QUẢN LÝ HỆ THỐNG THÔNG TIN Chủ đề 16 Risk Management

 Nhận diện các kiểu rủi ro khác nhau và quá trình giải quyết các rủi ro trong dự án CNTT..  Quản lí rủi ro là hình dung ra cái gì có thể đi sai có thể xảy ra theo chiều hướng tiêu cực

QUẢN LÝ HỆ THỐNG THÔNG TIN

Nhóm thực hiện:

Lưu Vũ Nam Nguyễn Minh Phúc

Mục tiêu bài học

 Hiểu sự khác biệt giữa rủi ro và vấn đề.

 Nhận diện các kiểu rủi ro khác nhau và quá trình giải quyết các rủi ro trong dự án CNTT.

 Mô tả các mục tiêu chính của an toàn thông tin

 Liệt kê các loại rủi ro hệ thống thông tin

 Mô tả các loại điều khiển cần thiết để đảm bảo tính toàn vẹn của truy nhập dữ liệu và không bị gián đoạn thương mại điện

tử

Kết quả

giảm nhẹ rủi ro trong dự án CNTT.

tiềm tàng trong một doanh nghiệp toàn cầu

Thế nào là rủi ro?

 Rủi ro là sự không chắc chắn về một kết quả xấu.

 Quản lí rủi ro là hình dung ra cái gì có thể đi sai (có thể xảy

ra theo chiều hướng tiêu cực, rồi quyết định bạn có thể làm gì để ngăn ngừa nó hoặc giảm tác động của nó).

Rủi ro hay hệ quả (issue)

Định nghĩa quản lí rủi ro

CNTT cân bằng chi phí vận hành và chi phí kinh

tế của biện pháp bảo vệ trong hệ thống CNTT để

hỗ trợ cho sứ mệnh của doanh nghiệp.

 Quản lí rủi ro là qui trình liên tục, có kỉ luật để quản lí sự việc không chắc chắn xảy ra.

bất lợi lên tổ chức.

Thế nào là quản lí rủi ro?

các sự kiện trong tương lai và là một phần của tất cả các hoạt động

để thành công cũng như mang nguy cơ thất bại.

cực có thể xảy ra của rủi ro với tiềm năng lợi ích

và cơ hội mà nó mang lại.

Rủi ro có thể được định nghĩa là khả năng bị thiệt hại hoặc mất mát Khả năng là đặc trưng bởi

ba yếu tố:

sẽ xảy ra khi có rủi ro.

kết quả của sự xuất hiện của nó.

Thế nào là quản lí rủi ro? (tiếp)

Quy trình quản lí rủi ro

 Nhận diện rủi ro:

– Phạm vi quản lí rủi ro

– Nguồn của rủi ro

– Trên cơ sở đó rủi ro sẽ được đánh giá

 Phân tích rủi ro: Kiểm điểm và phân tích rủi ro có trong qui trình.

 Đánh giá rủi ro: Nhận diện tuỳ chọn giải quyết rủi ro.

 Giảm nhẹ (giải quyết rủi ro): Phòng ngừa hay làm giảm rủi ro bằng việc dùng tài nguyên sẵn có.

Qui trình quản lí rủi ro

 Nhận diện rủi ro: Cái gì đi sai?

 Phân tích rủi ro: Nó có thể thế nào? Hậu quả là gì?

 Đánh giá tuỳ chọn giải quyết: Chúng ta có thể làm gì?

 Trao đổi và theo dõi rủi ro: Mọi sự diễn ra thế nào?

 Lập kế hoạch và thực hiện giảm nhẹ: Cần gì để giảm rủi ro?

 Quản lí rủi ro là qui trình liên tục, có kỉ luật để quản lí bất trắc,

và có sự đánh giá lại.

Nguồn của rủi ro

đề Nguồn rủi ro có thể là bên trong hay bên ngoài

tổ chức hay dự án

– Khách hàng của dự án có thể quyết định cắt bỏ nó

– Nhân viên then chốt của dự án bị tai nạn

– Thời tiết tại sân bay có thể làm chậm chuyến bay

– Thiên tai, đánh cắp thông tin,…

Đánh giá rủi ro

đánh giá để xác định mức độ nghiêm trọng tiềm năng của tổn thất và xác suất xuất hiện.

toán hay có thể khó dự đoán được.

có thể để sắp ưu tiên tỉ lệ xuất hiện

Rủi ro = Tỉ lệ xuất hiện X Tác động của biến cố

Nhận diện yếu tố nguy hiểm

Điều gì có thể?

Xác định khả năng xảy ra

Quản lý rủi ro - Các thuộc tính then chốt

– Kế hoạch cần được lập tài liệu và tuỳ chỉnh sao cho phù hợp với nhu cầu.

– Các qui trình giống nhau được dùng chung giữa các nhóm và các chức năng.

– Tiêu chí phân tích được áp dụng nhất quán

– Tiêu chí leo thang có kỉ luật

– Kết nối giữa khách hàng và các rủi ro của nhà cung cấp then chốt.

– Có kế hoạch giảm nhẹ khi cần, gồm cả thay đổi lịch làm việc của nhóm.

– Kế hoạch dự trữ bao gồm cả sự giảm nhẹ cho các rủi ro cao.

 Để việc quản lí rủi ro đạt được kết quả cao nhất cần:

– Bắt đầu ngay từ đầu

– Giám sát và quản lí một cách tích cực

– Duy trì sự tập trung tới cuối cùng của mục tiêu

– Luôn nắm giữ được những sự việc mang tính rủi

ro cao

Quản lí rủi ro - các thuộc tính then chốt

Rủi ro dự án

– Lập kế hoạch về cách quản lí rủi ro sẽ được tổ chức trong

Nhận diện rủi ro dự án

lí)

Vai trò và trách nhiệm

 Việc quản lí rủi ro để đạt được kết quả tốt nhất cần phải phân công nhiệm vụ cụ thể đến từng bộ phận tham gia triển khai dự án:

– Người quản lí dự án

– Tổ dự án.

– Tổ nhận diện rủi ro

– Tổ giảm nhẹ rủi ro

 Cung cấp đầu vào cho quy trình nhận diện rủi ro.

 Đại diện cho tất cả các nhóm bị ảnh hưởng tham gia vào dự án.

 Tổ giảm nhẹ rủi ro: Thực hiện các hành động để giảm thiểu rủi ro, tập trung vào từng phần hay cả xác suất và hậu quả của rủi ro.

Ví dụ rủi ro

Công ti ABC mới đưa công nghệ hướng đối tượng (OO) vào trong tổ chức CNTT bằng việc chọn lựa một dự án được xác định rõ "X" với ràng buộc lịch biểu thử nghiệm dùng công nghệ này.

Mặc dầu nhiều nhân viên dự án "X" đã quen thuộc với khái niệm OO, nó còn chưa là một phần của qui trình phát triển của

họ, và họ có rất ít kinh nghiệm và đào tạo trong áp dụng công nghệ này.

Tốn thời gian cho nhân sự dự án hơn là mong đợi học công nghệ mới Một số nhân sự quan tâm, chẳng hạn, rằng các mô đun được thực hiện tới ngày đó có thể quá không hiệu quả để thoả mãn yêu cầu hiệu năng của dự án "X".

Rủi ro là: Nếu thiếu kinh nghiệm và đào tạo về công nghệ

OO, có khả năng là sản phẩm sẽ không đáp ứng yêu cầu hiệu năng hay chức năng trong lịch biểu đã xác định.

Rủi ro tổ chức

 Rủi ro tổ chức là các yếu tố rủi ro có liên quan tới tính liên tục doanh nghiệp và các rủi ro khác tác động tới doanh nghiệp.

 Nền kinh tế kết nối dẫn tới các phụ thuộc và thách thức mới.

 Qui chế thắt chặt quản lí doanh nghiệp.

 Chính phủ đang làm luật về thay đổi tính riêng tư và an ninh

để bảo vệ cá nhân.

 Thất bại CNTT tạo ra trách nhiệm pháp lí mới bởi vì nhiều qui trình phụ thuộc vào hệ thống CNTT.

Phân loại rủi ro tổ chức

thuộc và tạo cơ hội cho ăn cắp và lạm dụng thông tin

thất bại

rủi ro doanh nghiệp.

Giá trị của quản lí rủi ro

– Khử bỏ hay giảm thiểu việc phơi bày các rủi ro.

– Nhận diện vấn đề tiềm năng trong khi chúng còn dễ sửa (như ít giờ, ít tài nguyên, ít đau đớn)

– Giúp xác định tiến trình hành động tốt nhất từ bắt đầu.

– Hướng dẫn cấp phát tài nguyên giới hạn cho nhu cầu ưu tiên.

Công cụ và kĩ thuật quản lí rủi ro

 Có nhiều công cụ để giúp quản lí rủi ro hiệu quả.

 Các phương pháp phân tích rủi ro thay đổi từ cách tiếp cận định lượng đơn giản tới cách tiếp cận định tính phức tạp.

– Tập trung vào nhận diện và giảm nhẹ rủi ro.

 Nhiều công cụ cơ sở dữ liệu có sẵn để giữ dấu vết của rủi

Tóm tắt

xuất hiện hay không xuất hiện.

 Quản lí rủi ro là qui trình ra quyết định hệ thống mà:

– Nhận diện hiệu quả rủi ro

– Đánh giá mức rủi ro

– Giải quyết rủi ro có hiệu quả để đạt tới mục đích chương trình, kể cả giảm nhẹ rủi ro cho phù hơp

Tóm tắt (Tiếp)

mọi lĩnh vực của tổ chức, dự án qua quản lý thích hợp, sự việc có thể thấy được và sự tham dự.

nghĩa cho sự chú ý của người quản lý, và nó không phải là mục đích để hướng tới.

Tóm tắt (Tiếp)

kế hoạch nhóm, và từng hành động của nhóm nên gồm cả việc liên quan tới giảm nhẹ rủi ro.

ro liên quan tới lĩnh vực của họ.

chữa, do đó giải quyết rủi ro trước khi chúng biến thành vấn đề hoặc hệ quả.