QUẢN LÝ HỆ THỐNG THÔNG TIN Chủ đề 16: Risk Management Nhóm thực hiện: Lưu Vũ Nam Nguyễn Minh Phúc Mục tiêu bài học  Hiểu sự khác biệt giữa rủi ro và vấn đề.  Nhận diện các kiểu rủi ro khác nhau và quá trình giải quyết các rủi ro trong dự án CNTT.  Mô tả các mục tiêu chính của an toàn thông tin  Liệt kê các loại rủi ro hệ thống thông tin  Mô tả các loại điều khiển cần thiết để đảm bảo tính toàn vẹn của truy nhập dữ liệu và không bị gián đoạn thương mại điện tử Kết quả  Có khả năng nhận diện và quản lí rủi ro cũng như giảm nhẹ rủi ro trong dự án CNTT.  Hiểu vai trò, trách nhiệm của quản lí rủi ro  Hiểu biết về rủi ro của tổ chức và những rủi ro tiềm tàng trong một doanh nghiệp toàn cầu . Thế nào là rủi ro?  Rủi ro là sự không chắc chắn về một kết quả xấu.  Quản lí rủi ro là hình dung ra cái gì có thể đi sai (có thể xảy ra theo chiều hướng tiêu cực, rồi quyết định bạn có thể làm gì để ngăn ngừa nó hoặc giảm tác động của nó). Rủi ro hay hệ quả (issue)  Tuỳ theo tính có thể: – Rủi ro là cái còn chưa xảy ra => Yêu cầu hành động phòng ngừa. – Hệ quả là cái đã xảy ra => Yêu cầu hành động sửa chữa  => Hành động phòng ngừa rẻ hơn hành động sửa chữa. Định nghĩa quản lí rủi ro  Rủi ro là biến cố mà xuất hiện thì gây ra vấn đề.  Quản lí rủi ro là quá trình cho phép người quản lí CNTT cân bằng chi phí vận hành và chi phí kinh tế của biện pháp bảo vệ trong hệ thống CNTT để hỗ trợ cho sứ mệnh của doanh nghiệp.  Quản lí rủi ro là qui trình liên tục, có kỉ luật để quản lí sự việc không chắc chắn xảy ra.  Rủi ro là mối đe doạ có thể xảy ra và tác động bất lợi lên tổ chức. Thế nào là quản lí rủi ro?  Rủi ro là một sản phẩm của sự không chắc chắn các sự kiện trong tương lai và là một phần của tất cả các hoạt động.  Mặc dù vậy, rủi ro là cần thiết để tiến bộ. Cơ hội để thành công cũng như mang nguy cơ thất bại.  Nó là cần thiết để tìm hiểu sự cân bằng giữa tiêu cực có thể xảy ra của rủi ro với tiềm năng lợi ích và cơ hội mà nó mang lại. Rủi ro có thể được định nghĩa là khả năng bị thiệt hại hoặc mất mát. Khả năng là đặc trưng bởi ba yếu tố:  Xác suất hay khả năng mà mất hoặc thiệt hại sẽ xảy ra khi có rủi ro.  Thời gian dự kiến sẽ xảy ra rủi ro.  Độ lớn của những tác động tiêu cực có thể là kết quả của sự xuất hiện của nó. Thế nào là quản lí rủi ro? (tiếp) Quy trình quản lí rủi ro  Nhận diện rủi ro: – Phạm vi quản lí rủi ro – Nguồn của rủi ro – Trên cơ sở đó rủi ro sẽ được đánh giá  Phân tích rủi ro: Kiểm điểm và phân tích rủi ro có trong qui trình.  Đánh giá rủi ro: Nhận diện tuỳ chọn giải quyết rủi ro.  Giảm nhẹ (giải quyết rủi ro): Phòng ngừa hay làm giảm rủi ro bằng việc dùng tài nguyên sẵn có. [...]... thuộc vào hệ thống CNTT Rủi ro tổ chức (Tiếp)  Quản lí cấp cao như CIO phải đề cập tới các rủi ro này bằng cách: – Thiết lập tuyến cơ sở của qui trình quản lí rủi ro để định lượng và quản lí việc phát lộ rủi ro hiện thời – Chuẩn hoá cơ sở công nghệ để giảm rủi ro tích hợp và đảm bảo tương hộ và liên tác – Ban hành các qui trình qui quản quản lí rủi ro để xây dựng niềm tin và nhận biết về quản lí rủi... ro sẽ được tổ chức trong dự án – Kế hoạch quản lí rủi ro phải bao gồm nhiệm vụ quản lí, trách nhiệm, hoạt động và ngân sách rủi ro – Kế hoạch quản lí rủi ro có thể bao gồm một thành viên tổ khác với người quản lí dự án, người này chịu trách nhiệm quản lí các vấn đề dự án tiềm năng Rủi ro dự án (tiếp) – Từng rủi ro phải có các thuộc tính sau: ngày mở, tiêu đề, mô tả ngắn, xác suất và tầm quan trọng... (thị trường, quản lí)  Rủi ro quan hệ khách hàng (trao đổi)  Rủi ro xác định qui trình (chuẩn, may đo)  Rủi ro môi trường (chất lượng, công cụ)  Rủi ro công nghệ (độ phức tạp & thay đổi)  Rủi ro con người (cán bộ & kinh nghiệm) Vai trò và trách nhiệm  Việc quản lí rủi ro để đạt được kết quả tốt nhất cần phải phân công nhiệm vụ cụ thể đến từng bộ phận tham gia triển khai dự án: – Người quản lí dự... giảm nhẹ cho các rủi ro cao Quản lí rủi ro - các thuộc tính then chốt  Để việc quản lí rủi ro đạt được kết quả cao nhất cần: – Bắt đầu ngay từ đầu – Giám sát và quản lí một cách tích cực – Duy trì sự tập trung tới cuối cùng của mục tiêu – Luôn nắm giữ được những sự việc mang tính rủi ro cao Rủi ro dự án  Trong dự án, quản lí rủi ro có thể bao gồm: – Lập kế hoạch về cách quản lí rủi ro sẽ được tổ chức... và tạo cơ hội cho ăn cắp và lạm dụng thông tin  Tội phạm mức điều hành: đã làm cho nhiều công ti thất bại  Nhu cầu người tiêu thụ về bảo vệ tính riêng tư  Hỏng hóc CNTT, với trách nhiệm pháp lí mới - tăng rủi ro doanh nghiệp Giá trị của quản lí rủi ro  Qui trình quản lí rủi ro hiệu quả cần: – – – – Khử bỏ hay giảm thiểu việc phơi bày các rủi ro Nhận diện vấn đề tiềm năng trong khi chúng còn dễ... thể? Xác định khả năng xảy ra Có thường xuyên? Xác định hậu quả Có nghiêm trọng? Xác định mức rủi ro Mức độ nào? Sơ đồ các bước đánh giá rủi ro Kiểm soát rủi ro Nên làm gì ? Quản lý rủi ro - Các thuộc tính then chốt  Qui trình quản lý rủi ro tốt bao gồm: – – – – – – – Kế hoạch cần được lập tài liệu và tuỳ chỉnh sao cho phù hợp với nhu cầu Các qui trình giống nhau được dùng chung giữa các nhóm và các... nghệ hướng đối tượng (OO) vào trong tổ chức CNTT bằng việc chọn lựa một dự án được xác định rõ "X" với ràng buộc lịch biểu thử nghiệm dùng công nghệ này Mặc dầu nhiều nhân viên dự án "X" đã quen thuộc với khái niệm OO, nó còn chưa là một phần của qui trình phát triển của họ, và họ có rất ít kinh nghiệm và đào tạo trong áp dụng công nghệ này Tốn thời gian cho nhân sự dự án hơn là mong đợi học công nghệ...Qui trình quản lí rủi ro  Nhận diện rủi ro: Cái gì đi sai?  Phân tích rủi ro: Nó có thể thế nào? Hậu quả là gì?  Đánh giá tuỳ chọn giải quyết: Chúng ta có thể làm gì?  Trao đổi và theo dõi rủi ro: Mọi sự diễn ra thế nào?  Lập kế hoạch và thực hiện giảm nhẹ: Cần gì để giảm rủi ro?  Quản lí rủi ro là qui trình liên tục, có kỉ luật để quản lí bất trắc, và có sự đánh giá... lại Nguồn của rủi ro   Nhận diện rủi ro có thể bắt đầu với nguồn của vấn đề Nguồn rủi ro có thể là bên trong hay bên ngoài tổ chức hay dự án Ví dụ: – Khách hàng của dự án có thể quyết định cắt bỏ nó – Nhân viên then chốt của dự án bị tai nạn – Thời tiết tại sân bay có thể làm chậm chuyến bay – Thiên tai, đánh cắp thông tin, … Đánh giá rủi ro     Một khi rủi ro được nhận diện, nó phải được đánh... – Tổ dự án – Tổ nhận diện rủi ro – Tổ giảm nhẹ rủi ro Vai trò và trách nhiệm  Người quản lí dự án:  Xác định rủi ro khi lập dự án  Tham gia vào quá trình nhận diện, giảm thiểu rủi ro và theo dõi tiến trình này xuyên suốt dự án  Chấp nhận và bác bỏ mức độ rủi ro trong dự án  Nhóm dự án: Thực hiện quy trình quản lý rủi ro cho dự án  Nhóm nhận diện rủi ro    Cung cấp đầu vào cho quy trình nhận . QUẢN LÝ HỆ THỐNG THÔNG TIN Chủ đề 16: Risk Management Nhóm thực hiện: Lưu Vũ Nam Nguyễn Minh Phúc Mục tiêu bài học  Hiểu sự khác biệt giữa rủi ro và vấn đề.  Nhận diện các. quyết các rủi ro trong dự án CNTT.  Mô tả các mục tiêu chính của an toàn thông tin  Liệt kê các loại rủi ro hệ thống thông tin  Mô tả các loại điều khiển cần thiết để đảm bảo tính toàn vẹn của. đề.  Quản lí rủi ro là quá trình cho phép người quản lí CNTT cân bằng chi phí vận hành và chi phí kinh tế của biện pháp bảo vệ trong hệ thống CNTT để hỗ trợ cho sứ mệnh của doanh nghiệp.  Quản