Các Nội Dung Quản Trị Rủi Ro Trong Hệ Thống Thông Tin

an toàn và bảo mật thông tin trong một khoảng thời gian nhất định hay trong tổng số lần quan sát sự kiện. Còn biên độ rủi ro cho thông tin thể hiện tính chất nguy hiểm, mức độ thiệt hại gây ra nghĩa là thể hiện hậu quả hay tổn thất do rủi ro gây ra về tài chính, tài nguyên thông tin,...

c) Phân loại rủi ro cho thông tin trong hệ thống thông tin

Tùy thuộc vào các tiêu chí phân loại khác nhau, các rủi ro đối với hệ thống thông tin cũng như đối với sự an toàn và bảo mật thông tin trong hệ thống được phân thành các loại khác nhau. Các tiêu chí để phân loại rủi ro cho thông tin trong hệ thống thông tin bao gồm: phân theo nguyên nhân gây ra rủi ro; theo kết quả hay hậu quả; theo nguồn gốc; theo đối tượng gánh chịu rủi ro; theo khả năng kiểm soát, giảm tổn thất; theo các giai đoạn phát triển của đối tượng chịu rủi ro.

Nhằm xác định được những sự cố và những tổn thất nào có thể gặp phải gây mất an toàn và bảo mật thông tin nếu hệ thống thông tin của tổ chức, doanh nghiệp bị tấn công, thông thường các rủi ro lớn nhất mà hệ thống thông tin của doanh nghiệp gặp phải bao gồm hai loại là rủi ro đến từ bên ngoài hệ thống và rủi ro từ chính nội bộ hoạt động của hệ thống.

Ngoài ra, có nhiều cách phân loại rủi ro cho thông tin khác như rủi ro chủ quan, khách quan; rủi ro tài chính, nhân lực, năng suất,... hay rủi ro bên trong và bên ngoài doanh nghiệp.

1.3.2.2. Quản trị rủi ro trong hệ thống thông tin

a) Khái niệm

Quản trị rủi ro trong hệ thống thông tin là quá trình xác định, nhận dạng, phân tích, đánh giá, đo lường và kiểm soát rủi ro như việc xác định được các lỗ hổng trong hệ thống thông tin của tổ chức hoặc xác định được các vấn đề gặp phải với các thành phần của hệ thống thông tin của tổ chức, từ đó thực hiện các biện pháp nhằm giảm thiểu các rủi ro này xuống mức có thể chấp nhận được.

Một hệ thống thông tin được coi là được quản trị rủi ro tốt nếu có thể cân bằng được ba yếu tố đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng cho hệ thống thông tin cũng như cho thông tin trong hệ thống thông tin của tổ chức, doanh nghiệp.

b) Vai trò của quản trị rủi ro trong hệ thống thông tin

Trong tổ chức nói chung, cùng với quản trị chiến lược và quản trị hoạt động, quản trị rủi ro ngày nay được coi là chức năng tất yếu của quản trị tổ chức, doanh nghiệp. Đối với hệ thống thông tin, xuất phát từ vai trò, vị trí của nó trong hoạt động chung của tổ chức, doanh nghiệp, hoạt động quản trị rủi ro trong hệ thống thông tin có vai trò đảm bảo cho hệ thống cung cấp đầy đủ, chính xác, kịp thời những thông tin đích thực phục vụ cho mọi đối tượng theo yêu cầu nâng cao hiệu quả sản xuất kinh doanh. Các vai trò cơ bản của quản trị rủi ro trong hệ thống thông tin là:

Thứ nhất, nhận dạng, xác định và hạn chế ở mức thấp nhất những nguyên nhân gây ra rủi ro trong hoạt động của hệ thống thông tin, gây mất an toàn và bảo mật của thông tin trong hệ thống thông tin; góp phần tạo dựng môi trường hoạt động an toàn cho tổ chức, doanh nghiệp.

Thứ hai, hạn chế, xử lý tốt nhất các tổn thất và những hậu quả khi hệ thống thông tin bị tấn công trong trường hợp không thể né tránh được; giúp nhanh chóng khôi phục, ổn định và phát triển hệ thống thông tin để có thể cung cấp thông tin tốt nhất cho tổ chức, doanh nghiệp để nâng cao hiệu quả hoạt động sản xuất kinh doanh.

c) Các nội dung của quản trị rủi ro trong hệ thống thông tin

Các nội dung của hoạt động quản trị rủi ro trong hệ thống thông tin được mô tả trong Hình 1.4. Theo đó, hoạt động quản trị rủi ro trong hệ thống thông tin có ba nội dung chính là: Nhận dạng rủi ro; Đánh giá rủi ro và Kiểm soát rủi ro.

QUẢN TRỊ RỦI RO

Xác địn

Phân loại và xác định độ ưu tiên

Nhận dạng và liệt kê các rủi ro


Nhận dạng rủi ro


Đánh giá rủi ro


Nhậ

Hình 1.4. Các nội dung quản trị rủi ro trong hệ thống thông tin

(Nguồn Mark Rhodes - Ousley [16])


Nhận dạng rủi ro trong hệ thống thông tin là quá trình xác định một cách liên tục và có hệ thống các nguy cơ, hiểm họa, rủi ro có thể gây ra cho hoạt động của hệ thống thông tin gây tổn hại cho các loại tài sản trong hệ thống; cũng như gây mất an toàn và bảo mật cho thông tin trong hệ thống.

Nhiệm vụ của nhà quản trị trong việc thực hiện nội dung này là: xác định danh sách các rủi ro có thể xảy ra trong hoạt động của hệ thống thông tin, phân loại, sắp xếp và phân nhóm theo thứ tự ưu tiên dựa trên mức độ quan trọng của các tài sản và chỉ ra các nguy cơ đặc biệt nghiêm trọng.

Đánh giá rủi ro đối với hệ thống thông tin là quá trình nghiên cứu những lỗ hổng trong bảo mật và các nguy cơ, mối đe dọa, hiểm họa đối với các loại tài sản trong hệ thống thông tin của tổ chức, đơn vị; xác định nguyên nhân dẫn đến những nguy cơ, hiểm họa này; đo lường, phân tích và đưa ra các đánh giá định lượng về những tổn thất mà rủi ro của hệ thống có thể gây ra để có thể lựa chọn giải pháp phù hợp phòng ngừa, loại bỏ hoặc hạn chế làm giảm nhẹ thiệt hại.

Nhiệm vụ của nhà quản trị trong giai đoạn này là phân tích các rủi ro đã được nhận dạng, đánh giá, dự báo xác suất xảy ra rủi ro và mức độ thiệt hại nếu rủi do xảy ra.

Kiếm soát rủi ro cho hệ thống thông tin bao gồm việc lựa chọn một chiến lược phù hợp với mỗi tổ chức đơn vị, bao gồm việc sử dụng các phương tiện, công cụ, kỹ thuật khác nhau nhằm né tránh, phòng ngừa, giảm thiểu và chuyển giao các rủi ro có thể xảy ra trong quá trình hoạt động của hệ thống thông tin; sau đó lựa chọn chiến lược kiểm soát đúng đắn nhất để cài đặt và thực hiện.

d) Các nguyên tắc quản trị rủi ro trong hệ thống thông tin

Cũng như trong quản trị rủi ro nói chung, hoạt động quản trị rủi ro trong hệ thống thông tin cần tuân thủ các nguyên tắc cơ bản sau:

Nguyên tắc 1: Không chấp nhận các rủi ro không cần thiết, chấp nhận rủi ro khi lợi ích thu được lớn hơn chi phí bỏ ra.

Thực tế cho thấy, trong rủi ro thường tiềm ẩn các cơ hội (“trong cái rủi có cái may”) và nếu rủi ro không xảy ra thì cơ hội thu lợi sẽ xuất hiện. Vì thế, một số nhà quản trị kinh doanh sẵn sàng chấp nhận một số rủi ro nhất định, nhất là những rủi ro suy đoán. Tuy nhiên, việc chấp nhận rủi ro phải phù hợp với quy định của luật pháp và phải phù hợp với chuẩn mực đạo đức. Nói khác đi, không phải rủi ro nào cũng được chấp nhận. Mặt khác, khi chấp nhận rủi ro nhà quản trị phải tính đến khả năng thiệt hại nếu rủi ro xảy ra và chỉ được chấp nhận khi khẳng định được rằng lợi ích thu được khi rủi ro không xảy ra phải lớn hơn chi phí cho tổn thất khi xảy ra rủi ro.

Nguyên tắc 2: Các quyết định quản trị rủi ro phải được ra ở cấp quản trị thích hợp.

Quản trị rủi ro là công việc của tất cả các nhà quản trị ở tất cả các cấp quản trị. Tuy nhiên, ở mỗi cấp quản trị, các quyết định liên quan đến quản trị rủi ro là khác nhau. Nói khác đi, các quyết định liên quan đến quản trị rủi ro ở mỗi cấp quản trị cần được ra phù hợp với cấp, mức độ quản trị.

Trên thực tế, các quyết định liên quan đến việc xác định, phân tích, đánh giá rủi ro thường được ra bởi cấp chiến lược, còn các quyết định liên quan đến kiểm soát rủi ro được giao cho các nhà quản trị cấp chiến thuật và tác nghiệp.

Nguyên tắc 3: Hoạt động quản trị rủi ro trong hệ thống thông tin cần được thực hiện kết hợp với các hoạt động hoạch định cũng như vận hành ở tất cả các cấp trong hệ thống thông tin, cũng như trong tổ chức bởi quản trị rủi ro không phải và không thể là một hoạt động độc lập.

1.3.3. Mối quan hệ giữa quản trị rủi ro cho thông tin và an toàn và bảo mật thông tin

Rủi ro cho thông tin trong hệ thống thông tin của tổ chức, doanh nghiệp có thể được hiểu là những tình huống, những sự kiện, những nguy cơ hay những mối đe dọa trực tiếp hoặc gián tiếp xảy ra gây mất an toàn và bảo mật thông tin. Rủi ro cho thông tin trong hệ thống thông tin của tổ chức, doanh nghiệp được đánh giá dựa trên khả năng xảy ra, sự tác động, ảnh hưởng của nó khi xảy ra đối với hoạt động của hệ thống thông tin nói riêng và của tổ chức, doanh nghiệp nói chung. Hiểu được những nguy cơ xấu, những rủi ro có thể xảy ra cho thông tin trong hệ thống thông tin giúp tổ chức, doanh nghiệp có thể tránh được những thiệt hại không đáng có, có thêm thời gian lên kế hoạch ngăn chặn trước khi rủi ro xảy ra.

Rủi ro là một yếu tố luôn luôn thay đổi và biến hóa linh hoạt, chúng rất khó dự đoán trước và khó nhận ra, khó tìm thấy để ngăn chặn hoặc phòng ngừa. Vì vậy, các giả định, các dự đoán về rủi ro càng phải được cập nhật và thay đổi thường xuyên để có thể bao quát hết được những rủi ro có thể xảy đến trong những thời điểm khác nhau.

Quản trị rủi ro cho thông tin trong hệ thống thông tin là quá trình nhận dạng, phân tích, đo lường, đánh giá rủi ro, để từ đó tìm các biện pháp kiểm soát, khắc phục các hậu quả của rủi ro đối với hoạt động kinh doanh nhằm sử dụng tối ưu các nguồn lực.

Đảm bảo an toàn và bảo mật thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng cho tổ chức, doanh nghiệp.

Như vậy, có thể thấy đảm bảo an toàn và bảo mật thông tin là một hoạt động cụ thể trong quy trình quản trị rủi ro của hệ thống thông tin doanh nghiệp. Nó đảm bảo cho thông tin trong hệ thống thông tin có tính bí mật, sẵn sàng và toàn vẹn khi hệ thống thông tin của doanh nghiệp hoạt động.

1.4. CHÍNH SÁCH, PHÁP LUẬT VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN

1.4.1. Các chính sách an toàn và bảo mật thông tin ở Việt Nam

Hiện nay ở Việt Nam có các luật, nghị định và thông tư liên quan đến an toàn và bảo mật thông tin sau (Bảng 1.1).


Bảng 1.1. Danh mục luật liên quan đến an toàn, bảo mật thông tin

ở Việt Nam



Số hiệu

Cơ quan ban hành

Hình thức văn bản


Lĩnh vực


Trích yếu nội dung

Ngày ban hành

86/2015/QH13

Quốc hội

Luật

Viễn thông, CNTT, điện tử

Luật An toàn thông tin mạng

19/11/2015

29-2018/QH14

Quốc hội

Luật

An toàn thông tin

Luật Bảo vệ bí mật Nhà nước

15/11/2018

24/2018/QH14

Quốc hội

Luật

Viễn thông, CNTT, Điện tử

Luật An ninh mạng

12/06/2018

Có thể bạn quan tâm!

Xem toàn bộ 142 trang tài liệu này.

An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội Chủ biên - 6

Bảng 1.2. Các nghị định và thông tư liên quan đến an toàn, bảo mật thông tin ở Việt Nam


Số hiệu

Cơ quan ban hành

Hình thức văn bản

Lĩnh vực

Trích yếu nội dung

Ngày ban hành

13/2018/TT- BTTTT

Bộ Thông tin và Truyền thông

Thông tư

An toàn thông tin

Quy định Danh mục sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép và trình tự, thủ tục, hồ sơ cấp Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng

15/10/2018

20/2017/TT- BTTTT

Bộ Thông tin và Truyền thông

Thông tư

Viễn thông, CNTT, điện tử, An toàn thông tin

Quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc

12/9/2017

85/2016/NĐ- CP

Chính phủ

Nghị định

CNTT, điện tử

Về bảo đảm an toàn hệ thống thông tin theo cấp độ

01/07/2016

108/2016/NĐ- CP

Chính phủ

Nghị định

CNTT, điện tử

Quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

01/07/2016

05/2014/TT- BTTTT

Bộ Thông tin và Truyền thông

Thông tư

Lĩnh vực khác

Thông tư Quy định Danh mục sản phẩm, hàng hóa có khả năng gây mất an toàn thuộc trách nhiệm quản lý của Bộ Thông tin và Truyền thông

19/03/2014

23/2011/TT- BTTTT

Bộ Thông tin và Truyền thông

Thông tư

Viễn thông, CNTT, điện tử, Lĩnh vực khác

Quy định về việc quản lý, vận hành, sử dụng và bảo đảm an toàn thông tin trên Mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước

11/08/2011

20/2011/TT- BTTTT

Bộ Thông tin và Truyền thông

Thông tư

Viễn thông, CNTT, điện tử

Quy định danh mục sản phẩm, hàng hóa có khả năng gây mất an toàn thuộc trách nhiệm quản lý của Bộ Thông tin và Truyền thông

01/07/2011

Cơ quan ban hành

Hình thức văn bản

Lĩnh vực

Trích yếu nội dung

Ngày ban hành

25/2010/TT- BTTTT

Bộ Thông tin và Truyền thông

Thông tư

CNTT, điện tử

Quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước

15/11/2010

06/2008/TTLT- BTTTT-BCA

Liên bộ, Ngành

Thông tư

Viễn thông, Lĩnh vực khác

Về bảo đảm an toàn cơ sở hạ tầng và an ninh thông tin trong hoạt động bưu chính, viễn thông và công nghệ thông tin

28/11/2008

Số hiệu


Bảng 1.3. Các quyết định, chỉ thị, công văn về an toàn, bảo mật thông tin ở Việt Nam


Số hiệu

Cơ quan ban hành

Hình thức văn bản

Lĩnh vực

Trích yếu nội dung

Ngày ban hành

1616/QĐ- BTTTT

Bộ Thông tin và Truyền thông

Quyết định

Cơ cấu tổ chức

Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Trung tâm Giám sát an toàn không gian mạng quốc gia trực thuộc Cục An toàn thông tin

5/10/2018

469/QĐ- BTTTT

Bộ Thông tin và Truyền thông

Quyết định

Cơ cấu tổ chức

Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Chi nhánh Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam tại thành phố Đà Nẵng

3/4/2018

468/QĐ- BTTTT

Bộ Thông tin và Truyền thông

Quyết định

Cơ cấu tổ chức

Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Chi nhánh Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam tại Thành phố Hồ Chí Minh

3/4/2018

Cơ quan ban hành

Hình thức văn bản

Lĩnh vực

Trích yếu nội dung

Ngày ban hành

632/QĐ-TTg

Thủ tướng Chính phủ

Quyết định

CNTT, điện tử, An toàn thông tin

Ban hành danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và hệ thống thông tin quan trọng quốc gia

06/6/2017

3024/BTTTT- VNCERT

Bộ Thông tin và Truyền thông

Công văn điều hành

CNTT, điện tử

Hướng dẫn một số giải pháp tăng cường bảo đảm an toàn cho hệ thống thông tin

01/09/2016

1411/QĐ- BTTTT

Bộ Thông tin và Truyền thông

Quyết định

CNTT, điện tử

Về việc ban hành Kế hoạch chuyển đổi chuẩn hàm băm an toàn của các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng

11/08/2016

898/QĐ-TTg

Thủ tướng Chính phủ

Quyết định

CNTT, điện tử

Phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 - 2020

27/05/2016

1883/QĐ- BTTTT

Bộ Thông tin và Truyền thông

Quyết định

Cơ cấu tổ chức

Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Trung tâm Tư vấn và hỗ trợ nghiệp vụ an toàn thông tin

02/11/2015

893/QĐ-TTg

Thủ tướng Chính phủ

Quyết định

CNTT, điện tử

Phê duyệt Đề án Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin đến năm 2020

19/06/2015

1281/QĐ- BTTTT

Bộ Thông tin và Truyền thông

Quyết định

CNTT, điện tử, Cơ cấu tổ chức

Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Cục An toàn thông tin

09/09/2014

99/QĐ-TTg

Thủ tướng Chính phủ

Quyết định

CNTT, điện tử

Phê duyệt Đề án "đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020"

14/01/2014

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 18/05/2023