6. Cấu trúc luận văn
4.4.1 Mô tả về đánh giá rủi ro an toàn dịch vụ Web
Đầu vào: Các tiêu chí cơ bản, phạm vi, giới hạn cho quy trình quản lý rủi ro an toàn thông tin được thiết lập.
Hành động: Các rủi ro nên được xác định, phân loại hoặc mô tả theo định tính, và định thứ tựưu tiên đối với các tiêu chí ước lượng rủi ro và các mục tiêu liên quan đến tổ chức.
Hướng dẫn thực hiện:
Rủi ro là sự kết hợp của các hậu quả xuất hiện từ một sự kiện không mong muốn và khả năng xảy ra của sự kiện đó. Đánh giá rủi ro định lượng hay mô tả định tính rủi ro và cho phép người quản lý sắp thứ tự ưu tiên các rủi ro tùy theo tính chất nghiêm trọng mà họ nhận thấy hay theo các tiêu chí thiết lập khác.
Đánh giá rủi ro bao gồm các hoạt động sau:
- Phân tích rủi ro, bao gồm nhận dạng rủi ro và ước lượng rủi ro - Đánh giá rủi ro
Đánh giá rủi ro xác định giá trị của các tài sản thông tin, xác định các mối đe dọa thích hợp và các điểm yếu dễ bị tấn công nếu có, xác định các kiểm soát hiện tại và hiệu quả của chúng đối với các rủi ro đã được xác định, quyết định các kết quả tiềm năng và trình tự cuối cùng của các rủi ro mong muốn và phân loại chúng theo tập tiêu chí ước lượng rủi ro trong quá trình thiết lập ngữ cảnh.
Đánh giá rủi ro thường được tiến hành trong hai vòng lặp (hoặc nhiều hơn). Đầu tiên, một đánh giá mức cao được tiến hành để xác định các rủi ro tiềm năng ở mức cao. Vòng lặp tiếp theo có thể liên quan đến nghiên cứu sâu hơn về các rủi ro ở mức cao đã nhận được từ vòng lặp đầu tiên. Tại vòng lặp đó cung cấp các thông tin chưa đủđểđánh giá rủi ro nên các phân tích chi tiết hơn nữa sẽđược tiến hành, có thể là trên các phần của toàn phạm vi, và có thể sử dụng các phương pháp khác nhau.
Tổ chức có thể tùy chọn các hướng tiếp cận của họ để đánh giá rủi ro dựa trên cơ sở các mục tiêu và mục đích của quá trình đánh giá rủi ro.
Đầu ra: Danh sách các rủi ro được đánh giá và sắp theo thứ tự theo các tiêu chí đánh giá rủi ro.