Bài giảng Quản lý nguy cơ

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:39

Thêm vào BST

Báo xấu

34
lượt xem 1
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

“Bài giảng Quản lý nguy cơ” giới thiệu cần phải có quản lý nguy cơ, các bước thực hiện quản lý nguy cơ, một số gợi ý. Mời các bạn cùng tham khảo bài giảng để nắm chi tiết nội dung phục vụ cho học tập và nghiên cứu.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Quản lý nguy cơ

Quản lý nguy cơ  Giới thiệu lý do cần phải có quản lý nguy cơ  Các bước thực hiện  Một số gợi ý
Một số câu hỏi  Vì sao phải thực hiện việc đánh giá nguy cơ  Khi nào thực hiện đánh giá nguy cơ  Người nào thực hiện phân tích tích,, đánh giá nguy cơ  Những người nào trong tổ chức thiết lập phân tích và đánh giá nguy cơ 2
Một số câu hỏi  Thời gian bao lâu cho việc phân tích và đánh giá nguy cơ  Những vấn đề phân tích tích,, đánh giá nguy cơ thực hiện  Những kết quả của quản lý nguy cơ đưa lại cho tổ chức  Người nào chịu trách nhiệm xem xét lại kết quả của phân tích nguy cơ  Đánh giá độ thành công của quá trình phân tích nguy cơ 3
Một số câu hỏi WHY  Người quản lý thể hiện sử cẩn trọng trong tiến trình đưa ra quyết định định..  Đầu ra của tiến trình phân tích và quản lý nguy cơ • Ngay tại thời điểm đầu tiên khi quyết định được đưa ra • Được sử dụng khi xảy ra vấn đề 4
Một số câu hỏi  WHEN  Khi mà tài nguyên và tiền bạc được sử dụng  Trước khi bắt đầu một công việc việc,, dự án,, hoặc quá trình phát triển án 5
Một số câu hỏi  WHO  Người phát triển triển,, thực hiện hiện,, ứng dụng hệ thống thống,, …  Những người có kiến thức sâu sắc về hoạt động của tiến trình hệ thống thống.. WHO WITHIN  Văn phòng quản lý dự án 6
Một số câu hỏi  HOW LONG  Phải được kết thức tính bằng ngày  Kết thúc càng sớm càng tốt tốt,, đảm bảm sự ít hưởng là tối thiểu  WHAT CAN  Những tiến trình được sử dụng để xem xét các công việc việc,, dự án án,, ý tưởng,, … tưởng 7
Một số câu hỏi  WHAT CAN THE RESULTS  Những đe dọa dọa,, thứ tự ưu tiên của các nguy cơ  WHO SHOULD REVIEW  Người tài trợ cho quá trình  HOW IS THE SUCCESS  Cách hữu hình để đánh giá sự thành công là đạt được thấp nhất các chi phí.. phí 8
Overview • Các thành phần của phân tích • Phân tích định lượng và định tính • Giới thiệu một nền tảng để phân tích nguy cơ Slide #9 #9
What is Risk? • Xác suất để một đe dọa xảy ra trên một điểm yếu • Không chắc chắn • Tác động nguy cơ – mất mát ứng với bị khai thác • Cần phải hiểu một cách hệ thống các nguy cơ đối với hệ thống và quyết định đối phó điều khiển nó Slide #10 #10
What is Risk Analysis? • Quá trình xác định định,, đánh giá giá,, giảm nguy cơ đến mức chấp nhận được • Xác định và tiến hành xử lý các đe dọa và các điểm yếu • Đánh giá mức độ giảm thiểu các nguy cơ • Quy tắc phân tích với 3 phần phần:: • Đánh giá nguy cơcơ:: xác định nguy cơ là cái gì,, như thế nào gì • Quản lý nguy cơcơ:: lượng giá sự thay thế cho việc dịch chuyển nguy cơ • Truyền thông về nguy cơ cơ:: tình diễn những vấn đề theo cách có thể hiểu được đối với người đưa ra quyết định hoặc (và và)) mọi người Slide #11 #11
Risk Management Cycle From GAO/AIMD-99-139 Slide #12 #12
Risk Management & System development life cycle phases Information Security Risk Analysic Slide #13 #13
Basic Risk Analysis Structure • Đánh giá • Giá trình của việc tính và toán và tài sản thông tin • Những điểm yếu trên hệ thống • Những đe dạo từ bên trong và bên ngoài • Thứ tự các nguy cơ • Kiểm tra • Những biệm pháp an ninh đối phó đã có • Sự hiệu quả của biện pháp đối phó • Chi phí (thiết lập, lập, hoạt động động,, ..) của các biện pháp đối phó • Triển khai và kiểm soát Slide #14 #14
Who should be Involved? • Chuyên gia về bảo mật • Chuyên gia các lĩnh vực trong tổ chức • Người có kiến thức thực tế công việc • Những người quản lý có trách nhiệp trong việc thiết lập các điều khiển Slide #15 #15
Identify Assets • Tài sản – là những thứ có giá trị với tổ chức • Tài sản vật lý • Nhà cửa cửa,, máy tính tính,, hệ thống mạng mạng,, ... • Tài sản logic • Tài sản sở hữu trí tuệ tuệ,, danh tiếng tiếng,, ... Slide #16 #16
Example Critical Assets • Con người và các kỹ năng • Những tâm huyết với tổ chức • Phần cứng / phần mềm • Dữ liệu • Tài liệu • Những tài nguyên được cung cấp • Nhà máy vật lý • Tiền Slide #17 #17
Vulnerabilities • Những khuyết tật tật,, điểm yếu của hệ thống mà có thể bị khai thác để xâm hại tính toàn vẹn của hệ thống Slide #18 #18
Example Vulnerabilities  •Physical •V47 Inadequate/no  •V01 Susceptible to emergency action plan Communications unauthorized building •V87 Inadequate access •(and 7 more) communications system  •V02 Computer Room •Personnel susceptible to •V88 Lack of encryption •V56 Inadequate unauthorized •V89 Potential for disruptions personnel screening  access •...  •V03 Media Library •V57 Personnel not susceptible to adequately trained in job •Hardware unauthorized •... •V92 Lack of hardware  access inventory •Software  •V04 Inadequate visitor control •V62 Inadequate/missing•V93 Inadequate monitoring procedures audit trail capability of maintenance  •(and 36 more) •V63 Audit trail log not personnel  •Administrative reviewed weekly •V94 No preventive  •V41 Lack of maintenance program management support •V64 Inadequate control for security over application/program•…  •V42 No separation of changes •V100 Susceptible to duties policy electronic emanations  •V43 Inadequate/no computer security plan policy Slide #19 #19
Threats • Những hoàn cảnh trạng thái mà tiềm tàng việc tạo ra sự mất mát và nguy hại • Tấn công vào các dịch vụ cơ bản • Tính mật mật,, toàn vẹn vẹn,, khả dụng • Đe dọa tạo nên điểm yếu – Ngẫu nhiên – Có chủ đích Slide #20 #20