване организације.

7.1.1 Оцењивање организација

За оцењивање квалитета услуга користе се Прилог Т, Критеријум за оцењивање испуњености захтева


организација које врше процену ризика, и Прилог Ћ, Матрица за оцењивање испуњености захтева за
организације које врше процену ризика.

Елементи за оцењивање су:


– испуњеност захтева и препорука из стандарда;
– ресурси организације од утицаја на квалитет услуга процене ризика;
– оцена и
– квалитет услуга.

Детаљна упутства за попуњавање табеле у Прилогу Ћ, дате су на крају табеле.

7.1.2 Оцењивање особа

За оцењивање испуњености захтева за особе које врше процену ризика (менаџер ризика) користи се Прилог
У, Матрица за оцењивање испуњености захтева за особе које врше процену ризика (менаџер ризика).

Елементи за оцењивање су:


– захтеви и препоруке из стандарда;
– степен испуњености захтева;
– оцена и
– квалитет.

НАПОМЕНА Код органа јавне власти оцењивање испуњености захтева за особе које врше процену ризика
може да се врши у складу са прописима.

У Прилогу У, табела У.1, назначени су захтеви и препоруке за квалификованост особе за вршење


процене ризика у заштити лица, имовине и пословања.
48
racun broj 1773
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

© ИСС 2017

racun broj 1773


Прилог А1
(информативан)

Приказ процеса процене ризика

Дијаграм А.1 – Шематски приказ процеса процене ризика

49
SRPS A.L2.003:2017
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

50
SRPS A.L2.003:2017

racun broj 1773


Прилог А2
(информативан)

Дијаграм А.2 – Шема активности у процесу процене ризика


Приказ активности у процесу процене ризика
© ИСС 2017
© ИСС 2017 SRPS A.L2.003:2017

Прилог Б
(информативан)

Штићене вредности

Табела Б.1 – Области утицаја штићених вредности

Ред.
Штићене вредности Области утицаја штићених вредности
број
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Ефикасност рада, степен реализације постављених циљева, континуитет


1 Пословање процеса рада, континуитет управљања, поремећај радног процеса, показатељи
радних карактеристика
НОМИНАЛНЕ

Људски живот, утицај на здравље, степен штете на ресурсима (безбедност и


2 Безбедност здравље на раду, заштита људи, материјалних добара и животне средине
од последица елементарних непогода и техничко-технолошких несрећа)

Стање оперативног буџета, спољно финансирање, непредвиђени трошкови


3 Финансијски учинак
и/или губици

Регулаторно-правне
НЕНОМИНАЛНЕ

4 Прекршаји регулативе, правна отпорност на поремећаје


норме

5 Углед Однос медија, однос јавности, поверење јавности

Заинтересоване Негативан утицај на органе управе или запослене, морал запослених, утицај
6
стране на заинтересоване стране

51
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Прилог В
(нормативан)

Критеријуми за идентификацију ризика


општих пословних активности
Табела В.1 – Критеријуми за идентификацију ризика општих пословних активности
Ред. Захтев за процену ВЕЛИЧИНА ОПАСНОСТИ
број ризика Максимална Велика Средња Мала Минимална
5 4 3 2 1
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

1.1 Скоринг – оцена бонитета Е или Пс Д (Д+, Д–) Ц (Ц+, Ц–) или Б (Б+, Б–) А или Н
или ознака статуса или Пл или Тн Мп или Мд или Псп
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Евидентиране последице > 100.000 € од 10.001 € од 5.001 €


техничких ризика – или прекид до 100.000 € до 10.000 € од 501 € до
1.2 квар и лом машина и пословања или прекид или прекид ≤ 500 €
материјала, као и квар пословања пословања 5.000 €
> 3 месеца
робе на залихама и сл. до 3 месеца до 1 месеца
Евидентиране последице
финансијских ризика – од 10.001 € од 5.001 €
лоши пословни уговори, > 100.000 €
погрешне калкулације и или прекид до 100.000 € до 10.000 € од 501 € до
1.3 пословања или прекид или прекид ≤ 500 €
обрачуни, финансијске пословања пословања 5.000 €
мере у земљи и иностран- > 3 месеца
ству, варијабилни курсеви до 3 месеца до 1 месеца
и каматне стопе
Евидентиране последице
физичких ризика – > 100.000 € од 10.001 € од 5.001 € до
везани су за дејства која или прекид до 100.000 € 10.000 €
1.4 или прекид или прекид од 501 € до ≤ 500 €
доводе до пропадања или пословања 5.000 €
нестајања имовине услед > 3 месеца пословања пословања
елементарних непогода и до 3 месеца до 1 месеца
других несрећа
Усаглашеност са Има Има Има Има
SRPS ISO 22301, имплементиран имплементиран имплементиран имплементиран
Друштвена безбедност – Нема стандард стандард стандард стандард и
1.5 имплементиран и води и води и води
Системи менаџмента стандард води све
континуитетом < 50 посто ≥ 50 посто ≥ 80 посто записе којима
пословања – Захтеви записа којимa записа којима записа којима то доказује
то доказује то доказује то доказује
Има Има Има Има
Усаглашеност са имплементиран имплементиран имплементиран имплементиран
Нема стандард стандард стандард
1.6 SRPS ISO 9001,
Системи менаџмента имплементиран и води и води и води
стандард и
стандард води све
квалитетом – Захтеви < 50 посто ≥ 50 посто ≥ 80 посто записе којима
записа којимa записа којима записа којима то доказује
то доказује то доказује то доказује
Значење:
Оцена бонитета: А – одличан; Б – веома добар; Ц – добар; Д – прихватљив; Е – веома слаб бонитет.
Специфични нивои се у оквиру основних нивоа оцена бонитета утврђују у складу са методологијом
коју је утврдила Народна банка Србије (НБС), а исказују се следећим симболима: веома добар
бонитет: (Б+), (Б) и (Б–); добар бонитет: (Ц+), (Ц) и (Ц–); прихватљив бонитет: (Д+), (Д) и (Д–).
Ознаке статуса: Пс – отворен стечајни поступак; Пл – покренут поступак ликвидације; Тн – трајна
неликвидност у трајању дужем од 180 дана и неликвидност на дан израде скоринга; Псп – статусна
промена у последње три године; Н – основано у последње три године; Мп – није достављен ниједан
финансијски извештај за последње три извештајне године или је тај извештај достављен без података;
Мд – нема довољно релевантних података.
Захтеви од 1.1 до 1.4 су обавезни; захтеви 1.5 и 1.6 се препоручују.

52
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог Г
(нормативан)

Критеријуми за идентификацију ризика


по безбедност и здравље на раду
Табела Г.1 – Критеријуми за идентификацију ризика по безбедност и здравље на раду (1/2)
Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

2.1. Постојање 1. Послодавац није 1. Послодавац није 1. Послодавац је 1. Послодавац је 1. Послодавац је


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

правне, колективним колективним уредио права уредио права, уредио права,


организа‐ уговором, уговором, обавезе и одго- обавезе и одго- обавезе и одго-
цијске и правилником о правилником о ворности у вези ворности у ворности у
планске БЗР, уговором БЗР, уговором са БЗР-ом, вези са БЗР-ом, вези са БЗР-ом,
регулативе о раду ближе о раду ближе колективним колективним колективним
из области уредио права, уредио права, уговором, уговором, уговором,
безбедности обавезе и одго- обавезе и одго- правилником правилником правилником
и здравља на ворности у вези ворности у вези о БЗР-у. о БЗР-у. о БЗР-у.
радном месту са БЗР-ом. са БЗР-ом. 2. Одређено је 2. Одређено је 2. Одређено је
и у радној 2. Није одређено 2. Није одређено лице за послове лице за послове лице за послове
околини лице за послове лице за послове безбедности и безбедности и безбедности и
безбедности и безбедности и здравља на раду, здравља на раду, здравља на раду,
здравља на раду. здравља на раду. без положеног са положеним са положеним
3 Организација 3. Организација стручног испита, стручним стручним
не поседује: не поседује: у складу са испитом, у испитом, у
законом. складу са складу са
– акт о процени – акт о процени
3. Организација законом. законом.
ризика; ризика;
поседује: 3. Организација 3. Организација
– правилник о – правилник о поседује:
– акт о поседује:
безбедности безбедности
и здрављу и здрављу процени – акт о – акт о процени
на раду; на раду; ризика, процени ризика;
израђен; ризика, – правилник
– план спа- – план спа-
– правилник израђен, о безбедности
савања и савања и
евакуације евакуације о безбедности – правилник и здрављу
у случају у случају и здрављу о безбедности на раду;
опасности. опасности. на раду. и здрављу – план
4. Делимично на раду, спасавања
4. Уопште се не 4. Организација
посвећује пажња има поједи- се примењују – план и евакуације
заштити живо- начна доку- у радном и спасавања у случају
та и здравља мента у виду технолошком и евакуације опасности.
запослених. упутстава за процесу. у случају 4. Документи
рад на поједи- Запослени опасности. су потпуно
ним радним су делимично 4. Делимично усклађени
местима. упознати са се примењују са важећим
Запосленима свим наведеним у радном и законом и
се повремено документима. технолошком потпуно се
скреће пажња процесу. примењује
на примену Запослени у радном и
мера безбед- су делимично технолошком
ности на раду. упознати са процесу.
свим наведеним Запослени су
документима. у потпуности
упознати са
свим наведеним
документима.

53
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела Г.1 (2/2)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
2.2 Опремљеност 1. Запослени нису 1. Запослени су 1. Запослени су 1. Запослени су 1. Запослени су
одговарајућом оспособљени делимично оспособљени оспособљени оспособљени
заштитном за безбедан и оспособљени за безбедан за безбедан за безбедан
опремом и здрав рад, ни за безбедан и и здрав рад, и здрав рад, и здрав рад,
оспособљеност теоријски, ни здрав рад, теоријски и теоријски и теоријски и
људских практично. теоријски и практично. практично. практично.
ресурса за 2. Не спроводе практично. 2. Не спроводе 2. Спроводе се 2. Спроводе се
спровођење се периодичне 2. Не спроводе се периодичне периодичне периодичне
правне провере оспо- се периодичне провере оспо- провере оспо- провере оспо-
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

регулативе собљености, провере оспо- собљености, собљености, собљености,


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

из области посебно за собљености, посебно за посебно за посебно за


безбедности и радна места посебно за радна места радна места радна места
здравља на са повећаним радна места са повећаним са повећаним са повећаним
радном месту ризиком. са повећаним ризиком. ризиком. ризиком.
и у радној ризиком.
3. Потпуна је 3. Делимична је 3. Делимична је 3. Потпуна је
околини
неопремљеност 3. Слаба је опремљеност опремљеност опремљеност
одговарајућом опремљеност одговарајућом одговарајућом одговарајућом
заштитном одговарајућом заштитном заштитном заштитном
опремом. заштитном опремом (опрем- опремом опремом.
опремом (опрем- љеност до 50 % (опремљеност
љеност до 1/3 од потребног). већа од 50 %
од потребног). од потребног).
2.3 Обавезно 1. Послодавац 1. Послодавац 1. Послодавац је 1. Послодавац је 1. Послодавац
социјално није пријавио није пријавио пријавио преко пријавио преко је пријавио
осигурање, запослене за запослене за 50 % запослених 75 % запослених запослене за
колективно обавезно соци- обавезно соци- за обавезно за обавезно обавезно
осигурање јално осигу- јално осигу- социјално осигу- социјално осигу- оцијално
од последица рање, нема рање, нема рање, има колек- рање, има колек- осигурање,
повреда на колективно колективно тивно осигурање тивно осигурање колективно
раду и про- осигурање осигурање од последица од последица је осигурао
фeсионалних од последица од последица повреда на раду повреда на раду запослене од
обољења, повреда на повреда на и професионал- и професионал- последица
добровољно раду и про- раду и про- них обољења за них обољења за повреда на раду
додатно фесионалних фесионалних 50 % запослених. 75 % запослених. и професионал-
осигурање обољења и обољења. Има додатно Има додатно них обољења.
нема додатно Има додатно осигурање у осигурање у Послодавац
осигурање. осигурање у појединачним појединачним је обезбедио
2. Мимо појединачним случајевима за случајевима за запосленима
општег акта случајевима. 50 % запослених. 75 % запослених. додатно
не исплаћује 2. Мимо 2. Мимо 2. Мимо осигурање.
накнаду штете општег акта општег акта општег акта 2. Послодавац
због повреда не исплаћује не исплаћује не исплаћује у складу са
на раду и про- накнаду штете накнаду штете накнаду штете општима
фесионалних због повреда због повреда због повреда актом исплаћује
обољења. на раду и про- на раду и про- на раду и про- накнаду штете
фесионалних фесионалних фесионалних због повреда
обољења. обољења. обољења. на раду и про-
фесионалних
обољења.

54
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог Д
(нормативан)

Критеријуми за идентификацију правних ризика

Табела Д.1 – Критеријуми за идентификацију правних ризика (1/5)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
3.1 Постојање,
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Непостојање Постојање Постојање Постојање Постојање


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

потпуност и интерне недовољно адекватне и адекватне и адекватне и пот-


адекватност регулативе у адекватне, непот- потпуне интерне потпуне интерне пуне интерне
интерне области заштите пуне, нејасне или регулативе само у регулативе, регулативе; досле-
нормативне података непрецизне односу али без дефини- дна примена, уз
регулативе интерне регула- на одређене кате- саних и јасних постојање јасних
којом се тиве или регула- горије података; интерних мера, и прецизних
штите подаци тиве која је непри- селективна или процедура и кон- интерних мера,
и документа мењива или се нередовна при- трола за примену процедура и кон-
(пословне не примењује из мена регулативе регулативе трола за примену
тајне, тајни других разлога регулативе
податаци,
подаци о лич-
ности и други
осетљиви и
поверљиви
подаци)
3.2 Постојање, 1. Непостојање 1. Постојање 1. Постојање 1. Постојање 1. Постојање
потпуност и равноправних равноправних равноправних равноправних равноправних
адекватност механизама механизама механизама механизама механизама
равноправних забране конку- забране конку- забране конку- забране конку- забране конку-
и органи- ренције и других ренције и других ренције и других ренције и других ренције и других
зационих на закону засно- мера за заштиту мера за заштиту мера за заштиту мера за заштиту
механизама ваних мера за од нелојалне од нелојалне од нелојалне од нелојалне
заштите заштиту од конкуренције конкуренције конкуренције конкуренције
безбедности нелојалне и нелојалности и нелојалности и нелојалности и нелојалности
пословања конкуренције запослених, који запослених, запослених, запослених,
од запослених и нелојалности се не имплемен- који се импле- који се импле- који се импле-
и/или трећих запослених. тирају, непри- ментирају ментирају ментирају
лица 2. Непостојање менљивљиви су, селективно и редовно и редовно и
адекватних противречни нередовно. неселективно. неселективно.
органзационих или неусагла- 2. Непостојање 2. Непостојање 2. Постојање
механизама. шени са вишим адекватних адекватних адекватних
прописима. организационих организационих организационих
2. Непостојање механизама. механизама. механизама.
адекватних
организационих
механизама.

55
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела Д.1 (2/5)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред. процену
број Максимална Велика Средња Мала Минимална
ризика 5 4 3 2 1
3.3 Постојање, 1. Непостојање 1. Непостојање 1. Постојање 1. Постојање 1. Постојање
потпуност и интерне регу- интерне регу- интерне регу- интерне регу- интерне регу-
адекватност лативе којом лативе којом лативе којом лативе којом лативе којом
интерне регула- се предвиђа се предвиђа се предвиђа се предвиђа е предвиђа
тиве којом се надлежност у надлежност у надлежност у надлежност у надлежност у
предвиђа над- области надзора области надзора области надзора области надзора области надзора
лежност у об- и контроле и контроле и контроле и контроле и контроле
ласти надзора законитости законитости законитости законитости законитости
и контроле пословања. пословања. пословања. пословања. пословања.
законитости 2. Поштовањe 2. Поштовање 2. Поштовање 2. Поштовање 2. Поштовање
пословања, интерних интерних интерних интерних интерних
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

поштовање процедура од процедура од процедура од процедура од процедура од


интерних про- стране запо- стране запо- стране запо- стране запо- стране запо-
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

цедура од стране слених и одго- слених и одго- слених и одго- слених и одго- слених и одго-
запослених и ворних лица ворних лица ворних лица ворних лица ворних лица
одговорних и спровођење и спровођењe и спровођењe и спровођењe и спровођењe
лица и спрово- мера за мера за мера за мера за мера за
ђења мера за превенцију и превенцију и превенцију и превенцију и превенцију и
превенцију поступање са поступање са поступање са поступање са поступање са
и поступање ризиком, уз ризиком, уз ризиком која се ризиком која ризиком која
са ризиком непостојање постојање не- не примењује се примењује се примењује
праксе фактич- aдекватне, редовно и редовно и редовно и
ког вршења нередовне и доследно, или доследно, али доследно, уз
контроле од недоследне непостојање уз непостојање постојање
стране посло- фактичке интерне регула- свести (међу свести (међу
водних органа контроле од тиве, уз посто- запосленима) запосленима)
стране посло- јање редовне и о значају и о значају и
водних органа доследне фак- оправданости оправданости
тичке контроле контролног контролног
процеса процеса
3.4 Постојање, 1. Непостојање 1. Непостојање 1. Постојање 1. Постојање 1. Постојање
потпуност и интерних про- интерних про- интерних про- интерних про- интерних про-
адекватност цедура којима цедура којима цедура којима цедура којима цедура којима
интерних се додељују се додељују се додељују се додељују се додељују
процедура и надлежности надлежности надлежности надлежности надлежности
процедура за запосленима у запосленима у запосленима у запосленима у запосленима у
мониторинг, вези са кон- вези са кон- вези са кон- вези са кон- вези са кон-
закључивање тролом закљу- тролом закљу- тролом закљу- тролом закљу- тролом закљу-
и реализацију чивања и реа- чивања и реа- чивања и реа- чивања и реа- чивања и реа-
домаћих и лизацијом лизацијом лизацијом лизације лизацијом
међународних уговора. уговора, али уговора, али уговора, али уговора које
уговора и 2. Непостојање уз постојање уз њихову нере- уз извесне се примењују
превенцију одговарајућих праксе вршења довну или недо- недоследности редовно и
настанка заштитних фактичке следну примену у примени које доследно.
имовинске клаузула у контроле над или њихово нису оставиле 2. Постојање
штете услед домаћим и закључивањем непостојање, значајније заштитних
закључења међународним и реализацијом уз фактичку последице, клаузула у
неповољних уговорима уговора која се контролу која уз фактичку домаћим и
пословних показала неаде- се показала контролу која међународним
аранжмана кватном, нере- као релативно се показала уговорима
довном или редовна и као адекватна, и њихова
недоследном. доследна. редовна и доследна
2. Непостојање 2. Постојање доследна. примена
одговарајућих заштитних 2. Постојање заш-
заштитних клаузула титних клаузула
клаузула у само у великим у домаћим и
домаћим и домаћим и међународним
међународним међународним уговорима, али
уговорима уговорима уз недоследност
у њиховој
примени

56
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Д.1 (3/5)

Захтев за ВЕЛИЧИНА ОПАСНОСТИ


Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
3.5 Постојање, 1. Непостојање 1. Постојање 1. Постојање 1. Постојање 1. Постојање
потпуност и јасне поделе поделе радних поделе радних поделе радних поделе радних
адекватност радних дуж- дужности веза- дужности веза- дужности веза- дужности веза-
унутрашњих ности везаних них за праћење них за праћење них за праћење них за праћење
механизама за праћење спорова и спорова и спорова и спорова и
за праћење спорова и поступака у поступака у поступака у поступака у
судских, поступака којима се орга- којима се орга- којима се орга- којима се орга-
управних у којима се низација налази, низација налази, низација налази, низација налази,
и других организација која није јасна која је јасна која је јасна, која је јасна,
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

спорова и налази. и доследна и и доследно адекватна и адекватна и


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

поступака 2. Непостојање није се показала спроведена, доследно доследно


које корисник праксе анга- адекватном. али се није спроведена. спроведена.
води жовања прав- 2. Повремено показала аде- 2. Ангажовање 2. Ангажовање
них стручњака ангажовање кватном у свим проверених проверених
ван органи- стручњака ван случајевима. стручњака ван стручњака ван
зације или организације. 2. Ангажовање организације организације
запошљавања 3. Делимична стручњака који који су и раније који су и раније
стручњака који информисаност су са промен- успешно засту- успешно засту-
ће адекватно о правним љивим успехом пали интересе пали интересе
пратити све последицама заступали инте- организације организације
правне процесе нежељених ресе органи- или њених или њених
од интереса за исхода посту- зације или партнера. партнера.
организацију. пака у којима њених послов- 3. Добра инфор- 3. Добра инфор-
3. Недовољна организација них партнера. мисаност мисаност
информисаност учествује. 3. Добра инфор- послодаваца послодаваца
послодаваца 4. Повремено мисаност посл- и запослених и запослених
и запослених и углавном одаваца, али не о правним о правним
о правним неуспешно и запослених о последицама последицама
последицама предузимање правним после- нежељених нежељених
нежељених иницијатива дицама неже- исхода судских исхода посту-
исхода посту- за вансудско љених исхода поступака, али пака у којима
пака у којима решавање поступака у уз пропусте организација
организација спорова којима органи- у процесу учествује.
учествује. зација учествује. праћења посту- 4. Успешно и
4. Непостојање 4. Повремено пака и спорова често предузи-
иницијативе предузимање који нису оста- мање иници-
за вансудско иницијатива вили озбиљније јатива за
решавање за вансудско последице вансудско
спорова решавање по интересе решавање
спорова организације. спорова, онда
4. Недовољно када је то у
честа пракса интересу
вансудског организације
решавања
спорова

57
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела Д.1 (4/5)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
3.6 Постојање, 1. Непостојање 1. Непостојање 1. Постојање 1. Постојање 1. Постојање
потпуност и регулативе регулативе регулативе регулативе регулативе
адекватност којом се консти- којом се конс- којом се конс- којом се конс- којом се конс-
интерне туише адекватан титуише адек- титуише адек- титуише адек- титуише адек-
регулативе и законит систем ватан и законит ватан и законит ватан и законит ватан и законит
којом се унутрашње кон- систем унутра- систем уну- систем уну- систем уну-
конституише троле над радом шње контроле трашње конт- трашње конт- трашње конт-
адекватан запослених над радом роле над радом роле над радом роле над радом
систем задужених запослених запослених запослених запослених
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

унутрашње за безбедност задужених за задужених за задужених за задужених за


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

контроле лица, имовине безбедност безбедност безбедност безбедност


над радом и пословања. лица, имовине лица, имовине лица, имовине лица, имовине
запослених и 2. Уводи се оба- и пословања. и пословања. и пословања. и пословања.
ангажованих веза подношења 2. Уводи се оба- 2. Уводи се 2. Уводи се 2. Уводи се
лица/орга- редовних веза подношења обавеза подно- обавеза подно- обавеза подно-
низација извештаја о редовних шења редовних шења редовних шења редовних
задужених свим инци- извештаја о извештаја о извештаја о извештаја о
за физичку дентима који свим инци- свим инци- свим инци- свим инци-
и техничку су угрозили дентима који дентима који су дентима који су дентима који су
заштиту лица, пословање, су угрозили угрозили посло- угрозили посло- угрозили посло-
имовине и лица или имо- пословање, вање, лица вање, лица вање, лица
континуитета вину органи- лица или имо- или имовину или имовину или имовину
пословања зације, уз вину органи- организације, организације, организације,
непостојање зације, уз али уз посто- али уз посто- која се показала
фактичке постојање јање значај- јање ситнијих као веома
контроле над фактичке конт- нијих пропуста пропуста у ефикасна
радом запосле- роле над радом у спровођењу спровођењу у ранијим
них и ангажо- запослених и контролног контролног случајевима
ваних лица/ ангажованих процеса или процеса који
/организација лица/организа- њено непосто- нису оставили
ција, која се јање, уз присут- озбиљније
није показала ност фактичке последице, уз
као адекватна, контроле над присутност
редовна и радом запосле- фактичке кон-
доследна них и ангажо- троле над радом
ваних лица/ор- запослених и
ганизација, ангажованих
која се показала лица/органи-
као релативно зација, сектора,
адекватна, која се показала
редовна и као веома
доследна ефикасна,
редовна и
доследна

58
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Д.1 (5/5)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
3.7 Постојање Постојање Постојање Постојање Постојање Постојање
неадекватних, прописа који, прописа који, прописа који, прописа који, прописа који,
непотпуних због међусобне због међусобне због међусобне због међусобне због међусобне
или против- противречности противречности противречности противречности противречности
речних закона или сами по или сами по или сами по или сами по или сами по
и других про- себи, намећу себи, намећу себи, намећу себи, намећу себи, намећу
писа који,  несразмерне несразмерне несразмерне несразмерне несразмерне
сами по себи или неоствариве или неоствариве или неоствариве или неоствариве или неоствариве
или у вези или противречне или противречне или противречне или противречне или противречне
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

један са другим, обавезе за органи- обавезе за органи- обавезе за органи- обавезе за органи- обавезе за органи-
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

проузрокују зацију, које могу зацију, које могу зацију, које могу зацију, које могу зацију, које могу
тешкоће у изазвати неоткло- изазвати тешку изазвати штету изазвати мање изазвати мини-
погледу зако- њиву тешку штету штету по по пословање поремећаје у малне поремећаје
нитог функци- по пословање пословање процесу рада у процесу рада
онисања или не изазивају
организације  никакве поремећаје
и безбедности у процесу рада
њеног
пословања

59
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Прилог Ђ
(нормативан)

Критеријуми за идентификацију ризика


од противправног деловања

Табела Ђ.1 – Критеријуми за идентификацију ризика од противправног деловања (1/4)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

ризика 5 4 3 2 1
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

4.1 Могућност да 1. Непостојање система физичко-техничке заштите 1. Постојање система физичко-


организација лица, имовине и пословања, нити одговарајућих -техничке заштите лица, имовине
постане објекат лиценци; неиспуњавање других законских захтева. и пословања, са одговарајућим
имовинског лиценцама и испуњавање других
криминалитета законских захтева.
2. Непредузимање 2. Предузимање 2. Предузимање 2. Предузимање 2. Предузимање
редовних и мера заштите редовних и мера заштите мера заштите
прописаних запослених, неселективних запослених, запослених,
мера за заштиту инфраструктуре мера заштите инфраструктуре инфраструкту-
запослених, и имовине од запослених, и имовине у ре и имовине
инфраструктуре извршења дела инфраструктуре односу на у односу на
и имовине од имовинског и имовине од претње од претње од
извршења дела криминалитета извршења дела извршења извршења
имовинског које се нису имовинског имовинског имовинског
криминалитета. показале аде- криминалитета. криминалитета. криминалитета.
3. Запослени нису кватним или 3. Запослени су 3. Запослени су 3. Запослени су
обучени за се примењују обучени за обучени за обучени за
правовремено селективно и правовремено правовремено правовремено
препознавање нередовно. препознавање препознавање препознавање
претњи од 3. Запослени нису претњи од претњи од претњи од
наступања обучени за наступања наступања наступања
дела имовин- правовремено кривичних кривичних кривичних
ског кримина- препознавање дела и правилно дела и правилно дела и правилно
литета, нити претњи од реаговање реаговање реаговање
за правилно наступања које би могло које би могло које би могло
реаговање кривичних ублажити или ублажити ублажити
које би могло дела, нити спречити после- или спречити или спречити
ублажити или за правилно дице, али без последице, уз последице, уз
спречити реаговање системске и постојање постојање
последице које би могло сталне обуке сталне обуке сталне обуке
ублажити или запослених запослених, запослених,
спречити после- и израђених али без планова постојање
дице, али је планова реаговања по планова реа-
у ранијим реаговања групама деликата говања по
случајевима по групама и редовних групама дели-
забележена деликата анализа стања ката и израде
правилна безбедности анализа стања
реакција и ризика од безбедности
запослених противправног и ризика од
као резултат деловања противправног
њихове личне деловања
иницијативе

60
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Ђ.1 (2/4)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
4.2 Могућност да 1. Непостојање система физичко-техничке 1. Постојање система физичко-
организација заштите лица, укључујући непостојање -техничке заштите лица, укључу-
постане објекат одговарајучих лиценци; неиспуњавање јући постојање одговарајућих
насилничког других законских захтева. лиценци и испуњавање других
криминалитета законских захтева.
и тежих
прекршаја 2. Непредузимање 2. Предузимање 2. Предузимање 2. Предузимање 2. Предузимање
против јавног редовних и мера заштите редовних и редовних и редовних и
прописаних запослених, неселективних прописаних прописаних
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

реда и мира
мера за заштиту клијената, мера заштите мера заштите мера заштите
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

запослених, партнера и запослених, запослених, запослених,


клијената, посетилаца oд клијената, клијената, клијената,
партнера и извршења дела партнера и партнера и партнера и
посетилаца од насилничког посетилаца од посетилаца у посетилаца
извршења дела криминалитета, извршења дела односу на у односу на
насилничког које се нису насилничког претње од претње од
криминалитета. показале аде- криминалитета. извршења извршења
3. Запослени нису кватним или 3. Запослени су насилничких насилничких
обучени за се примењују обучени за деликата. деликата.
правовремено селективно и правовремено 3. Запослени су 3. Запослени су
препознавање нередовно. препознавање обучени за обучени за
претњи од 3. Запослени нису претњи од правовремено правовремено
наступања обучени за наступања препознавање препознавање
дела имовин- правовремено кривичних претњи од претњи од нас-
ског крими- препознавање дела и правилно наступања тупања кривич-
налитета, нити претњи од реаговање које кривичних дела них дела и
за правилно наступања би могло убла- и правилно правилно
реаговање кривичних жити или спре- реаговање које реаговање које
које би могло дела, нитиза чити после- би могло би могло
ублажити или правилно дице, али без ублажити или ублажити или
спречити реаговање које системске и спречити спречити
последице би могло убла- сталне обуке последице, уз последице, уз
жити или спре- запослених и постојање постојање
чити последице, израђених системске и системске и
али је у ранијим планова реаго- сталне обуке сталне обуке
случајевима вања по гру- запослених, али запослених,
забележена пама деликата без планова постојање пла-
правилна реаговања по нова реаговања
реакција запо- групама по групама
слених као деликата и деликата и
резултат њи- редовних израде редовних
хове личне анализа стања анализа стања
иницијативе безбедности и безбедности и
ризика од ризикка од
противправног противправног
деловања деловања

61
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела Ђ.1 (3/4)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред. процену
број Максимална Велика Средња Мала Минимална
ризика 5 4 3 2 1
4.3 Могућност да 1. Организација поседује, држи или користи објекте (државне, јавне, од значаја за одбрану земље)
организација или/и саобраћајна средства или/и елементе критичне инфраструктуре, укључујући енергетску,
постане објекат информациону инфраструктуру и/или складишта опасних материја или друге складиштене
политичког објекте или објекте за чување робних или других резерви, који могу бити потенцијална мета
криминалитета извршилаца политичких деликата због политичког, економског или општедруштвеног значаја
или значаја за снабдевање грађана и привреде.
2. Не постоји 2. Не постоји посе- 2. Постоји посебан 2. Постоји посебан 2. Постоји посебан
посебан систем бан систем физи- систем физичке систем физичке систем физичке
физичке и чке и техничке и техничке и техничке и техничке
техничке заш- заштите угро- заштите угро- заштите угро- заштите угро–
тите угрожених жених лица, жених лица, жених лица, жених лица,
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

лица, имовине и имовине и имовине и имовине и имовине и


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

инфраструктуре инфраструктуре, инфраструктуре инфраструктуре инфраструктуре


и одговарајућа али се спроводе и одговарајућа и одговарајућа и одговарајућа
сарадња са посебне мере сарадња са сарадња са сарадња са
надлежним заштите, мада надлежним надлежним надлежним
државним нередовно и државним државним државним
органима. селективно органима. органима. органима.
3. Запослени на и постоји сарад- 3. Запослени на 3. Запослени на 3. Запослени на
пословима ња са надлежним пословима пословима пословима
физичко- државним орга- физичко- физичко- физичко-
-техничке нима која није -техничке -техничке -техничке
заштите угро- увек адекватна заштите заштите заштите
жених лица, и оптимална. угрожених угрожених угрожених
имовине и 3. Запослени на лица, имовине и лица, имовине и лица, имовине и
инфраструктуре пословима фи- инфраструктуре инфраструктуре инфраструктуре
нису посебно зичко-техничке нису посебно су посебно су посебно
обучени нити заштите угроже- обучени нити обучени и обучени и
безбедносно них лица, имо- безбедносно безбедносно безбедносно
проверени вине и инфра- проверени проверени проверени
структуре нису
посебно обучени
нити безбедносно
проверени
4.4 Могућност да 1. Организација 1. Организација поседује интерну регулативу у области заштите и обраде
организација не поседује података од значаја за пословање и превенцију комерцијалне шпијунаже
постане објекат интерну регула- и других облика нелојалне конкуренције и заштиту предмета
привредног тиву у области интелектуалне својине
криминалитета заштите и обра-
и привредних де података али регулатива која је адекватна која је адекватна која је адекватна
преступа и од значаја за није адекватна и потпуна, али и потпуна и по- и потпуна и по-
прекршаја пословање и или потпуна и не постоји њена стоји њена пра- стоји њена пра-
везаних за превенцију не постоји њена правилна и пот- вилна и потпуна вилна и потпуна
привредно и комерцијалне правилна и пот- пуна имплемен- примена. имплементација.
финансијско шпијунаже и пуна имплемен- тација. 2. Постоје разви- 2. Постоје разви-
пословање других облика тација. 2. Постоје разви- јени механизми јени механизми
нелојалне кон- 2. Постоје дели- јени механизми надзора над зако- надзора над
куренције, као мично развијени надзора над нитошћу рада законитошћу
ни за заштиту механизми законитошћу одговорних лица рада одговорних
интелектуалне надзора над рада одговорних у области прив- лица у области
својине. законитошћу лица у области редног и финан- привредног и
2. Организација рада одговорних привредног и сијског посло- финансијског
не поседује лица у области финансијског вања, уз редовну пословања, уз
развијене привредног и пословања, али имплементацију, редовну импле-
механизме финансијског са извесним али не постоји ментацију, по-
надзора над пословања, али пропустима у континуирна стоји системска
законитошћу са приметним имплементацији и системска и стална обука
рада одговор- пропустима у едукација запо- запослених за
них лица у имплементацији слених за препо- препознавање
области прив- знавање опас- опасности и
редног и фи- ности и преду- предузимање
нансијског зимање мера мера контроле
пословања контроле ризика ризика у овој
у овој области области

62
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Ђ.1 (4/4)


Ред. Захтев за ВЕЛИЧИНА ОПАСНОСТИ
број процену Максимална Велика Средња Мала Минимална
ризика 5 4 3 2 1
4.5 Могућност да 1. Организација не поседује ефикасне 1. Организација поседује механизме заштите
организација механизме заштите узбуњивача узбуњивача
постане  и нема изра и има израђене али њихова чија је ефикасност чија је ефикас-
објекат ђене планове планове интег- ефикасност потврђена или ност потврђена
корупције и интегритета. ритета који се није потврђена веома вероватна или веома веро-
других облика 2. Код запослених не имплемен- и има израђене и има израђене ватна и има изра-
злоупотребе не постоји тирају. планове интегри- планове интег- ђене планове
службеног развијена свест о 2. Код запослених тета који се ритета који се интегритета
положаја или потреби и не постоји имплементирају. имплементирају. који се импле-
положаја могућностима развијена свест 2. Код запослених 2. Код запослених ментирају.
одговорног борбе против о потреби и не постоји постоји свест о 2. Код запослених
лица корупције. могућностима развијена свест потреби и могућ- постоји разви-
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

3. Нема ефиканих борбе против о потреби ностима борбе јена свест о по-
механизама корупције. борбе против против корупције, треби и могућ-
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

надзора над 3. Постоје дели- корупције. али она није на ностима борбе
радом одговор- мично развијени 3. Постоје разви- потребном нивоу. против корупције.
них или служ- механизми јени механизми 3. Постоје разви- 3. Постоје разви-
бених лица надзора над надзора над јени механизми јени механизми
радом одговор- радом одговор- надзора над надзора над радом
них или служ- них или службе- радом одговор- одговорних или
бених лица, али них лица, али су них или служ- службених
су приметни приметни извес- бених лица, али лица, и постоји
значајни пропу- ни пропусти у не постоји сис- системска и
сти у њиховој њиховој импле- темска и стална стална обука за
имплементацији ментацији обука за борбу борбу против ко-
против коруп- рупције и кориш-
ције и кориш- ћење законских
ћење законских механизама
механизама заштите.
заштите.
4.6 Могућност да 1. Организација не 1. Организација поседује одговарајуће акте из области БЗР-а сходно
организација поседује одговара- законским захтевима.
постане јуће акте из обла-
објекат сти БЗР-а сходно
незаконитог законским
деловања у захтевима.
области и не предузима aли они нису који су потпуни, који су потпуни, који су потпу-
радних односа на закону потпуни, адек- адекватни и адекватни и ни, адекватни и
и заштите засноване мере ватни или ажу- ажурни и иако ажурни и преду- ажурни; преду-
безбедности  заштите БЗР-а. рни и иако пре- предузима на зима на закону зима на закону
и здравља  2. Не постоји јасна дузима на за- закону засно- засноване мере засноване мере
на раду расподела кону засноване ване мере заштите БЗР-а. заштите БЗР-а.
одговорности мере заштите заштите БЗР-а, 2. Постоји јасна 2. Постоји јасна
и послова у БЗР-а, оне су постоје извесни расподела одго- расподела одго-
области БЗР-а. нередовне и пропусти у им- ворности и пос- ворности и по-
3. Не постоје селективне. плементацији. лова у области слова у области
ефикасни меха- 2. Не постоји 2. Не постоји БЗР-а, али није БЗР-а која је дос-
низми надзора јасна расподела јасна расподела доследно спро- ледно спроведена
над радом одго- одговорности одговорности ведена кроз кроз системати-
ворних лица за и послова у и послова у систематизациј зацију радних
остваривање области БЗР-а. области БЗР-а. у радних места. места.
права по основу 3. Постоје меха- 3. Постоје меха- 3. Постоје меха- 3. Постоје меха-
рада и соци- низми надзора низми надзора низми надзора низми надзора
јалног осигу- над радом одго- над радом одго- над радом одго- над радом одго-
рања ворних лица за ворних лица за ворних лица за ворних лица за
остваривање остваривање остваривање остваривање
права по основу права по основу права по основу права по основу
рада и социјал- рада и социјалног рада и социјалног рада и социјалног
ног осигурања, осигурања који осигурања који осигурања који
али они нису по- су адекватни и су адекватни и су адекватни и
тпуни и адеква- потпуни, али су потпуни, али уз потпуни, постоји
тни и приметни приметни изве- извесне тешкоће квалитетна
су значајни про- сни пропусти у у комуникацији комуникација и
пусти у њиховој њиховој импле- и сарадњи између сарадња између
имплементацији ментацији представника представника
послодавца и послодавца и
запослених запослених

63
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Прилог Е
(нормативан)

Критеријуми за идентификацију ризика од пожара


Табела Е.1 – Критеријуми за идентификацију ризика од пожара (1/2)
Ред. Захтев за ВЕЛИЧИНА ОПАСНОСТИ
број процену Максимална Велика Средња Мала Минимална
ризика 5 4 3 2 1
5.1 Постојање Организација не 1. Организација 1. Организација 1. Организација 1. Организација
нормативних поседује норма- поседује план поседује норма- поседује норма- поседује сва
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

аката у складу тивна акта и не заштите од тивна акта која тивна акта која нормативна
са правном примењује их у пожара који је није одобрио је оверио акта у складу
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

регулативом пословању израдило нес- надлежни орган надлежни орган, са законом о


(правилник о тручно лице и у складу са али их у раду заштити од
заштити од није га оверио законом о заш- не примењује. пожара и
пожара, односно надлежни тити од пожара. 2. Организација у потпуно их
правила орган. Остала 2. Организација у раду предузима примењује у
заштите од документа не раду предузима интерне превен- пословању.
пожара, план поседује. интерне превен- тивне мере и 2.Организација
заштите од 2. Превентивне тивне мере и мере заштите у раду
пожара објекта мере и мере мере заштите од пожара. предузима
или подручја) заштите од од пожара. превентивне
3. Заштита од пожа-
пожара се 3. Заштита од ра је уграђена у мере и мере
повремено и пожара је угра- пословање орга- заштите од
појединачно ђена у посло- низације пожара.
примењују. вање органи- 3. Заштита од
3. Заштита од зације пожара је
пожара није уграђена у
уграђена у пословање
пословање организације
организације
5.2 Категоризација 1. Организација 1. Организација 1. Организација 1. Организација 1. Организација
правног лица нема доказ о нема доказ о има доказ о има доказ о има доказ о
и организовање извршеној извршеној извршеној извршеној извршеној
у складу са категоризацији. категоризацији. категоризацији. категоризацији. категоризацији.
проценом 2. Није извршена 2. Извршена је 2. Организација 2. Организација је 2. Организација је
угрожености у организација у интерна про- није потпуно усклађена са у потпуности
складу са складу са цена угроже- усклађена са проценом угро- усклађена са
правном проценом ности и у проценом угро- жености у најве- проценом
регулативом угрожености складу са њом жености, већ ћем броју случа- угрожености
успостављена само у важним јева. Има мањи
заштита од сегментима број пропуста
пожара пословања
5.3 Кадровска и Организација није Организација је Организација је Организација је
техничка кадровски и тех- кадровски и кадровски и тех- кадровски и тех-
попуњеност и нички попуњена у технички попу- нички попуњена у нички попуњена у Организација је
квалификова- складу са проценом њена у складу са складу са про- складу са проценом кадровски и тех-
ност људи који угрожености и у проценом угро- ценом угроже- угрожености, са нички попуњена
раде на свом саставу нема жености, са мање ности, са око 50 % око 90 % људског у складу са проце-
пословима квалификоване од 50 % људског људског и технич- и техничног потен- ном угрожености.
заштите од запослене за обав- и техничног ког потенцијала. цијала. Системати- Систематизацијом
пожара у љање послова из потенцијала. Повремено се зацијом су дефини- су дефинисана
складу са области заштите Повремено се ангажује екстерно сана радна места радна места и
правном од пожара. Није ангажује екстерно овлашћено лице за обављање пос- квалификовано
регулативом ангажовано овлашћено лице, лова из области људство за обав-
екстерно овлаш- велики су пропусти заштите од пожара. љање послова из
ћено правно лице у раду на пословима Ангажовано је области заштите
заштите од пожара екстерно овлашћено од пожара. Ангажо-
правно лице, са вано је овлашћено
мањим пропустима екстерно правно
у раду на посло- лице
вима заштите од
пожара

64
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Е.1 (2/2)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
5.4 Постојање и Организација Организација Организација Организација Организација
одржавање не поседује не поседује све поседује све поседује све поседује све
уређаја, опреме, уређаје, опрему, прописане прописане прописане прописане
инсталација и инсталације и уређаје, опрему, уређаје, опрему, уређаје, опрему, уређаје, опрему,
средстава за средства за инсталације и инсталације и инсталације и инсталације и
заштиту од заштиту од средства за средства за средства за средства за
пожара према пожара у складу заштиту од заштиту од заштиту од заштиту од
Закону о са Законом или пожара у складу пожара у складу пожара у складу пожара у складу
заштити од су постојећа са Законом. са Законом. са Законом. са Законом. Сва
пожара, потпуно Већи део није Око 50 % није Мањи део није су комплетна,
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

техничким неисправна и комплетан, комплетно, комплетан, исправна и


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

прописима, неупотребљива исправан и исправно и исправан и употребљива.


упутству употребљив. употребљиво. употребљив. Врше се редовни
произвођача Повремене Прегледе и Врше се прегледи и
опреме прегледе и одржавање врше нередовни одржавање
одржавање врше нестручна лица прегледи и
нестручна лица одржавање
5.5 Програм Организација не Организација Организација Организација Организација
основне обуке поседује програм поседује поседује поседује поседује
и евиденција основне обуке интерни програм интерни програм верификован верификован
обуке запослених из основне обуке основне обуке програм основне програм основне
запослених из области заштите запослених из запослених из обуке запослених обуке запослених
области од пожара. области заштите области заштите из области из области
заштите од Обука се од пожара који од пожара који заштите од заштите од
пожара не изводи. није оверио није оверио пожара. Обука пожара. Обука
Не постоје надлежни орган. надлежни орган. се изводи редовно, се изводи редовно,
евиденције о Обуку изводе Обука се изводи у складу са у складу са
обучености нередовно редовно, у складу програмом. програмом.
запослених нестручна лица. са програмом. Постоје ажурне Постоје ажурне
за заштиту Постоје неажурне Постоје ажурне евиденције о евиденције о
од пожара евиденције о евиденције о обучености обучености
обучености обучености запослених запослених
запослених запослених за заштиту за заштиту
за заштиту за заштиту од пожара од пожара
од пожара од пожара
5.6 Сагласност Организација Организација Организација Организација Организација
надлежног нема и није поседује поседује поседује поседује
органа поднела захтев сагласност сагласност сагласност сагласност
Министарства за сагласност МУП-а. Постоје МУП-а. Постоје МУП-а. МУП-а за све
унутрашњих МУП-у одступања у одступања у Постоје објекте
послова на смислу адаптације смислу адаптације одступања у
инвестиционо- и изградње нових и изградње нових смислу адаптације
техничку доку- делова објеката делова објеката објеката после
ментацију, или објеката или објеката добијања
изведено стање после добијања после добијања сагласности
и употребу сагласности сагласности
објекта или
дела објекта
5.7 Надзор Организације не Организација Организација Организација Организација
противпожарне поседује доказ поседује доказ поседује доказ поседује доказ поседује доказ о
инспекције и о извршеном о извршеном о извршеном о извршеном извршеном
спровођење надзору надзору надзору надзору надзору
наложених противпожарне противпожарне противпожарне противпожарне противпожарне
мера заштите инспекције инспекције. инспекције. инспекције. инспекције.
од пожара Не врши се Врши се нередовна Врши се Врши се потпуна
имплементација и непотпуна делимична имплементација
наложених мера имплементација имплементација наложених мера
наложених мера наложених мера

65
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Прилог Ж
(нормативан)

Критеријуми за идентификацију ризика


од елементарних непогода и других несрећа

Табела Ж.1 — Критеријуми за идентификацију ризика од елементарних непогода


и других несрећа (1/2)
Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

процену Максимална Велика Средња Мала Минимална


број
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

ризика 5 4 3 2 1
6.1 Постојање Организација Организација Организација Организација Организација
планских није спровела има појединачна поседује план поседује план поседује план
докумената процену угро- документа у виду заштите и заштите и заштите и
у области жености, не упутстава за рад спасавања и план спасавања у спасавања у
смањења поседује план на појединим заштите од удеса, ванредним ванредним
ризика и заштите и радним местима израђен у складу ситуацијама и ситуацијама и
управљања спасавања у о поступању у са важећим план заштите план заштите од
ванредним ванредним случају законом. Са од удеса, израђен удеса, потпуно
сутуацијама, ситуацијама, не елементарних планом нису у складу са усклађен са
тј. плана поседује план непогода и упознати његови важећим Законом важећим Законом
заштите и заштите од удеса других несрећа. носиоци и о ванредним о ванредним
спасавања у Запосленима се извршиоци. План ситуацијама. Са ситуацијама.
ванредним повремено скреће није усклађен са планом су у Са планом су у
ситуацијама и пажња на потребу планом заштите потпуности потпуности
плана заштите да примене та и спасавања у упознати његови упознати његови
од удеса, упутства ванредним носиоци, али не носиоци и
усклађеног ситуацијама и извршиоци. извршиоци. План
са планом јединице локалне План заштите је усклађен са
заштите и самоуправе, и спасавања у планом заштите
спасавања у односно ванредним и спасавања у
ванредним Републике. План ситуацијама ванредним
ситуацијама заштите и је делимично ситуацијама
надлежних спасавања у усклађен са јединице локалне
органа ванредним планом заштите самоуправе,
локалне ситуацијама није и спасавања у односно
самоуправе усклађен са ванредним Републике.
који је оверио суседним ситуацијама План је усклађен
надлежни прекограничним јединице локалне са суседним
орган субјектима самоуправе, прекограничним
односно субјектима
Републике. План
је делимично
усклађен са
суседним
прекограничним
субјектима

66
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Ж.1 (2/2)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
6.2 Постојање Организација Организација Организација Организација Организација
плана и уопште не нема план и има план и има план и има план и
евиденције планира и не евиденцију евиденцију евиденцију евиденцију
оспособљеност оспособљава оспособљености оспособљености оспособљености оспособљености
и запослених запослене за запослених за запослених за запослених за запослених за
за поступање поступање у поступање у поступање у поступање у поступање у
у ванредним ванредним ванредним ванредним ванредним ванредним
ситуацијама ситуацијама ситуацијама. ситуацијама. ситуацијама. ситуацијама.
Постоје Повремено Оспособљавање Оспособљавање
појединачни оспособљавање носиоца, али не врше овлашћена
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

покушаји врше неовлашћена и извршиоца лица. Евиденција


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

припремања за лица. Евиденција плана врше је ажурна.


поступање у је неажурна овлашћена лица. Организација
ванредним Евиденција је учествује у
ситуацијама делимично провери
ажурна. властитог плана
Организација заштите и
делимично спасавања у
учествује у ванредним
провери ситуацијама
властитог плана кроз вежбе са
заштите и органима локалне
спасавања у самоуправе
ванредним
ситуацијама
кроз вежбе са
органима локалне
самоуправе

67
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Прилог З
(нормативан)

Критеријуми за идентификацију ризика од експлозија

Табела З.1 – Критеријуми за идентификацију ризика од експлозија (1/3)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
7.1 Постојање Организација не Организација не Организација Организација Организација
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

нормативних поседује дозволу поседује план поседује план поседује план поседује план
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

аката и за рад или заштите од заштите од заштите од заштите од


дозвола за рад поседује експлозије, али експлозије, али експлозије и има експлозије и има
са одређеним привремену има физичко нема физичко физичко физичко
врстама дозволу за раздвајање раздвајање раздвајање раздвајање
експлозивних употребу експлозивних експлозивних експлозивних експлозивних
материјала експлозивних материја по материја по материја по материја по
(течним, и бурно нормативима нормативима нормативима на нормативима на
чврстим, реагујућих на бази на бази бази бази
гасовитим), запаљивих категоризације категоризације категоризације категоризације
у складу са материја нормираних нормираних нормираних нормираних
прописима врста, количина врста, количина врста, количина и врста, количина и
и дистанци и дистанци дистанци, али дистанци, и
нису га одобрили одобрио га је
надлежни органи надлежни орган
7.2 Постојање Организација Организација Организација Организација Организација
нормативних поседује дозволу поседује план поседује поседује поседује сва
аката у складу за рад, али не заштите од нормативна акта нормативна акта нормативна акта
са правном поседује експлозије који која није одобрио у складу са у складу са
регулативом за нормативна акта је израдило надлежни орган Законом о Законом о
заштиту од нестручно лице и у складу са заштити од заштити од
пожара објекта није га оверио Законом о пожара, која је пожара и потпуно
и/или подручја надлежни орган. заштити од оверио надлежни их примењује.
(и другим Остала документа пожара. орган. Не
нормативима не поседује. Организација у примењује их у
којима се Превентивне мере раду предузима потпуности.
уређује ова и мере заштите мере превенције
област) од експлозије се и заштите од
повремено и експлозије по
појединачно локалним
примењују. прописима или
Заштита од међународним
експлозије није стандардима
уграђена у
пословање
организације
7.3 Категоризација Организација нема Организација нема Организација има Организација има Организација има
правног лица и доказ о извршеној доказ о извршеној доказ о извршеној доказ о извршеној доказ о извршеној
организовање категоризацији категоризацији. категоризацији. категоризацији. категоризацији.
у складу са по степену Извршена је Организовање Организовање Извршено је у
проценом угрожености и интерна процена није потпуно је извршено потпуности
угрожености није извршено угрожености и усклађено са у складу са организовање
у складу са раздвајање организована проценом проценом у складу са
правном технолошког је заштитa од угрожености, већ угрожености у проценом
регулативом поступка у складу експозије у само у важним највећем броју угрожености
са проценом складу са њом сегментима случајева. Има
угрожености пословања мањи број
пропуста

68
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела З.1 (2/3)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
7.4 Кадровска 1. Организација 1. Организација 1. Организација 1. Организација 1. Организација
и техничка није кадровски је кадровски је кадровски је кадровски је кадровски
испуњеност и и технички и технички и технички и технички и технички
квалификова- попуњена у попуњена у попуњена у попуњена попуњена у
ност запослених складу са складу са складу са са око 90 % складу са
који раде на проценом проценом проценом потенцијала. проценом
пословима угрожености и угрожености угрожености Системати- угрожености,
заштите од у свом саставу са испод 50 % са око 50 % зацијом су системати-
експлозије и нема квали- људског и људског и дефинисана зацијом
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

руковања фиковане техничног техничног радна места радних места


експлозивним запослене за потенцијала. потенцијала. за обављање је дефинисана
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

материјама у обављање 2. Повремено 2. Повремено послова из потреба за


складу са послова из ангажовање ангажовање области квалификованим
правном области екстерног екстерног заштите од запосленим
регулативом заштите од овлашћеног овлашћеног пожара. за обављање
пожара. лица. правног лица. 2. Ангажовано послова из
2. Није је екстерно области
3. Велики 3. Велики
ангажовано овлашћено заштите од
пропусти пропусти
екстерно правно лице. пожара.
у раду на у раду на
овлашћено пословима пословима 3. Мањи 2. Ангажовано
правно лице. заштите од заштите од пропусти је екстерно
3. Велики експлозије експлозије у раду на овлашћено
пропусти пословима правно лице.
у раду на заштите од 3. Нема пропуста
пословима пожара у раду на
заштите од пословима
експлозије из области
заштите од
пожара
7.5 Постојање и Организација Организација Организација Организација Организација
одржавање не поседује не поседује све поседује све поседује све поседује све
уређаја, уређаје, опрему, прописане прописане прописане прописане
опреме, инсталације и уређаје, опрему, уређаје, опрему, уређаје, опрему, уређаје, опрему,
инсталација и средства за инсталације и инсталације и инсталације и инсталације и
средстава за заштиту од средства за средства за средства за средства за
заштиту од експлозије у заштиту од заштиту од заштиту од заштиту од
експлозија складу са експлозија у експлозије у експлозије у пожара у складу
према прописима или складу са складу са складу са са прописима
релевантним усвојеним прописима или прописима или прописима или или усвојеним
законима, стандардима, усвојеним усвојеним усвојеним стандардима, све
техничким или су постојећи стандардима, стандардима, а стандардима, а је исправно и
прописима, потпуно већи део није око 50 % није мањи део није употребљиво.
нормативима неисправни и комплетан, комплетно, комплетан, Врше се редовни
и упутством неупотребљиви исправан и исправно и исправан и прегледи и
произвођача употребљив. употребљиво. употребљив. одржавање
опреме Повремене Прегледе и Врше се редовни
прегледе и одржавање врше прегледи и
одржавање врше нестручна лица одржавање
нестручна лица

69
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела З.1 (3/3)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
7.6 Програм 1. Организација 1. Организација 1. Организација 1. Организација 1. Организација
основне обуке не поседује поседује поседује поседује поседује
и евиденција програм интерни интерни верификован верификован
обуке основне обуке програм програм програм програм
запослених из запослених основне обуке основне обуке основне обуке основне обуке
области из области запослених запослених запослених запослених
заштите од заштите од из области из области из области из области
експлозија и експлозије. заштите од заштите од заштите од заштите од
руковања 2. Обука за експлозије, експлозија. експлозија и експлозија и
експлозивним али програм Програм руковања руковања
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

заштиту од
материјама експлозија се није оверио није оверио експлозивним експлозивним
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

не изводи. надлежни надлежни материјама. материјама.


орган. орган. 2. Обука се 2. Обука се
3. Не постоје
евиденције о 2. Обуку 2. Обука се не изводи изводи
обучености нередовно изводи редовно, у редовно, у
запослених за изводе редовно, у складу са складу са
заштиту од нестручна складу са програмом. програмом.
експлозија и лица. програмом. 3. Постоје 3. Постоје
руковање 3. Постоје 3. Постоје ажурне неажурне ажурне
експлозивним неажурне евиденције о евиденције о евиденције о
материјама евиденције о обучености обучености обучености
обучености запослених за запослених за запослених за
запослених за заштиту од заштиту од заштиту од
заштиту од експлозија експлозија експлозија
експлозије
и руковање
експлозивним
материјама
7.7 Сагласност Организација не Организација Организација Организација Организација
надлежног поседује саглас- поседује поседује поседује поседује
органа ност МУП-а и сагласност МУП-а. сагласност МУП-а. сагласност МУП-а. сагласност МУП-а
Министарства није поднела Постоје Постоје Постоје за све објекте
унутрашњих захтев спроведене спроведене спроведене
послова на адаптације и адаптације и адаптације и
инвестиционо- изградња нових изградња нових изградња нових
техничку делова објеката делова објеката делова објеката
документацију, или објеката у или објеката у или објеката у
изведено стање целини, после целини, после целини после
и употребу добијања добијања добијања
објекта или сагласности, за сагласности, за сагласности, за
дела објекта које није добијена које је добијено које је добијена
сагласност за привремено сагласност за
коришћење решење и коришћење и рок
сагласност за за санацију
коришћење нерегуларности
7.8 Надзор Организација не Организација Организација Организација Организација
инспекције и поседује доказ о поседује доказ о поседује доказ о поседује доказ о поседује доказ о
постојање извршеном извршеном извршеном извршеном извршеном
наложених надзору надзору надзору надзору надзору државне
мера заштите инспекције инспекције. Не инспекције. Врши инспекције. Врши инспекције. Врши
од експлозије врши се импле- се нередовна и се делимична се потпуна
ментација непотпуна импле- имплементација имплементација
наложених мера ментација наложених мера наложених мера
наложених мера

70
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог И
(нормативан)

Критеријуми за идентификацију ризика


од неусаглашености са стандардима

Табела И.1 – Критеријуми за идентификацију ризика од неусаглашености са стандардима (1/2)


ВЕЛИЧИНА ОПАСНОСТИ
Ред. Захтев за
број процену ризика Максимална Велика Средња Мала Минимална
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

5 4 3 2 1
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

8.1 SRPS ISO 22301, Нема Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Друштвена имплементиран тиран стандард и тиран стандард и тиран стандард и тиран стандард и
безбедност – стандард води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
Системи записа којима то записа којима записа којима којима то
менаџмента доказује то доказује то доказује доказује
континуите-
том пословања –
Захтеви
8.2 SRPS A.L2.002, Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Друштвена тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
безбедност – води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
Услуге приват- записа којима то записа којима записа којима којима то
ног обезбеђења – доказује то доказује то доказује доказује
Захтеви и
упутство за
оцењивање
усаглашености
8.3 SRPS ISO/IEC Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
27001, тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
Информационе води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
технологије – записа којима то записа којима записа којима којима то
Технике доказује то доказује то доказује доказује
безбедности –
Системи
менаџмента
безбедношћу
информација –
Захтеви
8.4 SRPS ISO 22320, Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Друштвена тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
безбедност – води <50 посто води ≥50 посто води ≥80 посто води све записе
Менаџмент записа којим записа којима записа којима то којима то
ванредним то доказује то доказује доказује доказује
ситуацијама –
Захтеви за
одговор на
инцидент

71
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела И.1 (2/2)


ВЕЛИЧИНА ОПАСНОСТИ
Ред. Захтев за
број процену ризика Максимална Велика Средња Мала Минимална
5 4 3 2 1
8.5 SRPS EN 16082, Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Аеродромске и тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
ваздухопловне води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
службе записа којима записа којима записа којима којима то
безбедности то доказује то доказује то доказује доказује
8.6 SRPS EN 16747, Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Услуге тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
безбедности води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
у поморству записа којима записа којима записа којима којима то
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

и лукама то доказује то доказује то доказује доказује


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

8.7 ISO 18788, Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Систем тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
менаџмента води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
пословима записа којима записа којима записа којима којима то
приватног то доказује то доказује то доказује доказује
обезбеђења
8.8 SRPS ISO 28000, Нема имплемен- Има имплемен- Има имплемен- Има имплемен- Има имплемен-
Спецификација тиран стандард тиран стандард и тиран стандард и тиран стандард и тиран стандард и
за системе води < 50 посто води ≥ 50 посто води ≥ 80 посто води све записе
менаџмента записа којима записа којима записа којима којима то
обезбеђењем то доказује то доказује то доказује доказује
у ланцу
снабдевања

72
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог J
(нормативан)

Критеријуми за идентификацију ризика по животну средину

Табела J.1 – Критеријуми за идентификацију ризика по животну средину (1/2)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

9.1 Постојање 1. Не постоји 1. Извештај о 1. _Извештај о 1. Извештај о 1. Извештај о


правне, извештај о безбедности безбедности безбедности безбедности
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

органи- безбедности. не садржи све не садржи све садржи све садржи све
зацијске и 2. Не постоји неопходне неопходне неопходне неопходне
планске план заштите елементе. елементе. елементе. елементе.
регулативе од удеса. 2. Не постоји 2. _План заштите 2. План заштите 2. План заштите
из области план заштите од удеса је од удеса је од удеса је
3. Према
заштите од удеса. непотпун. непотпун. потпун.
животној
животне
средини се не 3. Према 3. _Према 3. Одговорно се 3. Одговорно се
средине
поступа на животној животној поступа према поступа према
одговоран средини се не средини се животној животној
начин поступа на поступа средини средини
одговоран делимично на
начин одговоран
начин
9.2 Опремљеност 1. Запослени нису 1. Запослени су 1. Запослени су 1. Запослени су 1. Запослени су
одговарајућом ни теоријски, оспособљени за оспособљени за оспособљени оспособљени
опремом за ни практично, реаговање у реаговање у за реаговање за реаговање
реаговање у оспособљени за ванредним ванредним у ванредним у ванредним
ванредним реаговање у ситуацијама ситуацијама ситуацијама ситуацијама
ситуацијама ванредним или еколошким или еколошким или еколошким или еколошким
или ситуацијама инцидентима инцидентима, инцидентима, инцидентима,
еколошким или еколошким теоријски, али теоријски и и теоријски и и теоријски и
инцидентима и инцидентима. не и практично. практично. практично. практично.
оспособљеност 2. Не спроводе се 2. Не спроводе се 2. Периодичне 2. Периодичне 2. Периодичне
људских периодичне периодичне провере провере оспо- провере оспо-
ресурса за провере оспо- провере оспо- оспособљеност собљености се собљености се
реаговање у собљености, собљености, и се спроводе спроводе за део спроводе за
њима запослених. посебно за делимично. запослених. све запослене.
3. Потпуна је радна места 3. Делимична је 3. Потпуна је 3. Потпуна је
неопремљеност са повећаним опремљеност опремљеност опремљеност
одговарајућом ризиком. одговарајућом одговарајућом одговарајућом
опремом за 3. Потпуна је опремом за опремом за опремом за
реаговање у неопремљеност реаговање у реаговање у реаговање у
ванредним одговарајућом ванредним ванредним ванредним
ситуацијама опремом за ситуацијама ситуацијама ситуацијама
или еколошким реаговање у или еколошким или еколошким или еколошким
инцидентима. ванредним инцидентима инцидентима инцидентима
ситуацијама
или еколошким
инцидентима.

73
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела J.1 (2/2)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
9.3 Одговорна Није делегирана Није делегирана Одговорност Одговорност Одговорност
особа за одговорност одговорност за ванреднe за ванреднe за ванреднe
реаговање у за ванреднe за ванреднe ситуацијe или ситуацијe или ситуацијe или
ванредним ситуацијe или ситуацијe или еколошкe еколошкe еколошкe
ситуацијама еколошкe еколошкe инцидентe je инцидентe je инцидентe је
и еколошким инцидентe инцидентe регулисана регулисана регулисана
инцидентима уговором са постављењем планом заштите
трећим лицем од удеса
9.4 Биохазардни Веома висок Висок Умерено/средње Благо изражен Минималан
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

потенцијал висок
коришћене
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

технологије
9.5 Постојање 1. Не постоји 1. Не постоји 1. Постоји 1. Постоји 1. Постоји
екстерне екстерна екстерна екстерна супер- екстерна супер- екстерна супер-
организације супервизорска супервизорска визорска орга- визорска орга- визорска орга-
која врши организација. организација. низација, без низација без низација са
надзор и 2. Не постоји 2. Постоји периодичних периодичних периодичним
директне директна директна провера. провера. проверама.
комуникације комуникација комуникација 2. Постоји 2. Постоји 2. Постоји
са одговорним са одговорним са одговорним директна директна директна
особама у особама у особама у комуникација комуникација комуникација
државним државним државним са одговорним са одговорним са одговорним
службама за службама за службама за особама у особама у особама у
реаговање у реаговање у реаговање у државним државним државним
ванредним ванредним ванредним службама за службама за службама за
ситуацијама ситуацијама ситуацијама реаговање у реаговање у реаговање у
или или еколошким или еколошким ванредним ванредним ванредним
еколошким инцидентима инцидентима, ситуацијама ситуацијама ситуацијама
инцидентима али без перио- или еколошким или еколошким или еколошким
дичних провера инцидентима, инцидентима, инцидентима,
али без перио- са перио- са перио-
дичних провера дичним дичним
проверама проверама

74
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог К
(нормативан)

Критеријуми за идентификацију ризика


у управљању људским ресурсима

Табела К.1 – Критеријуми за идентификацију ризика у управљању људским ресурсима (1/7)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

ризика 5 4 3 2 1
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

10.1 Постојање 1. Политику HR 1. Политику HR 1. Политику HR 1. Политику HR 1. Политику HR


политике није формали- је формали- је формали- је формали- је формализо-
управљања зовало, доку- зовало, доку- зовало, доку- зовало, доку- вало и
људским ментовало ментовало ментовало ментовало документовало
ресурсима нити одобрило и одобрило и одобрило и одобрило највише
(HR) и интерне највише највише руко- највише руко- највише руководство и
нормативне руководство водство и део водство и део руководство део је
регулативе и није део је стратешке је стратешке и део је стратешке
стратешке политике политике стратешке политике
политике организације, организације. политике организације.
организације. али се не 2. Политика HR организације. 2. Политика HR
2. Политика HR спроводи у je усаглашена 2. Политика HR је усаглашена
није усагла- потпуности. са интересима је усаглашена са интересима
шена са 2. Политика HR запослених, са интересима запослених,
интересима није усагла- безбедношћу запослених, безбедношћу
запослених, шена са инте- и заштитом на безбедношћу и заштитом на
безбедношћу ресима запо- раду и осталим и заштитом на раду и осталим
и заштитом слених, безбед- повезаним и раду и осталим повезаним и
на раду, нити ношћу и зашти- значајним повезаним и значајним
осталим том на раду, документима значајним документима
повезаним и нити осталим из области документима из области
значајним повезаним и пословања из области пословања
документима значајним организације, пословања организације.
из области документима али нису у организације. 3. Политика HR
пословања из области потпуности 3. Политика HR је прегледна,
организације. пословања обезбеђена доступна
је прегледна,
3. Политика HR организације. средства и доступна запосленима
није доступна 3. Политика HR услови за њено запосленима и подложна
запосленима није прегледна, спровођење. и подложна променама
доступна 3. Политика HR променама онда када су
запосленима, је прегледна, онда када су оне неопходне
нити подложна доступна запо- оне неопходне,
променама сленима, али али могу да
онда када су није у потпу- постоје одла-
оне неопходне ности подлож- гања у спрово-
на променама ђењу
онда када су
оне неопходне

75
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела К.1 (2/7)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
10.2 Постојање 1. Није урађена 1. Није урађена 1. Урађена је и 1. Урађена је и 1. Урађена је и
стандардизо- анализа радних анализа радних одобрена одобрена одобрена
ваних крите- места и позиција/места анализа радних анализа радних анализа радних
ријума и задатака за и задатака за позиција/места позиција/места позиција/места
интерних позиције у позиције у и задатака за и задатака за и задатака за
процедура о организацији. организацији. позиције у позиције у све позиције у
регрутацији, 2. Систем 2. Систем организацији. организацији. организацији.
селекцији и регрутовања регрутовања 2. Систем регру- 2. Систем регру- 2. Систем регру-
класификацији није успос- није успос- товања није товања је товања је
запослених успостављен успостављен успостављен
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

тављен као тављен као


као стал- као стал- као стал-
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

стални/контину стални/конти-
-ирани процес нуирани ни/континуира- ни/континуира ни/континуи-
заснован на процес ни процес ни процес рани процес
циљевима заснован на заснован на заснован на заснован на
организације. циљевима. циљевима, већ циљевима. циљевима.
се спроводи ad 3. Критеријуми за 3. Утврђени су и
3. Нису утврђени 3. Нису утврђени
hoc. селекцију документовани
нити докумен- нити
товани крите- документовани 3. Критеријуми за кандидата за критеријуми за
ријуми за критеријуми за селекцију радне позиције селекцију
селекцију селекцију кандидата за су докумен- кандидата за
кандидата за кандидата за радне позиције товани, али радне позиције
радне позиције радне позиције су утврђени и постоје повре-
документовани, мена
али су непот- одступања од
пуни и нису у критеријума
складу са ана-
лизом радних
позиција/места
4. Кандидати 4. Кандидати 4. Кандидати 4. Кандидати 4. Сви кандидати
за посао не за посао за посао за посао за посао у
потписују потписују потписују потписују компанији
документ(а) документ(а) документ(а) документ(а) потписују
којима се упо- којима се којима се којима се документ(а)
знају са свим упознају са упознају са упознају са којима се
релевантним информацијама информацијама информацијама упознају са
информацијама везаним за везаним за везаним за свим реле-
везаним за будући посао, будући посао, будући посао, вантним
будући посао које нису у које нису у које нису у информацијама
и међусобним потупности потупности потупности везаним за
правима и релевантне и релевантне и релевантне и будући посао,
обавезама јасне, као ни јасне, као ни јасне, као ни као и међусо-
између органи- међусобна међусобна међусобна бним правима
зације и поје- права и обавезе права и обавезе права и обавезе и обавезама
динца између органи- између органи- између органи- између органи-
зације и поје- зације и поје- зације и поје- зације и поје-
динца динца динца динца

76
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела К.1 (3/7)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
10.3 Постојање 1. Новозапослени 1. Новозапослени 1. Новозапослени 1. Новозапослени 1. Сви новоза-
процедура за нису усмерени су усмерени на су усмерени су усмерени послени су
адаптацију, на позицију и позицију и на позицију и на позицију и усмерени на
развој и организацију – организацију – организацију – организацију – позицију и
евалуацију није обезбеђена радна адап- радна адап- обезбеђена организацију –
запослених адекватна радна тација запо- тација запо- је адекватна обезбеђена је
адаптација слених (профе- слених (профе- радна адап- адекватна
запослених сионална и сионална и тација запо- радна адап-
(професионал- социјална) није социјална) је слених (профе- тација запо-
на и социјална). адекватна или кратка. сионална и слених (профе-
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

је непотпуна социјална). сионална и


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

2. Менаџерима и 2. Менаџерима и
супервизорима/ или кратка. супервизорима/ 2. Менаџерима и социјална).
надзорницима 2. Менаџерима и надзорницима супервизорима/ 2. Менаџерима и
који су супервизорима/ који су надзорницима супервизорима/
одговорни за надзорницима одговорни за који су надзорницима
управљање који су управљање одговорни за који су одго-
запосленима одговорни за запосленима је управљање ворни за
нису управљање обезбеђена запосленима управљање
обезбеђени запосленима адекватна је обезбеђена запосленима
адекватна нису обука и адекватна обезбеђени
обука и обезбеђени могућност за обука и су адекватна
могућност за адекватна обу- развој њихових могућност за обука и
развој њихових ка и могућност управљачких развој њихових могућност за
управљачких и за развој и надзорних управљачких развој њихових
надзорних њихових вештина, али и надзорних управљачких
вештина. управљачких и је ad hoc. вештина. и надзорних
3. Запослени надзорних 3. Запослени 3. Сви запослени вештина.
немају план вештина, или имају план имају план 3. Сви запослени
рада и нор- не постоји рада и норму/ рада и норму/ имају план
му/циљеве који подршка за /циљеве који /циљеве који рада и норму/
одређују зада- примену. одређују зада- одређују зада- /циљеве који
тке/активности 3. Запослени тке/активности тке/активности одређују зада-
и очекиване немају план и очекиване и очекиване тке/активности
резултате за рада и нор- резултате за резултате за и очекиване
будуће задатке му/циљеве који будуће задатке, будуће задатке, резултате за
одређују зада- али се они али их понекад будуће задатке
тке/активности примењују не примењују
и очекиване повремено и сви запослени;
резултате за на поједине
будуће задатке, запослене
или су они
неусклађени,
нереални и/или
нејасни

77
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела К.1 (4/7)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
4. Радни учинак 4. Радни учинак 4. Радни учинак 4. Радни учинак 4. Радни учинак
сваког запо- сваког запо- сваког запо- сваког запо- сваког запо-
сленог није сленог није сленог је сленог је сленог је
праведно праведно праведно праведно праведно
процењен на процењен на процењен на процењен на процењен,
крају плана крају плана крају плана крају плана најмање једном
рада или рад- рада или рад- рада или рад- рада или рад- годишње, на
ног циклуса. ног циклуса ног циклуса, ног циклуса, крају плана
5. Организација или изостаје али повремено али повремено рада или рад-
адекватна изостаје адек- изостаје адек- ног циклуса.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

нема развијене
накнада. ватна накнада. ватна накнада.
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

методе одржа- 5. Организација


вања бриге за 5. Организација 5. Организација 5. Организација има развијене
запослене и нема развијене има развијене има развијене методе одржа-
нема развијену методе одржа- методе одржа- методе одржа- вања бриге за
свест о значају вања бриге за вања бриге за вања бриге за запослене и
запослених. запослене и запослене и запослене и свест о значају
6. Организација нема развијену свест о значају свест о значају запослених.
не обезбеђује свест о значају запослених, запослених, 6. Организација
компензације, запослених. али их али понекад обезбеђује
награде и 6. Организација спроводи није у стању да компензације,
бенефите за не обезбеђује повремено их спроведе. награде и
запослене компензације, и/или само 6. Организација бенефите за
засноване награде и према делу обезбеђује запослене,
на успеху у бенефите за запослених. компензације, засноване на
обављању запослене, 6. Организација награде и успеху у обав-
посла засноване обезбеђује бенефите за љању посла
на успеху у компензације, запослене, (конкурентност
обављању награде и засноване и такмичење)
посла, или бенефите за на успеху у
обезбеђује, али запослене, обављању
су неадекватне али они нису посла (конку-
и/или немају засновани рентност и
сви запослени на успеху у такмичење)
једнаке шансе обављању
за њихово посла и/или
остварење немају сви
запослени
једнаке шансе
за њихово
остварење

78
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела К.1 (5/7)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
10.4 Обезбеђење 1. Организација 1. Организација 1. Организација 1. Организација 1. Организација
функционалног, не обезбеђује обезбеђује обезбеђује обезбеђује обезбеђује
безбедног и безбедно радно сигурно/ сигурно/ сигурно/ сигурно/
инклузивног окружење. /безбедно /безбедно /безбедно безбедно
радног места 2. Организација радно окружење радно окружење радно окружење. радно окружење.
и окружења не подржава само када је када је реч о 2. Организација 2. Организација
усклађеност/ реч о физичком физичком подржава подржава
/баланс послов- здрављу. здрављу. усклађеност/ усклађеност/
ног/професио- 2. Организација 2. Организација /баланс баланс
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

налног и не подржава подржава пословног/ пословног/


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

приватног усклађеност/ усклађеност/ /професио- /професио-


живота баланс послов- /баланс послов- налног и налног и
запослених. ног/професио- ног/професио- приватног приватног
3. Организација налног и налног и живота живота
не осигурава приватног приватног запослених. запослених.
радно окруже- живота живота 3. Организација 3. Организација
ње од злостав- запослених. запослених, осигурава осигурава
љања, узнеми- 3. Организација али га спроводи радно окружење, радно
равања и не осигурава делимично и без злостављања, окружење, без
мобинга. радно окру- само за поједине узнемиравања злостављања,
жење од радне позиције/ и мобинга. узнемиравања
4. Организација
злостављања, /појединце. и мобинга.
не осигурава/ 4. Организација
/промовише узнемиравања 3. Организација осигурава/ 4. Организација
инклузивно/ и мобинга. осигурава /промовише осигурава/
/отворено/ 4. Организација радно инклузивно/ /промовише
/доступно не осигурава/ окружење, без /отворено/ инклузивно/
радно окружење. /промовише злостављања, /доступно /отворено/
инклузивно/ узнемиравања радно окружење. /доступно
5. Организација
/отворено/ и мобинга. радно окружење.
нема дефини- 5. Организација
сану политику доступно 4. Организација има дефинисану 5. Организација
решавања радно окружење. не осигурава/ политику има дефини-
конфликата /не промовише решавања сану политику
5. Организација
инклузивно/ конфликата, решавања
нема дефини-
/отворено/ али је не конфликата
сану политику
/доступно примењује
решавања
радно окружење. потпуно и у
конфликата
5. Организација односу на све
нема запослене
дефинисану
политику
решавања
конфликата

79
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела К.1 (6/7)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
10.5 Постојање 1. Не постоје 1. Постоје 1. Постоје 1. Постоје 1. Постоје
планова за планови за планови за планови за планови за планови за
обуку, стицање обуку и развој обуку и развој обуку и развој обуку и развој обуку и развој
знања и развој запослених, запослених, запослених и запослених, запослених,
запослених нити планови за али не и планови за барем на барем на
превазилажење планови за превазилажење годишњем годишњем
уочених превазилажење уочених нивоу, као и нивоу, као и
недостатака. уочених недостатака, планови за планови за
2. Организација недостатака. али нису превазилажење превазилажење
не планира временски уочених уочених
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

2. Организација
у оквиру одређени. недостатака. недостатака.
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

планира у
годишњег 2. Организација 2. Организација 2. Организација
оквиру
буџета планира у планира у планира у
годишњег
средства за оквиру годиш- оквиру оквиру годиш-
буџета
обуку и развој њег буџета годишњег њег буџета
средства за
запослених. средства за буџета средства за
обуку и развој
3. Не постоји запослених, обуку и развој средства за обуку и развој
евиденција али су та запослених, обуку и развој запослених.
запослених средства али се она не запослених, 3. Постоји
који су недовољна или издвајају. али су могућа евиденција
завршили се не издвајају. 3. Постоји повремена запослених
обуку на евиденција кашњења у који су
годишњем 3. Не постоји издвајању.
евиденција запослених завршили
нивоу који су 3. Постоји обуку на
запослених
који су завршили евиденција годишњем
завршили обуку на запослених нивоу
обуку на годишњем који су
годишњем нивоу, али је завршили
нивоу непотпуна обуку на
и/или годишњем
недоступна нивоу
запосленима

80
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела К.1 (7/7)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
10.6 Планирање 4. Организација 4. Организација 4. Организација 4. Организација 4. Организација
људских нема дефини- нема дефини- има дефинисан има дефинисан има дефинисан
ресурса и сан систем за сан систем за систем за систем за систем за
организаци- утврђивање утврђивање утврђивање утврђивање утврђивање
оних промена, организацио- организацио- организацио- организацио- организаци-
као и иденти‐ них циљева, них циљева, них циљева, них циљева, оних циљева,
фикација упутстава и упутстава и упутстава и упутстава и упутстава и
кључних процедура, процедура, процедура, процедура, процедура,
запослених промена/крета- промена/крета- промена/крета- промена/крета- промена/крета-
ња/трендова ња/трендова ња/трендова ња/трендова ња/трендова
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

социјалних и социјалних и социјалних и социјалних и социјалних и


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

економских економских економских економских економских


услова, општих услова, општих услова, општих услова, општих услова, општих
и специфичних и специфичних и специфичних и специфичних и специфичних
услова на услова на услова на услова на услова на
тржишту рада, тржишту рада, тржишту рада, тржишту рада, тржишту рада,
законодавства, законодавства, законодавства, законодавства, законодавства,
нити техно- нити техно- као и техно- као и техно- као и техно-
лошког развоја лошког развоја лошког развоја лошког развоја лошког развоја
који може који може који може који може који може
имати утицај имати утицај имати утицај имати утицај имати утицај
на регрутовање на регрутовање на регрутовање на регрутовање на регрутовање
и задржавање и задржавање и задржавање и задржавање и задржавање
талената талената, или талената, али талената талената
постоје само се не спроводе
поједини/ у потпуности
/непотпуни
5. Нису утврђене 5. Утврђене су 5. Утврђене су 5. Утврђене су 5. Утврђене су
критичне критичне критичне критичне критичне
позиције за позиције за позиције за позиције за позиције за
функционисање функционисање функционисање функционисање функционисање
организације, организације, организације организације организације
нити утврђени али нису и утврђени и утврђени и утврђени
планови обнав- утврђени планови планови планови
љања и насле- планови обнав- обнављања и обнављања и обнављања и
ђивања. љања и насле- наслеђивања, наслеђивања. наслеђивања.
6. Не постоје ђивања. али нису у 6. Постоје 6. Постоје
планови за 6. Не постоје потпуности резервни резервни
замену резервни обезбеђена планови за планови за
кључних планови за средства и/или кључне кључне
запослених кључне услови за запослене запослене
у случају запослене спровођење. у случају у случају
њиховог у случају 6. Не постоје њиховог њиховог
одсуства или њиховог резервни одсуства или одсуства или
губитка одсуства или планови за губитка, али губитка
губитка кључне су могући
запослене проблеми у
у случају обезбеђивању
њиховог интерних или
одсуства или екстерних
губитка кадрова

81
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Прилог Л
(нормативан)

Критеријуми за идентификацију ризика у области


информационо-комуникационо-телекомуникационих система
Табела Л.1 – Критеријуми за идентификацију ризика у области
информационо-комуникационо-телекомуникационих система (1/4)
Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

ризика 5 4 3 2 1
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

11.1 Постојање 1. Непостојање 1. Постојање 1. Постојање 1. Постојање 1. Постојање


дефинисане дефинисане дефинисане дефинисане дефинисане дефинисане
безбедносне безбедносне безбедносне безбедносне безбедносне безбедносне
политике у политике. политике која политике која политике која политике која
ИКТ сектору 2. Непостојање се периодично се периодично се периодично се периодично
и интерне правилника не преиспитује не преиспитује не преиспитује преиспитује
регулативе или другог нити усклађује нити усклађује нити усклађује и усклађује са
која прописује интерног акта са новим стан- са новим стан- са новим стан- новим стандар-
овлашћења, који дефинише дардизованим дардизованим дардизованим дизованим
надлежности овлашћења, трендовима у трендовима у трендовима у трендовима у
и процедуру надлежности области ИКТ области ИКТ области ИКТ области ИКТ
приступа и процедуру безбедности. безбедности. безбедности. безбедности.
главним приступа 2. Непостојање 2. Постојање 2. Постојање 2. Постојање
компонентама рачунарском правилника правилника правилника правилника
ИКТ система центру, серверу или другог или другог или другог или другог
и регулисање или другим интерног акта интерног акта интерног акта интерног акта
значајних важним ИКТ који дефинише који дефинише који дефинише који дефинише
аспеката системима. овлашћења, овлашћења, овлашћења, овлашћења,
заштите надлежности надлежности надлежности надлежности
3. Backup система
података и процедуру и процедуру и процедуру и процедуру
и важних
садржаја се приступа приступа приступа приступа
не спроводи рачунарском рачунарском рачунарском рачунарском
или се спроводи центру, серверу центру, серверу центру, серверу центру, серверу
ad hoc или другим или другим или другим или другим
важним ИКТ важним ИКТ важним ИКТ важним ИКТ
системима. системима, али системима који системима који
3. Backup система се не примењује се примењује, се доследно
и важних у пракси. али уз недо- примењује.
садржаја се 3. Backup система вољну строгост 3. Backup система
не спроводи и важних и принципи- и важних
или се спроводи садржаја се јелност у свим садржаја се
ad hoc редовно случајевима. редовно
спроводи 3. Backup система спроводи
и важних
садржаја се
редовно
спроводи

82
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Л.1 (2/4)


ВЕЛИЧИНА ОПАСНОСТИ
Ред. Захтев за
број процену ризика Максимална Велика Средња Мала Минимална
5 4 3 2 1
11.2 Постојање Техничка средстава Техничка средства Техничка, физичка Техничка, физичка Техничка, физичка
техничких, контроле приступа контроле приступа и логичка средства и логичка средства и логичка средства
физичких штићеном штићеном постоје, у функцији постоје, у функцији постоје, у функцији
и/или логичких простору не простору нису у су, али се контрола су, контрола су, контрола
средстава постоје, средства функцији, средства њихове исправ- њихове исправ- њихове исправ-
заштите физичке заштите физичке заштите ности не спроводи ности се спроводи ности се спроводи
главних опреме не постоје опреме нису у редовно или нису редовно. Дефини- редовно. Дефини-
компонената и/или средства функцији и/или дефинисане проце- сане су процедура сане су процедура
ИКТ система и логичке заштите средства логичке дура и периодика и периодика њи- и периодика
електронских нису имплемен- заштите нису њихове контроле хове контроле, њихове контроле,
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

података тирана имплементирана али уговорно није уговорно је дефи-


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

дефинисано питање нисано питање


њиховог одржа- њиховог одржа-
вања и дугорочног вања и дугорочног
снабдевања резер- снабдевања ре-
вним деловима и зервним деловима
сервисирања. Стра- и сервисирања.
тегијом организа- Стратегијом орга-
ције није предви- низације је предви-
ђено периодично ђено периодично
улагање у обнав- улагање у обнавља-
љање и модерниза- ње и модернизацију
цију ових средстава ових средстава
11.3 Адекватна ИКТ сектор не ИКТ сектор не ИКТ сектор не ИКТ сектор ИКТ сектор распо-
кадровска располаже довољ- располаже довољ- располаже довољ- располаже лаже довољним
попуњеност ним бројем особља ним бројем особља ним бројем особља довољним бројем бројем особља
ИКТ сектора и (и/или квалифи- (и/или квалифи- (и/или квалифи- особља (и квалифи- (и квалификованог
постојање кованог особља) и кованог особља) кованог особља) кованог особља), особља) и радни
рационалне радни процес није или радни процес или радни процес али радни процес процес је прецизно
организације дефинисан није дефинисан није прецизно није прецизно и економично
послова. и економично и економично дефинисан
дефинисан дефинисан
11.4 Оспособљеност 1. Организација 1. Организација 1. Организација 1. Организација 1. Организација
ИКТ сектора за има потребу има потребу има потребу нема потребу нема потребу
континуирано за хостингом и за хостингом и за хостингом и за хостингом и за хостингом и
функционисање аутсорсингом, аутсорсингом, аутсорсингом и аутсорсингом. аутсорсингом.
у кризним али односи али односи односи између 2. Континуитет 2. Континуитет
ситуацијама. између уговор- између уговор- уговорних функционисања функционисања
них страна них страна страна (права ИКТ-а у ванре- ИКТ-а у ванре-
(права и дужно- (права и дужно- и дужности у дним ситуација- дним ситуација-
сти у случају сти у случају случају ванре- ма је обезбеђен ма је обезбеђен
ванредних ванредних дних ситуација) правилницима правилницима
ситуација) ситуација) су прецизно и дефинисаним и дефинисаним
нису прецизно нису прецизно одређени. процедурама. процедурама.
одређени. одређени. 2. Континуитет
2. Континуитет 2. Континуитет функциониса-
функционисања функциониса- ња ИКТ-а у
ИКТ-а у ња ИКТ-а у ванредним
ванредним ванредним ситуацијама је
ситуацијама ситуацијама обезбеђен
није обезбеђен није обезбеђен правилницима
правилницима и правилницима и дефинисаним
дефинисаним и дефинисаним процедурама.
процедурама. процедурама.

83
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела Л.1 (3/4)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
3. Не постоји 3. Не постоји 3. Не постоји 3. Не постоји 3. Постоји
резервна резервна резервна резервна резервна
(географски (географски (географски (географски (географски
дислоцирана дислоцирана дислоцирана дислоцирана дислоцирана
и инфрастру- и инфрастру- и инфрастру- и инфрастру- и инфрастру-
ктурно опре- ктурно опре- ктурно опре- ктурно опре- ктурно опре-
мљена) локација мљена) мљена) мљена) мљена)
за систем-салу, локација за локација за локација за локација за
за случај систем-салу, за систем-салу, за систем-салу, за систем-салу, за
ванредних случај случај случај случај
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

ситуација ванредних ванредних ванредних ванредних


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

ситуација ситуација ситуација ситуација


11.5 Овлашћења Организација Организација Организација има Организација има Организација има
запослених нема дефинисану нема прецизно прецизно дефини- прецизно дефини- прецизно дефини-
за коришћење политику дефинисану сану политику ко- сану политику ко- сану политику ко-
корпоративних коришћења политику ришћења приватних ришћења приватних ришћења приватних
ИКТ ресурса корпоративних коришћења медијума и/или медијума и/или медијума и/или
у приватне ИКТ ресурса у приватних корпоративних корпоративних корпоративних
сврхе (приступ приватне сврхе медијума и/или ИКТ ресурса у ИКТ ресурса у ИКТ ресурса у
приватним и приватних корпоративних приватне сврхе, али приватне сврхе, приватне сврхе,
налозима преносних ИКТ ресурса у не постоје техничке постоје техничке физички је оне-
електронске медијума приватне сврхе и могућности за могућности за могућено прикљу-
поште, није предвиђена ограничавање ограничавање чивање преносних
друштвеним физичка или приступа непожељ- приступа непожељ- медијума у корпо-
мрежама итд) логичка контрола ним интернет адре- ним интернет адре- ративне рачунаре
и приватних понашања сама и физички сама, али физички и постоје техничке
преносних запослених није онемогућено није онемогућено могућности за спре-
медијума у прикључивање прикључивање чавање приступа
корпоративним преносних меди- преносних меди- непожељним интер-
просторијама јума у корпора- јума у корпора- нет адресама
тивне рачунаре тивне рачунаре
11.6 Оспособље- 1. Низак ниво 1. Низак ниво 1. Осредњи ниво 1. Висок ниво 1. Висок ниво
ност безбедносне безбедносне безбедносне безбедносне безбедносне
руководства и културе запо- културе запо- културе запо- културе запо- културе запо-
запослених за слених у свим слених у свим слених у свим слених у ИКТ слених у свим
примерено секторима и секторима и секторима. сектору, а секторима.
реаговање у изражена изражена 2. Организација осредњи ниво у 2. Организација
случају подложност подложност има прецизно другим има прецизно
сајбер-напада социјалном социјалном дефинисану секторима. дефинисану
или других инжењерингу. инжењерингу. политику 2. Организација политику
облика 2. Није дефини- 2. Политика перманентне има прецизно перманентне
високотехно- сана политика перманентне едукације дефинисану едукације.
лошког перманентне едукације запо- запослених о политику Политиком
криминала едукације запо- слених о безбед- безбедносним перманентне перманентне
слених о без- носним ризи- ризицима и едукације. едукације су
бедносним цима и прет- претњама, али Политиком обухваћени
ризицима и њама постоји, се она не перманентне сви запослени,
претњама. али није пре- спроводи едукације су у свим секторима.
3. Постоји историја цизно дефини- редовно. обухваћени сви 3. Не постоји
сајбер-напада, сана и/или се Политиком запослени, у историја
али је реакција не спроводи. перманентне свим секторима. сајбер-напада
менаџмента 3. Постоји историја едукације нису 3. Постоји историја
изостала или сајбер-напада, обухваћени сви сајбер-напада,
није била али реакција запослени. али је реакција
адекватна менаџмента 3. Постоји историја менаџмента
није била сајбер-напада, била адекватна
правовремена а реакција
или адекватна менаџмента је
била адекватна
84
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Л.1 (4/4)


Захтев за ВЕЛИЧИНА ОПАСНОСТИ
Ред.
процену Максимална Велика Средња Мала Минимална
број
ризика 5 4 3 2 1
11.7 Зависност 1. Пословање 1. Пословање 1. Пословање 1. Пословање 1. Пословање
пословања од организације је организације у организације је организације у организације у
ИКТ инфра- потпуно веома великој у великој мери значајној мери мањој мери
структуре зависно од мери зависи зависно од зависи од зависи од
исправног од исправног исправног исправног исправног
функционисања функционисањ функционисања функционисања функционисања
ИКТ инфра- а ИКТ инфра- ИКТ инфра- ИКТ инфра- ИКТ инфра-
структуре. структуре. структуре. структуре. структуре.
2. Уколико насту- 2. Уколико насту- 2. Уколико насту- 2. Уколико насту- 2. Уколико насту-
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

пи прекид у пи прекид у пи прекид у пи прекид у пи прекид у


функционисању функционисању функционисању функционисању функционисању
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

ИКТ инфра- ИКТ инфра- ИКТ инфра- ИКТ инфра- ИКТ инфра-
структуре, структуре, структуре, структуре, структуре,
организација организација организација организација континуитет
није у могућ- није у могућ- није у могућ- није у могућ- пословања није
ности да спро- ности да спро- ности да спро- ности да спро- угрожен, јер је
води процесе води процесе води све процесе води све процесе организација у
реализације реализације реализације реализације стању да у
производа/услуге производа/услуге производа/услуге производа/услуге потпуности
из домена своје из домена своје из домена своје из домена своје обавља своју
делатности, делатности, делатности, делатности, делатност.
односно да односно да односно да у односно да у 3. Штета која
задовољи задовољи потпуности потпуности том приликом
потребе комите- потребе комите- задовољи задовољи може настати је
ната/клијената. ната/клијената. потребе комите- потребе комите- занемарљива
3. Уколико 3. Уколико ната/клијената. ната/клијената.
наступи наступи 3. Уколико 3. Уколико
дисфункција дисфункција наступи наступи
ИКТ система, ИКТ система, дисфункција дисфункција
организација организација ИКТ система, ИКТ система,
осим веома трпи веома организација организација
велике финан- велику финан- трпи велику трпи малу
сијске штете, сијску штету финансијску финансијску
трпи и штету штету штету
која се мани-
фестује наруша-
вањем њеног
угледа/репутаци-
је/кредибилитета

85
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Прилог Љ
(нормативан)

Образац за евиденцију идентификованих ризика


и величина опасности
Табела Љ.1 – Образац за евиденцију идентификованих ризика и величина опасности(1/5)
Образац SRPS А.L2.003/1
ОПИС ИДЕНТИФИКОВАНИХ РИЗИКА И
ЗАХТЕВИ ЗА ПРОЦЕНУ РИЗИКА
ВЕЛИЧИНА ОПАСНОСТИ
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

1 2 3
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

1 ОПШТИХ ПОСЛОВНИХ АКТИВНОСТИ


1.1 Скоринг – оцена бонитета или ознака статуса
Евидентиране последице техничких ризика –
1.2 квар и лом машина и материјала, као и квар робе
на залихама и сл.
Евидентиране последице финансијских ризика –
лоши пословни уговори, погрешне калкулације и
1.3
обрачуни, финансијске мере у земљи и иностранству,
варијабилни курсеви и каматне стопе
Евидентиране последице физичких ризика –
везани су за дејства која доводе до пропадања
1.4
или нестајања имовине услед елементарних
непогода и других несрећа
Усаглашеност са
SRPS ISO 22301, Друштвена безбедност –
1.5
Системи менаџмента континуитетом
пословања – Захтеви
Усаглашеност са
1.6 SRPS ISO 9001,
Системи менаџмента квалитетом – Захтеви
2 ПО БЕЗБЕДНОСТ И ЗДРАВЉЕ НА РАДУ
Постојање правне, организацијске и планске
2.1 регулативе из области безбедности и здравља 
на радном месту и у радној околини
Опремљеност одговарајућом заштитном
опремом и оспособљеност људских ресурса
2.2 за спровођење правне регулативе из области
безбедности и здравља на радном месту и у
радној околини
Обавезно социјално осигурање, колективно осигу‐
2.3 рање од последица повреда на раду и профeсио‐
налних обољења, добровољно додатно осигурање
3 ПРАВНИ РИЗИЦИ
Постојање, потпуност и адекватност интерне
нормативне регулативе којом се штите подаци и
3.1
документа (пословне тајне, тајни подаци, подаци о
личности и други осетљиви и поверљиви подаци)
Постојање, потпуност и адекватност равноправних
3.2 и организационих механизама заштите безбедности
пословања од запослених и/или трећих лица
Постојање, потпуност и адекватност интерне
регулативе којом се предвиђа надлежност у области
надзора и контроле законитости пословања, пошто-
3.3
вање интерних процедура од стране запослених и
одговорних лица и спровођења мера за превенцију
и поступање са ризиком

86
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Љ.1 (2/5)


Образац SRPS А.L2.003/1
ОПИС ИДЕНТИФИКОВАНИХ РИЗИКА И
ЗАХТЕВИ ЗА ПРОЦЕНУ РИЗИКА
ВЕЛИЧИНА ОПАСНОСТИ
1 2 3
Постојање, потпуност и адекватност интерних
процедура и процедура за мониторинг, закључи-
вање и реализацију домаћих и међународних
3.4
уговора и превенција настанка имовинске штете
услед закључења неповољних 
пословних аранжмана
Постојање, потпуност и адекватност унутрашњих
3.5 механизама за праћење судских, управних и
других спорова и поступака које корисник води
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Постојање, потпуност и адекватност интерне


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

регулативе којом се конституише адекватан


систем унутрашње контроле над радом
3.6
запослених и ангажованих лица/организација
задужених за физичку и техничку заштиту
лица, имовине и континуитета пословања
Постојање неадекватних, непотпуних или против-
речних закона и других прописа који, сами по
3.7 себи или у вези један са другим, проузрокују
тешкоће у погледу законитог функционисања
организације и безбедности њеног пословања
4 ОД ПРОТИВПРАВНОГ ДЕЛОВАЊА
Могућност да организација постане објекат
4.1
имовинског криминалитета
Могућност да организација постане објекат
4.2 насилничког криминалитета и тежих прекршаја
против јавног реда и мира
Могућност да организација постане објекат
4.3
политичког криминалитета
Могућност да организација постане објекат
привредног криминалитета и привредних
4.4
преступа и прекршаја везаних за привредно 
и финансијско пословање
Могућност да организација постане објекат
4.5 корупције и других облика злоупотребе службеног
положаја или положаја одговорног лица
Могућност да организација постане објекат
4.6 незаконитог деловања у области радних односа
и заштите безбедности и здравља на раду
5 ОД ПОЖАРА
Постојање нормативних аката у складу са
правном регулативом (правилник о заштити  
5.1
д пожара, односно правила заштите од пожара,
план заштите од пожара објекта или подручја)
Категоризација правног лица и организовање 
5.2 у складу са проценом угрожености у складу са
правном регулативом
Кадровска и техничка попуњеност и квалифико‐
5.3 ваност људи који раде на пословима заштите 
од пожара у складу са правном регулативом
Постојање и одржавање уређаја, опреме, инста‐
лација и средстава за заштиту од пожара према
5.4
Закону о заштити од пожара, техничким
прописима, упутству произвођача опреме

87
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела Љ.1 (3/5)


Образац SRPS А.L2.003/1
ОПИС ИДЕНТИФИКОВАНИХ РИЗИКА И
ЗАХТЕВИ ЗА ПРОЦЕНУ РИЗИКА
ВЕЛИЧИНА ОПАСНОСТИ
1 2 3
Програм основне обуке и евиденција обуке
5.5
запослених из области заштите од пожара
Сагласност надлежног органа Министарства
унутрашњих послова на инвестиционо-техничку
5.6
документацију, изведено стање и употребу
објекта или дела објекта
Надзор противпожарне инспекције и спровођење
5.7
наложених мера заштите од пожара
ОД ЕЛЕМЕНТАРНИХ НЕПОГОДА И
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

6
ДРУГИХ НЕСРЕЋА
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Постојање планских докумената у области


смањења ризика и управљања ванредним
сутуацијама, тј. плана заштите и спасавања
у ванредним ситуацијама и плана заштите
6.1
од удеса, усклађеног са планом заштите и
спасавања у ванредним ситуацијама
надлежних органа локалне самоуправе,
који је оверио надлежни орган
Постојање плана и евиденције оспособљености
6.2 запослених за поступање у ванредним
ситуацијама
7 ОД ЕКСПЛОЗИЈА
Постојање нормативних аката и дозвола
за рад са одређеним врстама експлозивних
7.1
материјала (течним, чврстим, гасовитим),
у складу са правном регулативом
Постојање нормативних аката у складу са
правном регулативом за заштиту од пожара
7.2
објекта и/или подручја (и другим нормативима
којима се уређује ова област)
Категоризација правног лица и организовање
7.3 у складу са проценом угрожености у складу
са правном регулативом
Кадровска и техничка испуњеност и квалифико-
ваност запослених који раде на пословима
7.4
заштите од експлозије и рукују експлозивним
материјама у складу са правном регулативом
Постојање и одржавање уређаја, опреме,
инсталација и средстава за заштиту од
7.5 експлозија према релевантним законима,
техничким прописима, нормативима и
упутствима произвођача опреме
Програм основне обуке и евиденција обуке
7.6 запослених из области заштите од експлозија
и руковања експлозивним материјама
Сагласност надлежног органа Министарства
унутрасшњих послова на инвестиционо-техничку
7.7
документацију, изведено стање и употребу
објекта или дела објекта
Надзор инспекције и постојање наложених
7.8
мера заштите од експлозије

88
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Љ.1 (4/5)


Образац SRPS А.L2.003/1
ОПИС ИДЕНТИФИКОВАНИХ РИЗИКА И
ЗАХТЕВИ ЗА ПРОЦЕНУ РИЗИКА
ВЕЛИЧИНА ОПАСНОСТИ
1 2 3
8 ОД НЕУСАГЛАШЕНОСТИ СА СТАНДАРДИМА
SRPS ISO 22301, Друштвена безбедност – Системи
8.1
менаџмента континуитетом пословања – Захтеви
SRPS A.L2.002, Друштвена безбедност – Услуге
8.2 приватног обезбеђења – Захтеви и упутство за
оцењивање усаглашености
SRPS ISO/IEC 27001, Информационе технологије –
8.3 Технике безбедности – Системи менаџмента
безбедношћу информација – Захтеви
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

SRPS ISO 22320, Друштвена безбедност –


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

8.4 Менаџмент ванредним ситуацијама –


Захтеви за одговор на инцидент
SRPS EN 16082, Аеродромске и ваздухопловне
8.5
службе безбедности
SRPS EN 16747, Услуге безбедности у поморству
8.6
и лукама
ISO 18788:2015, Систем менаџмента пословима
8.7
приватног обезбеђења
SRPS ISO 28000, Спецификација за системе
8.8
менаџмента обезбеђењем у ланцу снабдевања
9 ПО ЖИВОТНУ СРЕДИНУ
Постојање правне, организацијске и планске
9.1
регулативе из области заштите животне средине
Опремљеност одговарајућом опремом за
реаговање у ванредним ситуацијама или
9.2
еколошким инцидентима и оспособљеност
људских ресурса за реаговање у њима
Одговорна особа за реаговање у ванредним
9.3
ситуацијама и еколошким инцидентима
9.4 Биохазардни потенцијал коришћене технологије
Постојање екстерне организације која врши надзор
и директне комуникације са одговорним особама
9.5
у државним службама за реаговање у ванредним
ситуацијама или еколошким инцидентима.
10 У УПРАВЉАЊУ ЉУДСКИМ РЕСУРСИМА
Постојање политике управљања људским
10.1
ресурсима (HR) и интерне нормативне регулативе
Постојање стандардизованих критеријума и
10.2 интерних процедура о регрутацији, селекцији 
и класификацији запослених
Постојање процедура за адаптацију, развој и
10.3
евалуацију запослених
Обезбеђење функционалног, безбедног и
10.4
инклузивног радног места и окружења
Постојање планова за обуку, стицање знања
10.5
и развој запослених
Планирање људских ресурса и организационих
10.6 промена, као и идентификација кључних
запослених

89
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела Љ.1 (5/5)


Образац SRPS А.L2.003/1
ОПИС ИДЕНТИФИКОВАНИХ РИЗИКА И
ЗАХТЕВИ ЗА ПРОЦЕНУ РИЗИКА
ВЕЛИЧИНА ОПАСНОСТИ
1 2 3
У ОБЛАСТИ ИНФОРМАЦИОНО-КОМУНИ‐
11 КАЦИОНО-ТЕЛЕКОМУНИКАЦИОНИХ
СИСТЕМА
Постојање дефинисане безбедносне политике 
у ИКТ сектору и интерне регулативе која
прописује овлашћења, надлежности и проце‐
11.1
дуре приступа главним компонентама ИКТ
система и регулисање значајних аспеката
заштите података
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Постојање техничких, физичких и/или логичких


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

11.2 средстава заштите главних компонената ИКТ


система и електронских података
Адекватна кадровска попуњеност ИКТ сектора
11.3
и постојање рационалне организације послова
Оспособљеност ИКТ сектора за континуирано
11.4
функционисање у кризним ситуацијама
Овлашћења запослених за коришћење корпора-
тивних ИКТ ресурса у приватне сврхе (приступ
11.5 приватним налозима електронске поште,
друштвеним мрежама итд) и приватних пренос‐
них медијума у корпоративним просторијама
Оспособљеност руководства и запослених за
11.6 примерено реаговање у случају сајбер-напада
или других облика високотехнолошког криминала
11.7 Зависност пословања од ИКТ инфраструктуре
Упутство за попуњавање и вођење обрасца SRPS А.L2.003/1:
Колона 3: Попуњавање треба вршити у складу са захтевима овог стандарда.

90
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог М
(нормативан)

Процена ризика

Табела М.1 – Процена ризика (1/10)


Образац SRPS A.L2.003/2
Вели-
Веро- Кри- Кате- При-
ЗАХТЕВИ ЗА чина Изло- Рањи- После- Ниво
ват- Штета тич- горија хват‐
ПРОЦЕНУ РИЗИКА опас- женост вост дице ризика
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

ноћа ност ризика љивост


ности
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

1 2 3 4 5 6 7 8 9 10 11 12
НЕПРИ-
1 ОПШТИХ ПОСЛОВНИХ АКТИВНОСТИ 8) 9 ТРЕЋА ХВАТ-
ЉИВ
Скоринг – оцена бони-
1.1 2 2 4 2 2 4 2 4
тета или ознака статуса
Евидентиране после-
дице техничких ризика
1.2 – квар и лом машина и 5 5 1 5 5 1 5 25
материјала, као и квар
робе на залихама и сл.
Евидентиране после-
дице финансијских
ризика – лоши пословни
уговори, погрешне калку-
1.3 лације и обрачуни, 3 3 3 3 3 3 3 9
финансијске мере у
земљи и иностранству,
варијабилни курсеви и
каматне стопе
Евидентиране после-
дице физичких ризика –
везани су за дејства која
1.4 доводе до пропадања или 2 2 4 2 2 4 2 4
нестајања имовине услед
елементарних непогода
и других несрећа
Усаглашеност са
SRPS ISO 22301,
Друштвена безбедност –
1.5 3 3 3 3 3 3 3 9
Системи менаџмента
континуитетом
пословања – Захтеви
Усаглашеност са
SRPS ISO 9001,
1.6 2 2 4 2 2 4 2 4
Системи менаџмента
квалитетом – Захтеви
2 ПО БЕЗБЕДНОСТ И ЗДРАВЉЕ НА РАДУ
Постојање правне, орга-
низацијске и планске
регулативе из области
2.1
безбедности и здравља
на радном месту и у
радној околини

8)
Наведени подаци за процену ризика општих пословних активности дати су само као пример процене ризика
за ту групу ризика.
91
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела М.1 (2/10)


Образац SRPS A.L2.003/2
Вели-
Веро- Кри- Кате- При-
ЗАХТЕВИ ЗА чина Изло- Рањи- После- Ниво
ват- Штета тич- горија хват-
ПРОЦЕНУ РИЗИКА опас- женост вост дице ризика
ноћа ност ризика љивост
ности
1 2 3 4 5 6 7 8 9 10 11 12
Опремљеност одговара-
јућом заштитном опре-
мом и оспособљеност
људских ресурса за
2.2 спровођење правне
регулативе из области
безбедности и здравља
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

на радном месту и у
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

радној околини
Обавезно социјално
осигурање, колективно
осигурање од последица
2.3 повреда на раду и
профeсионалних
обољења, добровољно
додатно осигурање
3 ПРАВНИ РИЗИЦИ
Постојање, потпуност и
адекватност интерне
нормативне регулативе
којом се штите подаци
3.1 и документа (пословне
тајне, тајни подаци,
подаци о личности и
други осетљиви и
поверљиви подаци)
Постојање, потпуност и
адекватност равноправ-
них и организационих
3.2 механизама заштите
безбедности пословања
од запослених и/или
трећих лица
Постојање, потпуност
и адекватност интерне
регулативе којом се
предвиђа надлежност
у области надзора и
контроле законитости
3.3 пословања, поштовање
интерних процедура
од стране запослених
и одговорних лица и
спровођења мера за
превенцију и поступање
са ризиком

92
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела М.1 (3/10)


Образац SRPS A.L2.003/2
Вели-
Веро- Кри- Кате- При-
ЗАХТЕВИ ЗА чина Изло- Рањи- После- Ниво
ват- Штета тич- горија хват-
ПРОЦЕНУ РИЗИКА опас- женост вост дице ризика
ноћа ност ризика љивост
ности
1 2 3 4 5 6 7 8 9 10 11 12
Постојање, потпуност и
адекватност интерних
процедура и процедура
за мониторинг, закљу-
чивање и реализацију
3.4 домаћих и међународних
уговора и превенције
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

настанка имовинске
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

штете услед закључења


неповољних пословних
аранжмана
Постојање, потпуност
и адекватност унутра-
шњих механизама за
3.5 праћење судских,
управних и других
спорова и поступака
које корисник води
Постојање, потпуност
и адекватност интерне
регулативе којом се
конституише адекватан
систем унутрашње
контроле над радом
3.6
запослених и ангажова-
них лица/организација
задужених за физичку и
техничку заштиту лица,
имовине и континуи-
тета пословања
Постојање неадекват-
них, непотпуних или
противречних закона
и других прописа који,
сами по себи или у
3.7 вези један са другим,
проузрокују тешкоће
у погледу законитог
функционисања органи-
зације и безбедности
њеног пословања
4 ОД ПРОТИВПРАВНОГ ДЕЛОВАЊА
Могућност да орга-
низација постане
4.1
објекат имовинског
криминалитета

93
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела М.1 (4/10)


Образац SRPS A.L2.003/2
Вели-
Веро- Кри- Кате- При-
ЗАХТЕВИ ЗА чина Изло- Рањи- После- Ниво
ват- Штета тич- горија хват-
ПРОЦЕНУ РИЗИКА опас- женост вост дице ризика
ноћа ност ризика љивост
ности
1 2 3 4 5 6 7 8 9 10 11 12
Могућност да органи-
зација постане објекат
насилничког кримина‐
4.2
литета и тежих
прекршаја против
јавног реда и мира
Могућност да органи-
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

зација постане
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

4.3
објекат политичког
криминалитета
Могућност да органи-
зација постане објекат
привредног кримина-
литета и привредних
4.4
преступа и прекршаја
везаних за привредно
и финансијско
пословање
Могућност да органи‐
зација постане објекат
корупције и других
4.5 облика злоупотребе
службеног положаја
или положаја одго-
ворног лица
Могућност да органи-
зација постане објекат
незаконитог деловања у
4.6
области радних односа
и заштите безбедности
и здравља на раду
5 ОД ПОЖАРА
Постојање норматив-
них аката у складу са
правном регулативом
(правилник о заштити
5.1 од пожара, односно
правила заштите од
пожара, план заштите
од пожара објекта
или подручја)
Категоризација правног
лица и организовање
5.2 у складу са проценом
угрожености у складу са
правном регулативом

94
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела М.1 (5/10)


Образац SRPS A.L2.003/2
Вели-
Веро- Кри- Кате- При-
ЗАХТЕВИ ЗА чина Изло- Рањи- После- Ниво
ват- Штета тич- горија хват-
ПРОЦЕНУ РИЗИКА опас- женост вост дице ризика
ноћа ност ризика љивост
ности
1 2 3 4 5 6 7 8 9 10 11 12
Кадровска и техничка
попуњеност и квали‐
фикованост људи који
5.3 раде на пословима
заштите од пожара у
складу са правном
регулативом
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Постојање и одржавање
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

уређаја, опреме, инста-


лација и средстава за
заштиту од пожара
5.4
према Закону о заштити
од пожара, техничким
прописима, упутству
произвођача опреме
Програм основне обуке
и евиденција обуке
5.5
запослених из области
заштите од пожара
Сагласност надлежног
органа Министарства
унутрашњих послова
на инвестиционо-тех‐
5.6
ничку документацију,
изведено стање и упо‐
требу објекта или 
дела објекта
Надзор противпожарне
инспекције и спрово-
5.7
ђење наложених мера
заштите од пожара
6 ОД ЕЛЕМЕНТАРНИХ НЕПОГОДА И ДРУГИХ НЕСРЕЋА
Постојање планских
докумената у области
смањења ризика и
управљања ванредним
сутуацијама, тј. плана
заштите и спасавања у
ванредним ситуацијама
6.1 и плана заштите од
удеса, усклађеног са
планом заштите и спа-
савања у ванредним
ситуацијама надлеж-
них органа локалне
самоуправе који је ове-
рио надлежни орган

95
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела М.1 (6/10)


Образац SRPS A.L2.003/2
Вели-
Веро- Кри- Кате- При-
ЗАХТЕВИ ЗА чина Изло- Рањи- После- Ниво
ват- Штета тич- горија хват-
ПРОЦЕНУ РИЗИКА опас- женост вост дице ризика
ноћа ност ризика љивост
ности
1 2 3 4 5 6 7 8 9 10 11 12
Постојање плана и
евиденције оспособље-
6.2 ности запослених за
поступање у ванред-
ним ситуацијама
7 ОД ЕКСПЛОЗИЈА
Постојање норматив-
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

них аката и дозвола


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

за рад са одређеним
врстама експлозивних
7.1
материјала (течним,
чврстим, гасовитим),
у складу са правном
регулативом
Постојање норматив-
них аката у складу са
правном регулативом
за заштиту од пожара
7.2
објекта и/или подручја
(и другим
нормативима којима
се уређује ова област)
Категоризација правног
лица и организовање
7.3 у складу са проценом
угрожености у складу
са правном регулативом
Кадровска и техничка
испуњеност и квали-
фикованост запослених
који раде на пословима
7.4 заштите од експлозије
и руковања експло‐
зивним материјама
у складу са правном
регулативом
Постојање и одржавање
уређаја, опреме, инста-
лација и средстава за
заштиту од експлозија
7.5 према релевантним
законима, техничким
прописима, норма-
тивима и упутством
произвођача опреме

96
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела М.1 (7/10)


Образац SRPS A.L2.003/2
Вели-
Веро- Кри- Кате- При-
ЗАХТЕВИ ЗА чина Изло- Рањи- После- Ниво
ват- Штета тич- горија хват-
ПРОЦЕНУ РИЗИКА опас- женост вост дице ризика
ноћа ност ризика љивост
ности
1 2 3 4 5 6 7 8 9 10 11 12
Програм основне обуке
и евиденција обуке
запослених из области
7.6
заштите од експлозија
и руковања експлозив‐
ним материјама
Сагласност надлежног
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

органа Министарства
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

унутрашњих послова на
7.7 инвестиционо-техничку
документацију, изведено
стање и употребу објекта
или дела објекта
Надзор инспекције и
постојање наложених
7.8
мера заштите од
експлозије
8 ОД НЕУСАГЛАШЕНОСТИ СА СТАНДАРДИМА
SRPS ISO 22301,
Друштвена безбедност –
8.1 Системи менаџмента
континуитетом
пословања – Захтеви
SRPS A.L2.002,
Друштвена безбедност –
Услуге приватног
8.2
обезбеђења – Захтеви
и упутство за оцењи-
вање усаглашености
SRPS ISO/IEC 27001,
Информационе техно-
логије – Технике безбед
8.3
ности – Системи менаџ-
мента безбедношћу
информација – Захтеви
SRPS ISO 22320,
Друштвена безбедност –
8.4 Менаџмент ванредним
ситуацијама – Захтеви
за одговор на инцидент
SRPS EN 16082,
Аеродромске и
8.5
ваздухопловне службе
безбедности
SRPS EN 16747,
8.6 Услуге безбедности у
поморству и лукама
ISO 18788:2015,
Систем менаџмента
8.7
пословима приватног
обезбеђења

97
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела М.1 (8/10)


Образац SRPS A.L2.003/2
Вели-
Веро- Кри- Кате- При-
ЗАХТЕВИ ЗА чина Изло- Рањи- После- Ниво
ват- Штета тич- горија хват-
ПРОЦЕНУ РИЗИКА опас- женост вост дице ризика
ноћа ност ризика љивост
ности
1 2 3 4 5 6 7 8 9 10 11 12
SRPS ISO 28000,
Спецификација за
8.8 системе менаџмента
обезбеђењем у ланцу
снабдевања
9 ПО ЖИВОТНУ СРЕДИНУ
Постојање правне,
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

организацијске и
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

9.1 планске регулативе


из области заштите
животне средине
Опремљеност одговара
јућом опремом за реаго‐
вање у ванредним ситу-
ацијама или еколош‐
9.2
ким инцидентима
и оспособљеност
људских ресурса за
реаговање у њима
Одговорна особа за
реаговање у ванредним
9.3
ситуацијама и еколош-
ким инцидентима
Биохазардни потен-
9.4 цијал коришћене
технологије
Постојање екстерне
организације која врши
надзор и директне
комуникације са одго-
9.5 ворним особама у
државним службама за
реаговање у ванредним
ситуацијама или еко-
лошким инцидентима.
10 У УПРАВЉАЊУ ЉУДСКИМ РЕСУРСИМА
Постојање политике
управљања људским
10.1 ресурсима (HR) и
интерне нормативне
регулативе
Постојање стандардизо-
ваних критеријума и
интерних процедура о
10.2
регрутацији, селекцији
и класификацији
запослених
Постојање процедура
10.3 за адаптацију, развој и
евалуацију запослених

98
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела М.1 (9/10)


Образац SRPS A.L2.003/2
Вели-
Веро- Кри- Кате- При-
ЗАХТЕВИ ЗА чина Изло- Рањи- После- Ниво
ват- Штета тич- горија хват-
ПРОЦЕНУ РИЗИКА опас- женост вост дице ризика
ноћа ност ризика љивост
ности
1 2 3 4 5 6 7 8 9 10 11 12
Обезбеђење функцио-
налног, безбедног и
10.4
инклузивног радног
места и окружења
Постојање планова за
10.5 обуку, стицање знања
и развој запослених
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Планирање људских
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

ресурса и организаци-
10.6 оних промена, као и
идентификација
кључних запослених
У ОБЛАСТИ ИНФОРМАЦИОНО-КОМУНИКАЦИОНО-
11
-ТЕЛЕКОМУНИКАЦИОНИХ (ИКТ) СИСТЕМА
Постојање дефинисане
безбедносне политике
у ИКТ сектору и
интерне регулативе
која прописује овлаш-
11.1 ћења, надлежности и
процедуре приступа
главним компонентама
ИКТ система и регули-
сање значајних аспеката
заштите података
Постојање техничких,
физичких и/или логич-
ких средстава заштите
11.2
главних компонената
ИКТ система и еле‐
ктронских података
Адекватна кадровска
попуњеност ИКТ сек‐
11.3 тора и постојање
рационалне органи-
зације послова
Оспособљеност ИКТ
сектора за континуи-
11.4
рано функционисање
у кризним ситуацијама
Овлашћења запосле-
них за коришћење
корпоративних ИКТ
ресурса у приватне
сврхе (приступ прива-
тним налозима еле-
11.5
ктронске поште,
друштвеним мрежама
итд.) и приватних
преносних медијума у
корпоративним
просторијама

99
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела М.1 (10/10)


Образац SRPS A.L2.003/2
Вели-
Веро- Кри- Кате- При-
ЗАХТЕВИ ЗА чина Изло- Рањи- После- Ниво
ват- Штета тич- горија хват-
ПРОЦЕНУ РИЗИКА опас- женост вост дице ризика
ноћа ност ризика љивост
ности
1 2 3 4 5 6 7 8 9 10 11 12
Оспособљеност руко-
водства и запослених за
примерено реаговање
11.6 у случају сајбер-напада
или других облика
високотехнолошког
криминала
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Зависност пословања
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

11.7
од ИКТ инфраструктуре
Упутство за попуњавање и вођење обрасца SRPS A.L2.003/2, табела М.1:
1. Користећи критеријуме из овог стандарда (од Прилога В до Прилога Љ), унети вeличинe oпaснoсти (кол. 3) и
на основу тога одредити приоритете у даљем процесу анализе и вредновања ризика.
2. У колоне 4 и 5 уносе се подаци о степену изложености и степену рањивости (посебно за групе ризика), на
основу којих се у колони 6 израчунава вероватноћа (матрица у табели Н.5).
3. У кoлоне 7 и 8 уносе се подаци о степену штете и степену критичности, на основу којих се у колони 9
изрaчунaвaју последице (матрица у табели Њ.3).
4. У колонама 10 и 11 се аутоматски израчунава ниво ризика (матрица у табели О.2) и категорија ризика
(матрица у табели П.1), и то просечни за групу ризика и појединачни по ставкама у оквиру групе ризика (важно
је ради одређивања мера у поступању са ризицима у Прилогу Ф).
5. У колони 12 се аутоматски изражава закључак о прихватљивости ризика.

100
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог Н
(нормативан)

Критеријуми за одређивање вероватноће, учесталости,


изложености и рањивости

Табела Н.1 – Критеријуми за одређивање вероватноће (В)


Вероватноћа (В)
Величина Степен Опис вероватноће
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

вероватноће вероватноће
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Вероватноћа испод 1 %: вероватно је само у екстремним случајевима, изузетно


1 Немогуће мало вероватно, равно догађају у далекој будућности, догађа се у „100 година
или више”
Вероватноћа изнад 1 %: није се догађало, али би могло да се деси или би могао
2 Невероватно
да се догоди „понеки случај у десет година”
Вероватноћа изнад 10 %: могло би да се догоди, дешавало се и раније или би
3 Вероватно
могло да се догоди „једном у години”
Вероватноћа изнад 50 %: вероватно би могло да се догоди или би могло да се
4 Скоро извесно
догоди „један дан у седмици”
Вероватноћа изнад 99 %: догађа се веома често или би могло да се догоди
5 Сигурно
„један дан у седмици”

Табела Н.2 – Критеријум за одређивање изложености (И)


Изложеност (И)
Опис изложености и/или учесталости
Степен Величина (најмање за последње три календарске године)
изложености изложености
дневна, изложеност претњи од једног до два дана и/или један или ниједан
1 Занемарљива
штетан догађај
седмична, изложеност претњи од три до седам дана и/или од два до пет
2 Повремена
штетних догађаја
месечна, изложеност претњи од једног до дванаест месеци и/или од шест до
3 Дуга
десет штетних догађаја
годишња, изложеност претњи од једне до три године и/или од једанаест до
4 Претежна
петнаест штетних догађаја
вишегодишња, изложеност претњи дужи низ година и/или преко петнаест
5 Трајна
штетних догађаја

101
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела Н.3 – Критеријум за одређивање рањивости


Рањивост
Степен Величина Опис рањивости
рањивости рањивости
1 Врло велика не постоје или се не примењују мере заштите
примењују се изоловано поједине мере заштите (само физичка заштита, само
2 Велика
техничка заштита)
примењују се физичка и техничка заштита, али не и нормативно-
3 Средња
-организационе и процедуралне мере заштите
4 Мала примењују се вишеструке мере заштите, без процене ризика
5 Врло мала постоји потпуна, оптимално пројектована заштита у складу са проценом ризика
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Табела Н.4 – Матрица за одређивање вероватноће


РАЊИВОСТ (Р) Врло велика Велика Средња Мала Врло мала
ИЗЛОЖЕНОСТ (И) 1 2 3 4 5
Занемарљива 1 3 2 1 1 1
Повремена 2 4 3 2 2 1
Дуга 3 5 4 3 2 2
Претежна 4 5 4 3 3 3
Трајна 5 5 5 4 3 3

102
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог Њ
(нормативан)

Критеријуми за одређивање последица, штете и критичности


Табела Њ.1 – Критеријуми за одређивање штете (Ш)

Штета (Ш)
Степен Величина Опис штете
штете штете
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

≤ 5 % од остварених пословних прихода (АОП 1001) из последњег


1 Врло мала
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

објављеног биланса успеха


> 5 % ≤ 10 % од остварених пословних прихода (АОП 1001) из
2 Мала
последњег објављеног биланса успеха
> 10 % ≤ 15 % од остварених пословних прихода (АОП 1001) из
3 Средња
последњег објављеног биланса успеха
> 15 % ≤ 20 % од остварених пословних прихода (АОП 1001) из
4 Велика
последњег објављеног биланса успеха
> 20 % од остварених пословних прихода (АОП 1001) из последњег
5 Врло велика
објављеног биланса успеха

Табела Њ.2 – Критеријуми за одређивање критичности (К)



Критичност (К)
Степен Величина Опис критичности
критич- критич-
ности ности
Угроженост штићених вредности организације због које долази до
1 Врло велика
потпуног прекида функционисања организације
Угроженост штићених вредности организације због које долази до
2 Велика
озбиљног нарушавања функционисања организације
Угроженост штићених вредности организације које дозвољава
3 Средња
функционисање уз повећане напоре и допунска средства
Угроженост штићених вредности организације због које су могући
4 Мала
поремећаји у процесу рада
Угроженост штићених вредности организације због које настају
5 Минимална проблеми у функционисању који се решавају у ходу, редовним
активностима и средствима

Табела Њ.3 – Матрица за одређивање последица (П)

Врло
КРИТИЧНОСТ (К) Велика Средња Мала Минимална
велика
ШТЕТА (Ш) 1 2 3 4 5
Врло мала 1 3 2 1 1 1
Мала 2 4 3 2 2 1
Средња 3 5 4 3 2 2
Велика 4 5 4 3 3 3
Врло велика 5 5 5 4 3 3

103
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела Њ.4 – Критеријуми за опис последица (П) (1/5)


Последице
Област дејства штетног догађаја на штићене вредности
Степен Величина
последица последица Интересне Регулативно/ Финансијски
Пословање Безбедност Углед
стране /правне учинак
1 Минималне a) Постоји а) Повреде а) Сваки а) Прекршаји a) Оперативни а) Повремени
незнатан захтевају утицај на у области буџет је про- негативан
утицај на минималну управљачке регулативе бијен за извештај
ефика- медицинску органе или су у основи мање од 5 %. медија.
сност рада помоћ. запослене безначајни, б) Погоршање б) Постоји
органи- б) Пролазан је је без после- без пореме- у спољном ограниче-
зације. или ограни- дица. Не- ћаја радних финанси- но јавно
б) Постоји чен утицај знатан је перфор- рању (пос- незадо-
утицај манси.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

минимални на здравље. ловању) вољство


утицај на в) Ресурси на морал б)Неотпорност мање је од политиком
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

реализацију особља. на поре- 5 %. и способ-


трпе малу
постављених или мини- б) Сметње су мећаје не в) Непред- ношћу
циљева. малну штету без после- резултира виђени органи-
в) Безначајан или су само дица за битним трошкови зације.
је ниво обу- привремено проверене губитком или губици в) Јавно пове-
става про- онеспособ- заинтере- могућности мањи су од рење у орга-
цеса рада. љени за соване финанси- 50 хиљада низацију у
коришћење стране. рања од динара великој
г)Управљање
Минимално стране мери је
се може реа-
је незадовољ- финан- враћено
лизовати
ство заинте- сијских
са дефини-
ресованих органи-
саним пара-
страна зација са
метрима.
малим
д) Потенци- ограни-
јални поре- чењима у
мећај може областима
да буде сав- за које је
ладан свако- надлежна
дневним организација
мерама.
ђ) Погоршање
показатеља
радних
карактери-
стика мање
је од 1 %

104
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Њ.4 (2/5)


Последице
Област дејства штетног догађаја на штићене вредности
Степен Величина
последица последица Интересне Регулативне/ Финансијски
Пословање Безбедност Углед
стране /правне учинак
2 Мале а) Поједини а) Повреде а) Погоршање а) Прекршаји а) Оперативни а) Негативна
елементи захтевају задовољства у области буџет про- пажња
ефикасности медицин- особља за од регулативе бијен је од медија
и ефектив- ску негу. 1 % до 5 % захтевају 5 % до 10 %. траје један
ности орга- основних пажњу или до два дана.
б) Кратко- б) Погоршање
низације су показатеља. корективне
рочни у спољном б) Јавно
погоршани. поступке.
негативни Појава финасирању незадо-
б) Способност ефекти на евидентног б) Неотпор- (пословању) вољство
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

за постизање здравље. опадања ност на од 5 % политиком


и реализацију морала. поремећаје и радом
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

до 10 %.
циљева је в) Већина резултира органи-
погоршана. ресурса је б) Озбиљан битним в) Непредви- зације траје
разорена утицај на ђени
в) Појава заинтересо- губитком неколико
повремених
или
ване стране могућности трошкови дана.
некорисна, финасирања или губици
обустава али може у периоду од од 50 до в) Кратко-
рада. неколико од стране рочни
да буде финансиј- 500 хиљада
г) Потребно је замењена у дана динара губитак у
ских орга- погледу
повећано кратком низација способност
ангажовање времен- у ограни- и и поло-
менаџмента. ском року ченом броју жаја орга-
д) Повремени области низације
поремећај за које је траје неко-
процеса. надлежна лико дана
ђ) Погоршање организација
показатеља
кључних
радних
карактери-
стика је од
1 % до 5 %

105
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела Њ.4 (3/5)


Последице
Област дејства штетног догађаја на штићене вредности
Степен Величина
последица последица Интересне Регулативно/ Финансијски
Пословање Безбедност Углед
стране правне учинак
3 Умерене а) Елементи а) Озбиљне а) Појављује а) Прекршаји а) Оперативни а) Негативна
ефикасности повреде се битно у области буџет про- пажња
и ефектив- или више- погоршање регулативе бијен је од медија у
ности орга- струки број стања мо- захтевају 10 % до трајању
низације су повређених рала код посебну 15 %. од једне
погоршани. са захте- особља. пажњу или б) Погоршање седмице.
б) Реализација вима за б) Једна или корективне у спољном б) Јавно
општих и хоспитали- више заин- поступке. финасирању незадо-
зацију.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

појединач- тересованих б) Неотпор- (пословању) вољство


них циљева б) Дугорочни страна има ност на од 10 % политиком
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

за један негативни веома лоше поремећаје до 15 %. и спосо-


критичан ефекти на каракте- резултира в) Непред- бношћу
програм или једну или ристике битним виђени организа-
пројекат је више особа. образовања губитком трошкови ције у тра-
нарушена. в) Део ресур- и поли- могућности или губици јању од
в) Наставак са није за тичког финанси- већи су од неколико
рада после употребу, деловања. рања од 500 хиљада дана до
обуставе на критич- Озбиљан стране динара једне сед-
за неколико ном је нивоу утицај на финансиј- мице.
дана до једне употребљи- заинтере- ских органи- в) Губитак
седмице. вости или соване зација у поверења у
стране у једној или способности
г) Потребна је потпуно
ван упо- периоду од више обла- организације
повећана
требе за неколико сти за које у трајању од
интервен-
неколико седмица. је надлежна неколико
ција вишег
дана организација седмица
менаџмента.
д) Значајан
поремећај
радног
процеса у
току неко-
лико дана
до једне
седмице.
ђ) Погоршање
у кључним
каракте-
ристикама
радних
процеса је
од 5 %
до 15 %

106
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Њ.4 (4/5)


Последице
Област дејства штетног догађаја на штићене вредности
Степен Величина
последица последица Интересне Регулативно/ Финансијски
Пословање Безбедност Углед
стране /правне учинак
4 Озбиљне а) Непре- а) Инцидент а) Појављује а) Прекршаји а) Оперативни а) Крајње
кидност који резул- се битно и у области буџет је негативна
рада орга- тује поједи- дуготрајно регулативе пробијен пажња
низације начним погоршање резултују од 15 % медија дуже
је битно несрећама. стања тужбама до 30 %. од неколико
изложена б) Дугорочан морала код против б) Погоршање седмица.
претњама. и јак нега- особља. службеника у спољном б) Дуготрајно
б) Један или тиван утицај б) Више група органи- финансира- јавно неза-
зације. њу
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

више кри- на здравље заинтере- довољство


тичних појединаца. сованих б) Неотпор- (пословању) политиком
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

циљева, страна има ност на од 15 % и способ-


в) Већина
програма лоше карак- поремећаје до 30 %. ношћу орга-
важне имо-
или про- вине је теристике резултира в) Непред- низације.
јеката не уништена образовања битним виђени в) Губитак
може да или није за и политичког губитком трошкови поверења
буде реали- употребу у деловања. могућности или губици у способ-
зован. наредних Утицај на финанси- већи од ности углед
в) Општа и неколико заинтересо- рања од 1 милион организације
дуготрајна седмица ване стране у стране динара у трајању од
обустава периоду од финан- неколико
рада на неколико сијских месеци.
дужи месеци, са органи-
период дугорочним и зација у
(неколико континуалним свим
седмица). лошим после- областима
дицама за које је
г) Неопходне
надлежна
су значајне
органи-
интервен-
зација
ције најви-
шег руко-
водства.
д) Озбиљан
поремећај
основних
процеса на
неколико
седмица.
ђ) Погоршање
у већем
броју кључ-
них радних
карактери-
стика је
од 15 %
до 30 %

107
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Табела Њ.4 (5/5)


Последице
Степен Величина Област дејства штетног догађаја на штићене вредности
последица последица
Интересне Регулативно/ Финансијски
Пословање Безбедност Углед
стране /правне учинак
5 Катастро- а) Општа а) Инциденти а) Појава а) Прекршаји а) Опера- а) Негативна
фалне егзистен- резултују озбиљног и у области тивни пажња
ција орга- вишестру- континуал- регулативе буџет је медија
низације је ким несре- ног погор- резултирају пробијен дуже од
изложена ћама. шања стања оштрим каз- за више месец дана.
претњи. б) Дугорочан морала код нама према од 30 %. б) Доследан и
б) Већина и јак нега- особља. службени- б) Погоршање дугорочан
цима орга-
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

основих тиван ути- б) Већина у спољном јавни


циљева, цај на заинте- низације. финанси- протест
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

програма и здравље ресованих б) Неотпор- рању против


пројеката великог страна има ност на (пословању) политике
не може броја људи. веома лоше поремећаје од 30 % или делат-
да буде в) Већина каракте- резултира навише. ности орга-
остварена. важних ристике об- губитком в) Непред- низације.
в) Општа и ресурса је разовања и могућности виђени в) Дугорочан
дуготрајна уништена политичког комплетног трошкови и непо-
обустава или није за деловања. финансира- или губици прављив
рада на употребу у Екстерни ња од од 10 губитак
дужи наредних утицај на стране милиона поверења у
период неколико заинтересо- финансиј- динара способности
(неколико месеци ване стране ских органи- и углед
месеци). у дужем зација у свим органи-
временском областима зације
г) Неопходне
периоду, са за које је
су значајне
дугорочним надлежна
интервен-
и контину- органи-
ције упра-
алним после- зација
вног одбора.
дицама
д) Озбиљан
поремећај
основних
процеса на
неколико
месеци,
којим не
може да се
управља.
ђ) Погоршање
већине
показатеља
кључних
радних
каракте-
ристика је
више од
30 %

108
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог О
(нормативан)

Критеријуми за одређивање нивоа ризика

Табела О.1 – Критеријуми за одређивање нивоа ризика


Степен
Величина ризика Ниво ризика
ризика
Врло мали,
5 1и2
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

занемарљив
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

4 Мали 3, 4 и 5
3 Умерено велики 6, 8 и 9
2 Велики ризик 10, 12, 15 и 16
1 Изразито велики 20 и 25

Табела О.2 – Матрица за одређивање нивоа ризика


ПОСЛЕДИЦЕ Минималне Мале Умерене Озбиљне Катастрофалне
ВЕРОВАТНОЋА 1 2 3 4 5
Немогуће 1 1 2 3 4 5
Невероватно 2 2 4 6 8 10
Вероватно 3 3 6 9 12 15
Скоро извесно 4 4 8 12 16 20
Сигурно 5 5 10 15 20 25

109
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Прилог П
(нормативан)

Критеријуми за одређивање категорије


и прихватљивости ризика

У овом прилогу су дати критеријуми за одређивање категорије и прихватљивости ризика.

Табела П.1 – Критеријуми за одређивање категорије ризика


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Категорија Величина ризика Ниво ризика


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

5 пета Врло мали, занемарљив 1и2


4 четврта Мали 3, 4 и 5
3 трећа Умерено велики 6, 8 и 9
2 друга Велики ризик 10, 12, 15 и 16
1 прва Изразито велики 20 и 25

Табела П.2 – Критеријуми за одређивање прихватљивости ризика


Прихватљивост
Ниво ризика
ризика
ПРИХВАТЉИВ 1, 2, 3, 4 и 5
НЕПРИХВАТЉИВ 6, 8, 9, 10, 12, 15, 16, 20 и 25

110
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог Р
(нормативан)

Радни лист процене ризика


Образац SRPS A.L2.003/4
ПРЕДМЕТ БРОЈ:

НАЗИВ ПОСМАТРАНЕ ОРГАНИЗАЦИЈЕ


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

2. ДАТУМ 3. ДАТУМ
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

1. ДЕЛАТНОСТ 4. ПЕРИОД ПОСМАТРАЊА


ПОЧЕТКА КРАЈА

5. МЕНАЏЕР РИЗИКА
а. ПРЕЗИМЕ б. ИМЕ в. ОРГАНИЗАЦИЈА КОЈА ВРШИ ПРОЦЕНУ

7. КОН- 9. МЕРЕ ЗА 10. ПРЕОС- 11. НАЧИН 13. ДА ЛИ МЕРЕ


6. ЗАХ- 8. НИВО 12. КО КОН-
КРЕТНА ПОСТУПАЊЕ ТАЛИ ИМПЛЕМЕН- ИМАЈУ
ТЕВ РИЗИКА ТРОЛИШЕ?
ПРЕТЊА СА РИЗИЦИМА РИЗИК ТАЦИЈЕ ЕФЕКТА?

14. УКУПАН НИВО РИЗИКА ПОСЛЕ ПРИМЕНЕ СВИХ МЕРА ЗА


ПОСТУПАЊЕ СА РИЗИЦИМА
ИЗРА-
ЗИТО ВЕЛИКИ УМЕРЕНИ МАЛИ ЗАНЕМАРЉИВ Одговорно лице
ВЕЛИКИ
15. НИВО КОЈИ ОДЛУЧУЈЕ О ТРЕТМАНУ РИЗИКА (МП)
в. ФУНКЦИЈА У
а. ПРЕЗИМЕ б. ИМЕ
ОРГАНИЗАЦИЈИ: __________________
(потпис)

111
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Образац SRPS A.L2.003/4


ПРЕДМЕТ БРОЈ:
УПУТСТВО ЗА ПОПУЊАВАЊЕ И ВОЂЕЊЕ ОБРАСЦА SRPS A.L2.003/4

1. Прва страна је и насловна страна радног листа за процену ризика.


2. Друга страна је допунска, може да се користи у више примерака и мора да буде нумерисана и оверена печатом
организације.
3. ПРЕДМЕТ БРОЈ: Деловодни број предмета у складу са законским и интерним прописима за архивирање
докумената.
4. ОРГАНИЗАЦИЈА: Пун назив организације за коју се врши процена.
5. ДЕЛАТНОСТ (1): Регистрована делатност организације чија се процена ризика врши.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

6. ДАТУМ ПОЧЕТКА (2): Дан, месец и година почетка процене.


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

7. ДАТУМ КРАЈА (3): Дан, месец и година завршетка процене.


8. ПЕРИОД ПОСМАТРАЊА (4): Дан, месец и година посматрања ризика у организацији (од – до).
9. МЕНАЏЕР РИЗИКА (5а, 5б и 5в): Име и презиме лица одговорног за процену ризика и назив организације која
врши процену.
10. ЗАХТЕВ (6): Захтев по коме се врши процена према овом стандарду.
11. КОНКРЕТНА ПРЕТЊА (7): Конкретан опис претње према табели критеријума за идентификацију појединих
група ризика (прилози од В до Л).
12. НИВО РИЗИКА (8): Ниво ризика према резултату анализе ризика.
13. МЕРЕ ЗА ПОСТУПАЊЕ СА РИЗИЦИМА (9): Мере предузете за поступање са ризиком према резултатима
процене ризика.
14. ПРЕОСТАЛИ РИЗИК (10): Ниво ризика после поновне процене по предузимању мера за поступање са ризиком.
15. НАЧИН ИМПЛЕМЕНТАЦИЈЕ (11): Према одлукама руководства донетим у вези са имплементацијом мера за
поступање са ризиком.
16. КО КОНТРОЛИШЕ? (12): Функција лица из организације чија се процена ризика врши, које контролише
примену мера за поступање са ризиком.
17. ДА ЛИ МЕРЕ ИМАЈУ ЕФЕКТА? (13): Закључак о дејству мера након примене; доноси га лице одговорно за
процену ризика у сарадњи са одговорним лицем из организације којој се врши процена ризика.
18. УКУПАН НИВО РИЗИКА ПОСЛЕ ПРИМЕНЕ СВИХ МЕРА ЗА ПОСТУПАЊЕ СА РИЗИЦИМА (14):
Заокружити понуђене нивое, на основу резултата поновне процене.
19. НИВО КОЈИ ОДЛУЧУЈЕ О ТРЕТМАНУ РИЗИКА (15а, 15б, 15в): У зависности од величине опасности,
уписати ниво руковођења у организацији надлежан за праћење и процену ризика.

112
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог С
(нормативан)

Карактеристике потенцијалне опасности


(Лист за архивирање података о идентификованим ризицима)

Образац SRPS A.L2.003/5

НАЗИВ ИДЕНТИФИКОВАНОГ
Ред. Карактеристика
РИЗИКА Напомена
број идентификованих ризика
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

(овде уписати – доле описати)


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

1 2 3 4 5
1 Време идентификације
2 Организација/организациони део
3 Макролокација
Почетно стање

4 Микролокација
5 Угрожене штићене вредности
6 Ангажоване снаге
7 Предузете почетне мере
Процењене последице по штићене
8
вредности
9 Постојеће мере заштите
10 Време изложености ризику
11 Ниво ризика
12 Погођене штићене вредности
Завршно стање

13 Последице на штићеним вредностима


14 Предузете мере
15 Ниво преосталог ризика
16 Ефекат предузетих мера
17 Интеракција са другим ризицима
Ненаведене опасности
18
(штетни догађаји)

113
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Образац SRPS A.L2.003/5


НАЗИВ ИДЕНТИФИКОВАНОГ
Ред. Карактеристика
РИЗИКА Напомена
број идентификованих ризика
(овде уписати – доле описати)
1 2 3 4 5
УПУТСТВО ЗА ПОПУЊАВАЊЕ И ВОЂЕЊЕ ОБРАСЦА SRPS A.L2.003/5
(за сваки идентификовани ризик посебно)

Колона 3: Карактеристика идентификованог ризика.


1. Време идентификације: уписати дан, месец и годину.
2. Организација/организациони део: назив и делатност организације и организационих делова који су
значајно изложени последицама деловања опасности.
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

3. Макролокација: описати ширу околину организације (ван круга), са свим детаљима који су повезани са
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

опасношћу.
4. Микролокација: описати ужу околину организације (и круг) са свим детаљима који су повезани са
опасношћу.
5. Угрожене штићене вредности: према Прилогу Б и Прилогу Њ, табела Њ.3, описати начин деловања
последица опасности на штићене вредности.
6. Ангажоване снаге: навести прецизно број људи и техничких средстава ангажованих на поступању са
идентификованим ризицима, навести и друге ресурсе који су ангажовани (објекти, заинтересоване стране и сл).
7. Предузете почетне мере: описати све мере које је донело руководство или лице овлашћено за процену
ризика, описати све мере које су имале позитиван и негативан ефекат.
8. Процењене последице по штићене вредности: навести резултат идентификације ризика који се односи на
последице по штићене вредности. Навести процене за све штићене вредности.
9. Постојеће мере заштите: навести које су мере заштите биле актуелне у моменту остваривања ефеката
опасности по штићене вредности, лице одговорно за имплементацију и реализацију мера, ефекат мера.
10. Време изложености ризику: изражено у временским јединицама, навести колико су штићене вредности,
појединачно, биле изложене ризику од момента када је опасност остварила одређене ефекте по штићене вредности.
11. Ниво ризика: из обрасца за процену ризика навести израчунати ниво ризика, добијен према методологији датој у
овом стандарду. Навести и величину вероватноће и последица које одређују ризик.
12. Погођене штићене вредности: на основу анализе ризика навести које су штићене вредности погођене
идентификованим опасностима, описати ефекат деловања опасности.
13. Последице на штићеним вредностима: навести ефекат штетног догађаја на штићене вредности.
14. Предузете мере: навести само мере које је предузело лице овлашћено за процену ризика или менаџмент. Ако су
запослени предузимали мере које су имале нарочито позитиван или негативан ефекат, онда их посебно навести.
15. Ниво преосталог ризика: из обрасца процене навести ниво преосталог ризика, описати зашто се не може довести
на прихватљив ниво.
16. Ефекат предузетих мера: навести како су предузете мере за поступање са ризицима деловале на штетан догађај,
навести и позитивне и негативне ефекте.
17. Интеракција са другим ризицима: навести случајеве када је један ризик узроковао један или више других ризика
(нпр. експлозија је изазвала пожар на више локација).
18. Ненаведене опасности : уписати карактеристику идентификованих ризика (штетног догађаја) која није наведена у
овом документу, а може допринети анализи опасности.

Колона 4: Идентификовани ризик/НАЗИВ ИДЕНТИФИКОВАНОГ РИЗИКА: Користећи захтеве стандарда за


идентификацију ризика, уписати тачан назив; нпр: опште пословне опасности/техничка неприпремљеност
организације.

Колона 5: Напомена: Уписати све што је битно (према мишљењу лица овлашћеног за процену ризика) за поједину
карактеристику.

114
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Прилог Т
(нормативан)

Критеријуми за оцењивање испуњености захтева


организација које врше процену ризика
НАПОМЕНА Попуњавају се само поља осенчена жутом бојом! Табеле су међусобно независне!

Табела Т.1 Табела Т.2 Табела Т.3


Испуњеност захтева Ресурси Оцена квалитета услуга
Класификација Оцена Класификација Оцена Квалитет Оцена
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

1 2 1 2 3 1 2
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Не испуњава 0 Не вреднује се за детективску делатност НЕУСАГЛАШЕН 0

Уписани основни капитал


(новчани и неновчани)

< 1.000 евра 1


Врло мала (< 50 %) 1 2 1 – лош квалитет 0 - 4,99
> 1.000 < 10.000 евра 2 услуга
>10.000 < 50.000 евра 3
>50.000 < 100.000 евра 4
>100.000 евра 5
Број запослених менаџера ризика
1 3
1
>1<3 4
Мала 2 >3 5 2 – довољан 5,00 – 8,49
(од 51 % до 60 %) квалитет услуга
Полиса осигурања од
професионалне одговорности (у
хиљадама динара)
< 6.000 1
3
> 6.000 < 10.000 3
> 10.000 < 20.000 4
Средња 3 3 – добар квалитет 8,50 – 13,49
(од 61 % до 75 %) > 20.000 5 услуга
Просечна зарада свих
запослених
Испод републичког просека 1
3
± 10 % од републичког просека 3
Врло велика > 10 % изнад републичког 5 4 – врло добар
(од 76 % до 90 %) 4 просека квалитет услуга 13,50 – 18,49
Просек ресурса организације: 2,25
(аутоматски се преноси у чек-листу)

Потпуна 5 5 – одличан квалитет >18,49


(од 91 % до 100 %) услуга

Упутство за попуњавање табеле Т.2:


Попуњава се колона 3 у Т.2 (осенчена жутом бојом) тако што се врши избор опција из класификације у колонама 1 и 2 (Т.2).
115
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Прилог Ћ
(нормативан)

Матрица за оцењивање испуњености захтева


за организације које врше процену ризика

Табела Ћ.1 – Испуњеност захтева за организације које врше процену ризика


5. Процена ризика – Захтеви Испуњеност Ресурси Оцена Квалитет
А Б В Г Д
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

5.2 Захтеви који се односе на процену ризика


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Процена ризика је свеукупан процес идентификације, анализе и


оцене ризика.
НАПОМЕНА 1 Процена ризика укључује процес идентификације
интерних и екстерних претњи и рањивости, идентификације
вероватноће догађаја са порастом таквих претњи и рањивости,
дефинисања кључних функција потребних за континуитет
функционисања организације, дефинисања контроле на месту
потребном за смањење изложености и евалуацију трошкова такве
контроле.
НАПОМЕНА 2 Ови захтеви се односе на организацију која пружа
услуге процене ризика и организације које врше процену ризика за
сопствене потребе.
5.3 Општи захтеви за организацију
Организација мора да:
а) испуњава сву правну регулативу, применљиву на делатност
5 2,3 11,3 Добар
организације
б) осигура себе од одговорности за штету која би могла настати у
3 2,3 6,8 Довољан
њеном раду
в) поседује информатичку опрему и одговарајући софтвер који
обезбеђују несметану, правилну и систематичну употребу
4 2,3 9,0 Добар
образаца и алата за процену ризика прописаних у овом
стандарду и евиденције о процесу процене ризика
г) користи доступне евиденције, сазнања и базе података
4 2,3 9,0 Добар
надлежних органа о ризицима
д) именује особу за послове менаџера ризика 5 2,3 11,3 Добар
ђ) поседује процедуре за процену следећих група ризика:
– ризике општих пословних активности;
– ризике по безбедност и здравље на раду;
– правне ризике;
– ризике од противправног деловања;
– ризике од пожара; 5 2,3 11,3 Добар
– ризике од елементарних непогода и других несрећа;
– ризике од експлозија;
– ризике по животну средину;
– ризике у процесу управљања људским ресурсима;
– ризике у области информационо-комуникационо-
-телекомуникационих система
Препоручује се да организација у процени ризика поседује
процедуру за процену следеће групе ризика:
е) ризике од неусаглашености са стандардима. 9 2,3 20,3 Одличан
Општи захтеви за организацију: 11,25 Добар

116
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела Ћ.2 – Критеријум


према критеријуму у
Захтеви под а), б), в), д) и ђ): од 0 до 5
Прилогу Т, табела Т.1
аутоматски се преноси из
Захтев под б):
табеле Т.2
0 нема ниједан сертификат
3 има један сертификат
Препорука под е): 5 има два сертификата
има све препоручене
9
сертификате
аутоматски се преноси из табеле
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Колона „Ресурси” „Критеријуми за организацију”


(Прилог Т, табела Т.2)
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Упутство за коришћење табела Ћ.1 и Ћ.2:


У колону Б – Испуњеност (захтева): уноси се број од 0 до 5 који одражава степен испуњености захтева, на
основу критеријума из Прилога Т, табела Т.1.
Ако организација не испуњава захтев означен у колони А са „мора да”, онда се у колону Б (испуњеност) уноси
број 0 (нула). Уколико испуњава поменути захтев, онда се уноси број од 1 (један) до 5 (пет) који одражава %
испуњености по задатим критеријумима у Прилогу Т, табела Т.1.
За препоручене захтеве испуњеност се оцењује у зависности од испуњења препорука, оценама 0 (нема ниједан
сертификат), 3 (поседује један сертификат), 5 (поседује два сертификата) или 9 (има све препоручене
сертификате), које представљају доказе о усаглашености са препорученим стандардима.
Ресурси организације (колона В) (Прилог Т, табела Т.2), представљају бројчану вредност резултата
вредновања оних ресурса организације који имају утицај на квалитет услуга процене ризика.
Оцена (колона Г) се добија множењем бројчане оцене за степен испуњености захтева са просечном бројчаном
оценом расположивих ресурса организације за обављање услуга процене ризика.
Квалитет организације (колона Д) за вршење процене ризика изражава се описном оценом и произлази из
оцене услуга, према критеријуму у Прилогу Т, табела Т.3 и може бити:
Неусаглашен
Лош квалитет услуга
Довољан квалитет услуга
Добар квалитет услуга
Врло добар квалитет услуга
Одличан квалитет услуга

117
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Прилог У
(нормативан)

Матрица за оцењивање испуњености захтева


за особе које врше процену ризика (менаџер ризика)

Табела У.1 – Испуњености захтева за особе које врше процену ризика


5. Процена ризика – Захтеви Испуњеност Оцена Квалитет
А Б В Г
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

5.4 Захтеви за квалификованост менаџера ризика


Особа која врши послове менаџера ризика мора да поседује
одговарајуће квалификације, као и доказе за следеће:
а) испуњава сву правну регулативу применљиву на предметне услуге 0 Неусаглашен
Препоручује се да особа која врши послове менџера ризика
поседује следеће квалификације, као и доказе за наведено:
б) високо образовање на основним академским студијама у обиму
од најмање 240 ЕСПБ бодова, мастер академским студијама,
специјалистичким академским студијама, специјалистичким
струковним студијама, односно на основним студијама у
трајању од најмање четири године или специјалистичким 0 Пропустио
студијама на факултету из области безбедности, правних
или економских наука, као и техничких наука и најмање
пет година радног искуства на пословима који су у оквиру
предмета и подручја примене стандарда
в) познавање најмање једног страног језика 0 Пропустио
г) последипломско специјалистичко усавршавање из области
безбедности, односно области сродних послова који се
0 Пропустио
обављају приликом пружања услуга обезбеђења лица,
имовине и пословања
д) положен стручни испит из заштите од пожара 0 Пропустио
ђ) лиценцу за процену ризика у заштити лица, имовине и пословања 0 Пропустио
Општи захтеви за менаџера ризика: 0,00 Неусаглашен

118
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Табела У.2 – Критеријум

Захтеви под а): 0 Неусаглашен


Препорука под б): од 1 до 5 3 - ВиСС; 5-ВСС
0 Не зна страни језик
2 Служи се 1 страним језиком
Препорука под в):
3 Пише, чита и говори 1 језик
5 Пише, чита или говори више језика
0 Нема
Препорука под г):
5 Има
0 Нема
Препорука под д):
5 Има
0 Нема
Препорука под ђ):
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

5 Има
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Упутство за коришћење табела У.1 и У.2:


У колону Б - Испуњеност (захтева) уноси се:
– за захтеве под а) - бројчана вредност 0 или 5, у зависности од тога да ли особа испуњава захтеве или не;
– за препоруку под б) - оцена 3 - ВиСС; 5 - ВСС;
– за препоруку под в) - бројчана вредност 0 (не зна страни језик), или 2 (служи се једним страним језиком)
или 3 (пише, чита и говори један страни језик), или 5 (пише, чита и говори два или више страних језика);
– за препоруку под г), д) и ђ) - бројчана вредност 0 (нема) или 5 (има) услов.
Оцена се добија преношењем бројчане вредности о степену испуњености захтева и препорука, а укупна оцена
се добија просеком оцена о испуњености захтева и препорука.
Ако особа не испуњава захтев означен у колони А са „мора да”, онда се у колону Б (испуњеност) уноси број 0
(нула), а у укупну оцену се преноси 0 (нула) уколико само један од наведених захтева није испуњен.
Оцена из захтева који су означени са „препоручује се да” не утиче на закључак о испуњености захтева и
издавање сертификата, али утиче на укупну оцену и квалитет.
Квалитет особе за вршење процене ризика изражава се описном оценом и произлази из укупне оцене, а према
бодовном критеријуму назначеном у сертификационој шеми за оцењивање особа у делатности приватног
обезбеђења, уколико постоји, може бити:
Неусаглашен
Положио (Pass)
Квалитетан (Merit)
Уколико не постоји сертификациона шема, користити одговарајуће сопствене бодовне критеријуме.

119
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Прилог Ф
(нормативан)

Основна структура акта о процени ризика у заштити лица,


имовине и пословања
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

I УВОД
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

1) Покретање процеса процене ризика (уговор, радни налог и др)

2) Законски основ за процену ризика (закон, подзаконски акт и др)

3) Подаци о организацији која врши процену ризика


Пoслoвнo имe (нaзив),
а) aдрeса сeдиштe,
матични број, ПИБ
Име и презиме менаџера
б)
ризика, број лиценце
Подаци о посматраној
4)
организацији
Пoслoвнo имe (нaзив),
а)
aдрeса сeдиштe
Шифра делатности,
б)
матични број, ПИБ
Лице одговорно за
заступање и лице(а)
в)
овлашћено за комуникацију
у вези са проценом ризика
Пoдaци o лицимa из
посматране организације
г) кoja учeствуjу у тиму за
прoцeњивaње ризикa (имe,
прeзимe, стручнa спрeмa)

II УСПОСТАВЉАЊЕ КОНТЕКСТА
1) Екстерни контекст (макролокација, микролокација, конкуренција, историја штетних догађаја)

Интерни контекст (истoриja штeтних дoгaђaja, вeличинa oргaнизaциje, нaчин oргaнизoвaњa,


2)
нaчин и стeпeн зaштитe, дeлoвaњe зaпoслeних и дeлoвaњe зaинтeрeсoвaних стрaнa)

120
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

III ПРОЦЕНА РИЗИКА


1) Идентификација ризика – Прилог Љ
2) Анализа ризика – Прилог М
3) Оцена ризика – Прилог М

IV ПОСТУПАЊЕ СА РИЗИЦИМА
1) Преглед мeра зa поступање са ризицима по групама ризика
МЕРЕ ЗА ПОСТУПАЊЕ СА РИЗИКОМ
(ознаке преузете из тачке V, ниже, пример су уноса и образложења)
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

Норма-
ЗAХTEВИ ЗA Друге
тивно
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

ПРOЦEНУ РИЗИКA опције Опције Анализа


Физичка Техничка органи-
за убла- за извод- цена–ефи-
заштита заштита зационе и
жавање љивост касност
процеду-
ризика
ралне мере
ОПШТИХ ПОСЛОВНИХ
а)
АКТИВНОСТИ
ПO БEЗБEДНOСT И
б)
ЗДРAВЉE НA РAДУ
в) ПРAВНИХ РИЗИКА
OД ПРOTИВПРAВНOГ Б.1 е) Ђ.2 а) и б)
г) А.1 б) В.4 а) Г.2 б) Д.1
ДEЛOВAЊA Б.2 в) Σ 21.650 €
д) OД ПOЖAРA
OД EЛEMEНTAРНИХ
ђ) НEПOГOДA И ДРУГИХ
НEСРEЋA
е) OД EКСПЛOЗИJA
OД НEУСAГЛAШEНOСTИ
ж)
СA СTAНДAРДИMA
з) ПO ЖИВOTНУ СРEДИНУ
У УПРAВЉAЊУ
и)
ЉУДСКИM РEСУРСИMA
У OБЛAСTИ
ИНФOРMAЦИOНO-
ј) -КOMУНИКAЦИOНО-
ТЕЛЕКОМУНИКАЦИ-
ОНИХ СИСTEMA

121
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

2) Опис мера и образложење ефективности 9)


МЕРА ОПИС И ОБРАЗЛОЖЕЊЕ
На контролној тачки – главни улаз у објекат, поред постојећег
једног службеника обезбеђења у смени од 8 сати, увести још једног
А.1 б) контрола понашања и службеника обезбеђења у смени од 24 сата, који ће повремено
а) кретања у штићеном простору вршити обилазак круга штићеног објекта (месечно без ПДВ око
и објекту 1.660 €, годишње око 19.920 € - што је 2,3 пута мање од евидентираних
штета у 2016. години због крађе репроматеријала на отвореном
складишту у кругу објекта)
На главном улазу у објекат уградити контролу приступа и eвидeнциjу
рaднoг врeмeнa (нпр. 125 KHz proximity тeрминaл са
Б.1 е) систем за контролу
б) могућностима On-Line и Off-Line), за 5.000 кoрисникa и капацитет
приступа – картица
од око 35.000 дoгaђaja у Off-Line рeжиму (цена око 950 €, а постижу
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

се вишеструке уштеде у фонду за исплату зарада запослених)


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

Поправити оштећену жичану ограду на западном делу објекта у


Б.2 в) санирање оштећења дужини од 126 m (цена материјала и радова око 690 € – што је
в)
механичке заштите вишеструко мање од евидентираних штета у 2016. години због
крађе репроматеријала на отвореном складишту у кругу објекта)
Измена и допуна процедуре за рад службеника обезбеђења на главном
В.4 а) процедуре које регулишу
г) улазу у објекат и пешачке патроле за контролу понашања и кретања
рад службе обезбеђења
у штићеном простору
Г.2 б) процедурална контрола
д) Исто као под г)
(измена процедура)
ђ) … 10)

V ОЗНАКЕ МЕРА ЗА ПОСТУПАЊЕ СА РИЗИЦИМА


А) Мере физичке заштите (објеката, лица, јавних окупљања)
1) Проактивне мере
а) контрола приступа објекту и деловима објекта
б) контрола понашања и кретања у штићеном простору и објекту
в) патролирање
г) преглед лица, пртљага и возила – контрола робе и предмета
д) пратња и заштита
ђ) противпожарна стража
е) менаџмент из контролног центра – даљински мониторинг
ж) …
2) Реактивне мере
а) евакуација
б) обавештавање јавних служби и надређених
в) примена овлашћења – употреба средстава принуде
г) гашење почетног пожара
д) пружање прве помоћи
ђ) обезбеђење лица, места и чување материјалних доказа
е) интервенција патролних тимова контролног центра
ж) …

9)
Наведене мере и опис и образложење у табели која следи дати су као пример.
10)
Овде (и надаље у тексту) три тачке значе да набрајање није коначно.
122
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Б) Мере техничке заштите (објеката, лица, јавних окупљања)


1) Проактивне мере
а) механичка заштита – ограде
б) алармни системи – противпровални
в) алармни системи – противпрепадни
г) алармни системи – противпожарни
д) систем видео-обезбеђења
ђ) систем електронског надзора робе
е) систем за контролу приступа – картица (К)
ж) систем за контролу приступа – шифра (Ш)
з) систем за контролу приступа – биометрија (Б)
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

и) систем за контролу приступа – комбинација КШБ


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

ј) систем за детекцију забрањених предмета и материја 11)


к) систем електрохемијске заштите (кофери, контејнери, касе, трезори и др);
л) интегрисана заштита са најмање једним локалним надзорним местом (контролна соба) и
системом везе са службеницима обезбеђења на штићеном објекту
љ) …
2) Реактивне мере
а) сигнализација/јављање неовлашћеног уласка у штићени простор и дојава контролном центру
б) тестирање и провера система који су били активирани
в) санирање оштећења механичке заштите
г) анализа снимљених записа у функцији утврђивања следа догађаја
д) техничка интервенција патролног тима контролног центра
ђ) …
В) Нормативно-организационе и процедуралне мере
1) Доношење интерне правне регулативе (општих аката)
2) Усаглашавање са законом
3) Уношење заштитних уговорних клаузула
4) Увођење процедура и механизама надзора и контроле:
а) процедуре које регулишу рад службе обезбеђења
б) процедуре које регулишу однос запослених и службе обезбеђења
в) процедуре које регулишу механизме надзора и контроле пословних процеса
г) процедура мониторинга закључених уговора
д) механизми и процедуре које регулишу унутрашње истраге
ђ) процедуре регрутације, селекције, адпатације, вођења каријере и отпуштања запослених
е) едукација и тренинг запослених
ж) уређење простора
з) процедуре након извршеног кривичног дела
и) …
5) Усаглашавање са релевантним стандардима
6) …

11)
Под забрањеним предметима и материјама се подразумевају оружја, експлозивне, радиоактивне, биолошке и
друге опасне материје и предмети.
123
racun broj 1773
SRPS A.L2.003:2017 © ИСС 2017

Г) Друге опције за ублажавање ризика


1) Избегавање ризика
2) Смањење ризика засновано на људским активностима:
a) контрола, усмеравање и управљање понашањем (употребом техничких и социопсихолошких
мера)
б) контрола помоћу процедура (измена процедура)
в) …
3) Смањење ризика без људских активности:
а) измена постојеће технологије и техничко-технолошког поступка рада и/или пословања
б) увођење нових безбедносних технологија и њихових процедура
в) …
4) Подела ризика
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018

5) Задржавање или прихватање ризика


Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

6) …
Д) Опције за изводљивост
1) Мере су усклађене са политиком организације
2) Мере нису усклађене са политиком организације; потребне су корективне мере
3) …
Ђ) Анализа цена–ефикасност (износи у еврима)
1) Увођење (годишњи износ) или износ корекције:
a) радних процеса и процедура (у случају Д.2)
б) производа или услуге (у случају Д.2)
в) …
2) Увођење (годишњи износ) или износ корекције:
a) мера физичке заштите
б) мера техничке заштите
в) мера менаџмента из контролног центра
г) …
3) Осигурање ризика (годишњи износ)
4) …

VI НАДГЛЕДАЊЕ И ПРЕИСПИТИВАЊЕ
Карактеристике идентификованих ризика – архивирање по групама идентификованих ризика,
1)
Прилог С

VII КОМУНИКАЦИЈА У ВЕЗИ СА РИЗИЦИМА

Прилози Љ, М и С из стандарда SRPS А.L2.003 чине саставни део акта о процени ризика у заштити
лица, имовине и пословања.

(МП/електронски
Менаџер ризика
потпис)
______________

124
racun broj 1773
© ИСС 2017 SRPS A.L2.003:2017

Библиографија

1. ASIS INTERNATIONAL: General security risk assessment guideline, 2003, ASIS Commission on
Standards and Guidelines

2. Интерна правила стандардизације – Део 3: Уобличавање и структура српских стандарда и


сродних докумената, Институт за стандардизацију Србије, Београд

3. Кековић, З, Савић, С, Комазец, Н, Милошевић, М, Јовановић, Д: Процена ризика у заштити


лица, имовине и пословања, Центар за анализу ризика и управљање кризама, Београд, 2011.

4. Мандић, Г, Систем обезбеђења и заштите објеката, Београд, Факултет безбедности, 2015.


KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

5. Методологија за утврђивање података и показатеља о бонитету правних лица и предузетника и


давање мишљења о бонитету привредних друштава (НБС, Центар за бонитет)

6. SRPS OHSAS 18001:2008, Систем управљања заштитом здравља и безбедношћу на раду –


Захтеви

7. Правилник о начину и поступку процене ризика на радном месту и радној околини („Сл. гласник
РС” бр. 72/2006, 84/2006, 30/2010)

8. Закон о безбедности и здрављу на раду („Службени гласник РС”, број 101/05 и 91/15)

9. ISO/TR 31004:2013, Risk management – Guidance for the implementation of ISO 31000

10. ISO 18788:2015, Management system for private security operations – Requirements with guidance
for use

125
racun broj 1773
KGB SYSTEM plus d.o.o., 2. Krajiške brigade 11, 34000 Kragujevac, Tuesday, June 5, 2018
Dozvoljeno samo za jednog korisnika, zabranjeno umnožavanje i korišcenje na mreži !

ICS 03.100.01
Дескриптори: безбедност и отпорност, процена ризика, захтеви, услуге, оцењивање усаглашености

Descriptors: security and resiliance, risk assessment, requirements, services, conformity assessment
Укупно страна 125

racun broj 1773

You might also like