KIỂM SỐT AN TỒN VÀ BẢO MẬT THƠNG TIN 1 Quy trình kiểm soát

II. Bài tập

QUY TRÌNH ĐẢM BẢO AN TỒN VÀ BẢO MẬT THƠNG TIN

2.4. KIỂM SỐT AN TỒN VÀ BẢO MẬT THƠNG TIN 1 Quy trình kiểm soát

2.4.1. Quy trình kiểm soát

Sau khi xác định, nhận dạng và phân tích, đánh giá, đo lường các nguy cơ gây mất an toàn và bảo mật thơng tin, các nhà quản trị có thể biết được nguồn gốc và mức độ nghiêm trọng của một số nguy cơ, hiểm họa có thể xảy ra đối với hệ thống thơng tin và thơng tin trong hệ thống. Tùy thuộc vào từng nguy cơ, tiến hành vận dụng các biện pháp hay phương tiện, cơng cụ kỹ thuật để tránh né nghĩa là khơng để hệ thống thơng tin của mình rơi vào tình huống tiềm ẩn nguy cơ đó. Trường hợp khơng thể tránh né được hoặc khơng cần tránh né thì tìm cách phòng ngừa, làm triệt tiêu hoặc hạn chế đến mức thấp nhất các điều kiện, mơi trường làm phát sinh các nguy cơ, hiểm họa; hoặc chấp nhận rủi ro do nguy cơ, hiểm họa xảy ra và gây ra mặc dù khơng mong muốn nó xảy ra; hoặc tìm cách chuyển giao rủi ro cho người khác chịu rủi ro thay cho mình; hoặc hạn chế, giảm thiểu khả năng xảy ra các nguy cơ, hiểm họa. Tất cả các hoạt động trên được gọi chung là hoạt động kiểm soát an toàn và bảo mật thơng tin.

Như vậy, có thể hiểu kiểm soát an toàn và bảo mật thơng tin trong hệ thống thơng tin là hoạt động đưa ra và sử dụng các biện pháp, phương tiện, cơng cụ, kỹ thuật khác nhau nhằm phòng ngừa và giảm thiểu các nguy cơ, các mối hiểm họa có thể gây ra trong quá trình hoạt động của hệ thống thơng tin, gây mất an toàn và bảo mật thơng tin của hệ thống; cũng như khơi phục nhanh nhất tình trạng của hệ thống thơng tin khi bị tin tặc tấn cơng.

Quy trình kiểm sốt được minh họa như trong Hình 2.4. Quy trình bao gồm các bước được thực hiện sau khi đã xác định được thơng tin các loại tài sản của tổ chức, sau đó đánh giá và sắp xếp các loại tài sản theo thứ tự ưu tiên và chi phí tổn thất cũng như tần suất xuất hiện của các mối đe dọa cĩ thể xảy ra đối với hệ thống.

Sau đó thực hiện các bước kiểm sốt rủi ro như sau:

 Bước 2: Thực hiện kiểm soát, đánh giá kiểm sốt. Nếu các kiểm sốt khơng thích hợp với ngữ cảnh của hệ thống thì quay lại bước 1, ngược lại thì tiếp tục sang bước 3

 Bước 3: Lập kế hoạch duy trì và tiếp tục đánh giá các rủi ro dựa trên các loại tài sản thơng tin của tổ chức. Nếu rủi ro đó có thể chấp nhận được thì duy trì hiện trạng hoạt động của hệ thống cho đến khi rủi ro hoặc tổn thất quá lớn khơng thể chấp nhận được thì quay lại bước 1 để thực hiện lại quy trình kiểm sốt.

Ba bước trong quy trình được thực hiện liên tục cho đến khi hệ thống ngừng hoạt động hoặc được thay thế bởi một hệ thống khác trong tổ chức.

Hình 2.4. Quy trình kiểm sốt rủi ro

(Nguồn Mark Rhodes - Ousley [16])