Những câu hỏi thường gặp về phân
tích rủi ro
Phân tích gì?
Phân tích rủi ro có thể được sử dụng để xem xét bất cứ nhiệm
vụ, dự án hoặc ý tưởng.
Kết quả của một phân tích rủi ro có thể nói lên điều gì
cho một tổ chức?
Lợi ích lớn nhất của một phân tích rủi ro là xác định có hay
không vấn đề để tiến hành tùy chỉnh.
5
Lợi ích lớn nhất của một phân tích rủi ro là xác định có hay
không vấn đề để tiến hành tùy chỉnh.
Ai nên xem xét kết quả của một phân tích rủi ro?
Các kết quả của một phân tích rủi ro thường được phân loại như
là bí mật và được cung cấp chỉ cho các nhà quản trị rủi ro được
cho là thích hợp
Công cụ để đo các phân tích rủi ro thành công?
Cách hữu hình để đo lường thành công là để xem một đường
dưới thấp hơn cho chi phí.
Hoạt động quản lý rủi ro
Phân tích
Thiết kế
Phát triển
Kiểm tra
6
Kiểm tra
Giám sát, Bảo trì, phản hồi
Trách nhiệm quản lý rủi ro trong doanh nghiệp/
tổ chức bao gồm: Chủ sở hữu, quản lý cao cấp,
CIO, CISO, CEO, BM, ISA
7
Vòng đời bảo mật thông tin
Thông thường, kết quả
phân tích nguy cơ sẽ
được sử dụng trên hai
lần: (1) khi một quyết định
cần phải được thực hiện
Cost/Benefit
Implementation
Risk Analysis
8
cần phải được thực hiện
và (2) khi có phát sinh
cần phải kiểm tra quá
trình ra quyết định.
Vulnerability
Assessment
Quy trình phân tích rủi ro
Định nghĩa tài sản
Xác định mối đe dọa
Xác định xác suất xảy ra
Xác định tác động của các mối đe dọa
9
Xác định tác động của các mối đe dọa
Các kiểm soát đề xuất
Tài liệu
Định nghĩa quản lý tài sản
Xác định quá trình, ứng dụng, hệ thống hoặc tài sản
mà phân tích rủi ro cần được thực hiện.
Một số kỹ thuật thu thập thông tin có liên quan bao
gồm bảng câu hỏi, các cuộc phỏng vấn trên trang
10
gồm bảng câu hỏi, các cuộc phỏng vấn trên trang
web, xem lại tài liệu và các công cụ quét.
Phân loại tài sản
Chính sách quản lý hồ sơ:
Thông tin, bất cứ nơi nào nó được xử lý hoặc lưu trữ
(Ví dụ: trong máy tính, tập tin, máy tính để bàn, máy
fax, voice-mail), cần phải được bảo vệ khỏi truy cập
trái phép, sửa đổi, tiết lộ, và phá hủy.
11
trái phép, sửa đổi, tiết lộ, và phá hủy.
Mọi thông tin phải được phân loại theo chủ sở hữu
một trong ba phân loại: bí mật, sử dụng nội bộ hoặc
công cộng.
Phân loại tài sản (tiếp)
Bí mật
Định nghĩa: Thông tin đó nếu bị tiết lộ có thể:
Xâm phạm sự riêng tư của cá nhân
Giảm lợi thế cạnh tranh của công ty
12
Giảm lợi thế cạnh tranh của công ty
Gây thiệt hại cho công ty
Giảm uy tín
Phân loại tài sản (tiếp)
Bí mật
Ví dụ:
Hồ sơ cán bộ (bao gồm cả tên, địa chỉ, điện thoại, tiền lương,
đánh giá hoạt động, số an sinh xã hội , ngày sinh, tình trạng
hôn nhân, nghề nghiệp, số lượng người phụ thuộc, vv)
Thông tin khách hàng (bao gồm cả tên, địa chỉ, số điện thoại,
13
Thông tin khách hàng (bao gồm cả tên, địa chỉ, số điện thoại,
tiêu thụ năng lượng, lịch sử thẻ tín dụng, sổ an sinh xã hội, vv)
Thông tin cổ đông (bao gồm cả tên, địa chỉ, số điện thoại, số
cổ phần , số an sinh xã hội, vv)
Nhà cung cấp thông tin (tên, địa chỉ, giá cả sản phNm cụ thể
cho công ty, vv)
Phân loại tài sản (tiếp)
Bí mật
Ví dụ:
Hồ sơ bảo hiểm y tế (kể cả hồ sơ y tế, kê đơn và tâm lý)
Kế hoạch hoạt động cụ thể, kế hoạch tiếp thị
Doanh thu, chi phí, lợi nhuận hoặc các kết quả tài chính khác
không được công khai.
14
không được công khai.
Mô tả các bộ phận duy nhất hoặc các tài liệu báo cáo công
nghệ hoặc các công nghệ nghiên cứu mới .
Chiến lược kinh doanh.
Những thay đổi lớn trong cơ cấu quản lý công ty.
Những thông tin đòi hỏi kỹ năng hoặc đào tạo đặc biệt.
Không có nhận xét nào:
Đăng nhận xét