Các tiêu chí cơ bả n

Một phần của tài liệu Quản lý rủi ro theo các tiêu chi NFP cho các dịch vụ web NFP (non functional property) aware risk management for web services (Trang 78 - 80)

6. Cấu trúc luận văn

4.3.2 Các tiêu chí cơ bả n

Phụ thuộc vào phạm vi và các mục tiêu của quản lý rủi ro, các hướng tiếp cận khác nhau có thể được áp dụng. Hướng tiếp cận cũng có thể khác nhau trong mỗi một vòng lặp.

Một hướng tiếp cận quản lý rủi ro thích hợp được lựa chọn hay phát triển phải xác định được các tiêu chí cơ bản như là: tiêu chí đánh giá rủi ro, tiêu chí tác động, tiêu chí chấp nhận rủi ro.

Thêm vào đó, tổ chức nên quyết định những tài nguyên nào là cần thiết và sẵn sàng để:

- Thực hiện đánh giá rủi ro và thiết lập các kế hoạch xử lý rủi ro

- Xác định và thực thi các chính sách và thủ tục, bao gồm thực thi các kiểm soát đã chọn

- Theo dõi các kiểm soát

- Theo dõi quy trình quản lý rủi ro an toàn thông tin

4.3.2.1 Tiêu chí đánh giá rủi ro

Các tiêu chí đánh giá rủi ro nên được phát triển để đánh giá rủi ro an toàn dịch vụ Web của tổ chức theo các điểm dưới đây:

- Giá trị chiến lược của quy trình thông tin kinh doanh - Tính quan trọng của các tài sản thông tin liên quan

- Các yêu cầu hợp pháp và thường xuyên, các ràng buộc theo hợp đồng - Độ quan trọng về chức năng và giao dịch của khả năng sẵn sàng, độ tin cẩn

và tính toàn vẹn

Thêm vào đó, tiêu chí đánh giá rủi ro có thể được sử dụng để xác định các thuộc tính đối với xử lý rủi ro.

4.3.2.2 Tiêu chí các mức tác động của rủi ro

Tiêu chí tác động nên được phát triển và xác định theo mức độ phá hủy hoặc chi phí của tổ chức gây ra bởi sự kiện an toàn thông tin bao gồm:

- Mức độ phân loại các tài sản thông tin bị ảnh hưởng

- Mức độ vi phạm an toàn thông tin (ví dụ: mất tính tin cẩn, toàn vẹn và sẵn dùng)

- Các thao tác làm hư hại (bên trong hoặc bên trung gian) - Mất mát về giao dịch và giá trị tài chính

- Sựđổ vỡ của kế hoạch và thời hạn giới hạn - Phá hủy danh tiếng

- Vi phạm các yêu cầu về pháp lý hay hợp đồng

4.3.2.3 Tiêu chí chấp nhận rủi ro

Các tiêu chí chấp nhận rủi ro nên được phát triển và xác định rõ. Tiêu chí chấp nhận rủi ro thường phụ thuộc vào chính sách, mục tiêu, mục đích của tổ chức hay lợi ích của các tổ chức liên quan.

Một tổ chức nên xác định các mức độ rủi ro có thể chấp nhận được, các vấn đề dưới đây nên quan tâm trong quá trình phát triển:

- Tiêu chí chấp nhận rủi ro có thể có bao gồm đa ngưỡng giới hạn, với mỗi mức độ rủi ro mong muốn, nhưng nó phải cung cấp cho những người quản lý chính để chấp nhận các rủi ro trên mức đó trong các tình huống đã xác định

- Tiêu chí chấp nhận rủi ro có thể biểu thị tỷ lệ lợi nhuận theo ước lượng (hay các lợi ích kinh doanh khác) đểước lượng rủi ro

- Các tiêu chí chấp nhận rủi ro khác nhau có thể áp dụng cho các lớp rủi ro khác nhau, ví dụ các rủi ro có thể ảnh hưởng đến việc không đúng quy tắc hay luật pháp có thể không được chấp nhận, trong khi sự chấp nhận mức độ rủi ro cao có thể cho phép nếu điều này được xác định như là một yêu cầu trong hợp đồng

- Tiêu chí chấp nhận rủi ro có thể bao gồm các yêu cầu đối với những việc cần xử lý trong tương lai, ví dụ rủi ro có thểđược chấp nhận nếu có một sự chấp thuận và cam kết để giảm nhẹ rủi ro đến một mức độ cho phép trong một khoảng thời gian cụ thể

Tiêu chí chấp nhận rủi ro có thể khác nhau tùy thuộc vào việc chúng ta mong muốn rủi ro tồn tại trong bao lâu, ví dụ rủi ro có thể liên quan với các hoạt động tạm thời hoặc ngắn hạn. Các tiêu chí chấp nhận rủi ro có thể được thiết lập để xem xét các vấn đề sau:

- Các tiêu chí về kinh doanh - Khía cạnh về luật pháp - Các hoạt động

- Công nghệ - Tài chính

- Các nhân tố xã hội và con người

Một phần của tài liệu Quản lý rủi ro theo các tiêu chi NFP cho các dịch vụ web NFP (non functional property) aware risk management for web services (Trang 78 - 80)

Tải bản đầy đủ (PDF)

(158 trang)