6. Cấu trúc luận văn
4.8.2 Theo dõi, xem lại và cải tiến quản lý rủi ro (Risk management monitoring,
monitoring, reviewing and improving)
Đầu vào: Tất cả các thông tin rủi ro lấy được từ các hoạt động quản lý rủi ro.
Hành động: Quy trình quản lý rủi ro an toàn thông tin nên thường xuyên được theo dõi, xem xét và cải thiện một cách thích hợp.
Hướng dẫn thực hiện:
Tổ chức nên đảm bảo rằng quy trình quản lý rủi ro an toàn thông tin và các hoạt động liên quan là thích hợp trong mọi tình huống và luôn được tuân thủ. Bất kỳ sự cải tiến về quy trình hay các hành động cần thiết để cải thiện việc làm đúng theo quy trình nên được thông báo đến những người quản lý thích hợp đểđảm bảo rằng không có rủi ro hay phần tử rủi ro nào bị bỏ sót hoặc là đánh giá không đúng mức, và cần xác định các hành động, thiết lập các quyết định đểđưa ra sự hiểu biết
Thêm vào đó, tổ chức nên thường xuyên kiểm tra lại các tiêu chí sử dụng để đo độ rủi ro và các thành phần rủi ro vẫn phù hợp và nhất quán với các mục tiêu kinh doanh, chiến lược và chính sách, và những sự thay đổi đến bối cảnh kinh doanh được tập trung xem xét trong quá trình quản lý rủi ro an toàn dịch vụ Web. Hoạt động theo dõi và xem lại này nên tập trung vào các vấn đề dưới đây:
- Bối cảnh môi trường và luật pháp - Bối cảnh cạnh tranh
- Phương pháp đánh giá rủi ro - Giá trị tài sản và nhóm tài sản - Tiêu chí tác động
- Tiêu chí định giá rủi ro - Tiêu chí chấp nhận rủi ro - Tổng chi phí về quyền sở hữu - Các tài nguyên cần thiết
Tổ chức nên đảm bảo rằng các tài nguyên đánh giá rủi ro và xử lý rủi ro là thường xuyên sẵn sàng để xem xét lại rủi ro, xác định các điểm yếu hay các mối đe họa mới hay đã thay đổi, và để tư vấn ý kiến quản lý phù hợp.
Theo dõi quản lý rủi ro có thể gây ra sự thay đổi hoặc là thêm một số hướng tiếp cận, phương pháp hay các công cụ phụ thuộc vào:
- Xác định các thay đổi - Số lần lặp đánh giá rủi ro
- Mục tiêu của quy trình quản lý rủi ro an toàn dịch vụ Web (ví dụ: sự liên tục kinh doanh, khả năng phục hồi sau tai nạn, sự tuân thủ quy trình)
- Đối tượng của quy trình quản lý rủi ro an toàn dịch vụ Web (ví dụ: tổ chức, đơn vị kinh doanh, quy trình thông tin)
Đầu ra: sự thích hợp thường xuyên của quy trình quản lý rủi ro an toàn dịch vụ Web đối với các mục tiêu kinh doanh của tổ chức.
TỔNG KẾT CHƯƠNG
Quản lý rủi ro theo tiêu chí an toàn đóng vai trò quan trọng trong việc xây dựng và triển khai các dịch vụ Web.
Quản lý rủi ro an toàn dịch vụ Web là một tiến trình liên tục. Tiến trình bắt đầu thiết lập ngữ cảnh, đánh giá các rủi ro và xử lý các rủi ro thông qua các kế hoạch xử lý rủi ro để thực thi các quyết định đề xuất. Các phân tích quản lý rủi ro xác định điều gì sẽ diễn ra và hậu quả của chúng như thế nào trước khi quyết định nên làm gì và làm vào thời điểm nào để giảm thiểu rủi ro đến một mức độ chấp nhận được.
Quy trình quản lý rủi ro an toàn dịch vụ Web bao gồm: thiết lập ngữ cảnh, đánh giá rủi ro, xử lý rủi ro, chấp nhận rủi ro, truyền đạt rủi ro, theo dõi và xem lại rủi ro.
Tổ chức và các trách nhiệm của tổ chức đối với quy trình quản lý rủi ro an toàn dịch vụ Web cần được thiết lập và duy trì. Các vai trò và các trách nhiệm của tổ chức dưới đây:
- Phát triển quy trình quản lý rủi ro an toàn dịch vụ Web phù hợp với tổ chức - Xác định và phân tích các tổ chức có liên quan
- Xác định vai trò và trách nhiệm của tất cả các thành viên bên trong và ngoài tổ chức
- Thiết lập mối quan hệ yêu cầu giữa tổ chức và các tổ chức có liên quan, cũng như các giao diện đối với chức năng quản lý rủi ro ở mức cao của tổ chức (ví dụ: quản lý rủi ro các thao tác), cũng như các giao diện đối với các hoạt động hay dự án liên quan khác
- Xác định các phần có thểđiều chỉnh trong quyết định - Lưu giữđặc tả của các bản ghi
Các vai trò và trách nhiệm này nên được phê chuẩn bởi những người quản lý thích hợp của tổ chức.
Đánh giá rủi ro bao gồm các hoạt động sau:
- Phân tích rủi ro, bao gồm nhận dạng rủi ro và ước lượng rủi ro - Đánh giá rủi ro
Đánh giá rủi ro để xác định giá trị của các tài sản thông tin, xác định các mối đe dọa và các điểm yếu dễ bị tấn công nếu có, xác định các kiểm soát hiện tại và hiệu quả của chúng đối với các rủi ro đã có, quyết định khả năng và trình tự của kết quả về các rủi ro mong muốn và phân loại các rủi ro đó theo tập tiêu chí ước lượng rủi ro trong quá trình thiết lập ngữ cảnh.
Có bốn sự lựa chọn cho việc xử lý rủi ro: giảm nhẹ rủi ro (risk reduction), duy trì rủi ro (risk retention), tránh rủi ro (risk avoidance) và kết chuyển rủi ro (risk transfer).
Các rủi ro không ở trạng thái tĩnh. Các mối đe dọa, điểm yếu, khả năng xảy ra hay các hậu quả có thể thay đổi bất ngờ. Do đó cần kiên định theo dõi để phát
hiện những sự thay đổi này. Điều này có thể được hỗ trợ bởi các dịch vụ ngoài, các dịch vụđó đưa ra thông tin về các mối đe dọa mới và các điểm yếu mới.
Các tổ chức nên đảm bảo theo dõi những vấn đề dưới đây: - Các tài sản mới đã xác định trong phạm vi quản lý rủi ro
- Thay giá trị tài sản là cần thiết, ví dụ do thay đổi các yêu cầu kinh doanh - Các mối đe dọa mới có thể gây ảnh hưởng đến bên ngoài và bên trong của
tổ chức và nó chưa được đánh giá
- Khả năng các điểm yếu mới hay các điểm yếu cũ tăng mức độ nguy hiểm có thể dẫn đến các mối đe dọa khai thác những điểm yếu này
- Các điểm yếu đã nhận biết cần xem xét để quyết định xem các điểm yếu này có thể trở nên nguy hiểm đối với các mối đe dọa mới hay với các mối đe dọa cũ lại xuất hiện
- Tăng cường ảnh hưởng về hậu quả của các mối đe dọa, điểm yếu, và rủi ro đã đánh giá, mức độ tập hợp của các kết quả này dẫn đến một mức độ rủi ro không chấp nhận được
- Các tai nạn an toàn dịch vụ Web
Các mối đe dọa mới, điểm yếu mới hay sự thay đổi về khả năng xảy ra hay hậu quả có thể làm tăng mức độ của những rủi ro đã được đánh giá là ở mức thấp trước đó. Xem lại các rủi ro mức độ thấp hay đã được chấp nhận cần xem xét một cách tách biệt và xem xét cả sự kết hợp của các rủi ro đó, để đánh giá tác động tổng hợp tiềm năng của chúng. Nếu các rủi ro không ở mức thấp hay chấp nhận được, chúng nên được xử lý thông qua sử dụng một hay nhiều tùy chọn trong phần xử lý rủi ro đã nói ở trên.
CHƯƠNG 5. XÂY DỰNG THỬ NGHIỆM CHƯƠNG TRÌNH QUẢN LÝ RỦI RO THỬ NGHIỆM THEO TIÊU CHÍ AN
TOÀN ĐỐI VỚI CÁC DỊCH VỤ WEB