Thiết lập bối cảnh: - Lựa chọn 1 cách tiếp cận quản lý rủi ro thích hợp để giải quyết các tiêu chí cơ bản.. - Xác định các nguồn lực sẵn có - Xác định tiêu chí chấp nhận rủi ro - Xác địn
Trang 1ISO 27005
1 Thiết lập bối cảnh:
- Lựa chọn 1 cách tiếp cận quản lý rủi ro thích hợp để giải quyết các tiêu chí cơ bản
- Xác định các nguồn lực sẵn có
- Xác định tiêu chí chấp nhận rủi ro
- Xác định phậm vi và ranh giới quản lý rủi ro:
o Mục tiêu kinh doanh, chiến lược của tổ chức
o Yêu cầu pháp lý, yêu cầu hợp đồng
o Các chính sách ATTT
o Phân tích các bên liên quan: trong và ngoài tổ chức (về mặt nhận thức)
2 Đánh giá rủi ro ATTT:
- Mục đích: xác đinh giá trị tài sản, xác định các mối đe dọa và lỗ hổng đang tồn tại, các biện pháp kiểm soát hiện có và ảnh hưởng của chúng đến rủi ro được xác định, xác định hậu quả tiềm ẩn
Xếp hạng rủi ro
- Gồm 3 hoạt động chính:
o Nhận diện rủi ro: nhằm mục đích xác đinh những việc có thể sảy ra gây hậu quả tiềm ẩn và nguyên nhân sảy ra để từ đó có những biện pháp thích hợp
Xác định tài sản
Xác định mối đe dọa: tự nhiên – con người, vô tình – cố ý
Xác định các biện pháp kiểm soát hiện có
Xác định lỗ hổng: có thể tồn tại trong tổ chức, quy trình và thủ tục, quy trình quản lý, nhân sự, môi trường vật lý, cấu hình hệ thống thông tin, phần cứng, phần mềm hoặc thiết bị truyền thông,
sự phụ thuộc vào các bên bên ngoài
Trang 2 Xác định hậu quả: có thể được biểu hiện như mất hiệu quả, điều kiện hoạt động bất lợi, mất kinh doanh, danh tiếng, thiệt hại
o Phân tích rủi ro: phương pháp phân tích: định tính hoặc định lượng gồm 3 phần quan trọng:
Đánh giá hậu quả: phụ thuộc vào định giá tài sản
Đánh giá khả năng sảy ra sự cố:
Tần suất xuất hiện
Khả năng xuất hiện
Mức độ xác định rủi ro: danh sách các rủi ro sắp xêp theo mức
độ
o Đánh giá rủi ro: trả lời các câu hỏi:
Có nên thực hiện 1 hoạt động hay không?
Ưu tiên xử lý rủi ro là gì?
3 Xử lý rủi ro:
- Dựa vào đánh giá rủi ro ở mục 2 và phân tích chi phí – lợi nhuận, rủi ro có thể được xử lý theo các cách sau:
o Sửa đổi rủi ro: thay đổi biện pháp kiểm soát để làm giảm nhẹ tổn thất
mà rủi ro mang lại cần đảm bảo không tạo ra rủi ro mới lớn hơn
o Giữ lại rủi ro: rủi ro ở mức chấp nhận
o Tránh rủi ro: tránh hoàn toàn 1 hoạt động hoặc nguyên nhân phát sinh rủi ro Phù hợp khi chi phí xử lý rủi ro quá cao hoặc rủi ro ở mức độ cao
o Chuyển giao rủi ro (chia sẻ rủi ro): có bên thứ 3 tham gia giám sát và quản lý rủi ro Nhưng trách nhiệm về hậu quả vẫn thuộc tổ chức
4 Chấp nhận rủi ro:
Sau khi xử lý rủi ro, tổ chức đưa ra các quyết định chấp nhận đối với rủi ro tồn đọng đã được các nhà quản lý có trách nhiệm xem xét và duyệt
5 Truyền thông và tham vấn rủi ro ATTT
Trang 3Rủi ro phải được thông báo giữa các cá nhân chịu trách nhiệm và các bên liên quan
6 Giám sát và xem xét rủi ro ATTT
- Theo dõi và xem xét các yếu tố, đặc biệt:
o Tài sản mới trong phạm vi quản lý rủi ro
o Sửa đổi giá trị tài sản
o Mối đe dọa mới
o Lỗ hổng mới
o Rủi ro ở mức chấp nhận gia tăng tác động hoặc hậu quả đến mức không chấp nhận được
- Giám sát và xem xét quản lý rủi ro và cải tiến
o Xác minh mục tiêu cũ, bối cảnh pháp lý và môi trường, bối cảnh cạnh tranh, bối cảnh tiếp cận và đánh giá rủi ro, các giá trị và danh mục tài sản
Để sửa đồi và bổ sung cho phù hợp với hoàn cảnh