Nội dung báo cáo ISO 27005
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (198.95 KB, 3 trang )
ISO 27005
1. Thiết lập bối cảnh:
- Lựa chọn 1 cách tiếp cận quản lý rủi ro thích hợp để giải quyết các tiêu chí cơ
bản.
- Xác định các nguồn lực sẵn có
- Xác định tiêu chí chấp nhận rủi ro
- Xác định phậm vi và ranh giới quản lý rủi ro:
o Mục tiêu kinh doanh, chiến lược của tổ chức
o Yêu cầu pháp lý, yêu cầu hợp đồng
o Các chính sách ATTT
o Phân tích các bên liên quan: trong và ngoài tổ chức (về mặt nhận thức)
2. Đánh giá rủi ro ATTT:
- Mục đích: xác đinh giá trị tài sản, xác định các mối đe dọa và lỗ hổng đang
tồn tại, các biện pháp kiểm sốt hiện có và ảnh hưởng của chúng đến rủi ro
được xác định, xác định hậu quả tiềm ẩn.
Xếp hạng rủi ro.
- Gồm 3 hoạt động chính:
o Nhận diện rủi ro: nhằm mục đích xác đinh những việc có thể sảy ra gây
hậu quả tiềm ẩn và nguyên nhân sảy ra để từ đó có những biện pháp
thích hợp
Xác định tài sản
Xác định mối đe dọa: tự nhiên – con người, vô tình – cố ý
Xác định các biện pháp kiểm sốt hiện có
Xác định lỗ hổng: có thể tồn tại trong tổ chức, quy trình và thủ
tục, quy trình quản lý, nhân sự, mơi trường vật lý, cấu hình hệ
thống thông tin, phần cứng, phần mềm hoặc thiết bị truyền thơng,
sự phụ thuộc vào các bên bên ngồi
Xác định hậu quả: có thể được biểu hiện như mất hiệu quả, điều
kiện hoạt động bất lợi, mất kinh doanh, danh tiếng, thiệt hại
o Phân tích rủi ro: phương pháp phân tích: định tính hoặc định lượng.
gồm 3 phần quan trọng:
Đánh giá hậu quả: phụ thuộc vào định giá tài sản
Đánh giá khả năng sảy ra sự cố:
Tần suất xuất hiện
Khả năng xuất hiện
Mức độ xác định rủi ro: danh sách các rủi ro sắp xêp theo mức
độ
o Đánh giá rủi ro: trả lời các câu hỏi:
Có nên thực hiện 1 hoạt động hay không?
Ưu tiên xử lý rủi ro là gì?
3. Xử lý rủi ro:
- Dựa vào đánh giá rủi ro ở mục 2 và phân tích chi phí – lợi nhuận, rủi ro có thể
được xử lý theo các cách sau:
o Sửa đổi rủi ro: thay đổi biện pháp kiểm soát để làm giảm nhẹ tổn thất
mà rủi ro mang lại. cần đảm bảo không tạo ra rủi ro mới lớn hơn.
o Giữ lại rủi ro: rủi ro ở mức chấp nhận
o Tránh rủi ro: tránh hoàn toàn 1 hoạt động hoặc nguyên nhân phát sinh
rủi ro. Phù hợp khi chi phí xử lý rủi ro quá cao hoặc rủi ro ở mức độ
cao
o Chuyển giao rủi ro (chia sẻ rủi ro): có bên thứ 3 tham gia giám sát và
quản lý rủi ro. Nhưng trách nhiệm về hậu quả vẫn thuộc tổ chức
4. Chấp nhận rủi ro:
Sau khi xử lý rủi ro, tổ chức đưa ra các quyết định chấp nhận đối với rủi ro tồn
đọng đã được các nhà quản lý có trách nhiệm xem xét và duyệt
5. Truyền thông và tham vấn rủi ro ATTT
Rủi ro phải được thông báo giữa các cá nhân chịu trách nhiệm và các bên liên quan
6. Giám sát và xem xét rủi ro ATTT
- Theo dõi và xem xét các yếu tố, đặc biệt:
o Tài sản mới trong phạm vi quản lý rủi ro
o Sửa đổi giá trị tài sản
o Mối đe dọa mới
o Lỗ hổng mới
o Rủi ro ở mức chấp nhận gia tăng tác động hoặc hậu quả đến mức không
chấp nhận được
- Giám sát và xem xét quản lý rủi ro và cải tiến
o Xác minh mục tiêu cũ, bối cảnh pháp lý và môi trường, bối cảnh cạnh
tranh, bối cảnh tiếp cận và đánh giá rủi ro, các giá trị và danh mục tài
sản
Để sửa đồi và bổ sung cho phù hợp với hoàn cảnh.
