6. Cấu trúc luận văn
2.2 Khái niệm quản lý rủi ro
Có nhiều khái niệm về rủi ro tùy theo từng lĩnh vực khác nhau. Chúng ta xét đến khái niệm rủi ro của dịch vụ Web, tại đây, rủi ro là những nguy cơ mà dịch vụ Web có thể bị gây hại. Các rủi ro này tác động gây ra tính nguy hiểm, tính dễ bị tấn công của quá trình sử dụng dịch vụ Web, tính đến cả hai mặt xác suất xảy ra và ảnh hưởng của rủi ro. Quản lý rủi ro dịch vụ Web là một quy trình bao gồm nhận dạng rủi ro, đánh giá rủi ro, và làm từng bước để giảm thiểu rủi ro đến một mức có thể chấp nhận được.
Quản lý rủi ro dịch vụ Web bao gồm 3 quá trình: đánh giá rủi ro (risk assessment), giảm nhẹ rủi ro (risk mitigation), định giá và đánh giá lại các rủi ro (risk evaluation and assessment).
Quản lý rủi ro dịch vụ Web là quy trình cho phép các nhà quản lý IT cân bằng giữa các thao tác, chi phí kinh kế của sự bảo vệ và lợi ích qua bảo vệ dịch vụ Web để hỗ trợ tổ chức hoàn thành các nhiệm vụ của họ. Quy trình này là không duy nhất đối với các môi trường dịch vụ Web, mà nó đa dạng trong việc ra quyết định trong mọi lĩnh vực của cuộc sống hiện tại. Lấy ví dụ trong trường hợp của việc an toàn nhà ở. Rất nhiều người quyết định triển khai một hệ thống an toàn nhà ở và trả phí hàng tháng cho nhà cung cấp dịch vụ để cho các hệ thống này được theo dõi giúp bảo vệ tốt hơn các tài sản của họ. Chắc chắn là các chủ nhà đã ước lượng giá cả của việc cài đặt hệ thống bảo vệ và theo dõi với giá trị được bảo vệ của các đồđạc trong nhà và sự an toàn của gia đình.
Người đứng đầu trong đơn vị của tổ chức phải chắc chắn rằng tổ chức có đầy đủ các tính năng cần thiết để hoàn thành các công việc của nó. Người chịu trách nhiệm cho các công việc phải xác định khả năng an toàn mà các dịch vụ Web bắt buộc phải có đểđưa ra mức độ hỗ trợ mong muốn trong quá trình đối mặt với các mối nguy hiểm trong thế giới thực. Hầu hết các tổ chức có một ngân sách hạn hẹp cho an toàn IT; do đó, việc chi tiêu cho an toàn IT phải được xem trước kỹ lưỡng như là các quyết định khác. Một phương pháp quản lý rủi ro có cấu trúc tốt, khi được sử dụng hiệu quả có thể giúp cho việc quản lý nhận ra các kiểm soát thích hợp đểđưa ra các tính năng an toàn thông tin cần thiết.