Đang tải... (xem toàn văn)
Phân tích và quản lý rủi ro
PHÂN TÍCH & QUẢN LÝ RỦI ROGiảng viên: Trần Thị Quế Nguyệt1Giảng viên: Trần Thị Quế NguyệtTrình bày: - Lê Xuân Anh- Đoàn Thanh Huy- Huỳnh Văn Kháng- Xỏm Xay Luốn U Đôm Nội dung trình bày Giới thiệu Các câu hỏi thường gặp về phân tích rủi ro Vòng đời bảo mật thông tin Quy trình Phân tích rủi ro2 Quy trình Phân tích rủi ro Biện pháp giảm nhẹ nguy cơ Danh mục kiểm soát rủi ro Kế hoạch kinh doanh liên tục Phân tích chi phí / lợi nhuận Tóm tắt Giới thiệu Quản lý rủi ro là quá trình cho phép các nhà quản lý kinh doanh cân bằng chi phí và hoạt động kinh tế. Đề ra các biện pháp bảo vệ và đạt được lợi nhuận trong khả năng nhằm hỗ trợ các mục tiêu kinh doanh, sứ mệnh của doanh 3mục tiêu kinh doanh, sứ mệnh của doanh nghiệp bằng cách bảo vệ quy trình kinh doanh Hầu hết các tổ chức có ngân sách chặt chẽ về an ninh. Để có được hiệu quả tốt nhất về an ninh, quản lý cần có một quá trình để xác định chi tiêu. Những câu hỏi thường gặp về phân tích rủi ro Tại sao phải tiến hành phân tích rủi ro? Một phân tích rủi ro chính thức cung cấp các tài liệu thẩm định. Một phân tích rủi ro cũng cho phép doanh nghiệp kiểm soát vận mệnh riêng của mình. Khi nào cần tiến hành phân tích rủi ro?Một phân tích rủi ro cần được tiến hành bất cứ khi nào tiền bạc 4 Một phân tích rủi ro cần được tiến hành bất cứ khi nào tiền bạc hoặc các nguồn lực được chi tiêu. Ai nên tiến hành phân tích rủi ro? Không ai biết hệ thống của bạn và các ứng dụng tốt hơn so với những người phát triển và chạy chúng. Tiến hành phân tích rủi ro trong bao lâu? Nó sẽ được hoàn thành trong ngày, chứ không phải vài tuần hoặc vài tháng. Những câu hỏi thường gặp về phân tích rủi ro Phân tích gì? Phân tích rủi ro có thể được sử dụng để xem xét bất cứ nhiệm vụ, dự án hoặc ý tưởng. Kết quả của một phân tích rủi ro có thể nói lên điều gì cho một tổ chức? Lợi ích lớn nhất của một phân tích rủi ro là xác định có hay không vấn đề để tiến hành tùy chỉnh.5 Lợi ích lớn nhất của một phân tích rủi ro là xác định có hay không vấn đề để tiến hành tùy chỉnh. Ai nên xem xét kết quả của một phân tích rủi ro? Các kết quả của một phân tích rủi ro thường được phân loại như là bí mật và được cung cấp chỉ cho các nhà quản trị rủi ro được cho là thích hợp Công cụ để đo các phân tích rủi ro thành công? Cách hữu hình để đo lường thành công là để xem một đường dưới thấp hơn cho chi phí. Hoạt động quản lý rủi ro Phân tích Thiết kế Phát triển Kiểm tra6 Kiểm tra Giám sát, Bảo trì, phản hồiTrách nhiệm quản lý rủi ro trong doanh nghiệp/ tổ chức bao gồm: Chủ sở hữu, quản lý cao cấp, CIO, CISO, CEO, BM, ISA 7 Vòng đời bảo mật thông tin Thông thường, kết quả phân tích nguy cơ sẽ được sử dụng trên hai lần: (1) khi một quyết định cần phải được thực hiện Cost/BenefitImplementationRisk Analysis8cần phải được thực hiện và (2) khi có phát sinh cần phải kiểm tra quá trình ra quyết định.VulnerabilityAssessment Quy trình phân tích rủi ro Định nghĩa tài sản Xác định mối đe dọa Xác định xác suất xảy ra Xác định tác động của các mối đe dọa9 Xác định tác động của các mối đe dọa Các kiểm soát đề xuất Tài liệu Định nghĩa quản lý tài sản Xác định quá trình, ứng dụng, hệ thống hoặc tài sản mà phân tích rủi ro cần được thực hiện. Một số kỹ thuật thu thập thông tin có liên quan bao gồm bảng câu hỏi, các cuộc phỏng vấn trên trang 10gồm bảng câu hỏi, các cuộc phỏng vấn trên trang web, xem lại tài liệu và các công cụ quét. [...]... trên toàn b t ch c 20 Tài liệu Sau khi phân tích r i ro hoàn t t, k t qu s đư c ghi chép trong m t đ nh d ng tiêu chu n và báo cáo cho ch s h u tài s n 21 Giảm nhẹ rủi ro 1 2 3 4 5 6 Gi đ nh r i ro Gi m r i ro Tránh r i ro H n ch r i ro Ho ch đ nh r i ro Chuy n giao r i ro 22 Danh mục kiểm soát Có b n l p ki m soát, bao g m né tránh, sau đó đ m b o, r i phát hi n, và cu i cùng ph c h i Ho c b n có th... và SOX s yêu c u t t c chúng, bao g m các ki m soát trong quá trình phân tích r i ro l a ch n 23 Gi i pháp b o m t v t lý Các yêu c u c a Trung tâm d li u Các ki m soát truy c p v t lý Phát hi n và ngăn ch n cháy n Ki m tra x lý văn b n Hi p đ nh H th ng phát hi n xâm nh p 24 Gi i pháp b o m t v t lý (tt) Chính sách Đây là trách nhi m c a qu n lý công ty đ cung c p m t môi trư ng làm vi c an toàn và. . .Phân loại tài sản Chính sách quản lý hồ sơ: Thông tin, bất cứ nơi nào nó được xử lý hoặc lưu trữ (Ví dụ: trong máy tính, tập tin, máy tính để bàn, máy fax, voice-mail), cần phải được bảo vệ khỏi truy cập trái phép, sửa đổi, tiết lộ, và phá hủy Mọi thông tin phải được phân loại theo chủ sở hữu một trong ba phân loại: bí mật, sử dụng nội bộ hoặc công cộng 11 Phân loại tài sản (tiếp)... trong tòa nhà v i thông tin nh y c m hay thi t b có r i ro cao s đư c b o v ch ng truy c p trái phép, h a ho n, nư c và m i nguy hi m khác Nh ng thi t b r t quan tr ng đ n ho t đ ng c a qui trình kinh doanh công ty s đư c xác đ nh trong Phân tích tác đ ng đ n kinh doanh công ty (Company Business Impact Analysis - BIA) và s tránh m t đi n 25 Gi i pháp b o m t v t lý (tt) Trách nhi m Qu n lý c p cao và. .. soát và bi n pháp b o v nhi u nh t có th Cũng có th là yêu c u pháp lý và quy đ nh đ th c hi n ki m soát c th Khi l a ch n b t kỳ lo i hình ki m soát, đi u c n thi t là đo lư ng tác đ ng v i ho t đ ng t ch c Xem xét cu i cùng là s an toàn và đ tin c y c a ki m soát ho c b o v Chi tiêu cho ki m soát ph i đư c cân đ i v i nh ng thi t h i kinh doanh th c t Đ có hi u qu , quá trình phân tích r i ro nên... chính xác và s d ng ki m soát n i b đư c thi t k đ b o v tài s n công ty và tài s n s d ng trái phép ho c b trí Tài s n c a công ty bao g m nhưng không gi i h n đ i v i tài s n v t lý, s h u trí tu , b ng sáng ch , bí m t thương m i, b n quy n, và thương hi u Ngoài ra, còn là trách nhi m c a qu n lý dây chuy n đ đ m b o nhân viên nh n th c và hành đ ng phù h p v i hư ng d n an ninh c a công ty và t t... liên t c c a công ty luôn đư c đáp ng 31 Phân tích chi phí / l i nhu n Nên có m t phân tích chi phí/ l i nhu n đ xác đ nh các tác đ ng c a vi c th c hi n các ki m soát m i ho c nâng cao và sau đó xác đ nh tác đ ng c a vi c không th c hi n ki m tra Chi phí th c hi n bao g m c kinh phí ban đ u cho ph n c ng và ph n m m Gi m hi u qu lao đ ng Th c hi n các chính sách và th t c b sung đ h tr các ki m soát... ng nào là không có r i ro, và không ph i t t c các ki m soát th c hi n có th lo i tr r i ro mà h có d đ nh gi i quy t M t chương trình b o m t mà m c tiêu b o m t đ t đư c 100% s là nguyên nhân gây ra cho các t ch c có năng su t không ph n trăm Quá trình phân tích r i ro có hai m c tiêu chính: (1) đ ch th c hi n nh ng ki m soát c n thi t (2) đ làm tư li u su t quá trình qu n lý 33 Tài liệu tham khảo... t xác su t m t m i đe d a ti m năng có th đư c th c hi n đ i v i tài s n phân tích r i ro đư c xem xét 18 Xác đ nh tác đ ng c a các m i đe d a Xác su t: Xác su t cao: r t có kh năng đe d a s x y ra trong năm t i Xác su t v a: có th là m i đe d a s x y ra trong năm ti p theo Xác su t th p: không ch c r ng m i đe d a s x y ra trong năm ti p theo Tác đ ng: Tác đ ng cao: ngưng tr đơn v kinh doanh quan... ty, vv) 13 Phân loại tài sản (tiếp) Bí mật Ví dụ: Hồ sơ bảo hiểm y tế (kể cả hồ sơ y tế, kê đơn và tâm lý) Kế hoạch hoạt động cụ thể, kế hoạch tiếp thị Doanh thu, chi phí, lợi nhuận hoặc các kết quả tài chính khác không được công khai Mô tả các bộ phận duy nhất hoặc các tài liệu báo cáo công nghệ hoặc các công nghệ nghiên cứu mới Chiến lược kinh doanh Những thay đổi lớn trong cơ cấu quản lý công ty . phân tích rủi ro Vòng đời bảo mật thông tin Quy trình Phân tích rủi ro2 Quy trình Phân tích rủi ro Biện pháp giảm nhẹ nguy cơ Danh mục kiểm soát rủi. hoàn thành trong ngày, chứ không phải vài tuần hoặc vài tháng. Những câu hỏi thường gặp về phân tích rủi ro Phân tích gì? Phân tích rủi ro có thể được