6. Cấu trúc luận văn
2.5 Các vai trò chính của người tham gia quản lý rủi rod ịch vụ Web
Web
Phần này mô tả vai trò chính của những người hỗ trợ và tham gia trong quy trình quản lý rủi ro dịch vụ Web.
• Quản lý chính (Senior Management), chịu trách nhiệm cao nhất đối với việc hoàn thành các nhiệm vụ, phải chắc chắn rằng các tài nguyên cần thiết đang thực sự được sử dụng để phát triển các tính năng cần thiết để hoàn thành nhiệm vụ. Họ cũng phải đánh giá và hợp nhất các kết quả của các hoạt động đánh giá rủi ro vào trong quá trình ra quyết định. Một chương trình quản lý rủi ro hiệu quả là chương trình có thể đánh giá và giảm nhẹ các rủi ro cùng với yêu cầu sự hỗ trợ và các tác vụ liên quan khác từ người quản lý chính.
• Giám đốc điều hành (Chief Information Officer - CIO) chịu trách nhiệm về kế hoạch công nghệ thông tin, ngân sách và sự thực hiện tại một chi nhánh có chứa các thành phần an toàn dịch vụ Web. Các quyết định ở đây nên dựa vào một chương trình quản lý rủi ro hiệu quả.
• Người quản lý thông tin và quản lý hệ thống (System and Information Owners) là người chịu trách nhiệm bảo đảm rằng các điều khiển thích hợp đã chính xác hay chưa để hệ thống và dữ liệu của họđạt được tính toàn vẹn, tin cẩn, và sẵn sàng có thể dùng được. Thông thường người quản lý thông tin và quản lý hệ thống có trách nhiệm trong việc thay đổi các hệ thống công nghệ thông tin. Do đó, họ thường phê duyệt các thay đổi trong hệ thống công nghệ thông tin (ví dụ: nâng cao hệ thống, các thay đổi chính trong phần cứng và phần mềm). Người quản lý thông tin và hệ thống phải
hiểu vai trò của họ trong quy trình quản lý rủi ro và hỗ trợ đầy đủ quy trình này.
• Người quản lý chịu trách nhiệm cho các hoạt động kinh doanh và quy trình công nghệ thông tin (Business and Functional Managers) bắt buộc phải đóng một vai trò hiệu quả trong quy trình quản lý rủi ro. Những người quản lý là các cá nhân riêng lẻ với quyền lực và trách nhiệm về việc cân bằng các quyết định ban đầu để hoàn thành nhiệm vụ. Sự liên quan của họ đến quy trình quản lý rủi ro cho phép đạt được an toàn thích hợp cho các dịch vụ Web, trong đó, nếu được quản lý thích hợp, không những sẽ mang lại sự hiệu quả của nhiệm vụ mà còn sử dụng tối thiểu các tài nguyên.
• Người quản lý chương trình an toàn công nghệ thông tin và người chỉ huy an toàn máy tính - ISSO (IT security program managers) chịu trách nhiệm về khả năng an toàn của tổ chức, bao gồm cả quản lý rủi ro. Do đó, họđóng vai trò then chốt trong việc đưa ra một phương pháp thích hợp để trợ giúp nhận dạng, đánh giá và tổi thiểu hóa rủi ro của các hệ thống công nghệ thông tin hỗ trợ nhiệm vụ của tổ chức. ISSO cũng đóng một vai trò trợ lý cốt yếu như là việc hỗ trợ người quản lý chính khẳng định được các thao tác này là cơ sở nền tảng để hoạt động.
• Những người đang thực thi an toàn thông tin (IT Security Practitioners) (ví dụ: mạng máy tính, hệ thống, ứng dụng, quản trị cơ sở dữ liệu; các chuyên gia về máy tính; những người phân tích an toàn; những người tư vấn an toàn) là những người chịu trách nhiệm cho quá trình thực thi thích hợp của các yêu cầu an toàn trong các hệ thống công nghệ thông tin của họ. Khi các thay đổi xuất hiện trong môi trường hệ thống công nghệ thông tin đã có (ví dụ: sự mở rộng khả năng kết nối mạng, thay đổi trong cơ sở hạ tầng đã có và các chính sách của tổ chức, sự ra đời của các công nghệ mới), những người đang thực hiện an toàn thông tin phải hỗ trợ hay sử dụng quy trình quản lý rủi ro để nhận dạng và đánh giá các rủi ro tiềm năng mới và thực hiện các kiểm soát an toàn mới để bảo vệ các dịch vụ Web của họ.
Nhân viên của tổ chức là những người sử dụng của các hệ thống công nghệ thông tin. Sử dụng của các hệ thống công nghệ thông tin và dữ liệu dựa vào chính sách, hướng dẫn và luật lệ của tổ chức là yếu tố then chốt để giảm nhẹ rủi ro và bảo vệ các tài nguyên công nghệ thông tin của tổ chức. Để tối thiểu hóa rủi ro đối với các hệ thống công nghệ thông tin, người sử dụng hệ thống và ứng dụng phải được huấn luyện về an toàn thông tin. Do đó, những người huấn luyện an toàn công nghệ thông tin hay các chuyên gia về an toàn phải hiểu quy trình quản lý rủi ro để họ có thể xây dựng một phương pháp dạy thích hợp và kết hợp chặt chẽđánh giá rủi ro vào trong các chương trình dạy để truyền lại cho người dùng đầu cuối.