Please enable JavaScript.

Coggle requires JavaScript to display documents.

CHƯƠNG 4 QUẢN LÝ RỦI RO - Coggle Diagram

- - - - Xác định tài sản thông tin của tổ chức
      - Phân loại tài sản thông tin
      - Phân loại tài sản thông tin thành những nhóm hữu ích
      - Ưu tiên tài sản thông tin theo tầm quan trọng tổng thể
    - - Khi mỗi tài sản thông tin được xác định, phân loại và phân nhóm, một giá trị
      - Tài sản thông tin nào:
        
        • Là quan trọng nhất đối với sự thành công của tổ chức?
        
        • Tạo ra nhiều doanh thu nhất?
        
        • Tạo ra khả năng sinh lời cao nhất?
        
        • Là tốn nhiều chi phí nhất để thay thế?
        
        • Là tốn nhiều chi phí nhất để bảo vệ?
        
        • Tạo ra nghĩa vụ tài chính lớn nhất nếu nó bị mất hoặc tổn hại?
      - Mật (Confidential)
        
        Nội bộ (Internal)
        
        Bên ngoài (External)
      - Ưu tiên tài sản thông tin theo tầm quan trọng tổng thể
        
        Bước cuối cùng trong quy trình xác định rủi ro là ưu tiên hoặc xếp hạng tài sản
        
        Mục tiêu này có thể đạt được bằng cách sử dụng phân tích bảng trọng số.
        
        • Liệt kê tài sản thông tin
        
        • Lựa chọn tiêu chí
        
        • Chỉ định trọng số tiêu chí
        
        • Đánh giá từng tài sản
        
        • Tính bình quân gia quyền/trung bình cộng có trọng số
        
        • Xếp thứ tự theo điểm
  - - - Xác định mục đích đánh giá;
      - • Xác định phạm vi đánh giá;
      - • Xác định các giả định và ràng buộc liên quan đến đánh giá;
      - • Xác định các nguồn thông tin được sử dụng làm đầu vào cho đánh giá; và
      - • Xác định mô hình rủi ro và phương pháp phân tíc
  - - - Phải chuyển sang giai đoạn kiểm soát
    - - Nên chuyển sang giai đoạn sau kiểm
- - - - CBA = ALE(prior) - ALE(post) - ACS
        
        ALE(post) Dự báo tổn thất hàng năm sau khi đã triển khai các thủ
        
        ACS Tổng chi phí của thủ tục kiểm soát hoặc bảo vệ, bao
        
        ALE(prior) ;Dự báo tổn thất hàng năm trước khi triển khai các thủ
- - - - Phân tích rủi ro
        
        Đánh giá rủi ro
        
        Kiểm soát rủi ro
    - - • Khuôn mẫu QLRR là cấu trúc tổng thể của việc lập kế hoạch và thiết kế chiến lược cho toàn bộ các nỗ lực quản lý rủi ro của tổ chức.
        • Quy trình QLRR là việc thực hiện quản lý rủi ro theo khuôn mẫu QLRR.
        • Khuôn mẫu QLRR (lập kế hoạch) hướng dẫn quy trình QLRR (thực hiện), tiến hành các quy trình đánh giá và khắc phục rủi ro
    - - Cộng đồng an ninh thông tin
        
        Hiểu rõ nhất về các nguy cơ gây rủi ro cho DN
        
        Vai trò lãnh đạo trong giải quyết rủi ro đối với tài sản thông tin. • - Xây dựng các hệ thống an toàn và vận hành hệ thống an toàn.
      - Nhà Quản lý
        
        • Phát hiện sớm và phản hồi các nguy cơ.
        • Đảm bảo có đủ thời gian, tài chính, nhân lực và các nguồn lực khác cho các nhóm
        an toàn thông tin và CNTT để đáp ứng nhu cầu bảo mật.
      - Người sử dụng
        
        • Phát hiện sớm và phản hồi các nguy cơ.
        • Hiểu giá trị của hệ thống và dữ liệu đối với tổ
        
        Hiểu tài sản thông tin nào có giá trị nhất
      - Cộng đồng CNTT
        
        • Xây dựng và vận hành các hệ thống an toàn
        • Cung cấp quan điểm định giá và các nguy cơ cho ban quản lý trong quá trình
  - - - • Đánh giá thủ tục kiểm soát rủi ro hiện tại và được đề xuất
        • Xác định các lựa chọn thủ tục kiểm soát nào là hiệu quả về mặt chi phí
        
        Thực hiện hoặc thiết lập các thủ tục kiểm soát cần thiết
        • Đảm bảo rằng các thủ tục kiểm soát là hiệu quả
  - - - • Mục đích và phạm vi
        
        • Định hướng và mục tiêu
        
        • Vai trò và trách nhiệm
        
        • Yêu cầu về nguồn lực
        
        • Mức độ chấp nhận rủi ro và khẩu vị rủi ro
        
        • Hướng dẫn phát triển chương trình QLRR
        
        • Hướng dẫn đặc biệt và thông tin sửa đổi
        
        • Tham chiếu đến các chính sách, kế hoạch, tiêu chuẩn và hướng dẫn quan trọng khác
  - - - • Kiểm tra hồ sơ, tài liệu (Desk check)
      - • Kiểm tra thử nghiệm (Pilot-test)
      - • Kiểm tra theo giai đoạn (Phased approach)
      - • Chuyển đổi trực tiếp