BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KĨ THUẬT MẬT MÃ QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TỒN THƠNG TIN ĐỀ TÀI TÌM HIỂU CÁC PHƯƠNG PHÁP, QUY TRÌNH PHÂN TÍCH RỦI RO Giảng viên hướng dẫn : Nguyễn Thị Thu Thủy Sinh viên thực : Lê Trung Hiếu Vũ Tuấn Cảnh Phạm Trọng Thiện Nguyễn Quốc Huy Nguyễn Thiện Đô Hà Nội, tháng 12 năm 2021 MỤC LỤC Table of Contents MỤC LỤC LỜI CẢM ƠN LỜI NÓI ĐẦU CHƯƠNG 1: TỔNG QUẢN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN 1.1 Chính sách an tồn thơng tin 1.2 Quản lý sách an tồn thơng tin 1.2.1 Khái niệm an tồn hệ thống thơng tin 1.2.2 Các sách an tồn thơng tin tầm quan trọng chúng 1.2.3 Vận hành tổ chức khơng có sách 10 1.2.4 Những nguy hại việc thực thi sách sai 10 CHƯƠNG 2: TỔNG QUAN VỀ QUẢN LÝ RỦI RO 11 2.1 Tầm quan trọng quản lý rủi ro 11 2.2 Tổng quan rủi ro 12 2.2.1 Khái niệm rủi ro 12 2.2.2 Các loại rủi ro xảy 13 2.2.3 Một số phương pháp cải thiện 13 2.3 Phân tích rủi ro 14 2.3.1 Định nghĩa 14 2.3.2 Quy trình phân tích rủi ro 15 2.4 Quản lý rủi ro 21 2.4.1 Định nghĩa 21 2.4.2 Cơng thức tính rủi ro 22 2.4.3 Quy trình quản lý rủi ro 24 2.4.4 Những sai lầm phổ biến quản lý rủi ro 30 CHƯƠNG 3: CÁC PHƯƠNG PHÁP PHÂN TÍCH RỦI RO 31 3.1 Phân tích rủi ro định tính 31 3.1.1 Khái niệm 31 3.1.2 Ưu, nhược điểm 31 3.1.3 Các công cụ kỹ thuật quan trọng 32 3.1.4 Kỹ thuật phân tích rủi ro 35 3.2 Phân tích rủi ro định lượng 38 3.2.1 Khái niệm 38 3.2.2 Các công cụ kỹ thuật quan trọng 38 3.2.3 Ứng dụng 41 3.3 So sánh hai phương pháp 41 KẾT LUẬN 44 TÀI LIỆU THAM KHẢO 45 LỜI CẢM ƠN Sau thời gian tìm hiểu phương pháp quy trình phân tích rủi ro, nhóm 13 chúng em hồn thành báo cáo đề tài Chúng em xin chân thành cảm ơn cô Nguyễn Thị Thu Thủy - Giảng viên khoa An tồn thơng tin Học viện Kỹ thuật Mật Mã, hướng dẫn giải đáp thắc mắc cho chúng em trình thực đề tài Nhóm chúng em xin chân thành cảm ơn! NHÓM SINH VIÊN THỰC HIỆN ĐỀ TÀI LỜI NÓI ĐẦU Một tổ chức hay doanh nghiệp phát triển ln kèm theo phát triển công nghệ thông tin Tuy nhiên, nhiều dự án CNTT thất bại rủi ro cơng nghệ Một dự án phần mềm mắt xích quan trọng án CNTT lớn Vì dự án lớn hay hệ thống công nghệ vận hành cần phải tập trung vào nghiệp vụ trước thay công nghệ Một vài dẫn chứng cụ thể Anderson, quản lý dự án cho tập đoàn Kaman Sciences, chia sẻ kinh nghiệm từ dự án thất bại tờ CIO Enterprise Magazine Sau sử dụng hai năm vài trăm nghìn la vào dự án cung cấp hệ thống thông tin nhân lực tài client-server cho cơng ty, cuối Anderson đội ông ta nhận họ thất bại Anderson phát rằng, ông say mê với việc sử dụng công nghệ tiếp cận dự án cách rủi ro cao Ơng nghĩ đơn giản việc đội dự án cần làm sau nhận ông sai Cuối công ty định chuyển sang công nghệ ổn định giải yêu cầu nghiệp vụ công ty Do đó, thấy tầm quan việc phân tích quản lý rủi ro cho doanh nghiệp hay tổ chức quan trọng Sau thời gian tìm hiều vấn đề này, nhóm chúng em chọn đề tài nghiên cứu: “Tìm hiểu phương pháp, quy trình phân tích rủi ro Đưa đánh giá phương pháp đó” Bố cục đề tài gồm chương Chương 1: Tổng quan sách an tồn thơng tin Chương 2: Tổng quan quản lý rủi ro Chương 3: Phương pháp phân tích rủi ro CHƯƠNG 1: TỔNG QUẢN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN Ở chương trình bày tổng quan sách an tồn thơng tin Đưa nhìn tổng quan việc quản lý sách an tồn cách vận hành tổ chức doanh nghiệp ổn định Đưa nguy hại đưa sách an tồn khơng xác 1.1 Chính sách an tồn thơng tin Trong trường hợp lý tưởng mà sách thủ tục đầy đủ chặt chẽ đồng thời nhân viên luôn tuân thủ theo quy định kết đạt hồn hảo Tuy nhiên, thực tế khó có thẻ tồn lí tưởng Cả sách thủ tục đề lúc thực đắn nhân viên không luôn tuân theo chúng Hãy xét ví dụ đơn giản sinh viên nhận học bổng học viện Thủ tục bao gồm kiểm tra thông tin sinh viên nhận học bổng Chính sách học viện quy định sinh viên nhận học bổng phải tự nhận khơng nhân hộ Nếu khơng tn thủ sách học viện trao nhầm học bổng thất tài học viện Vậy sách yêu cầu, biện pháp cần phải tuân thủ để đạt mục đích chủ thể đề sách Đối với tổ chức cần bảo vệ an tồn hệ thống thơng tin (Information System Security - ISS) cần phải đặt bắt buộc tn thủ sách an tồn hệ thơng thơng tin hay gọi đơn giản “Chính sách an tồn” hay “Chính sách ISS” Chính sách an tồn thơng tin tập sách tổ chức đưa để đảm bảo tất nhân viên tổ chức phải tuân thủ luật lệ hướng dẫn liên quan đến an tồn thơng tin lưu trữ tổ chức Mặc dù khơng có tiếp cận giống tổ chức nên có cách riêng để thực thi bắt buộc tuân thủ sách Một thách thức mà tổ chức phải dối mặt chi phí để giữ vững phát triển công nghệ luôn thay đổi Điều bao gồm thu nhập cần cập nhật sách kịp thời với việc cập nhật cơng nghệ Tình trạng thực thi sách khơng thích hợp tạo nên điểm yếu hệ thống Những điểm yếu ảnh hưởng xấu tới q trình xử lý cơng việc dẫn đến việc bị bị cắp thông tin Trong việc đưa sách an tồn, nhiều tổ chực bắt buộc phải có yêu cầu sách Các yêu cầu bao gồm quy mơ tổ chức, trình xử lý, kiểu thông tin, luật lệ quy tắc Sau có người để cài đặt chúng Điều phụ thuộc vào chấp nhận nhân viên quản lý việc bắt buộc tn thủ sách Rõ ràng sách giảm tính hiệu chí khơng có giá trị khơng tn theo Một sách bảo mật phải khả thi mặt kinh tế, dễ hiểu, thực tế, quán, chấp nhận thủ tục cung cấp bảo vệ hợp lý liên quan đến mục tiêu mục tiêu nêu quản lý Chính sách bảo mật xác định tổng thể mục tiêu an ninh kiểm soát rủi ro mà tổ chức tán thành Các đặc điểm sách bảo mật tốt là:  Chúng phải thực thông qua thủ tục quản trị hệ thống, xuất hướng dẫn sử dụng chấp nhận được, phương pháp thích hợp khác  Chúng phải thi hành công cụ bảo mật, thích hợp với xử phạt, nơi phịng ngừa thực tế không khả thi mặt kỹ thuật  Họ phải xác định rõ lĩnh vực trách nhiệm cho người dùng, quản trị viên, quản lý  Chúng phải ghi lại, phân phối truyền đạt 1.2 Quản lý sách an tồn thơng tin 1.2.1 Khái niệm an tồn hệ thống thơng tin An tồn hệ thống thơng tin việc bảo vệ thông tin bảo vệ hệ thống lưu trữ xử lý thơng tin Sự bảo vệ có nghĩa chống lại rủi ro dẫn tới việc truy cập, sử dụng, làm lộ, phá vỡ, sửa chữa hay phá hủy thông tin cách bất hợp pháp Điều không bảo vệ thông tin bên máy tính mà cịn bảo vệ thơng tin dạng nào, chẳng hạn bảo vệ liệu hay bảo vệ thông tin phương tiện truyền thơng Trong thực tế sách an tồn có cấu trúc chặt chẽ để đảm bảo bảo vệ thông tin chỗ dạng Có thể thấy phạm vi rõ ràng cụ thể cần phải đảm bảo an tồn Thơng thường tổ chức áp đặt an toàn nghiêm ngặt khu vực có mối đe dọa lớn tới tài nguyên người Trong q trình xử lý thơng tin quan trọng nên có q trình xử lý vòng đời để giảm thiếu lỗi xảy đồng thời đảm bảo trình xử lý xem xét tất yêu cầu đặt Một q trình xử lý vịng đời cụ thể chia nhiệm vụ thành pha nhỏ hơn, dễ sử dụng Hiệp hội kiểm toán quản lý hệ thống thông tin (Information Systems Audit and Control Association - ISACA) phát triển khung làm việc thực tiễn gọi đối tượng kiểm soát thơng tin cơng nghệ có liên quan (Control Objects for Information and Related Technology - COBIT) Khung làm việc có phần ưu điểm q trình xử lý vòng đời quốc tế chấp nhận rộng rãi, khung làm việc COBIT gồm pha hướng tới vịng đời an tồn hệ thống thơng tin dựa khái niệm:     Lập kế hoạch Tổ chức Đạt Cài đặt Phân phối Hỗ trợ Giám sát Quản lý 1.2.2 Các sách an tồn thơng tin tầm quan trọng chúng Chính sách hiểu yêu cầu hoạt động hay trình xử lý mà tổ chức thực Các sách ISS quy định xếp kiểm sốt q trình xử lý đặc trưng cho hệ thống thơng tin Những sách đề cập tới loại kiểm sốt cần thiết khơng đưa cách xây dựng chúng Chính sách ISS cần bao quát hiểm họa hệ thống chúng phải bảo vệ người thông tin Chúng phải thiết lập luật người dùng, xác định hậu vi phạm tối thiểu hóa rủi ro tổ chức Do đó, trình xử lý chứa yêu cầu tổ chức nên có sách hỗ trợ Các tài liệu khác khung sách cung cấp thêm hỗ trợ cho trình xử lý Có kiểu tài liệu khác khung sách:  Chính sách tài liệu đưa cách thức thực quản lý chức công việc giao dịch với tác động mong muốn tổ chức  Chuẩn quy tắc phương pháp thiết lập chứng minh quy tắc tiêu chuẩn thủ tục hay kỹ thuật cài đặt rộng rãi tổ chức  Thủ tục làm báo cáo viết nhằm mơ tả bước cần có để cài đặt trình xử lý  Hướng dẫn tài liệu bên sách, chuẩn hay thủ tục mà đề nghị không bắt buộc Theo hình vẽ trên, thủ tục hướng dẫn hỗ trợ sách có chuẩn ảnh hưởng tới sách Bốn tài liệu chia thành hai nhóm: Tài liệu bên bên ngồi Các chuẩn tài liệu bên ngồi, cịn sách, thủ tục hướng dẫn tài liệu bên Chuẩn q trình xử lý hay phương pháp để cài đặt giải pháp Chuẩn bao gồm kỹ thuật phần cứng hay phần mềm có hồ sơ chứng minh thực Đây chuẩn thủ tục chuẩn cài đặt chuẩn triển khai kỹ thuật thực thi rộng rãi tổ chức Vì mục đích ISS: Chuẩn tập hợp tiêu chuẩn để hệ thống thông tin dựa vào vận hành theo Các chuẩn áp dụng ảnh hưởng bên việc tạo sách Một tổ chức có chuẩn nội Thường chuẩn biến đổi cho phù hợp với tổ chức dựa thực tiễn từ tổ chức khác Chính sách tài liệu cách thực tổ chức Tài liệu mô tả cách quản lý chức giao dịch tác động tổ chức mong muốn Chính sách làm cho kiểm sốt an tồn thơng tin trở lên dễ dàng tài liệu “Ai làm cho nào” Chính sách phản ánh việc bảo vệ thông tin từ ban lãnh đạo Thủ tục báo cáo viết nhằm mô tả bước cần thiết để cài đặt trình xử lý Mục tiêu thủ tục hỗ trợ sách chuẩn Các thủ tục cho biết cách thực nhiệm vụ cụ thể Thủ tục cài chi tiết hiệu có lỗi xảy Hướng dẫn đặt thơng số bên sách, chuẩn hay thủ tục mà sử dụng Hướng dẫn tài liệu bắt buộc mà hỗ trợ cho CHƯƠNG 3: CÁC PHƯƠNG PHÁP PHÂN TÍCH RỦI RO Ở chương trình bày phương pháp phân tích rủi ro định tính định lượng Từ đưa so sánh cụ thể để đánh giá phương pháp phân tích 3.1 Phân tích rủi ro định tính 3.1.1 Khái niệm Thực phân tích rủi ro định tính quy trình đánh giá mức độ ưu tiên cho rủi ro riêng lẻ dự án để phục vụ q trình phân tích sâu sau, cách đánh giá khả xảy tác động chúng tới dự án, đồng thời cân nhắc số đặc điểm khác rủi ro Quy trình tập trung nỗ lực vào rủi ro có mức ưu tiên cao Cách phân tích khơng gán giá trị cụ thể cho tham số mà tùy thuộc vào ngữ cảnh định dựa vào mơ hình câu hỏi “nếu như” , “rất tốt , tốt , xấu”, “đạt, khơng đạt” Kết đánh giá định tính rủi ro trình bày dạng bảng, liệt kê tất mối nguy nhận diện được, biện pháp kiểm sốt, giảm thiểu rủi ro có, phân loại mức độ rủi ro cho mối nguy kiến nghị biện pháp giảm thiểu rủi ro tương ứng Mức độ rủi ro xác định từ ma trận rủi ro Bảng đăng ký mối nguy hình thức thể kết đánh giá rủi ro định tính 3.1.2 Ưu, nhược điểm Ưu điểm:     Tính tốn đơn giản Khơng cần thiết định rõ ràng giá trị vật chất tài sản Không cần phải định lượng tần suất hiểm họa Dễ dàng liên kết phận phi kỹ thuật phi bảo mật  Rất linh hoạt triển khai báo cáo Nhược điểm:  Bản chất dựa nhiều vào kinh nghiệm chủ quan  Kết phụ thuộcnhiều vào khả chất lượng nhóm làm phân tích rủi ro 31  Cũng cần có vài hoạt động định lượng cho tài sản có giá trị đặc biệt quan trọng  Khơng có rõ ràng cho việc phân tích chi phí khắc phục rủi ro 3.1.3 Các công cụ kỹ thuật quan trọng  Risk data quality assessment (Đánh giá chất lượng liệu rủi ro):  Mức độ hiểu biết rủi ro  Dữ liệu có sẵn rủi ro  Chất lượng liệu  Độ tin cậy tính tồn vẹn liệu Dữ liệu cần xác đáng tin cậy để làm sở cho phân tích rủi ro định tính Việc sử dụng liệu chất lượng thấp dẫn đến phân tích định tính sai lệch Dữ liệu đầu vào rác, liệu đầu đống rác Ví dụ: “Khả trời mưa TP.HCM vào mùa nắng cao, liệu đầu vào thiếu xác, thơng tin che phủ cơng trình ngồi trời đề phịng trường hợp trời mưa, thực tế khơng có mưa, dẫn tốn chi phí.”  Risk probability and impact assessment (Đánh giá khả tác động rủi ro): Chúng ta cần xem xét khả xảy rủi ro cụ thể, đánh giá tác động rủi ro đó, xem xét ảnh hưởng nhiều mục tiêu dự án tiến độ, chi phí, chất lượng hiệu suất Các rủi ro có khả xảy tác động thấp đưa vào risk register, dạng watchlist để theo dõi tương lai Có thể xem xét đặc điểm khác rủi ro (ngoài khả xảy tác động) đánh giá mức độ ưu tiên cho rủi ro riêng lẻ  Risk categorization (Phân loại rủi ro) Các rủi ro dự án phân loại theo mục sau đây, để xác định phạm vi dự án chịu nhiều tác động nhất:  Các nguồn rủi ro  Khu vực bị ảnh hưởng dự án 32  Những nguyên nhân gốc rễ phổ biến  Probability and impact matrix (Ma trận khả tác động): Dựa vào kết hợp khả (probability) tác động (impact) rủi ro, phân chia rủi ro riêng lẻ vào nhóm ưu tiên Có thể đánh giá rủi ro cách riêng biệt cho mục tiêu cách có ma trận khả tác động riêng cho mục tiêu Ví dụ: Rủi ro số có khả xảy cao 0.9, tác động cao 0.4 có risk score = 0.9*0.4 = 0.36, làm tương tự với rủi ro khác cho tác động tiêu cực tích cực Khi sử dụng Probability and impact matrix xác định rủi ro nằm vùng có độ ưu tiên cao (màu đậm), độ ưu tiên trung bình (màu nhạt), độ ưu tiên thấp (màu trắng)  Bubble chart (Biểu đồ bong bóng): Trong trường hợp rủi ro phân loại nhiều hai tham số, khơng thể sử dụng ma trận khả tác động, cần có biểu đồ khác Chúng ta sử dụng biểu đồ bong bóng để biểu diễn mối quan hệ ba tham số Ví dụ Như biểu đồ bên dưới, ngồi cịn số biểu đồ có biến thể màu bong bóng, thể thơng số rủi ro Nó khắc phục giới hạn ma trận có chiều 33  Risk workshop: Để thực phân tích rủi ro định tính, nhóm dự án tiến hành họp chuyên biệt thường gọi risk workshop dành riêng cho việc thảo luận rủi ro riêng lẻ  Risk owner: Chịu trách nhiệm lập kế hoạch ứng phó rủi ro thích hợp báo cáo tiến độ quản lý rủi ro đồng thời phân bổ cho rủi ro riêng lẻ phần quy trình thực phân tích rủi ro định tính  Mỗi họp có điều phối viên có kỹ tốt làm tăng hiệu họp  Risk register: Cập nhật thơng tin tạo q trình thực phân tích rủi ro định tính Các cập nhật cho risk register bao gồm:        Đánh giá khả xảy tác động rủi ro riêng lẻ dự án Mức độ ưu tiên risk score cho rủi ro Risk owner định Kết đánh giá dựa thông số khác Rủi ro phân loại vào danh mục Watchlist chứa rủi ro có mức độ ưu tiên thấp Danh sách rủi ro cần phân tích thêm 34  Risk report: Được cập nhật để phản ánh rủi ro quan trọng dự án (thường rủi ro có khả xảy tác động cao nhất), danh sách ưu tiên tất rủi ro xác định dự án mơ tả tóm tắt Phân tích rủi ro định tính sử dụng để thực việc sau:  So sánh rủi ro tổng thể dự án với rủi ro tổng thể dự án khác  Xác định xem nên tiếp tục hay chấm dứt dự án  Xác định xem có nên tiến hành quy trình thực phân tích định lượng lập kế hoạch ứng phó rủi ro (tùy thuộc vào nhu cầu dự án tổ chức thực hiện) hay khơng 3.1.4 Kỹ thuật phân tích rủi ro  Kỹ thuật Delphi Phương pháp phân tích rủi ro cấp độ chuyên gia Mỗi chun gia đóng góp kiến thức riêng để đánh giá rủi ro cách thành thạo Các rủi ro sau tất chuyên gia xem xét ưu tiên Explanation(Giải trình):  Thủ tục thích dự đốn khả xảy khả xảy kiện  Đây coi thủ tục người khởi xướng người điều phối thu thập ý kiến chủ đề từ nhóm chuyên gia ẩn danh  Một trình bao gồm nhiều lần lặp lại  Mỗi lần lặp lại thực sau nhận phản hồi quán bước trước  Các bước lặp lại phải thực đạt đồng thuận trí chung từ nhóm chuyên gia chọn  Nhóm cung cấp quan điểm, giả định ước tính họ cho người điều hành bước thảo luận nhóm  Sau kết thúc vòng đấu, chuyên gia chia sẻ quan điểm dự đoán chuyên gia khác  Phương pháp Delphi sử dụng để nghiên cứu dự báo cho vấn đề chưa xác định giải pháp Điều sử dụng tun bố vấn đề định, khơng có câu trả lời yêu cầu đưa định 35 xác Phương pháp Delphi không dựa vào chuyên gia chủ đề mà tính đến ý kiến đến từ số chuyên gia chủ đề  Phương pháp kỹ thuật Delphi trở thành phương pháp goto lựa chọn phổ biến để dự báo yêu cầu ẩn danh chuyên gia chủ đề chủ đề khó chủ đề vấn đề có ý nghĩa trị Phương pháp hữu ích cần thu thập cỡ mẫu lớn việc tương tác trực tiếp trở nên khó khăn để rút suy luận chủ quan chủ đề chọn Cách hoạt động phương pháp Delphi:  Bước liên quan đến việc lựa chọn lựa chọn thông hoạt viên Điều liên quan đến việc lựa chọn người trung lập, người khơng thiên vị suốt q trình  Khi người điều hành định, bước thứ hai liên quan đến việc lựa chọn ban chuyên gia Hội đồng bao gồm chuyên gia khách hàng miền chuyên gia chủ đề làm việc ngành  Chuyên gia vấn đề coi cá nhân có nhạy bén kiến thức cần thiết để giải vấn đề  Bước thứ ba liên quan đến định việc lựa chọn tuyên bố vấn đề Sau đó, chun gia cần thơng báo chủ đề chọn để họ có đủ thời gian thu thập điểm cần thiết mà họ chia sẻ với nhóm lớn người điều hành  Sau đó, thơng hoạt viên chia sẻ câu hỏi thông qua bảng câu hỏi rộng tồn diện  Sau đó, thơng hoạt viên thu thập bảng câu hỏi hồn thành từ nhóm lớn cố gắng đồng điểm chung loại bỏ thông tin không liên quan  Sau đó, thơng hoạt viên chia sẻ câu hỏi thứ hai làm sở cho câu trả lời nhận cho lơ với mục đích sâu vào vấn đề  Thông hoạt viên tiếp tục lặp lại bước đạt đồng thuận chung kết cuối chia sẻ với nhóm mục tiêu  Các phát kết sau phân tích sâu để xác định giải pháp, hội cho phát biểu vấn đề cho Ví dụ : 36  Kỹ thuật phương pháp Delphi có ứng dụng lớn việc giải dự án kinh doanh có tác động lớn vấn đề trị nhạy cảm cao Để dự án có tác động cao thành công, người quản lý dự án phải xác định xác suất kiện cụ thể xảy suốt trình dự án phân tích xem kiện có ảnh hưởng đến dự án hay không Trong kịch vậy, phương pháp Delphi đóng vai trò quan trọng việc xác định hội rủi ro liên quan đến dự án  Tương tự vậy, việc hoạch định sách cơng, phương pháp đóng vai trị quan trọng việc hướng tới giải pháp rộng rãi Ưu điểm:  Phương pháp tạo hội cho người lớn xuất tham gia  Nó giúp phát sớm vấn đề giải pháp giúp xác định hướng hành động thay  Sau bước phản hồi, chuyên gia tạo hội để xem xét hiểu biết sâu sắc ý kiến họ mà sau họ thay đổi bước  Sự tham gia chuyên gia có xu hướng ẩn danh Nhược điểm:  Đây trình tốn nhiều thời gian thơng hoạt viên phải tạo điều kiện cho vòng vấn lặp lặp lại để đến thống chung  Quá trình trở nên phức tạp với gia tăng trường hợp nhiều vòng lặp lặp lại  Tuyên bố vấn đề phải xác định rõ ràng phải minh bạch  Dữ liệu thu thập đối chiếu có số ước tính sai lệch chuyên gia đưa thơng hoạt viên nắm bắt khơng thể nắm bắt sai lệch  Có nhiều khả động lực nhóm bị thao túng để đưa giải pháp không xác Kết luận: Quy trình phương pháp Delphi bao gồm việc đặt nhiều vịng câu hỏi cho nhóm chuyên gia mục tiêu Họ làm đến đồng thuận chung câu trả lời xác Q trình mang tính khám phá với ứng dụng rộng rãi quản lý dự án phạm vi công cộng 37 Một phương pháp tránh tương tác khó đối mặt giúp giải vấn đề chung liên quan đến động nhóm Quy trình thu thập thơng tin phản hồi thường xuyên bước Nói tóm lại, phương pháp giúp hiểu khả xảy khả xảy kiện 3.2 Phân tích rủi ro định lượng 3.2.1 Khái niệm Thực phân tích rủi ro định lượng q trình phân tích tác động tổng hợp rủi ro riêng lẻ nguồn không chắn khác mục tiêu tổng thể dự án thông qua số liệu cụ thể Quy trình sử dụng dự án hay hệ thống vận hành thực xun suốt Thực phân tích rủi ro định lượng thường yêu cầu phần mềm chuyên dụng chuyên môn việc xây dựng phân tích mơ hình rủi ro, trình tiêu tốn thêm thời gian chi phí dự án hay hệ thống doanh nghiệp Thực phân tích rủi ro định lượng xem phương pháp đáng tin cậy để đánh giá rủi ro tổng thể dự án hay hệ thống thông qua đánh giá tác động tổng hợp lên kết dự án hay hệ thống tất rủi ro riêng lẻ nguồn không chắn khác Những kết luận từ quy trình phân tích rủi ro định lượng sử dụng làm tảng cho q trình lập kế hoạch ứng phó rủi ro, đặc biệt việc đề xuất phương án ứng phó rủi ro rủi ro có mức độ ưu tiên cao Phân tích rủi ro định lượng thực sau q trình lập kế hoạch ứng phó rủi ro, để xác định hiệu có phương án theo kế hoạch việc giảm thiểu rủi ro tổng thể dự án 3.2.2 Các công cụ kỹ thuật quan trọng  Simulation (Mơ phỏng): Phân tích rủi ro định lượng sử dụng mơ hình mơ tác động tổng hợp rủi ro riêng lẻ nguồn không chắn khác để đánh giá tác động tiềm tàng chúng việc đạt mục tiêu dự án  Phân tích Monte Carlo: - Monte Carlo dạng mơ hình mơ  Khi chạy phân tích Monte Carlo cho rủi ro X, mơ sử dụng ước tính X dự án Trong đó, X chi phí, tiến độ (network diagram ước lượng thời gian) hai  Các giá trị đầu vào (ví dụ: ước lượng chi phí, ước lượng thời gian) chọn ngẫu nhiên cho lần lặp 38  Sử dụng phần mềm máy tính để lặp lại mơ hình phân tích rủi ro định lượng hàng nghìn, hàng vạn lần  Kết đầu đại diện cho phạm vi kết có cho dự án (ví dụ: ngày kết thúc dự án, chi phí dự án hồn thành)  Các đầu điển hình bao gồm: + Biểu đồ trình bày số lần lặp lại từ việc chạy mô phỏng, + Phân phối xác suất tích lũy (S-curve) thể xác suất đạt kết cụ thể  Sensitivity analysis (Phân tích độ nhạy): Giúp xác định rủi ro riêng lẻ nguồn khơng chắn có khả tác động nhiều đến kết dự án  Tornado diagram (Sơ đồ lốc xoáy): Là dạng phân tích độ nhạy Trình bày hệ số tương quan tính tốn cho yếu tố mơ hình phân tích rủi ro định lượng ảnh hưởng đến kết dự án  Sơ đồ bao gồm: + Rủi ro riêng lẻ, + Các hoạt động dự án có mức độ thay đổi cao, + Các nguồn mơ hồ cụ thể  Các hạng mục xếp theo độ mạnh tương quan giảm dần, tạo hình dạng lốc xoáy  Lưu ý: Độ nhạy ≠ DOE - Design Of Experiments (một thuật ngữ quản lý chất lượng) + Độ nhạy: thay đổi yếu tố cố định yếu tố khác để xem yếu tố có tác động lớn + Thiết kế thử nghiệm (DOE): thay đổi cách có hệ thống tất yếu tố quan trọng xem kết hợp có tác động lớn  Decision tree analysis (Phân tích định): Được sử dụng để hỗ trợ đưa lựa chọn tốt số số phương án khác 39  Các phương án chia thành nhánh, hiển thị định, nhánh có chi phí liên quan rủi ro riêng lẻ liên quan (bao gồm mối đe dọa hội)  Điểm cuối nhánh định đại diện cho kết theo phương án cụ thể đó, tiêu cực tích cực (giá trị âm dương)  Cây định đánh giá cách tính tốn giá trị tiền dự kiến nhánh (Expected Monetary Value - EMV), cho phép chọn phương án tối ưu  Được áp dụng theo công thức: EMV = P x I Trong đó: + EMV: Expected Monetary Value - Giá trị tiền mong đợi + P: Probability - khả xảy + I: Impact - tác động  Việc tính tốn EMV thực q trình phân tích rủi ro định lượng sửa đổi trình lập kế hoạch ứng phó rủi ro tính tốn khoản dự phịng (contingency reserves) cho tiến độ chi phí + Cây định tính đến kiện tương lai để đưa định thời điểm + Với định, đánh giá chi phí (hoặc tác động tiến độ) lợi ích số phương án ứng phó rủi ro lúc để xác định đâu lựa chọn tốt  Đánh giá mức độ rủi ro tổng thể dự án Rủi ro tổng thể dự án phản ánh hai thước đo chính: Cơ hội thành cơng dự án, biểu thị xác suất dự án đạt mục tiêu Ví dụ: “Chúng ta có 80% hội hồn thành dự án vòng sáu tháng khách hàng yêu cầu” Hoặc, "Chúng ta có 75% hội hồn thành dự án ngân sách 800.000 la."  Phân tích xác suất chi tiết dự án 40 Các kết từ phân tích rủi ro định lượng trình bày nhiều định dạng, chẳng hạn S-curve, biểu đồ lốc xốy Các kết chi tiết có phân tích rủi ro định lượng bao gồm: Lượng dự phịng cần thiết dự án Ví dụ: “Dự án cần thêm 50.000 đô la hai tháng thời gian để giải rủi ro dự án.” Các khoản dự phòng chốt quy trình lập kế hoạch ứng phó rủi ro Xác định rủi ro riêng lẻ nguồn không chắn khác có ảnh hưởng lớn đến critical path dự án Các nguồn rủi ro tổng thể dự án có ảnh hưởng lớn đến không chắn kết dự án  Danh sách ưu tiên rủi ro riêng lẻ: Danh sách bao gồm rủi ro riêng lẻ gây mối đe dọa lớn mang lại hội lớn cho dự án, chúng cách phân tích độ nhạy (Sensitivity analysis)  Xu hướng kết phân tích rủi ro định lượng: Khi lặp lại phân tích rủi ro định lượng trình lập kế hoạch dự án thay đổi đề xuất, theo dõi thay đổi rủi ro tổng thể dự án thấy xu hướng  Đề xuất phương án ứng phó rủi ro: Có thể đưa đề xuất phương án ứng phó với mức độ rủi ro tổng thể dự án rủi ro riêng lẻ quan trọng, dựa kết phân tích rủi ro định lượng Các đề xuất làm tiền đề cho quy trình lập kế hoạch ứng phó rủi ro 3.2.3 Ứng dụng Phân tích rủi ro định lượng sử dụng làm tảng cho q trình lập kế hoạch ứng phó rủi ro, đặc biệt việc đề xuất phương án ứng phó rủi ro rủi ro có mức độ ưu tiên cao Phân tích rủi ro định lượng thực sau trình lập kế hoạch ứng phó rủi ro, để xác định hiệu có phương án theo kế hoạch việc giảm thiểu rủi ro tổng thể dự án 3.3 So sánh hai phương pháp Phân tích rủi ro định tính 41 Phân tích rủi ro định lượng Mức độ sử dụng Thường thực với tất rủi ro, tất dự án Đánh giá độ ưu tiên rủi ro cách sử dụng thang đánh giá xác định trước Cách thực Rủi ro tính điểm dựa khả xảy tác động đến mục tiêu dự án chúng xảy Cũng bao gồm việc phân loại rủi ro thích hợp Thường thực hơn, tùy thuộc vào loại dự án, rủi ro dự án sẵn có liệu sử dụng để tiến hành phân tích định lượng Phân tích sâu rủi ro có mức độ ưu tiên cao Định lượng kết có cho dự án đánh giá xác suất đạt mục tiêu cụ thể dự án Cung cấp cách tiếp cận định lượng để đưa định có khơng chắn Tạo mục tiêu chi phí, tiến độ phạm vi thực tế đạt Để thực phân tích rủi ro định lượng, yêu cầu: liệu đầu vào chất lượng cao, danh sách ưu tiên rủi ro dự án (từ quy trình phân tích rủi ro định tính) Mức độ phân tích Ở tầng rủi ro riêng lẻ Ở tầng dự án Mục đích Đánh giá chủ quan cho khả xảy tác động rủi ro Đánh giá xác suất ước lượng thời gian chi phí dự án Tính chất Thực dễ nhanh Tốn thời gian để thực Công cụ hỗ trợ Không cần công cụ hay phần mềm đặc biệt Cần số công cụ kỹ thuật đặc biệt 42 43 KẾT LUẬN Các sách quản lý an tồn thơng tin cho doanh nghiệp, tổ chức cần thiết Khi bắt đầu dự án mới, vận hành hệ thống quan trọng việc phân tích, quản lý rủi ro bước quan trọng việc thiếu Từ việc quản lý rủi ro lường trước hậu xảy cho hệ thống hay dự án Để đảm bảo doanh nghiệp ln hoạt động hiệu an tồn Qua tìm hiểu đề tài nhóm chúng em có nhìn tổng quan vấn đề phân tích, quản lý rủi ro cho doanh nghiệp:  Có nhận thức quan trọng sách sách an tồn thơng tin  Nhận thức tầm quan việc phân tích hay quản lý rủi ro cho doanh nghiệp  Đưa phương pháp phân tích rủi ro cụ thể phân tích định tính định lượng đánh giá phương pháp phân tích 44 TÀI LIỆU THAM KHẢO [1] – Bài giảng: Phân tích quản lý rủi ro Th.S Thạc Bình Cường TOPICA [2] – Từ https://www.atoha.com/blogs/kien-thuc/quan-ly-rui-ro-du-an-projectrisk-management , truy cập lần cuối vào 18/12/2021 [3] – Từ https://vietnambiz.vn/phan-tich-rui-ro-risk-analysis-la-gi-noi-dungphan-tich-rui-ro-20190921110721733.htm, truy cập lần cuối vào 19/12/2021 [4] – Từ https://www.can-do.de/en/blog/what-methods-for-risk-analysis-youknow-test, truy cập lần cuối vào 15/12/2021 [5] – Từ https://phantichtaichinh.com/07-buoc-cho-quy-trinh-quan-ly-rui-rotrong-doanh-nghiep/, truy cập lần cuối vào 17/12/2021 45 ... trình quản lý rủi ro Phải ln biết quy trình quản lý rủi ro điều quan trọng quản lý dự án vận hành hệ thống Chúng ta phải biết điều xảy ra, xảy vào lúc hiểu quản lý rủi ro thay đổi cách quản lý. .. lý rủi ro Chương 3: Phương pháp phân tích rủi ro CHƯƠNG 1: TỔNG QUẢN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN Ở chương trình bày tổng quan sách an tồn thơng tin Đưa nhìn tổng quan việc quản lý sách an. .. kiện Quản lý rủi ro: Sau ước tính rủi ro, phải nghiên cứu cách để quản lý rủi ro Khi làm việc này, doanh nghiệp phải cố gắng chọn lựa cách quản lý rủi ro đỡ tốn chi phí Rủi ro quản lý số cách