ISO 27005 Thiết lập bối cảnh: - Lựa chọn cách tiếp cận quản lý rủi ro thích hợp để giải tiêu chí - Xác định nguồn lực sẵn có - Xác định tiêu chí chấp nhận rủi ro - Xác định phậm vi ranh giới quản lý rủi ro: o Mục tiêu kinh doanh, chiến lược tổ chức o Yêu cầu pháp lý, yêu cầu hợp đồng o Các sách ATTT o Phân tích bên liên quan: tổ chức (về mặt nhận thức) Đánh giá rủi ro ATTT: - Mục đích: xác đinh giá trị tài sản, xác định mối đe dọa lỗ hổng tồn tại, biện pháp kiểm soát có ảnh hưởng chúng đến rủi ro xác định, xác định hậu tiềm ẩn Xếp hạng rủi ro - Gồm hoạt động chính: o Nhận diện rủi ro: nhằm mục đích xác đinh việc sảy gây hậu tiềm ẩn nguyên nhân sảy để từ có biện pháp thích hợp Xác định tài sản Xác định mối đe dọa: tự nhiên – người, vơ tình – cố ý Xác định biện pháp kiểm sốt có Xác định lỗ hổng: tồn tổ chức, quy trình thủ tục, quy trình quản lý, nhân sự, mơi trường vật lý, cấu hình hệ thống thơng tin, phần cứng, phần mềm thiết bị truyền thông, phụ thuộc vào bên bên Xác định hậu quả: biểu hiệu quả, điều kiện hoạt động bất lợi, kinh doanh, danh tiếng, thiệt hại o Phân tích rủi ro: phương pháp phân tích: định tính định lượng gồm phần quan trọng: Đánh giá hậu quả: phụ thuộc vào định giá tài sản Đánh giá khả sảy cố: Tần suất xuất Khả xuất Mức độ xác định rủi ro: danh sách rủi ro xêp theo mức độ o Đánh giá rủi ro: trả lời câu hỏi: Có nên thực hoạt động hay khơng? Ưu tiên xử lý rủi ro gì? Xử lý rủi ro: - Dựa vào đánh giá rủi ro mục phân tích chi phí – lợi nhuận, rủi ro xử lý theo cách sau: o Sửa đổi rủi ro: thay đổi biện pháp kiểm soát để làm giảm nhẹ tổn thất mà rủi ro mang lại cần đảm bảo không tạo rủi ro lớn o Giữ lại rủi ro: rủi ro mức chấp nhận o Tránh rủi ro: tránh hoàn toàn hoạt động nguyên nhân phát sinh rủi ro Phù hợp chi phí xử lý rủi ro cao rủi ro mức độ cao o Chuyển giao rủi ro (chia sẻ rủi ro): có bên thứ tham gia giám sát quản lý rủi ro Nhưng trách nhiệm hậu thuộc tổ chức Chấp nhận rủi ro: Sau xử lý rủi ro, tổ chức đưa định chấp nhận rủi ro tồn đọng nhà quản lý có trách nhiệm xem xét duyệt Truyền thông tham vấn rủi ro ATTT Rủi ro phải thông báo cá nhân chịu trách nhiệm bên liên quan Giám sát xem xét rủi ro ATTT - Theo dõi xem xét yếu tố, đặc biệt: o Tài sản phạm vi quản lý rủi ro o Sửa đổi giá trị tài sản o Mối đe dọa o Lỗ hổng o Rủi ro mức chấp nhận gia tăng tác động hậu đến mức không chấp nhận - Giám sát xem xét quản lý rủi ro cải tiến o Xác minh mục tiêu cũ, bối cảnh pháp lý môi trường, bối cảnh cạnh tranh, bối cảnh tiếp cận đánh giá rủi ro, giá trị danh mục tài sản Để sửa đồi bổ sung cho phù hợp với hoàn cảnh ... đọng nhà quản lý có trách nhiệm xem xét duyệt Truyền thơng tham vấn rủi ro ATTT Rủi ro phải thông báo cá nhân chịu trách nhiệm bên liên quan Giám sát xem xét rủi ro ATTT - Theo dõi xem xét yếu tố,