(Nguồn Mark Rhodes - Ousley [16])
Nhận dạng rủi ro trong hệ thống thơng tin là quá trình xác định một
cách liên tục và có hệ thống các nguy cơ, hiểm họa, rủi ro có thể gây ra cho hoạt động của hệ thống thơng tin gây tổn hại cho các loại tài sản trong hệ thống; cũng như gây mất an toàn và bảo mật cho thơng tin trong hệ thống.
Nhiệm vụ của nhà quản trị trong việc thực hiện nội dung này là: xác định danh sách các rủi ro có thể xảy ra trong hoạt động của hệ thống thơng tin, phân loại, sắp xếp và phân nhóm theo thứ tự ưu tiên dựa trên mức độ quan trọng của các tài sản và chỉ ra các nguy cơ đặc biệt nghiêm trọng.
Đánh giá rủi ro đối với hệ thống thơng tin là quá trình nghiên cứu
những lỗ hổng trong bảo mật và các nguy cơ, mối đe dọa, hiểm họa đối với các loại tài sản trong hệ thống thơng tin của tổ chức, đơn vị; xác định nguyên nhân dẫn đến những nguy cơ, hiểm họa này; đo lường, phân tích và đưa ra các đánh giá định lượng về những tổn thất mà rủi ro của hệ thống có thể gây ra để cĩ thể lựa chọn giải pháp phù hợp phòng ngừa, loại bỏ hoặc hạn chế làm giảm nhẹ thiệt hại.
QUẢN TRỊ RỦI RO
Nhận dạng rủi ro Đánh giá rủi ro Kiểm soát rủi ro
Nhận dạng và liệt kê các rủi ro
Phân loại và xác định độ ưu tiên
Nhận dạng và phân loại nguy cơ
Xác định lỗ hổng của hệ thống
Thống kê và xác định khả năng xảy ra
Cài đặt và kiểm soát Đưa ra giải pháp Lựa chọn chiến lược
Nhiệm vụ của nhà quản trị trong giai đoạn này là phân tích các rủi ro đã được nhận dạng, đánh giá, dự báo xác suất xảy ra rủi ro và mức độ thiệt hại nếu rủi do xảy ra.
Kiếm sốt rủi ro cho hệ thống thơng tin bao gồm việc lựa chọn một
chiến lược phù hợp với mỗi tổ chức đơn vị, bao gồm việc sử dụng các phương tiện, cơng cụ, kỹ thuật khác nhau nhằm né tránh, phòng ngừa, giảm thiểu và chuyển giao các rủi ro có thể xảy ra trong quá trình hoạt động của hệ thống thơng tin; sau đó lựa chọn chiến lược kiểm soát đúng đắn nhất để cài đặt và thực hiện.
d) Các nguyên tắc quản trị rủi ro trong hệ thống thơng tin
Cũng như trong quản trị rủi ro nói chung, hoạt động quản trị rủi ro trong hệ thống thơng tin cần tuân thủ các nguyên tắc cơ bản sau:
Nguyên tắc 1: Khơng chấp nhận các rủi ro khơng cần thiết, chấp nhận
rủi ro khi lợi ích thu được lớn hơn chi phí bỏ ra.
Thực tế cho thấy, trong rủi ro thường tiềm ẩn các cơ hội (“trong cái rủi có cái may”) và nếu rủi ro khơng xảy ra thì cơ hội thu lợi sẽ xuất hiện. Vì thế, một số nhà quản trị kinh doanh sẵn sàng chấp nhận một số rủi ro nhất định, nhất là những rủi ro suy đoán. Tuy nhiên, việc chấp nhận rủi ro phải phù hợp với quy định của luật pháp và phải phù hợp với chuẩn mực đạo đức. Nói khác đi, khơng phải rủi ro nào cũng được chấp nhận. Mặt khác, khi chấp nhận rủi ro nhà quản trị phải tính đến khả năng thiệt hại nếu rủi ro xảy ra và chỉ được chấp nhận khi khẳng định được rằng lợi ích thu được khi rủi ro khơng xảy ra phải lớn hơn chi phí cho tổn thất khi xảy ra rủi ro.
Nguyên tắc 2: Các quyết định quản trị rủi ro phải được ra ở cấp quản
trị thích hợp.
Quản trị rủi ro là cơng việc của tất cả các nhà quản trị ở tất cả các cấp quản trị. Tuy nhiên, ở mỗi cấp quản trị, các quyết định liên quan đến quản trị rủi ro là khác nhau. Nói khác đi, các quyết định liên quan đến quản trị rủi ro ở mỗi cấp quản trị cần được ra phù hợp với cấp, mức độ quản trị.
Trên thực tế, các quyết định liên quan đến việc xác định, phân tích, đánh giá rủi ro thường được ra bởi cấp chiến lược, còn các quyết định liên quan đến kiểm soát rủi ro được giao cho các nhà quản trị cấp chiến thuật và tác nghiệp.
Nguyên tắc 3: Hoạt động quản trị rủi ro trong hệ thống thơng tin cần
được thực hiện kết hợp với các hoạt động hoạch định cũng như vận hành ở tất cả các cấp trong hệ thống thơng tin, cũng như trong tổ chức bởi quản trị rủi ro khơng phải và khơng thể là một hoạt động độc lập.