6. Cấu trúc luận văn
4.8.1 Theo dõi và xem lại các nhân tố rủi ro (Monitoring and review of risk factors)
risk factors)
Đầu vào: Tất cả thông tin rủi ro nhận được từ các hành động quản lý rủi ro.
Hành động: Các rủi ro và các nhân tố rủi ro (ví dụ: giá trị của các tài sản, tác động, mối đe dọa, các điểm yếu, khả năng xảy ra) nên được theo dõi và xem lại để nhận thấy bất kỳ sự thay đổi nào trong việc thiết lập ngữ cảnh của tổ chức, và để duy trì cái nhìn khái quát về hình ảnh rủi ro.
Hướng dẫn thực hiện:
Các rủi ro không ở trạng thái tĩnh. Các mối đe dọa, điểm yếu, khả năng xảy ra hay các hậu quả có thể thay đổi bất ngờ. Do đó kiên định theo dõi là cần thiết để phát hiện những sự thay đổi này. Điều này có thể được hỗ trợ bởi các dịch vụ ngoài, các dịch vụđó có thểđưa ra thông tin về các mối đe dọa mới và các điểm yếu mới.
Các tổ chức nên đảm bảo theo dõi những vấn đề dưới đây: - Các tài sản mới đã xác định trong phạm vi quản lý rủi ro
- Sự cần thiết về thay đổi của các giá trị tài sản, ví dụ do thay đổi các yêu cầu kinh doanh
- Các mối đe dọa mới có thể gây ảnh hưởng đến bên ngoài và bên trong của tổ chức và nó chưa được đánh giá
- Khả năng các điểm yếu mới hay các điểm yếu tăng mức độ nguy hiểm có thể dẫn đến bị khai thác những điểm yếu này
- Các điểm yếu đã nhận biết để quyết định xem các điểm yếu này có thể trở nên nguy hiểm đối với các mối đe dọa mới hay với các mối đe dọa lại xuất hiện
- Tăng cường ảnh hưởng hay các hậu quả của các mối đe dọa, điểm yếu, và rủi ro đã đánh giá, mức độ tập hợp của các kết quả này dẫn đến một mức độ rủi ro không thể chấp nhận được
- Các tai nạn an toàn dịch vụ Web
Các mối đe dọa mới, điểm yếu mới hay sự thay đổi về khả năng xảy ra hay hậu quả có thể làm tăng mức độ của những rủi ro đã được đánh giá là rủi ro thấp trước đó. Xem lại các rủi ro mức độ thấp hay đã chấp nhận thì nên xem xét một cách tách biệt và xem xét tất cả những sự kết hợp của các rủi ro đó, để đánh giá tác động tiềm năng tổng hợp của chúng. Nếu các rủi ro không ở mức thấp hay chấp nhận được, chúng nên được xử lý thông qua sử dụng một hay nhiều tùy chọn trong phần xử lý rủi ro đã nói ở trên.
Các nhân tố ảnh hưởng đến khả năng xảy ra, hậu quả của các mối đe dọa đang diễn ra có thể thay đổi, ảnh hưởng đến sự thích hợp hay chi phí của các tùy chọn xử lý rủi ro khác nhau. Các sự thay đổi lớn ảnh hưởng đến tổ chức nên được xem xét đặc biệt. Do đó, các hoạt động theo dõi rủi ro nên được lặp lại thường xuyên và các tùy chọn được sử dụng để xử lý rủi ro cũng nên được xem lại theo định kỳ.
Đầu ra của các hoạt động theo dõi này có thể là đầu vào của các hoạt động theo dõi khác. Tổ chức nên theo dõi tất cả rủi ro thường xuyên, và khi những sự thay đổi lớn diễn ra.
Đầu ra: Sự liên kết thường xuyên của quản lý rủi ro với các mục tiêu kinh doanh của tổ chức, và với các tiêu chí chấp nhận rủi ro.