CHƯƠNG 4

QUẢN LÝ
RỦI RO

1
 Tình huống

Kế đã tổ chức cuộc họp đầu tiên cho dự án quản lý rủi ro mới.

Phòng họp có đầy đủ các chuyên viên phát triển, phân tích hệ
thống, người quản lý CNTT, nhân viên và quản lý của bộ phận
bán hàng và các bộ phận khác.
• “Được rồi, mọi người, hãy bắt đầu. Chào mừng bạn đến với
cuộc họp khởi động của nhóm dự án quản lý rủi ro mới của
chúng tôi, Đội đặc nhiệm bảo mật thông tin (Sequential Label
and Supply Information Security Task Force). Hôm nay,
chúng ta có mặt ở đây để nói về các mục tiêu của mình và
xem xét kế hoạch làm việc ban đầu”
• "Tại sao bộ phận của tôi lại ở đây?“, người quản lý bộ phận
bán hàng đặt câu hỏi. “An toàn có phải là vấn đề của bộ
phận CNTT không?”

2
 Tình huống

• Kế giải thích, “Chúng tôi đã từng nghĩ như vậy, nhưng chúng
tôi nhận ra rằng an toàn thông tin là quản lý rủi ro khi sử
dụng thông tin, liên quan đến hầu hết mọi người trong công
ty. Để làm cho hệ thống của chúng ta an toàn hơn, chúng ta
cần sự tham gia của đại diện từ tất cả các bộ phận”.
• “Tôi hy vọng mọi người sẽ đọc các gói tin mà tôi đã gửi vào
tuần trước, mô tả các yêu cầu pháp lý mà chúng ta phải đối
mặt trong ngành của mình và các bài viết về các mối đe dọa
và tấn công. Hôm nay, chúng ta sẽ bắt đầu quá trình xác
định và phân loại tất cả các rủi ro về CNTT mà tổ chức của
chúng ta phải đối mặt. Điều này bao gồm mọi thứ, từ hỏa
hoạn và lũ lụt có thể làm gián đoạn hoạt động kinh doanh
của chúng ta cho đến những tin tặc có thể cố gắng lấy cắp
hoặc phá hủy dữ liệu của chúng ta.

3
 Tình huống

• Khi chúng ta xác định và phân loại các rủi ro mà tài sản
của mình phải đối mặt, chúng ta có thể thảo luận về
cách giảm thiểu hoặc loại bỏ những rủi ro này bằng cách
thiết lập các biện pháp kiểm soát. Việc lựa chọn áp dụng
thủ tục kiểm soát nào sẽ phụ thuộc vào chi phí và lợi ích
của mỗi thủ tục kiểm soát”
• "Chà, Kế!" Amy Windahl nói từ phía sau phòng. “Tôi
chắc chắn rằng chúng ta cần phải làm điều đó - tôi đã bị
tấn công lần trước, cũng như mọi người ở đây - nhưng
chúng ta có hàng tá hệ thống.”

4
 Tình huống

• Kế nói: “Đó là lý do tại sao chúng ta có rất nhiều

người trong nhóm này và tại sao nhóm bao gồm các
thành viên của mọi bộ phận.”
• “Được rồi, mọi người, hãy mở email của bạn và tải
thông tin kế hoạch dự án với danh sách công việc
hiển thị các nhóm, nhiệm vụ và lịch trình. Có câu hỏi
nào trước khi chúng ta bắt đầu xem xét kế hoạch làm
việc?”

5
 Tình huống

Khi Kế kết thúc cuộc họp, anh ấy đã tóm tắt một vài lời điểm
chính cho mọi người tham gia vào dự án xác định các tài
sản thông tin của doanh nghiệp.
• “Được rồi, mọi người, trước khi chúng ta kết thúc, xin
hãy nhớ rằng bạn nên cố gắng hoàn thành danh sách tài
sản thông tin của mình, nhưng hãy nhớ tập trung sự chú
ý của bạn vào những tài sản có giá trị lớn trước. Ngoài
ra, hãy nhớ rằng chúng ta đánh giá tài sản của mình dựa
trên tác động kinh doanh đến lợi nhuận trước tiên, sau đó
là chi phí kinh tế của việc thay thế. Hãy gửi cho tôi các
câu hỏi nếu phát sinh trong quá trình xác định danh mục
tài sản của bạn. Chúng ta sẽ lên lịch cho cuộc họp tiếp
theo, sau hai tuần, vì vậy vui lòng chuẩn bị sẵn bản thảo
danh sách tài sản của bạn”
6
 • Hiểu khái niệm quản lý rủi ro và tầm
quan trọng của quản lý rủi ro
• Có thể giải thích khuôn mẫu quản lý rủi
ro
• Hiểu khái niệm mức độ chấp nhận rủi ro
(risk appetite) và mối quan hệ của nó với
rủi ro còn lại
• Có khả năng xác định và lập tài liệu về
Mục tiêu rủi ro
• Hiểu về cách thức đánh giá rủi ro
• Hiểu các phương án chiến lược giảm rủi
ro
• Hiểu các khuôn mẫu đánh giá kiểm soát
rủi ro và phân tích lợi ích - chi phí
• Có khả năng so sánh giữa các phương
pháp quản lý rủi ro

7
 1. Giới thiệu
2. Khuôn mẫu quản lý rủi ro
3. Quy trình quản lý rủi ro

8
Nội dung 4.
5.
Phản ứng với rủi ro
Phân tích tính khả thi và lợi
ích – chi phí
6. Các phương pháp quản lý
rủi ro khác
 Thuật ngữ
Acceptance risk control strategy
Annualized cost of a safeguard - ACS
Annualized loss expectancy - ALE
Annualized rate of occurrence - ARO
Attack Success Probability
Asset valuation
Asset value
9
Chiến lược kiểm soát: chấp nhận rủi ro
Chi phí thường niên của biện pháp bảo vệ
Dự báo tổn thất hàng năm
Tỷ lệ xuất hiện hàng năm
Tỷ lệ thành công của cuộc tấn công
Xác định giá trị tài sản
Giá trị của tài sản
 Thuật ngữ
Asset exposure
Avoidance of competitive
disadvantage
Competitive advantage
Cost-Benefit Analysis (CBA)
Baselining
Benchmarking
Behavioral feasibility
Best practices
Data classification scheme
Defense risk control strategy
Mức độ tổn thất
Tránh bất lợi cạnh tranh
Lợi thế cạnh tranh
Phân tích lợi ích – chi phí
Xác định đường cơ sở
Xác định chuẩn so sánh
Khả thi về hành vi
Phương pháp thực hành tốt
nhất
Sơ đồ phân loại dữ liệu
Chiến lược phòng thủ trong
kiểm soát rủi ro 10
 Thuật ngữ
Exposure Factor Tỷ lệ thiệt hại kỳ vọng
Likelihood Xác suất xảy ra
Loss Frequency Tần suất tổn thất
Loss Magnitude Mức độ tổn thất
Metrics-based measures Thước do dựa trên số liệu
Chiến lược kiểm soát: giảm
Mitigation risk control strategy
thiểu rủi ro
Operational Feasibility Khả thi hoạt động
Organizational Feasibility Khả thi tổ chức
Performance gap Khoảng trống kết quả
Political feasibility Khả thi chính trị
11
 Thuật ngữ
Probable Loss Tổn thất có thể xảy ra
Process-based measures Đo lường dựa trên quy trình
Quantitative assessment Đánh giá định lượng
Qualitative assessment Đánh giá định tính
Residual risk Rủi ro còn lại
Risk appetite Khẩu vị rủi ro
Risk assessment Đánh giá rủi ro
Risk control Kiểm soát rủi ro
Risk identification Xác định rủi ro
Risk management Quản lý rủi ro
Risk tolerance Khả năng chịu đựng rủi ro
12
 Thuật ngữ
Security clearance Phân quyền an ninh
Single loss expectancy - SLE Dự báo tổn thất đơn lẻ
Technical feasibility Khả thi kỹ thuật
Termination risk control strategy Chiến lược kiểm soát: hủy bỏ rủi
ro
Threat Nguy cơ
Threat assessment Đánh giá nguy cơ
Threats-vulnerabilities-assets Bộ ba nguy cơ – điểm yếu tiềm ẩn
(TVA) triples – tài sản
Threats-vulnerabilities-assets Bảng nguy cơ – điểm yếu tiềm ẩn
(TVA) worksheet – tài sản
Chiến lược kiểm soát: chuyển
Transference risk control strategy
giao rủi ro
Vulnerability Điểm yếu tiềm ẩn 13
 Định nghĩa quản lý rủi ro

Quy trình xác định rủi ro, đánh giá

1. Giới
mức độ tổn thất và thực hiện các giải
thiệu
pháp để giảm thiểu rủi ro đến mức độ
chấp nhận rủi ro.

14
 Nghệ thuật quản lý rủi ro

• Xác định, kiểm tra và hiểu về thông tin và hệ

thống hiện hành.
Biết bản • Xác định điểm yếu tiềm ẩn trong kiểm soát
thân tài sản thông tin của DN.

• Xác định, kiểm tra và hiểu các nguy cơ đối

với tổ chức.
• Xác định nguy cơ nào ảnh hưởng trực tiếp
Biết đối nhất đến an ninh của tổ chức và tài sản
thủ thông tin.
• Xếp hạng các nguy cơ theo mức độ quan
trọng của tài sản thông tin bị đe dọa.
15
 1. Giới thiệu
2. Khuôn mẫu quản lý
rủi ro
3. Quy trình quản lý rủi
16
Nội dung ro
4. Phản ứng với rủi ro
5. Quản lý rủi ro
6. Các phương pháp
quản lý rủi ro khác
2. Khuôn
mẫu quản lý
rủi ro

17
2. Khuôn mẫu quản lý rủi ro
Risk Management Framework

2.1. Khuôn mẫu và quy trình quản lý rủi ro

2.2. Vai trò của các bên có lợi ích liên quan
2.3. Chính sách quản lý rủi ro
2.4. Thiết kế khuôn mẫu quản trị rủi ro
2.5. Khả năng chịu đựng rủi ro & khẩu vị rủi ro)
2.6. Triển khai khuôn mẫu quản trị rủi ro
2.7. Theo dõi và đánh giá khuôn mẫu quản trị rủi ro

18
 Quản lý rủi ro liên quan đến việc khám phá
các câu trả lời cho những câu hỏi về ? (rủi
ro/nguy cơ) gắn liền với từng tài sản thông tin
Xác định Có những rủi ro nào và nguồn gốc của chúng?
rủi ro

Phân tích Mức độ nghiêm trọng của rủi ro?

rủi ro

Đánh giá Rủi ro có vượt quá mức độ chấp nhận không?

rủi ro

Thủ tục kiểm soát nào nên được triển khai

Kiểm soát
rủi ro để giảm rủi ro đến mức độ chấp nhận rủi ro?
19
• Quản lý rủi ro: Quá trình xác định rủi ro, đánh giá mức độ thiệt
hại tương đối của nó và thực hiện các bước để giảm rủi ro
xuống mức có thể chấp nhận được.
• Xác định rủi ro: Việc công nhận, liệt kê và lập tài liệu về các
rủi ro đối với tài sản thông tin của tổ chức.
• Đánh giá rủi ro: Xác định mức độ mà tài sản thông tin của một
tổ chức có thể gặp rủi ro.
• Xử lý rủi ro (kiểm soát rủi ro): Việc áp dụng các biện pháp bảo
vệ hoặc kiểm soát nhằm giảm rủi ro đối với tài sản thông tin
của tổ chức xuống mức có thể chấp nhận được.

20
Khuôn mẫu và quy trình quản lý rủi ro

21
 Khuôn mẫu và quy trình quản lý rủi ro

• Khuôn mẫu QLRR là cấu trúc tổng thể của việc lập kế
hoạch và thiết kế chiến lược cho toàn bộ các nỗ lực
quản lý rủi ro của tổ chức.
• Quy trình QLRR là việc thực hiện quản lý rủi ro theo
khuôn mẫu QLRR.
• Khuôn mẫu QLRR (lập kế hoạch) hướng dẫn quy trình
QLRR (thực hiện), tiến hành các quy trình đánh giá và
khắc phục rủi ro.
22
 Vai trò của các bên có lợi ích liên quan
1. Cộng đồng an ninh thông tin:
• Hiểu rõ nhất về các ?
• Vai trò lãnh đạo trong giải quyết rủi ro đối với tài sản thông tin.
• Xây dựng các hệ thống an toàn và vận hành ?.
2. Nhà quản lý
• Phát hiện sớm và phản hồi các nguy cơ.
• Đảm bảo có đủ thời gian, tài chính, ? và các nguồn lực khác cho
các nhóm an toàn thông tin và CNTT để đáp ứng nhu cầu bảo
mật.
3. Người sử dụng
• Phát hiện sớm và phản hồi các nguy cơ.
• Hiểu giá trị của hệ thống và dữ liệu đối với tổ chức.
• Hiểu tài sản thông tin nào có giá trị nhất.
4. Cộng đồng CNTT
• Xây dựng và vận hành các hệ thống an toàn
• Cung cấp quan điểm định giá và các nguy cơ cho ban quản lý
23
trong quá trình quản lý rủi ro.
 Vai trò của các bên có lợi ích liên quan

1. Cộng đồng an ninh thông tin

Vai trò của các bên có lợi
2. Nhà quản lý
ích liên quan
3. Người sử dụng

Phải làm việc cùng nhau để giải quyết tất cả các mức độ rủi
ro. Chịu trách nhiệm về:
• Đánh giá thủ tục kiểm soát rủi ro hiện tại và được đề xuất
• Xác định các lựa chọn thủ tục kiểm soát nào là hiệu quả
về mặt chi phí
• Thực hiện hoặc cài đặt các thủ tục kiểm soát cần thiết
• Đảm bảo rằng các thủ tục kiểm soát là hiệu quả
24
 Chính sách quản lý rủi ro (RM policy)

• Chính sách này chuyển đổi các hướng dẫn và quan điểm
được các nhà quản trị cung cấp cho nhóm thực hiện
khuôn mẫu QLRR thành hướng dẫn gắn kết cấu trúc và
chỉ đạo tất cả các nỗ lực quản lý rủi ro tiếp theo trong tổ
chức.
• Chính sách QLRR, giống như chính sách bảo mật thông
tin doanh nghiệp (?), là một tài liệu chiến lược chính thức
hóa phần lớn ý định của nhà quản trị.

25
 Chính sách quản lý rủi ro (RM policy)
Các chính sách QLRR bao gồm:
• Mục đích và phạm vi
• Định hướng và mục tiêu
• Vai trò và trách nhiệm
• Yêu cầu về nguồn lực
• Mức độ chấp nhận rủi ro và khẩu vị rủi ro
• Hướng dẫn phát triển chương trình QLRR
• Hướng dẫn đặc biệt và thông tin sửa đổi
• Tham chiếu đến các chính sách, kế hoạch, tiêu chuẩn và
hướng dẫn quan trọng khác

26
 Thiết kế khuôn mẫu quản lý rủi ro

• Thiết kế quy trình QLRR để hiểu được khẩu

vị rủi ro hiện tại của tổ chức và xác định các
hành động cần thực hiện.
• Lập tài liệu chính thức và xác mức độ chấp
nhận rủi ro của tổ chức và soạn thảo kế
hoạch quản lý rủi ro.

27
 Mức độ chấp nhận rủi ro & khẩu vị rủi ro
Risk Tolerance and Risk Appetite

• Khẩu vị rủi ro: số lượng và bản chất của rủi ro mà tổ

chức sẵn sàng chấp nhận khi họ đánh giá sự đánh đổi
giữa bảo mật hoàn hảo và khả năng truy cập không giới
hạn.
• Rủi ro còn lại: rủi ro đối với tài sản thông tin vẫn còn tồn
tại sau khi các biện pháp kiểm soát đã được áp dụng.
• Khả năng chấp nhận rủi ro (ngưỡng rủi ro): việc đánh giá
mức độ rủi ro mà một tổ chức sẵn sàng chấp nhận đối
với một tài sản thông tin cụ thể.
• Mục tiêu của bảo mật thông tin là giảm rủi ro còn lại phù
hợp với khẩu vị rủi ro.

28
Risk Tolerance and Risk Appetite

29
 Triển khai khuôn mẫu quản trị rủi ro

• Việc thực hiện kế hoạch QLRR có thể bị ảnh hưởng bởi

mức độ chấp nhận rủi ro của tổ chức.
• Các phương pháp triển khai:
o Kiểm tra tại bàn ?
o Kiểm tra thử nghiệm
o Kiểm tra theo từng giai đoạn
o Chuyển đổi trực tiếp

30
Theo dõi và đánh giá khuôn mẫu quản trị rủi ro

• Sau khi triển khai khuôn mẫu và khi nỗ lực vận hành
khuôn mẫu QLRR được tiếp tục, tổ chức cần tiếp tục
giám sát việc thực hiện quy trình QLRR đồng thời xem
xét sự tiện ích và thành công tương đối của chức năng
lập kế hoạch khuôn mẫu QLRR.
• Sau khi quy trình QLRR được triển khai và vận hành, tổ
chức nên quan tâm chủ yếu đến việc giám sát và xem
xét toàn bộ chu trình quy trình QLRR.

31
 1. Giới thiệu
2. Khuôn mẫu quản lý
rủi ro
3. Quy trình quản lý rủi

32
Nội dung ro
4. Phản ứng với rủi ro
5. Quản lý rủi ro
6. Các phương pháp
quản lý rủi ro khác
 3. Quy trình quản lý rủi ro

3.1. Thiết lập bối cảnh

3.2. Xác định rủi ro
3.3. Phân tích rủi ro
3.4. Đánh giá rủi ro và so sánh rủi ro không kiểm soát được
với mức độ chấp nhận rủi ro
3.5. Xử lý rủi ro không thể chấp nhận
3.6. Tóm tắt kết quả

33
 3.1. Chuẩn bị quy trình QLRR
—Thiết lập bối cảnh
• Nhóm thiết lập khuôn mẫu QLRR và có thể là đại diện
quản trị cung cấp hướng dẫn điều hành cho công việc
được thực hiện bởi nhóm quy trình QLRR và để đảm
bảo rằng các nỗ lực của nhóm phù hợp với mục đích
quản lý theo chính sách QLRR.
• Sự hiểu biết về môi trường bên ngoài và bên trong tổ
chức cần được xem xét trong quy trình quản lý rủi ro.

34
Assignment 1

35
Chuẩn bị quy trình QLRR —Thiết lập bối cảnh

Ấn phẩm Đặc biệt của NIST (SP) 800-30, Rev. 1, “Hướng

dẫn Thực hiện Đánh giá Rủi ro,” khuyến nghị chuẩn bị cho
quy trình rủi ro bằng cách thực hiện các nhiệm vụ sau:
• Xác định mục đích đánh giá;
• Xác định phạm vi đánh giá;
• Xác định các giả định và ràng buộc liên quan đến đánh
giá;
• Xác định các nguồn thông tin được sử dụng làm đầu vào
cho đánh giá;
• Xác định mô hình rủi ro và phương pháp phân tích.

36
3.2. Đánh giá rủi ro: Xác định
rủi ro

•Xác định và phân loại tài sản thông tin của tổ chức
•Sắp xếp ưu tiên tài sản thông tin theo tầm quan trọng
tổng thể của chúng
•Đánh giá nguy cơ
•Bảng TVA
37
Xác định tài sản thông tin của tổ chức

• Tất cả các yếu tố trong hệ thống: con người, thủ tục,

dữ liệu và thông tin, phần mềm, phần cứng và các yếu
tố hệ thống mạng

38
Assignment 2

39
 Phân loại tài sản
Tài sản

Thành phần Thành phần Thành phần

Con người Thủ tục
dữ liệu phần mềm phần cứng Hệ thống
mạng
(networking)

(1) Nhân viên

• Những người giữ vai trò đáng tin cậy, có quyền hạn và
trách nhiệm giải trình cao hơn
• Những nhân viên khác được giao nhiệm vụ mà không có
đặc quyền.
(2) Không là nhân viên
• Bao gồm các nhà thầu và nhà tư vấn, thành viên của các
tổ chức đáng tin cậy khác và những người lạ. 40
 Phân loại tài sản
Tài sản

Thành phần Thành phần Thành phần

Con người Thủ tục
dữ liệu phần mềm phần cứng Hệ thống
mạng
(networking)

(1) Thủ tục không tiết lộ kiến thức mà kẻ tấn công tiềm
năng có thể thấy hữu ích
(2) Thủ tục nhạy cảm có thể cho phép đối thủ giành lợi thế
hoặc tạo ra một cuộc tấn công nhằm vào tài sản của tổ
chức
-> Các thủ tục này có thể gây rủi ro cho tổ chức nếu chúng
bị tiết lộ cho những người không có thẩm quyền
41
 Phân loại tài sản
Tài sản

Thành phần Thành phần Thành phần

Con người Thủ tục
dữ liệu phần mềm phần cứng Hệ thống
mạng
(networking)

(1) Truyền tải

(2) Xử lý
(3) Lưu trữ

42
 Phân loại tài sản
Tài sản

Thành phần Thành phần Thành phần

Con người Thủ tục
dữ liệu phần mềm phần cứng Hệ thống
mạng
(networking)

(1) Ứng dụng

(2) Hệ điều hành
(3) Thành phần bảo mật
(4) Các thành phần bảo mật có thể là ứng dụng hoặc hệ
điều hành, nhưng chúng được phân loại là một phần
của môi trường kiểm soát an toàn thông tin và phải
được bảo vệ kỹ lưỡng hơn các thành phần hệ thống
khác. 43
 Phân loại tài sản
Tài sản

Thành phần Thành phần Thành phần

Con người Thủ tục
dữ liệu phần mềm phần cứng Hệ thống
mạng
(networking)

(1) Thiết bị hệ thống thông thường và thiết bị ngoại

vi
(2) Thiết bị là một phần của hệ thống kiểm soát an
toàn thông tin.
-> Phải bảo vệ chặt chẽ hơn vì các hệ thống mạng
con thường là tâm điểm của các cuộc tấn công.
44
 Phân loại tài sản
Tài sản

Thành phần Thành phần Thành phần

Con người Thủ tục
dữ liệu phần mềm phần cứng Hệ thống mạng
(networking)

• Các thành phần mạng cục bộ

• Các thành phần mạng nội bộ
• Các thành phần Internet hoặc extranet
• Các thành phần của đám mây

45
 Phân nhóm nhỏ cho các tài sản thông tin

Sơ đồ phân loại dữ liệu

• Phương pháp luận kiểm soát truy cập chính thức để xác định
mức độ bảo mật cho một tài sản thông tin và do đó hạn chế số
lượng người có thể truy cập nó.
• Có thể phân loại tài sản thông tin theo các mức độ: bí mật, nội
bộ và công khai.
• Yêu cầu một cấu trúc tương ứng để xác định mức độ an toàn
của từng nhân viên, xác định mức độ thông tin mà nhân viên
được phép xem.

46
 Yêu cầu phân nhóm

• Phải cụ thể để có thể dễ hiểu và xác định mức độ ưu tiên.

• Các nhóm tài sản phải toàn diện và phân biệt lẫn nhau:
o Toàn diện: tất cả các nội dung thông tin phải phù hợp với
danh sách tài sản thông tin.
o Phân biệt lẫn nhau: nội dung thông tin chỉ nên phù hợp với
một danh mục.

47
 Phân nhóm và quản lý dữ liệu

Định kỳ (năm), tổ chức phải xem xét các phân nhóm thông
tin để đảm bảo rằng thông tin vẫn được phân nhóm chính
xác và có các biện pháp kiểm soát truy cập thích hợp.

Mật (Confidential) Nội bộ (Internal) Bên ngoài (External)

• Được gọi là • Các thông tin nội bộ • Tất cả thông tin
thông tin “nhạy không đáp ứng các tiêu đã được nhà
cảm” hoặc “độc chí cho loại bí mật. quản trị phê
quyền”. • Chỉ được xem bởi nhân duyệt để công bố
• Phải được kiểm viên công ty, nhà thầu công khai.
soát chặt chẽ. được ủy quyền và các
bên thứ ba khác.
48
 Phân nhóm và quản lý dữ liệu
Một số tổ chức khác

NSI Non_NSI UK
Tuyệt mật Dữ liệu nhạy Mật
(Top Secret) cảm - SBU (Confidential)
(Sensitive but
Unclassified Hạn chế
Bí mật
data) (Restricted) –
(Secret)
SBU
Dữ liệu không
Mật nhạy cảm Không phân
(Unclassified loại
(Confidential) (Unclassified) 49
data)
Phân quyền an ninh
• Tương ứng với sơ đồ phân loại dữ liệu là cấu trúc
phân quyền an ninh nhân sự.
• Phân quyền an ninh (security clearance):
• Một cấu trúc an ninh nhân sự mà mỗi người sử
dụng một tài sản thông tin được chỉ định một cấp
độ phân quyền
• Xác định cấp thông tin đã phân loại mà họ được
quyền truy cập.
50
 Quản lý dữ liệu đã phân nhóm
•Quản lý dữ liệu đã phân nhóm bao gồm lưu trữ, phân phối,
truyền tải và hủy dữ liệu.
• Tất cả thông tin chưa được phân nhóm hoặc công khai phải
được đánh dấu rõ ràng (như sử dụng các tấm bìa màu khác
nhau).
• Tài liệu được phân nhóm phải có ký hiệu thích hợp ở đầu và
cuối mỗi trang.
• Tài liệu hai mặt bắt buộc phải có ký hiệu tiêu đề trên cả hai
mặt.
• Lưu trữ trong tủ khóa, két sắt hoặc các thiết bị bảo vệ khác
cho bản cứng và hệ thống.
• Khi mang thông tin đã được phân nhóm ra ngoài tổ chức,
thông tin đó cần được để trong túi hoặc bìa hồ sơ. 51
 Quản lý dữ liệu đã phân nhóm

Chính sách bàn làm việc sạch (clean desk policy): đảm bảo
rằng tất cả thông tin đã phân nhóm được bảo mật vào cuối mỗi
ngày.
• Phải hủy các bản sao của thông tin đã phân nhóm không còn
giá trị hoặc bản sao thừa.
• Tài liệu có thể được hủy bằng cách cắt nhỏ, đốt hoặc sử
dụng dịch vụ hủy tài liệu.
• Phải thực thi các chính sách để đảm bảo không có thông tin
đã phân loại nào bị vứt bỏ trong thùng rác hoặc các khu tái
chế.

52
 Sắp xếp ưu tiên tài sản thông
tin: Định giá tài sản thông tin
•Quá trình xác định giá trị tài chính hoặc giá trị cho mỗi tài sản thông tin.

• Hầu hết các tổ chức đều có hiểu biết chung về giá trị
tương đối của tài sản thông tin của họ nhưng xác định giá
trị tài chính cụ thể của tài sản thông tin là khó khăn.
-> Sử dụng các giá trị phân loại để xác định phạm vi giá trị
của tài sản (từ rất thấp đến rất cao)
-> Sử dụng các thước đo định tính khác

53
 Định giá tài sản thông tin

Tiêu chuẩn đánh giá giá trị tài sản thông tin

1. Tài sản thông tin nào là quan trọng nhất đối với sự thành
công của tổ chức?
2. Tài sản thông tin nào tạo ra nhiều doanh thu nhất?
3. Tài sản giữ vai trò lớn nhất trong việc tạo ra doanh thu
hoặc cung cấp dịch vụ? Tài sản thông tin nào tạo ra khả
năng sinh lời cao nhất?
4. Tài sản thông tin nào sẽ tốn kém nhất để thay thế?
5. Tài sản thông tin nào sẽ tốn kém nhất để bảo vệ?
6. Tài sản thông tin nào sẽ khiến tổ chức gia tăng nợ hoặc
hoang mang nhất nếu bị tiết lộ? 54
 Yếu tố cần xem xét khi xác định giá trị thông tin

Giá trị đối với • Phải hiểu chi phí bảo vệ thông tin để hiểu giá trị
chủ sở hữu của nó.
• Tuy nhiên, giá trị của thông tin đối với chủ sở
hữu đôi khi không phụ thuộc vào chi phí tạo ra
nó.
Giá trị của tài • Phức tạp khi định giá
sản trí tuệ • Sở hữu trí tuệ là bí mật thương mại vì vậy được
xem là tài sản chính của tổ chức.
Giá trị đối với • Cần phải hiểu đối thủ để biết giá trị thông tin của
đối thủ đơn vị đối với đối thủ
• Nếu thông tin thu hút sự chú ý của đối thủ, thì
thông tin đó cần được xóa hoặc bảo vệ.

55
 Sắp xếp ưu tiên tài sản thông tin
Phân tích nhân tố có trọng số
Dựa vào tiêu chuẩn đánh giá giá trị tài sản thông tin, đơn vị sẽ
chấm điểm các tài sản thông tin, có điều chỉnh theo trọng số

56
 Phân tích nhân tố có trọng số

• Liệt kê tài sản thông tin

• Chọn tiêu chí
• Chỉ định trọng số cho tiêu chí
• Đánh giá từng tài sản
• Tính bình quân gia quyền
• Xếp thứ tự theo điểm

57
 Đánh giá nguy cơ

Đánh giá các nguy cơ đối với tài sản thông tin,
bao gồm xác định các tiềm ẩn làm gia tăng nguy
hiểm đối với tổ chức.

Nguy hiểm là xác suất của một nguy

cơ tấn công tổ chức; đại diện cho số
lượng thiệt hại; đại diện cho tần suất
một cuộc tấn công có thể xảy ra.

58
 Xác định và sắp xếp ưu tiên các nguy cơ

Các vấn đề cần cân nhắc

Xác định nguy cơ gây • Nhóm an toàn thông tin cần phân tích
nguy hiểm cho tài sản các ví dụ cụ thể về các nguy cơ để xác
của tổ chức trong môi định nguy cơ cần xử lý.
trường nhất định
Xác định nguy cơ là • Có thể sử dụng thước đo định lượng và
mối nguy hiểm nhất định tính để phân loại giá trị thiệt hại
đối với thông tin của tổ • Xếp hạng các nguy cơ một cách chủ
chức quan theo thứ tự nguy hiểm.
• Có thể xếp hạng từng nguy cơ trên
thang điểm từ 1 đến 5 (nguy cơ mối đe
dọa không đáng kể; nguy cơ có mức độ
nghiêm trọng cao).
59
 Xác định và sắp xếp ưu tiên các nguy cơ

Xác định chi phí • Mục tiêu: đánh giá sơ bộ chi phí để phục hồi
cần thiết để phục hoạt động nếu một cuộc tấn công làm gián
hồi sau một cuộc đoạn hoạt động kinh doanh.
tấn công • Xếp hạng hoặc liệt kê các nguy cơ dựa trên
chi phí để khôi phục.
• Xếp hạng cho từng nguy cơ trên thang điểm
từ 1 đến 5, với 5 đại diện cho các nguy cơ
tốn nhiều tiền nhất. Nếu thông tin về chi phí
khôi phục có sẵn, có thể xác định theo giá trị
thực.

Xác định nguy cơ • Sắp xếp nguy cơ theo chi phí cần thiết
để ngăn chặn
đòi hỏi chi phí lớn
nhất để ngăn chặn
60
Các nguy cơ đối với an ninh thông tin

61
 Xác định các điểm yếu tiềm ẩn
• Xem xét từng tài sản thông tin cho từng nguy cơ liên quan
và tạo danh sách các điểm yếu tiềm ẩn. Điểm yếu tiềm ẩn
là những con đường cụ thể mà các tác nhân đe dọa có thể
khai thác để tấn công một tài sản thông tin.
• Kiểm tra cách thức từng nguy cơ có thể xảy ra, đồng thời
liệt kê các tài sản của tổ chức và các điểm yếu tiềm ẩn của
chúng.
• Cần gắn kết nguy cơ với các điểm yếu tiềm ẩn tương ứng.
• Trong quá trình xác định điểm yếu tiềm ẩn, nên thu thập ý
kiến từ nhiều đối tượng liên quan.

62
 Bảng TVA

Bảng nguy cơ – điểm yếu tiềm ẩn – tài sản (TVA)

Một tài liệu xếp hạng so sánh của các tài sản tương ứng
với các nguy cơ, dấu hiệu về bất kỳ điểm yếu tiềm ẩn nào
trong các cặp tài sản/ nguy cơ.

• Đóng vai trò là điểm khởi đầu cho bước tiếp theo
trong quy trình quản lý rủi ro — đánh giá rủi ro

63
Bảng nguy cơ – điểm yếu tiềm ẩn – tài sản

64
 Bảng nguy cơ – điểm yếu tiềm ẩn – tài sản

Cột Thể hiện tài sản thông tin với với tài sản quan trọng
nhất ở bên trái
Dòng Thể hiện các nguy cơ với nguy cơ quan trọng nhất
hoặc nguy hiểm nhất được liệt kê ở trên cùng
Lưới Thể hiện điểm yếu bảo mật (exposure) của tài sản và
kết quả cho phép đánh giá điểm yếu tiềm ẩn

Bộ ba nguy cơ – điểm yếu tiềm ẩn – tài sản

65
 Bộ ba nguy cơ – điểm yếu tiềm ẩn – tài sản

• Một cặp tài sản và nguy cơ và một sự xác định các điểm
yếu tiềm ẩn tồn tại giữa chúng.
• Thể hiện ở định dạng: TxVyAz
• Có thể có một hoặc nhiều điểm yếu tiềm ẩn giữa nguy
cơ X và tài sản Z.

• Hỗ trợ xác định mức độ nghiêm trọng của các điểm yếu
tiềm ẩn
• Nếu giao điểm của 1 nguy cơ và 1 tài sản không có điểm
yếu tiềm ẩn, cần gạch bỏ ô đó.
• Có nhiều khả năng tồn tại một hoặc nhiều điểm yếu tiềm
ẩn giữa nguy cơ và tài sản. 66
 3. Quy trình quản lý rủi ro

3.1. Thiết lập bối cảnh

3.2. Xác định rủi ro
3.3. Phân tích rủi ro
3.4. Đánh giá rủi ro và so sánh rủi ro không kiểm soát được
với khẩu vị rủi ro
3.5. Tóm tắt kết quả

67
 3.3. Đánh giá rủi ro:
Phân tích rủi ro
• Phân tích rủi ro là đánh giá rủi ro tương đối đối với
điểm yếu tiềm ẩn và xếp hạng hay chấm điểm rủi ro
cho từng tài sản thông tin.
• Mục tiêu là phát triển một phương pháp có thể lặp lại
để đánh giá rủi ro tương đối của từng điểm yếu tiềm ẩn
đã được xác định.
• Nếu một điểm yếu tiềm ẩn được quản lý hoàn toàn bởi
một thủ tục kiểm soát hiện hành, có thể không cần xem
xét thêm về nó.
• Nếu nó được kiểm soát một phần, tổ chức cần ước tính
bao nhiêu phần trăm của điểm yếu tiềm ẩn đã được
kiểm soát.

68
Mô hình rủi ro chung của NIST với
các yếu tố rủi ro chính

69
Xác suất xảy ra tấn công (likelihood): xác
suất mà một điểm yếu tiềm ẩn cụ thể sẽ bị
khai thác hoặc tấn công, thường được gọi là
sự kiện đe dọa.
Mức độ tổn thất (potential impact): sự hiểu
biết về hậu quả tiềm tàng của môt cuộc tấn
công thành công vào một tài sản thông tin bởi
một nguy cơ.

70
 • Xác suất xảy ra tấn công là một yếu tố
rủi ro có trọng số dựa trên phân tích
xác suất mà một mối đe dọa nhất định
có khả năng khai thác một lỗ hổng
nhất định (hoặc tập hợp các lỗ hổng).
• Đối với các mối đe dọa từ đối thủ,
Xác suất xảy việc đánh giá xác suất xảy ra tấn công
ra tấn công
thường dựa trên:
(likelihood)
o ý định của đối thủ;
o khả năng của đối thủ;
o mục tiêu của đối thủ.
• Đối với các sự kiện khác, xác suất
xảy ra tấn công được ước tính bằng
cách sử dụng bằng chứng lịch sử, dữ
liệu thực nghiệm hoặc các yếu tố
khác (NIST SP 800-30). 71
 Xác suất xảy ra tấn công (Likelihood)
• Ví dụ: Nếu các tổ chức trong một ngành cụ thể dự kiến bị
tấn công bằng phần mềm độc hại ít nhất 4 lần/ năm, thì xác
suất xảy ra là 4/1 hoặc 400%.
Rank Description Percent Likelihood Example
0 Not Applicable 0% likely in the next 12 Will never happen
months
1 Rare 5% likely in the next 12 May happen once every 20 years
months
2 Unlikely 25% likely in the next 12 May happen once every 10 years
months
3 Moderate 50% likely in the next 12 May happen once every 5 years
months
4 Likely 75% likely in the next 12 May happen once every year
months
5 Almost Certain 100% likely in the next 12 May happen multiple times a year
months 72
 • Mức độ tổn thất từ một sự kiện đe
dọa là mức độ thiệt hại có thể xảy ra
do hậu quả của việc tiết lộ thông tin
trái phép, sửa đổi trái phép thông tin,
phá hủy trái phép thông tin hoặc mất
thông tin hoặc tính khả dụng của hệ
thống thông tin…
Mức độ tổn • Các tổ chức cần xác định:
thất (i) quy trình được sử dụng để tiến
Potential hành xác định tổn thất;
Impact (ii) các giả định liên quan đến xác định
mức độ tổn thất;
(iii) nguồn và phương pháp thu thập
thông tin về mức độ tổn thất
(iv) cơ sở cho các kết luận liên quan
đến việc xác định mức độ tổn thất
(NIST SP 800-30, r. 1).
73
 Mức độ tổn thất

Rank Description Example # of Productivity Financial Impact

Records Hours Lost
0 Not applicable No impact N/A N/A N/A
threat
1 Insignificant No interruption, no exposed data 0 0 0

2 Minor Multi-minute interruption, no 0 2 $20,000

exposed data
3 Moderate Multi-hour interruption, minor 499 4 $175,000
exposure of data
4 Major One-day interruption, exposure of 5,000 8 $2,000,000
data
5 Severe Multi-day interruption, major 50,000 24 $20,000,000
exposure of sensitive data
 75

Sự không chắc chắn của các ước tính

Uncertainty

Sự không chắc chắn vốn có trong đánh giá rủi ro, do

những vấn đề:
(i) Những hạn chế về mức độ mà tương lai sẽ giống
với quá khứ
(ii) Kiến ​thức không hoàn hảo hoặc không đầy đủ về
nguy cơ (ví dụ, đặc điểm của kẻ thù, bao gồm
chiến thuật, kỹ thuật và thủ tục)
(iii) Các lỗ hổng chưa được phát hiện trong công nghệ
hoặc sản phẩm
(iv) Sự phụ thuộc chưa được nhận biết, có thể dẫn
đến các tác động không lường trước được.
Ma trận đánh giá rủi ro IRM của Clearwater

Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not
be scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 76
 Tính toán rủi ro

Ví dụ minh họa Tài sản thông tin 1 là cơ sở dữ liệu

thương mại điện tử trực tuyến.

Tần xuất tổn thất 3

Mức độ thiệt hại 5
Sự không chắc chắn 10% (sự chắn chắn của ước tính là 90%)
của các ước tính.
Rủi ro 3 x 5 +/- 3 x 5 x 0.1
13.5 - 16.5 (thang đo 25)

77
 Risk Rating Worksheet

Asset Vulnerability Likelihood Impact Risk-Rating

Factor
Customer service E-mail disruption due 3 3 9
request via e- to hardware failure
mail (inbound)
Customer service E-mail disruption due 4 3 12
request via e- to software failure
mail (inbound)
Customer order Lost orders due to 2 5 10
via SSL Web server hardware
(inbound) failure

Michael E. Whitman and Herbert J. Mattord, Principles of Information Security, 7th Edition. © 2022 Cengage. All Rights Reserved. May not
be scanned, copied or duplicated, or posted to a publicly accessible website, in whole or in part. 78
 3. Quy trình quản lý rủi ro

3.1. Thiết lập bối cảnh

3.2. Xác định rủi ro
3.3. Phân tích rủi ro
3.4. Đánh giá rủi ro và so sánh rủi ro không kiểm soát
được với khẩu vị rủi ro
3.5. Tóm tắt kết quả

79
 3.4. Đánh giá rủi ro (risk evaluation)

Rủi ro còn lại > mức độ chấp Rủi ro còn lại < mức độ
nhận rủi ro chấp nhận rủi ro
Phải chuyển sang giai đoạn Nên chuyển sang giai đoạn
kiểm soát rủi ro tiếp theo và kiểm soát rủi ro sau và tiếp tục
tìm kiếm các chiến lược bổ theo dõi và đánh giá các biện
sung để giảm thiểu rủi ro hơn pháp kiểm soát và tài sản
nữa

80
81 3.5. Lập tài liệu kết quả đánh giá rủi
ro
• Danh sách các tài sản thông tin và dữ liệu về từng tài sản đó
• Danh sách liệt kê và xếp hạng điểm yếu tiềm ẩn của các tài
sản thông tin
• Thông tin về các tài sản, các nguy cơ đối với tài sản và các
điểm yếu tiềm ẩn
• Thông tin về các kiểm soát đã áp dụng
•🡪 Tài liệu tóm tắt cuối cùng là bảng xếp hạng rủi ro điểm yếu
tiềm ẩn (Ranked Vulnerability Risk Worksheet).
 Kết quả đánh giá rủi ro
Kết quả (báo cáo) Mục đích
82
Bảng phân loại tài sản Tập hợp thông tin về tài sản thông tin, mức độ
thông tin nhạy cảm và giá trị của chúng đối với tổ chức
Phân tích có trọng số giá Sắp xếp thứ tự từng tài sản thông tin theo tiêu
trị của tài sản chí do tổ chức xây dựng
Phân tích có trọng số Sắp xếp thứ tự từng nguy cơ đối với tài sản
mức độ nghiêm trọng của thông tin của tổ chức theo tiêu chí do tổ chức
nguy cơ xây dựng
Bảng kiểm soát TVA Kết hợp kết quả đầu ra từ việc xác định và sắp
xếp ưu tiên tài sản thông tin với việc xác định
và sắp xếp ưu tiên nguy cơ, xác định các điểm
yếu tiềm ẩn trong "bộ ba" và kết hợp các biện
pháp kiểm soát hiện có và theo kế hoạch
Bảng xếp hạng rủi ro Trình bày giá trị xếp hạng rủi ro cho từng bộ
ba TVA, kết hợp xác suất xảy ra rủi ro, mức độ
thiệt hại và sự không chắc chắn của các ước
tính
 3. Quy trình quản lý rủi ro

3.1. Thiết lập bối cảnh

3.2. Xác định rủi ro
3.3. Phân tích rủi ro
3.4. Đánh giá rủi ro và so sánh rủi ro không kiểm soát
được với khẩu vị rủi ro
3.5. Xử lý rủi ro không thể chấp nhận
3.6. Tóm tắt kết quả

83
 1. Giới thiệu
2. Khuôn mẫu quản lý
rủi ro

84
Nội dung 3. Quy trình quản lý rủi
ro
4. Phản ứng với rủi ro
5. Quản lý rủi ro
6. Các phương pháp
quản lý rủi ro khác
 Phản ứng với rủi ro

Giảm
Né tránh thiểu

Chấp Chuyển
nhận giao

85
 (1) Giảm thiểu rủi ro

Được gọi là chiến lược phòng thủ nhằm loại bỏ hoặc giảm bất
cứ phần còn lại nào của rủi ro không kiểm soát được thông
qua việc áp dụng các kiểm soát và bảo vệ bổ sung.

• Cố gắng ngăn chặn việc khai thác các điểm yếu tiềm ẩn

• Được thực hiện bằng cách chống lại các nguy cơ, loại bỏ
các điểm yếu tiềm ẩn khỏi tài sản, hạn chế quyền truy cập
vào tài sản và bổ sung các biện pháp bảo vệ.

86
(1) Chiến lược giảm
thiểu (Risk
mitigation)
Bao gồm ba phương
pháp phổ biến:
• Áp dụng chính sách
• Giáo dục và đào tạo,
nâng cao nhận thức
(SETA)
• Áp dụng công nghệ

87
 Chiến lược kiểm soát rủi ro cố
(2) Chuyển giao gắng chuyển rủi ro sang các
rủi ro tài sản khác, quy trình khác
Risk Transference hoặc tổ chức khác.

Có thể được thực hiện bằng cách:

• Xem lại cách cung cấp dịch vụ

• Sửa đổi mô hình triển khai

• Thuê ngoài (outsource) các tổ chức khác

• Mua bảo hiểm

• Thực hiện hợp đồng dịch vụ với nhà cung cấp

88
 (3) Chiến lược chấp nhận

• Chiến lược kiểm soát rủi ro chỉ ra rằng tổ chức sẵn sàng
chấp nhận mức độ rủi ro hiện tại.
• Kết quả là, tổ chức đưa ra quyết định có ý thức là không
làm gì để bảo vệ tài sản thông tin khỏi rủi ro và chấp nhận
kết quả từ bất kỳ hoạt động khai thác nào.

• Là lựa chọn không thể làm gì hơn để bảo vệ điểm yếu

tiềm ẩn dựa trên rủi ro còn lại và mức độ chấp nhận rủi
ro của tổ chức.

89
•Chỉ nên áp dụng chiến lược này khi tổ chức đã thực hiện:
• Xác định mức độ rủi ro
• Đánh giá xác suất của cuộc tấn công
• Ước tính thiệt hại tiềm ẩn có thể xảy ra từ các cuộc tấn
công
• Thực hiện phân tích chi phí - lợi ích kỹ lưỡng
• Đánh giá các kiểm soát sử dụng cho mỗi loại tính khả thi
• Quyết định rằng chức năng, dịch vụ, thông tin hoặc tài sản
thông tin cụ thể không bù đắp cho chi phí bảo vệ

(3) Chiến lược chấp nhận

90
 (4) Chiến lược né tránh (Risk
termination)

•Chiến lược kiểm soát rủi ro loại bỏ tất cả

rủi ro liên quan đến một tài sản thông tin
bằng cách loại bỏ nó khỏi dịch vụ.

• Tránh các hoạt động kinh doanh gây

ra rủi ro không thể kiểm soát.

91
 Quy trình truyền thông, giám sát và
đánh giá
• Khi nhóm quy trình QLRR làm việc thông qua các hoạt
động QLRR khác nhau, họ cần liên tục cung cấp phản
hồi cho nhóm quản lý khuôn mẫu QLRR về thành công
và những thách thức của các hoạt động QLRR, để cải
thiện quy trình và khuôn mẫu QLRR.
• Truyền thông quy trình liên quan đến việc yêu cầu và
cung cấp thông tin dưới dạng phản hồi trực tiếp về các
vấn đề phát sinh trong quá trình thực hiện và vận
hành từng giai đoạn của quy trình.
• Giám sát và xem xét quy trình liên quan đến việc thiết
lập và thu thập các biện pháp thực hiện chính thức và
các phương pháp đánh giá để xác định sự thành công
tương đối của chương trình QLRR.
92
 Giảm thiểu tác động của tổn
Giảm thiểu và rủi ro thất do một sự cố, thảm họa
Mitigation and Risk hoặc cuộc tấn công đã xảy ra
thông qua lập kế hoạch dự
phòng và chuẩn bị hiệu quả.

Giảm thiểu bắt đầu bằng

việc phát hiện sớm một
cuộc tấn công đang diễn ra
và phản ứng nhanh chóng,
hữu hiệu và hiệu quả.

93
 1. Giới thiệu
2. Khuôn mẫu quản lý
rủi ro

94
Nội dung 3. Quy trình quản lý rủi
ro
4. Phản ứng với rủi ro
5. Quản lý rủi ro
6. Các phương pháp
quản lý rủi ro khác
 Quản lý rủi ro
• Mục tiêu của an toàn thông tin là đưa rủi ro còn lại phù
hợp với khẩu vị rủi ro của tổ chức, không phải đưa rủi ro
về 0.
• Khi một lỗ hổng tồn tại trong một tài sản quan trọng—
Thực hiện các biện pháp kiểm soát bảo mật để giảm khả
năng xảy ra.
• Khi một lỗ hổng có thể bị khai thác—Áp dụng các biện
pháp kiểm soát để giảm thiểu rủi ro hoặc ngăn chặn sự
xuất hiện của một cuộc tấn công.
• Khi lợi ích tiềm năng của kẻ tấn công lớn hơn chi phí tấn
công—Áp dụng các biện pháp bảo vệ để tăng chi phí của
kẻ tấn công hoặc giảm lợi ích của kẻ tấn công.
• Khi tổn thất tiềm tàng là đáng kể—Áp dụng các biện
pháp bảo vệ để hạn chế phạm vi tấn công, giảm khả
năng tổn thất.

95
Rủi ro còn lại

96
Những điểm hành động xử lý rủi ro

97
Quy trình xử lý rủi ro

98
 Đánh giá tính khả thi và phân tích
lợi ích – chi phí
• Trước khi thực hiện một trong các chiến lược kiểm soát
đối với một điểm yếu tiềm ẩn cụ thể, cần khám phá tất
cả các hậu quả của điểm yếu tiềm ẩn đối với tài sản
thông tin.
• Có một số cách để xác định ưu điểm/nhược điểm của
một biện pháp kiểm soát cụ thể.
• Các yếu tố ảnh hưởng đến chi phí của một biện pháp
kiểm soát hoặc bảo vệ bao gồm chi phí phát triển hoặc
mua lại, phí đào tạo, chi phí triển khai, chi phí dịch vụ và
chi phí bảo trì.
• Tổ chức không nên chi nhiều hơn giá trị của tài sản để
bảo vệ nó; quá trình ra quyết định này được gọi là phân
tích lợi ích chi phí (CBA) hay nghiên cứu khả thi kinh tế. 99
 • Xác định lợi ích của một
thủ tục kiểm soát cụ thể
có lớn hơn chi phí bỏ ra

Phân tích lợi hay không?

• Có thể được tính toán
trước khi thực hiện thủ
ích – chi phí tục kiểm soát để xác
định xem thủ tục kiểm
Cost-benefit soát đó có đáng được
thực hiện hay không.

analysis • Có thể được tính toán

sau khi các thủ tục kiểm
soát đã được áp dụng.
(CBA)
1
0
0 Việc quan sát theo thời
gian giúp tăng thêm độ
chính xác để đánh giá
các lợi ích của biện pháp
bảo vệ và xác định xem
nó có hoạt động như dự
kiến hay không.
 Xác định chi phí của kiểm soát

• Chi phí phát triển hoặc mua phần cứng, phần mềm và
dịch vụ
• Chi phí huấn luyện nhân sự
• Chi phí triển khai báo gồm chi phí cài đặt, cấu hình và
kiểm tra phần cứng, phần mềm và dịch vụ
• Chi phí dịch vụ bao gồm phí bảo trì và nâng cấp của nhà
cung cấp
• Chi phí bảo trì bao gồm chi phí nhân công để xác minh và
kiểm tra liên tục, duy trì và cập nhật
• Chi phí tiềm tàng từ tổn thất tài sản
101
 Xác định lợi ích của kiểm soát

• Được xác định bằng cách định giá (các) tài sản thông tin
có nguy cơ bị lộ bởi điểm yếu tiềm ẩn, xác định giá trị của
tài sản thông tin có rủi ro, và xác định những rủi ro tồn tại
đối với tài sản.
• Định giá tài sản: ước tính chi phí có thể cảm nhận và chi
phí thực tế liên quan đến việc thiết kế, phát triển, lắp đặt,
bảo trì, bảo vệ, phục hồi và phòng tránh mất mát và kiện
tụng của tài sản.

102
Công thức phân tích lợi ích – chi phí

CBA = ALE(prior) - ALE(post) - ACS

Dự báo tổn thất hàng năm (ALE)
ALE(prior) Dự báo tổn thất hàng năm trước khi triển
khai các thủ tục kiểm soát
ALE(post) Dự báo tổn thất hàng năm sau khi đã triển
khai các thủ tục kiểm soát
Chi phí của thủ tục kiểm Tổng chi phí của thủ tục kiểm soát hoặc
soát (annualized cost of a bảo vệ, bao gồm tất cả chi phí mua, bảo
safeguard - ACS) trì, đăng ký, nhân sự và hỗ trợ, chia cho
tổng số năm dự kiến sử dụng thủ tục kiểm
soát. 103
 Công thức phân tích lợi ích – chi phí
Dự báo tổn thất Tích của dự báo tổn thất đơn lẻ và tỷ lệ xuất
hàng năm hiện hàng năm.
(annualized loss ALE = SLE x ARO
expectancy - ALE)
Tỷ lệ xuất hiện hàng Xác suất dự kiến ​của một cuộc tấn công, được
năm biểu thị trên cơ sở mỗi năm.
(annualized rate of
occurrence - ARO)
Dự báo tổn thất đơn Giá trị được tính toán liên quan đến tổn thất có
lẻ khả năng xảy ra nhất từ ​một cuộc tấn công.
(Single loss SLE = EF x giá trị tài sản (AV)
expectancy - SLE)
Tỷ lệ thiệt hại kỳ Tỷ lệ phần trăm tổn thất dự kiến ​sẽ xảy ra từ
vọng (Exposure một cuộc tấn công cụ thể.
Factor - EF)
104
 1. Giới thiệu
2. Khuôn mẫu quản lý
rủi ro
10
5
Nội dung 3. Quy trình quản lý rủi
ro
4. Phản ứng với rủi ro
5. Quản lý rủi ro
6. Các phương pháp
quản lý rủi ro khác
 6. Các phương pháp quản lý rủi ro khác (đọc
thêm)
• Phương pháp đánh giá nguy cơ nghiêm trọng, tài sản và
điểm yếu tiềm ẩn (Operationally Critical Threat, Asset, and
Vulnerability Evaluation - OCTAVE)
• Phân tích nhân tố rủi ro thông tin (Factor Analysis of
Information Risk - FAIR)
• ISO 27005 Quy trình quản lý rủi ro bảo mật thông tin
(Information Security Risk Management Process)
• NIST Phương pháp tiếp cận quản lý rủi ro trên toàn tổ chức
của (Organization-Wide Risk Management Approach –
RMF) 106
 1. Giới thiệu
2. Khuôn mẫu quản lý
rủi ro
10
7
Nội dung 3. Quy trình quản lý rủi
ro
4. Phản ứng với rủi ro
5. Quản lý rủi ro
6. Các phương pháp
quản lý rủi ro khác
 Using the data classification scheme in this
chapter, identify and classify the information
in your personal computer or personal digital
Exercises 2

assistant. Based on the potential for misuse

or embarrassment, what information would
be confidential, sensitive but unclassified, or
for public release?

108
 Exercises 3
Suppose XYZ Software Company has a new application
development project with projected revenues of $1.2 million.
Using the following table, calculate the ARO and ALE for
each threat category the company faces for this project.

109
 Exercises 4

How might XYZ Software Company arrive at the values in

the table shown in Exercise 3? For each entry, describe the
process of determining the cost per incident and frequency
of occurrence.

110
 Exercises 5

Assume that a year has passed and XYZ has improved

security by applying several controls. Using the information
from Exercise 3 and the following table, calculate the post-
control ARO and ALE for each threat category listed.

111
Exercises 5

112
 Exercises 5

Why have some values changed in the Cost per Incident

and Frequency of Occurrence columns? How could a control
affect one but not the other? Assume that the values in the
Cost of Control column are unique costs directly associated
with protecting against the threat. In other words, don’t
consider overlapping costs between controls. Calculate the
CBA for the planned risk control approach in each threat
category. For each threat category, determine whether the
proposed control is worth the costs.
113