Tiêu chuẩn quốc gia TCVN 10295:2014 về Công nghệ thông tin – kỹ thuật Quản lý rủi ro an toàn thông tin

7. Thiết lập bối cảnh

7.1. Xem xét chung

Đầu vào: Toàn bộ thông tin về tổ chức liên quan tới thiết lập bối cảnh quản lý rủi            ro an toàn thông tin.

Hành động: Cần phải thiết lập bối cảnh nội bộ và bối cảnh bên ngoài tổ chức cho các hoạt động quản lý rủi ro an toàn thông tin, trong đó bao gồm việc thiết lập tiêu chí cơ bản cần thiết cho hoạt động quản lý rủi ro an toàn thông tin (7.2), định nghĩa phạm vi và giới hạn (7.3) và thiết lập một tổ chức thích hợp để vận hành hoạt động quản lý rủi ro an toàn thông tin (7.4).

Hướng dẫn triển khai: Cần thiết phải xác định mục đích của việc quản lý rủi ro an toàn thông tin bởi vì điều này ảnh hưởng đến toàn bộ quy trình và việc thiết lập bối cảnh cụ thể. Mục đích này có thể là:

• Hỗ trợ cho hệ thống quản lý an toàn thông tin (ISMS)

• Tuân thủ pháp luật và bằng chứng thẩm định

• Chuẩn bị một kế hoạch liên tục trong nghiệp vụ

• Chuẩn bị một kế hoạch ứng cứu sự cố

...

...

...

Hướng dẫn triển khai cho các yếu tố thiết lập bối cảnh cần thiết để hỗ trợ cho hệ thống ISMS được đề cập thêm tại 7.2, 7.3 và 7.4 dưới đây.

CHÚ THÍCH: TCVN ISO/IEC 27001:2009 không sử dụng thuật ngữ 'bối cảnh”. Tuy nhiên, điều 7 liên quan đến các yêu cầu “xác định phạm vi và giới hạn của ISMS” [4.2.1 a)], “xác định chính sách của ISMS” [4.2.1 b)] và “xác định phương pháp tiếp cận đánh giá rủi ro” [4.2.1 c)] cụ thể trong TCVN ISO/IEC 27001:2009.

Đầu ra: Đặc tả kỹ thuật về tiêu chí cơ bản, phạm vi và giới hạn và tổ chức thực hiện quy trình quản lý rủi ro an toàn thông tin.

7.2. Tiêu chí cơ bản

7.2.1. Phương pháp tiếp cận quản lý rủi ro

Tùy thuộc vào phạm vi và mục tiêu quản lý rủi ro mà có thể áp dụng nhiều phương pháp tiếp cận khác nhau. Phương pháp tiếp cận cũng có thể khác nhau đối với từng chu trình lặp lại.

Một phương pháp tiếp cận quản lý rủi ro thích hợp cần phải được lựa chọn hoặc phát triển để giải quyết tiêu chí cơ bản như: tiêu chí ước lượng rủi ro, tiêu chí về tác động, tiêu chí chấp nhận rủi ro.

Ngoài ra, tổ chức cần phải đánh giá xem những nguồn lực cần thiết có sẵn có hay không để:

• Thực hiện đánh giá rủi ro và thiết lập kế hoạch xử lý rủi ro

...

...

...

• Giám sát các kiểm soát

• Giám sát quy trình quản lý rủi ro an toàn thông tin

CHÚ THÍCH: Xem thêm TCVN ISO/IEC 27001:2009 (5.2.1) liên quan tới điều khoản về các nguồn lực cho hoạt động triển khai và vận hành một hệ thống ISMS

7.2.2. Tiêu chí ước lượng rủi ro

Tiêu chí ước lượng rủi ro cần phải được phát triển để ước lượng rủi ro an toàn thông tin của tổ chức liên quan đến:

• Giá trị chiến lược của quy trình thông tin nghiệp vụ

• Mức quan trọng đối với tài sản thông tin có liên quan

• Các yêu cầu về pháp lý và quy định và các trách nhiệm về hợp đồng

• Tầm quan trọng của tính sẵn sàng, tính bí mật và tính toàn vẹn trong các hoạt động mang tính nghiệp vụ và vận hành

...

...

...

Ngoài ra, tiêu chí ước lượng rủi ro có thể được sử dụng để xác định ưu tiên cho việc xử lý rủi ro.

7.2.3. Tiêu chí tác động

Tiêu chí tác động cần phải được xác định và phát triển theo mức thiệt hại hoặc các khoản chi phí đối với tổ chức mà nguyên nhân gây ra là từ các sự kiện an toàn thông tin mà có liên quan đến:

• Mức phân loại tài sản thông tin bị tác động

• Vi phạm an toàn thông tin (làm giảm tính bí mật, tính toàn vẹn và tính sẵn sàng)

• Yếu kém trong vận hành (nội bộ hoặc các bên thứ ba)

• Tổn hại về giá trị nghiệp vụ và tài chính

• Phá vỡ các kế hoạch và thời hạn

• Thiệt hại về uy tín

...

...

...

CHÚ THÍCH: Xem thêm TCVN ISO/IEC 27001:2009, 4.2.1 d) 4) liên quan tới việc xác định tiêu chí tác động làm giảm tính bí mật, tính toàn vẹn và tính sẵn sàng.

7.2.4. Tiêu chí chấp nhận rủi ro

Tiêu chí chấp nhận rủi ro cần phải được xác định và phát triển. Tiêu chí chấp nhận rủi ro thường phụ thuộc vào các chính sách, mục đích, mục tiêu của tổ chức và các lợi ích của các bên liên quan.

Mỗi tổ chức cần phải xác định mức chấp nhận rủi ro của riêng tổ chức mình. Trong suốt quy trình phát triển cần phải xem xét các vấn đề sau:

• Tiêu chí chấp nhận rủi ro có thể bao gồm nhiều ngưỡng, dựa theo mức mục tiêu mong muốn về rủi ro, nhưng phụ thuộc vào từng điều kiện thực tế cụ thể để cán bộ quản lý cao cấp có thể chấp nhận mức rủi ro

• Tiêu chí chấp nhận rủi ro có thể được thể hiện như tỉ lệ lợi nhuận ước lượng (hoặc các lợi ích nghiệp vụ khác) trên rủi ro được ước lượng

• Các tiêu chí chấp nhận rủi ro khác nhau có thể được áp dụng cho nhiều loại rủi ro khác nhau, ví dụ như những rủi ro mà có thể dẫn tới việc không tuân thủ pháp lý hoặc quy định có thể không được chấp nhận, trong khi việc chấp nhận các rủi ro ở mức cao lại có thể được phép nếu việc chấp nhận này được xác định như là các yêu cầu của hợp đồng.

• Tiêu chí chấp nhận rủi ro có thể bao gồm những yêu cầu cho việc xử lý bổ sung trong tương lai, ví dụ: một rủi ro có thể được chấp nhận thông qua với cam kết sẽ có hành động làm giảm rủi ro tới mức có thể chấp nhận được trong một khoảng thời gian nhất định

Tiêu chí chấp nhận rủi ro có thể khác nhau tùy theo thời gian dự tính tồn tại của rủi ro, ví dụ: rủi ro có thể liên quan đến một hoạt động ngắn hạn hoặc tạm thời. Tiêu chí chấp nhận rủi ro được thiết lập như sau:

...

...

...

• Khía cạnh pháp lý và các quy định

• Sự vận hành

• Công nghệ

• Tài chính

• Các yếu tố về xã hội và con người.

CHÚ THÍCH: Tiêu chí chấp nhận rủi ro tương tự với “tiêu chí chấp nhận rủi ro và nhận biết mức rủi ro có thể chấp nhận được” và được quy định rõ trong TCVN ISO/IEC 27001:2009, xem 4.2.1 c) 2).

Thông tin chi tiết được trình bày trong Phụ lục A.

7.3. Phạm vi và giới hạn

Tổ chức cần phải xác định rõ phạm vi và giới hạn cho quản lý rủi ro an toàn thông tin.

...

...

...

Cần phải thu thập những thông tin về tổ chức để xác định môi trường mà tổ chức hoạt động và sự liên quan của tổ chức đó tới quy trình quản lý rủi ro an toàn thông tin.

Khi xác định phạm vi và giới hạn, tổ chức cần phải xem xét tới những thông tin sau:

• Những mục tiêu, chiến lược và chính sách nghiệp vụ mang tính chiến lược của tổ chức

• Những quy trình nghiệp vụ

• Tổ chức bộ máy và chức năng của tổ chức

• Pháp lý, quy định và các cam kết cần áp dụng cho tổ chức

• Chính sách an toàn thông tin của tổ chức

• Phương pháp tiếp cận tổng thể của tổ chức đối với việc quản lý rủi ro

• Các tài sản thông tin

...

...

...

• Những ràng buộc ảnh hưởng đến tổ chức

• Kỳ vọng của các bên liên quan

• Môi trường văn hóa - xã hội

• Các giao diện (trao đổi thông tin với môi trường)

Thêm vào đó, tổ chức phải cung cấp bằng chứng cho các trường hợp ngoại lệ.

Các ví dụ về phạm vi quản lý rủi ro có thể là một ứng dụng công nghệ thông tin, cơ sở hạ tầng công nghệ thông tin, một quy trình nghiệp vụ, hoặc một bộ phận đã được định rõ của tổ chức.

CHÚ THÍCH: Phạm vi và giới hạn của hoạt động quản lý rủi ro an toàn thông tin liên quan tới phạm vi và giới hạn của hệ thống ISMS được quy định trong TCVN ISO/IEC 27001:2009, xem 4.2.1 a).

Thông tin chi tiết hơn có thể tìm thấy trong Phụ lục A.

7.4. Tổ chức quản lý rủi ro an toàn thông tin

...

...

...

• Phát triển quy trình quản lý rủi ro an toàn thông tin phù hợp cho tổ chức.

• Nhận biết và phân tích về các bên liên quan

• Xác định rõ vai trò và trách nhiệm của tất cả các bên, kể cả nội bộ và bên ngoài tổ chức

• Thiết lập những mối quan hệ cần thiết giữa tổ chức với các bên liên quan quản lý rủi ro an toàn thông tin, cũng như những giao diện đối với các chức năng quản lý rủi ro ở mức cao của tổ chức (ví dụ như quản lý rủi ro trong vận hành), cũng như những giao diện đối với những dự án hay các hoạt động có liên quan khác

• Vạch rõ hướng quyết định tiếp theo

• Đặc điểm kỹ thuật của hồ sơ cần được lưu trữ

Tổ chức phải được chấp thuận bởi những người quản lý thích hợp của tổ chức.

CHÚ THÍCH: TCVN ISO/IEC 27001:2009 yêu cầu phải xác định các nguồn lực dự trữ cần thiết để tiến hành thiết lập, triển khai, vận hành, giám sát, soát xét, duy trì và cải tiến một hệ thống ISMS, xem 5.2.1 a). Tổ chức thực hiện các hoạt động quản lý rủi ro có thể được xem như là một trong các nguồn lực cần thiết trong TCVN ISO/IEC 27001:2009.

8. Đánh giá rủi ro an toàn thông tin

...

...

...

CHÚ THÍCH: Hoạt động đánh giá rủi ro an toàn thông tin được nói đến như là quy trình trong TCVN ISO/IEC 27001:2009.

Đầu vào: Các tiêu chí cơ bản, phạm vi và giới hạn và tổ chức thực hiện quy trình quản lý rủi ro an toàn thông tin được thiết lập.

Hành động: Các rủi ro cần phải được nhận biết được mô tả định tính hoặc định lượng và sắp xếp mức ưu tiên theo các tiêu chí ước lượng rủi ro và các mục tiêu liên quan tới tổ chức.

Hướng dẫn triển khai:

Một rủi ro là một sự kết hợp các hậu quả do những sự kiện không mong muốn và khả năng xuất hiện của các sự kiện đó. Việc đánh giá rủi ro định lượng hoặc mô tả định tính về rủi ro và cho phép những người quản lý đặt ra mức ưu tiên cho những rủi ro dựa trên nhận thức của họ về mức nghiêm trọng hoặc các tiêu chí đã được thiết lập khác.

Đánh giá rủi ro bao gồm các hoạt động sau:

• Nhận biết rủi ro (8.2)

• Phân tích rủi ro (8.3)

• Ước lượng rủi ro (8.4)

...

...

...

Đánh giá rủi ro thường được tiến hành tối thiểu hai lần. Lần đầu tiên tiến hành đánh giá sơ bộ để xác định các rủi ro nguy hiểm đang tiềm ẩn, tạo điều kiện cho các bước đánh giá            tiếp theo. Bước tiếp theo có thể đánh giá sâu hơn các rủi ro tiềm      ẩn đã bộc lộ trong lần đánh giá trước đó. Nếu không có đầy đủ thông tin để đánh giá rủi ro thì sẽ có thể tiến hành phân tích chi tiết bằng phương pháp khác trên một phần hoặc toàn bộ phạm vi.

Mỗi tổ chức cần phải chọn phương pháp tiếp cận riêng để đánh giá rủi ro dựa trên các mục tiêu và mục đích của đánh giá rủi ro.

Các phương pháp tiếp cận đánh giá rủi ro an toàn thông tin được trình bày chi tiết trong Phụ lục E.

Đầu ra: Một danh sách những rủi ro đã được đánh giá được sắp xếp theo thứ tự ưu tiên phù hợp với các tiêu chí đánh giá rủi ro.

8.2. Nhận biết rủi ro

8.2.1. Giới thiệu về nhận biết rủi ro

Mục đích của nhận biết rủi ro là xác định nguyên nhân có thể gây ra thiệt hại tiềm ẩn và hiểu được lý do, phương thức, thời điểm, không gian mà thiệt hại có thể xảy ra. Các bước mô tả trong 8.2.2 đến 8.2.6 sẽ thu thập thông tin làm dữ liệu đầu vào cho hoạt động phân tích rủi ro.

Nhận biết rủi ro có thể bao gồm nhận biết nguồn phát sinh rủi ro, đặt nguồn gốc phát sinh rủi ro dưới sự kiểm soát của tổ chức mặc dù nguồn hoặc nguyên nhân phát sinh này có thể không rõ ràng.

CHÚ THÍCH: Các hoạt động được mô tả trong các mục dưới đây có thể được tiến hành theo thứ tự khác nhau tùy theo từng phương pháp luận được áp dụng.

...

...

...

Đầu vào: Phạm vi và giới hạn của đánh giá rủi ro được tiến hành, danh sách các thành phần (tài sản) liên quan cùng thông tin về những người sở hữu tài sản, vị trí, chức năng,...

Hành động: Cần phải nhận biết rõ các tài sản trong phạm vi đã được thiết lập (xem thêm TCVN ISO/IEC 27001:2009, 4.2.1 d) 1)).

Hướng dẫn triển khai:

Tài sản là bất kì thứ gì có giá trị đối với tổ chức và do đó cần được bảo vệ. Nhận biết tài sản cần phải xem xét trong khuôn khổ hệ thống thông tin, trong đó không chỉ bao gồm phần cứng và phần mềm.

Nhận biết tài sản phải được thực hiện ở mức chi tiết phù hợp để cung cấp đầy đủ thông tin cho hoạt động đánh giá rủi ro. Mức chi tiết được sử dụng trong quy trình nhận biết tài sản sẽ ảnh hưởng đến toàn bộ lượng thông tin được thu thập trong suốt quy trình đánh giá rủi ro. Mức chi tiết này có thể được cải tiến trong các bước lặp đi lặp lại của quy trình đánh giá rủi ro.

Cần phải nhận biết rõ người sở hữu tài sản đối với mỗi tài sản, để quy định nghĩa vụ và trách nhiệm đối với tài sản. Người sở hữu tài sản có thể không có quyền sở hữu đối với tài sản đó, nhưng lại có trách nhiệm trong việc sản xuất, phát triển, duy trì, sử dụng và đảm bảo an toàn phù hợp. Người sở hữu tài sản thường là người thích hợp nhất để xác định giá trị của tài sản đối với tổ chức (xem 8.3.2 về định giá tài sản).

Giới hạn cho việc soát xét là tập hợp tất cả các tài sản của tổ chức đã được nhận biết được quản lý bởi quy trình quản lý rủi ro an toàn thông tin.

Thông tin cho việc nhận biết và định giá tài sản liên quan tới an toàn thông tin được trình bày trong Phụ lục B.

Đầu ra: Một danh sách các tài sản cần được quản lý rủi ro và danh sách các quy trình nghiệp vụ liên quan đến các tài sản và các vấn đề liên quan khác.

...

...

...

Đầu vào: Thông tin về các mối đe dọa thu được từ việc soát xét sự cố, người sở hữu tài sản, người sử dụng tài sản và các nguồn thông tin khác, kể cả danh mục về các mối đe dọa từ bên ngoài.

Hành động: Cần phải nhận biết các mối đe dọa và nguồn gốc phát sinh các mối đe dọa (liên quan tới TCVN ISO/IEC 27001:2009, xem 4.2.1 d) 2)).

Hướng dẫn triển khai:

Một mối đe dọa có khả năng gây thiệt hại cho các tài sản như: thông tin, các quy trình nghiệp vụ, các hệ thống và tổ chức. Các mối đe dọa có thể xuất phát từ những lý do khách quan hay chủ quan, cũng có thể là do cố ý hoặc vô ý. Dù mối đe dọa bắt nguồn từ lý do nào cũng đều phải được nhận biết rõ. Một mối đe dọa có thể phát sinh từ bên trong hoặc bên ngoài tổ chức. Những mối đe dọa này phải được nhận biết một cách tổng quát và theo loại (ví dụ: hành động bất hợp pháp, phá hủy về vật lí, lỗi về công nghệ) và nếu phù hợp là theo từng mối đe dọa riêng trong các phân loại cụ thể. Điều này có nghĩa là không được bỏ sót bất cứ mối đe dọa nào, kể cả trong những trường hợp khó xảy ra, nhưng cần phải giới hạn khối lượng công việc cần thực hiện.

Một số mối đe dọa có thể gây ảnh hưởng đồng thời lên nhiều tài sản. Trong trường hợp này. chúng có thể gây ra các tác động khác nhau tùy thuộc vào tài sản nào bị ảnh hưởng.

Đầu vào cho việc nhận biết đe dọa và việc ước lượng các khả năng xảy ra (8.3.3) có thể thu thập được từ: người quản lý hay người sử dụng tài sản, đội ngũ nhân viên, chuyên gia quản lý phương tiện và chuyên gia an toàn thông tin, các chuyên gia an toàn vật Lí, bộ phận pháp lý và các tổ chức khác bao gồm: các cơ quan luật pháp, cơ quan dự báo thời tiết, công ty bảo hiểm và các cơ quan quản lý của chính phủ. Ngoài ra, khi giải quyết các mối đe dọa cũng cần phải quan tâm đến khía cạnh môi trường và văn hóa.

Cần phải tham khảo kinh nghiệm nội bộ thu được từ những sự cố đã xảy ra và kết quả đánh giá các đe dọa đã gặp phải trước khi tiến hành các đánh giá ở hiện tại. Những kinh nghiệm này rất hữu ích khi tra cứu các danh mục về các mối đe dọa khác nhau (có thể chi tiết đối với từng tổ chức hay nghiệp vụ), để hoàn thiện danh sách các mối đe dọa có đặc điểm chung. Danh mục các mối đe dọa và số liệu thống kê có thể tham khảo từ các cơ quan như: các cơ sở nghiên cứu, các hiệp hội, công ty bảo hiểm, các cơ quan quản lý nhà nước về công nghệ thông tin, viễn thông...

Khi sử dụng danh mục về các mối đe dọa hoặc các kết quả đánh giá trước đó về các mối đe dọa, cần phải chú ý rằng luôn luôn có những thay đổi liên quan đến các đe dọa, đặc biệt là những thay đổi về môi trường nghiệp vụ hay môi trường hệ thống thông tin.

Thông tin chi tiết về các loại đe dọa được trình bày ở trong Phụ lục C.

...

...

...

8.2.4. Nhận biết về các biện pháp kiểm soát hiện có

Đầu vào: Tài liệu về các biện pháp kiểm soát, các kế hoạch triển khai xử lý rủi ro.

Hành động: Nhận biết các biện pháp kiểm soát hiện có hoặc đã có kế hoạch triển khai.

Hướng dẫn triển khai:

Nhận biết các biện pháp kiểm soát hiện có là cần thiết nhằm tránh phải thực hiện nhiều công việc hay đỡ mất chi phí một cách không cần thiết, như trong trường hợp áp dụng các biện pháp kiểm soát trùng lặp. Ngoài ra, khi nhận biết các biện pháp kiểm soát hiện có, cần phải tiến hành việc kiểm tra để đảm bảo các biện pháp kiểm soát này được thực hiện một cách đúng đắn - việc tham khảo các báo cáo kiểm toán hệ thống ISMS là có thể giúp hạn chế thời gian thực hiện công việc này. Nếu một biện pháp kiểm soát không được thực hiện đúng như mong muốn, đây có thể là nguyên nhân gây ra các điểm yếu. Cần phải chú ý đến trường hợp nếu một biện pháp (hay chiến lược) đã được chọn lựa bị thất bại khi vận hành thì lúc đó cần phải triển khai các biện pháp kiểm soát bổ sung để giải quyết các rủi ro đã biết một cách hiệu quả. Trong một hệ thống ISMS, theo TCVN ISO/IEC 27001:2009, thì hoạt động này được hỗ trợ bởi việc đánh giá hiệu quả các biện pháp kiểm soát. Một cách để ước lượng tính hiệu quả của một biện pháp kiểm soát là xem xét khả năng giảm thiểu sự xuất hiện các mối đe dọa và sự dễ dàng trong khai thác các điểm yếu hoặc tác hại của các sự cố. Ban quản lý cần phải soát xét và kiểm toán các báo cáo cũng như cung cấp các thông tin về tính hiệu quả của các biện pháp kiểm soát hiện có.

Các biện pháp kiểm soát đang được lập kế hoạch để triển khai theo kế hoạch triển khai xử lý rủi ro cần được xem xét theo cùng một phương pháp giống như các biện pháp đã được triển khai.

Một biện pháp kiểm soát hiện có hoặc đã có kế hoạch triển khai có thể không hiệu quả, không đầy đủ hoặc không thích đáng. Nếu nhận thấy biện pháp kiểm soát này không đầy đủ hoặc không thích đáng thì cần kiểm tra để xác định có loại bỏ hoặc thay thế biện pháp kiểm soát này bằng các biện pháp kiểm soát khác phù hợp hơn hay giữ nguyên vì một số lý do nào đó (ví dụ như: chi phí).

Các hoạt động sau có thể giúp ích cho việc nhận biết các biện pháp kiểm soát hiện có hoặc đã có kế hoạch:

• Soát xét lại các tài liệu chứa thông tin về các biện pháp kiểm soát (ví dụ: các kế hoạch triển khai xử lý rủi ro). Nếu quy trình quản lý an toàn thông tin được tài liệu hóa tốt thì tất cả các biện pháp kiểm soát hiện có hoặc đã được lập kế hoạch và tình hình triển khai của chúng sẽ có sẵn;

...

...

...

• Tiến hành soát xét tại chỗ các biện pháp kiểm soát vật lí, đối chiếu những biện pháp kiểm soát đã triển khai với danh sách các biện pháp kiểm soát cần phải thực hiện và kiểm tra tính chính xác và hiệu quả của việc triển khai các biện pháp này; hoặc

• Soát xét các kết quả kiểm toán.

Đầu ra: Một danh sách các biện pháp kiểm soát hiện có hoặc đã được lập kế hoạch triển khai; tình hình triển khai và tình trạng sử dụng các biện pháp kiểm soát này.

8.2.5. Nhận biết về điểm yếu

Đầu vào: Một danh sách các mối đe dọa đã biết, danh sách các tài sản và các biện pháp kiểm soát hiện có.

Mô tả: Cần phải nhận biết các điểm yếu mà có thể bị khai thác bởi các mối đe dọa về an toàn thông tin, chúng chính là nguyên nhân gây thiệt hại cho các tài sản hoặc cho tổ chức (liên quan tới TCVN ISO/IEC 27001:2009, xem 4.2.1 d) 3)).

Hướng dẫn triển khai:

Có thể nhận biết các điểm yếu trong các lĩnh vực sau:

• Tổ chức

...

...

...

• Thủ tục quản lý

• Nhân sự

• Môi trường vật lí

• Cấu hình hệ thống thông tin

• Phần cứng, phần mềm hoặc thiết bị truyền thông

• Sự phụ thuộc vào các thành phần bên ngoài

Điểm yếu không tự gây ra thiệt hại, mà cần phải có một mối đe dọa khai thác. Một điểm yếu mà không có mối đe dọa tương ứng thì có thể không cần thiết triển khai biện pháp kiểm soát nào, nhưng các thay đổi cần phải được phát hiện và giám sát chặt chẽ. Cần lưu ý, một biện pháp kiểm soát được thực hiện không đúng cách hoặc sai chức năng, hoặc áp dụng không đúng cũng có thể là một điểm yếu. Một biện pháp kiểm soát có thể hiệu quả hoặc không hiệu quả tùy thuộc vào môi trường vận hành. Ngược lại, một mối đe dọa mà không có điểm yếu tương ứng có thể không gây ra một rủi ro.

Các điểm yếu có thể liên quan đến các thuộc tính của tài sản bị sử dụng khác với mục đích và cách thức khi được mua sắm hoặc chế tạo. Cần phải xem xét các điểm yếu phát sinh từ nhiều nguồn khác nhau, ví dụ như từ bản chất bên trong hoặc bên ngoài của tài sản.

Các ví dụ về các điểm yếu và các phương pháp đánh giá điểm yếu được trình bày trong Phụ lục D.

...

...

...

8.2.6. Nhận biết về hậu quả

Đầu vào: Một danh sách các tài sản, một danh sách các quy trình nghiệp vụ và một danh sách các điểm yếu và các mối đe dọa, có liên quan đến các tài sản và các vấn đề liên quan.

Hành động: Cần nhận biết các hậu quả làm mất đi tính bí mật, tính toàn vẹn và tính sẵn sàng đối với các tài sản (xem TCVN ISO/IEC 27001:2009, 4.2.1 d) 4)).

Hướng dẫn triển khai:

Một hậu quả có thể là sự mất đi tính hiệu quả, các bất lợi trong điều kiện vận hành, yếu kém trong hoạt động nghiệp vụ, mất uy tín, gây thiệt hại...

Hoạt động này nhằm nhận biết thiệt hại hay hậu quả đối với tổ chức mà có thể nguyên nhân do kịch bản sự cố gây ra. Một kịch bản sự cố là bản mô tả về một mối đe dọa đang khai thác một hoặc một tập hợp các điểm yếu trong một sự cố an toàn thông tin (xem tham khảo điều 13 trong TCVN ISO/IEC 27002:2011). Tác động của các kịch bản sự cố được xác định theo tiêu chí tác động đã được nhận biết trong hoạt động thiết lập bối cảnh. Những tác động này có thể ảnh hưởng tới một hoặc nhiều tài sản mà cũng có thể chỉ trên một phần của tài sản. Do đó, giá trị tài sản có thể được xem xét dựa vào hai khía cạnh: chi phí tài chính và ảnh hưởng của hoạt động nghiệp vụ nếu tài sản bị thiệt hại hoặc bị xâm phạm. Ảnh hưởng này có thể mang tính chất tạm thời hoặc vĩnh viễn như trường hợp tài sản bị phá hủy hoàn toàn.

CHÚ THÍCH: TCVN ISO/IEC 27001:2009 mô tả sự xuất hiện của các kịch bản sự cố là “các lỗi an toàn”.

Các tổ chức cần phải nhận biết các hậu quả hoạt động của các kịch bản sự cố về các mặt sau (nhưng không chỉ giới hạn trong những mặt này):

• Việc điều tra nghiên cứu và thời gian khắc phục

...

...

...

• Cơ hội bị lãng phí

• Sức khỏe và an toàn

• Chi phí tài chính cho từng kĩ năng để khắc phục thiệt hại

• Sự tín nhiệm và danh tiếng.

Chi tiết về đánh giá các điểm yếu thuộc kỹ thuật được trình bày trong Phụ lục B.3 “Đánh giá Tác động”.

Đầu ra: Một danh sách các kịch bản sự cố cùng với các hậu quả của chúng liên quan đến các tài sản và quy trình nghiệp vụ.

8.3. Phân tích rủi ro

8.3.1. Các phương pháp phân tích rủi ro

Phân tích rủi ro có thể được thực hiện theo các mức chi tiết khác nhau phụ thuộc vào mức quan trọng của các tài sản, phạm vi của các điểm yếu đã biết và các sự cố xảy ra trước đây liên quan tới tổ chức. Một phương pháp luận phân tích rủi ro có thể là định lượng hoặc định tính hoặc cả hai, dựa vào từng hoàn cảnh cụ thể. Trong thực tế, phân tích định tính thường được sử dụng đầu tiên để tìm được một biểu thị tổng quan về mức rủi ro và làm bộc lộ các rủi ro chủ yếu. Sau đó, có thể cần thực hiện chi tiết hơn hoặc phân tích định lượng các rủi ro chủ yếu này bởi vì việc thực hiện phân tích định tính thường ít phức tạp và ít tốn kém hơn so với việc phân tích định lượng. Hình thức phân tích cần phải phù hợp với các tiêu chí ước lượng rủi ro, được phát triển như là một phần của thiết lập bối cảnh.

...

...

...

(a) Phương pháp phân tích rủi ro định tính:

Phân tích rủi ro định tính sử dụng một thang đo các thuộc tính chất lượng (thang thuộc tính) để mô tả tính chất nghiêm trọng của các hậu quả tiềm ẩn (ví dụ: Thấp, Trung bình và Cao) và khả năng xảy ra của các hậu quả đó. Ưu điểm của phân tích định tính là giúp các nhân viên có liên quan có thể dễ dàng hiểu được những hậu quả này, trong khi nhược điểm của phương pháp này là sự phụ thuộc vào lựa chọn chủ quan của thang đo thuộc tính.

Các thang đo thuộc tính có thể được thay đổi hoặc điều chỉnh để phù hợp với hoàn cảnh và những mô tả khác nhau có thể được sử dụng cho những rủi ro khác nhau. Phân tích rủi ro định tính có thể được sử dụng:

• Như một hoạt động lọc thô ban đầu để nhận biết những rủi ro, sau đó yêu cầu phân tích chi tiết hơn những rủi ro đó.

• Khi mà kiểu phân tích này phù hợp với các quyết định

• Khi mà các dữ liệu số hay tài nguyên số không đủ để thực hiện phân tích rủi ro định lượng

Phân tích định tính cần phải sử dụng các thông tin và dữ liệu thực tế có sẵn.

(b) Phương pháp phân tích rủi ro định lượng:

Phân tích rủi ro định lượng sử dụng thang đo với các giá trị số (thang giá trị số) (chứ không phải là thang mang tính chất mô tả sử dụng trong phân tích rủi ro định tính) cho cả hậu quả và khả năng xảy ra hậu quả. Phân tích rủi ro định lượng sử dụng dữ liệu từ nhiều nguồn khác nhau. Chất lượng của việc phân tích phụ thuộc vào độ chính xác và độ đầy đủ của giá trị số học và giá trị của mô hình đã sử dụng. Trong hầu hết các trường hợp, phân tích rủi ro định lượng thường sử dụng các dữ liệu sự cố trong quá khứ, ưu điểm là có thể liên hệ trực tiếp đến các mục tiêu và mối quan tâm về an toàn thông tin của tổ chức. Nhược điểm của phương pháp này là sự thiếu dữ liệu về các rủi ro mới hoặc các điểm yếu an toàn thông tin. Nhược điểm của phương pháp tiếp cận định lượng xuất hiện khi thiếu các dữ liệu thực tế, có thể kiểm chứng được, từ đó dẫn đến việc tạo ra ảo tưởng về giá trị và tính chính xác của việc đánh giá rủi ro.

...

...

...

8.3.2. Đánh giá các hậu quả

Đầu vào: Một danh sách các kịch bản sự cố liên quan đã được nhận biết, bao gồm nhận biết về các mối đe dọa, các điểm yếu, các tài sản bị ảnh hưởng, những hậu quả đối với tài sản và các quy trình nghiệp vụ.

Hành động: Cần phải đánh giá các tác động nghiệp vụ đối với tổ chức mà nguyên nhân gây ra có thể từ những sự cố an toàn thông tin có thể xảy ra hoặc đã xảy ra ở hiện tại và cần phải xem xét các hậu quả do vi phạm an toàn thông tin gây ra như làm ảnh hưởng tới tính bí mật, tính toàn vẹn hay tính sẵn sàng của các tài sản (liên quan tới TCVN ISO/IEC 27001:2009, xem 4.2.1 e) 1)).

Hướng dẫn triển khai:

Sau khi nhận biết tất cả các tài sản đang trong quy trình soát xét, các giá trị mà được gắn cho những tài sản này cần phải được xem xét khi đánh giá những hậu quả.

Giá trị tác động nghiệp vụ có thể được thể hiện dưới hai hình thức: mô tả định tính và mô tả định lượng, nhưng nói chung bất kì phương pháp đánh giá giá trị tiền tệ nào cũng có thể cung cấp thêm nhiều thông tin cho việc đưa ra quyết định và do vậy tạo điều kiện thuận lợi cho một quy trình ra quyết định thêm hiệu quả hơn.

Định giá tài sản bắt đầu với việc phân loại các tài sản theo mức rủi ro của tài sản, tầm quan trọng của tài sản đối với việc hoàn thành các mục tiêu nghiệp vụ của tổ chức. Sau đó, việc định giá tài sản sẽ được xác định bằng cách sử dụng hai phương pháp:

• Giá trị thay thế của tài sản, gồm: chi phí khôi phục thông tin và chi phí thay thế thông tin

• Các hậu quả nghiệp vụ do làm mất mát hoặc gây tổn hại tới tài sản, như nghiệp vụ bất lợi tiềm ẩn và/hoặc các hậu quả về pháp lý hay quy định từ sự tiết lộ, thay đổi, tính không sẵn sàng và/hoặc sự phá hoại thông tin và những tài sản thông tin khác

...

...

...

Định giá tài sản là một bước quan trọng trong việc đánh giá tác động của một kịch bản sự cố, bởi vì sự cố có thể ảnh hưởng tới nhiều hơn một tài sản (chẳng hạn như các tài sản phụ thuộc) hoặc chỉ một phần của một tài sản. Các mối đe dọa và điểm yếu khác nhau sẽ có các tác động khác nhau đối với các tài sản, như làm mất đi tính bí mật, tính toàn vẹn hoặc tính sẵn sàng. Vì vậy, việc đánh giá các hậu quả có liên quan đến định giá tài sản dựa trên các phân tích tác động nghiệp vụ.

Các hậu quả hoặc tác động nghiệp vụ có thể được xác định bằng việc mô hình hóa các kết quả của một hoặc một tập hợp các sự kiện, hoặc ngoại suy từ các nghiên cứu thực nghiệm hoặc từ các dữ liệu trong quá khứ.

Các hậu quả có thể được thể hiện theo các tiêu chí tác động về tiền tệ, kỹ thuật hoặc con người, hoặc các tiêu chí khác liên quan đến tổ chức. Trong một số trường hợp, yêu cầu phải có nhiều giá trị số học để xác định những hậu quả cho những thời điểm, địa điểm, các nhóm hoặc những tình trạng khác nhau.

Các hậu quả về thời gian và tài chính cần phải được đánh giá với cùng một phương pháp tiếp cận được sử dụng để đánh giá khả năng xảy ra mối đe dọa và điểm yếu. Tính nhất quán phải được duy trì trong các phương pháp tiếp cận định tính hay định lượng.

Chi tiết thông tin về định giá tài sản và đánh giá tác động được trình bày trong Phụ lục B.

Đầu ra: Một danh sách các hậu quả của một kịch bản sự cố đã được diễn tả theo tài sản và tiêu chí tác động.

8.3.3. Đánh giá khả năng xảy ra sự cố

Đầu vào: Một danh sách các kịch bản sự cố liên quan đã được nhận biết, bao gồm nhận biết về các mối đe dọa, các tài sản bị ảnh hưởng, các điểm yếu bị khai thác và các hậu quả đối với các tài sản và các quy trình nghiệp vụ. Hơn nữa, còn bao gồm các danh sách tất cả các biện pháp kiểm soát hiện có và đã lên kế hoạch triển khai, tính hiệu quả của những biện pháp kiểm soát đó, tình hình triển khai và tình trạng sử dụng các biện pháp kiểm soát này.

Hành động: Khả năng xảy ra của các kịch bản sự cố cần phải được đánh giá (liên quan đến TCVN ISO/IEC 27001:2009, xem 4.2.1 e) 2)).

...

...

...

Sau khi nhận biết được các kịch bản sự cố thì cần thiết phải đánh giá khả năng xảy ra của từng kịch bản và tác động đang xảy ra, sử dụng các kỹ thuật phân tích định lượng hay định tính, cần chú ý đến tần suất xuất hiện của các mối đe dọa và cách thức các điểm yếu có thể bị khai thác dễ dàng, xem xét:

• Kinh nghiệm và các số liệu thống kê có thể áp dụng được đối với khả năng xuất hiện mối đe dọa.

• Đối với các nguồn đe dọa có chủ ý: động cơ và khả năng, sẽ thay đổi theo thời gian và các nguồn lực sẵn có của kẻ tấn công, cũng như nhận thức về sự hấp dẫn và điểm yếu của các tài sản đối với kẻ tấn công

• Đối với các nguồn đe dọa khách quan: các yếu tố địa lý, ví dụ như gần nhà máy hóa chất hoặc xăng dầu, điều kiện thời tiết khắc nghiệt và các yếu tố có thể ảnh hưởng đến lỗi của con người và lỗi trang thiết bị

• Các điểm yếu đơn lẻ và tích hợp

• Các biện pháp kiểm soát hiện có và sự hiệu quả của chúng trong việc giảm thiểu các điểm yếu

Ví dụ, một hệ thống thông tin có thể có một điểm yếu đối với các mối đe dọa về giả mạo danh tính người dùng và lạm dụng các tài nguyên. Điểm yếu về giả mạo danh tính người dùng có khả năng xảy ra cao bởi vì sự thiếu xác thực của người dùng. Trái lại, khả năng lạm dụng các tài nguyên có thể xảy ra thấp mặc dù sự thiếu xác thực của người sử dụng, bởi vì cách lạm dụng tài nguyên chỉ có giới hạn.

Tùy thuộc vào sự cần thiết về sự chính xác, các tài sản có thể được nhóm lại, hoặc có thể cần thiết để phân tách tài sản theo từng thành phần của chúng kết nối các kịch bản vào những thành phần này. Ví dụ, dọc theo các vị trí địa lý, bản chất của những mối đe dọa đối với cùng loại tài sản có thể thay đổi, hoặc tính hiệu quả của những biện pháp kiểm soát hiện có có thể biến đổi.

Đầu ra: Khả năng xảy ra của các kịch bản sự cố (định lượng hoặc định tính).

...

...

...

Đầu vào: Một danh sách các kịch bản sự cố cùng với các hậu quả liên quan đến các tài sản và các quy trình nghiệp vụ và khả năng xảy ra các kịch bản đó (định tính hay định lượng).

Hành động: Cần phải xác định mức rủi ro cho tất cả các kịch bản sự cố (liên quan tới TCVN ISO/IEC 27001:2009, xem 4.2.1 e)) 4)).

Hướng dẫn triển khai:

Phân tích rủi ro sẽ định rõ giá trị cho khả năng xảy ra và những hậu quả của một rủi ro. Các giá trị này có thể là định tính hay định lượng. Phân tích rủi ro được dựa trên các hậu quả đã được đánh giá và khả năng xảy ra. Thêm vào đó, chúng ta cần phải xem xét đến lợi ích về chi phí, các mối quan tâm của những bên liên quan và những biến đổi khác, như sự phù hợp đối với ước lượng rủi ro. Rủi ro được đánh giá là sự kết hợp giữa khả năng xảy ra của một kịch bản sự cố với các hậu quả.

Các ví dụ về những phương pháp tiếp cận hoặc phương pháp phân tích rủi ro an toàn thông tin khác nhau được trình bày trong Phụ lục E.

Đầu ra: Một danh sách các rủi ro cùng với các mức giá trị được định rõ.

8.4. Ước lượng rủi ro

Đầu vào: Một danh sách các rủi ro cùng với các mức giá trị được định rõ và các tiêu chí ước lượng rủi ro.

Hành động: Mức rủi ro được đối chiếu dựa vào các tiêu chí ước lượng rủi ro và các tiêu chí chấp nhận rủi ro (liên quan tới TCVN ISO/IEC 27001:2009, xem 4.2.1 e) 4)).

...

...

...

Bản chất của các quyết định gắn liền với ước lượng rủi ro và các tiêu chí ước lượng rủi ro sẽ được sử dụng để đưa ra những quyết định sẽ được quyết định khi thiết lập bối cảnh. Những quyết định và bối cảnh này cần phải được xem xét lại chi tiết hơn ở bước này khi đã có thêm thông tin về các rủi ro cụ thể đã được nhận biết. Để ước lượng các rủi ro, các tổ chức cần đối chiếu các rủi ro đã được ước đoán (sử dụng các phương pháp hoặc phương pháp tiếp cận đã được chọn như được nêu trong Phụ lục E) với các tiêu chí ước lượng rủi ro được vạch rõ trong suốt quy trình thiết lập bối cảnh.

Các tiêu chí ước lượng rủi ro được sử dụng để đưa ra quyết định cần phải phù hợp với bối cảnh quản lý rủi ro an toàn thông tin trong nội bộ và bên ngoài tổ chức, đồng thời phải xem xét đến các mục tiêu của tổ chức và các quan điểm của các bên liên quan... Các quyết định được thực hiện trong hoạt động ước lượng rủi ro được dựa vào chủ yếu là mức rủi ro có thể chấp nhận được. Tuy nhiên, cũng cần phải xem xét các hậu quả, khả năng xảy ra và mức tin tưởng trong nhận biết và phân tích rủi ro. Sự kết hợp của các rủi ro thấp và trung bình có thể tạo ra các rủi ro có mức nguy hiểm cao hơn nhiều và cần có biện pháp giải quyết phù hợp.

Xem xét cần phải bao gồm:

• Các tính chất của an toàn thông tin: nếu một tiêu chí không liên quan đến tổ chức (ví dụ như mất tính bí mật), thì tất cả các rủi ro tác động đến tiêu chí này có thể cũng không liên quan

• Sự quan trọng của quy trình nghiệp vụ hoặc các hoạt động được hỗ trợ bởi một tài sản cụ thể hoặc tập hợp các tài sản: nếu quy trình được xác định là ít quan trọng, các rủi ro liên quan có thể được xem xét ở mức quan tâm thấp hơn so với các rủi ro mà có nhiều quy trình hay hoạt động bị tác động hơn

Ước lượng rủi ro sử dụng những hiểu biết về rủi ro thu được từ phân tích rủi ro để đưa ra quyết định cho các hành động trong tương lai. Các quyết định cần bao gồm:

• Liệu một hoạt động cần được tiến hành hay không

• Các ưu tiên đối với việc xử lý rủi ro xét theo các mức rủi ro đã được đánh giá

Trong suốt giai đoạn ước lượng rủi ro, các yêu cầu về hợp đồng, về pháp lý và quy định là các yếu tố cần phải được xem xét bổ sung thêm vào các rủi ro đã được đánh giá.

...

...

...

9. Xử lý rủi ro an toàn thông tin

9.1. Mô tả chung về xử lý rủi ro

Đầu vào: Một danh sách các rủi ro đã được phân loại ưu tiên theo các tiêu chí ước lượng rủi ro liên quan đến các kịch bản sự cố mà dẫn đến các rủi ro đó.

Hành động: Cần phải lựa chọn các biện pháp kiểm soát để giảm thiểu, duy trì, ngăn ngừa, hoặc chia sẻ những rủi ro và xác định một kế hoạch xử lý rủi ro.

Hướng dẫn triển khai:

Có bốn phương án lựa chọn sẵn có cho việc xử lý rủi ro            là: thay đổi rủi ro (9.2), duy trì rủi ro (9.3), ngăn ngừa rủi ro (9.4) và chia sẻ rủi ro (9.5).

CHÚ THÍCH: xem 4.2.1. f) 2) trong TCVN ISO/IEC 27001:2009 sử dụng thuật ngữ “chấp nhận rủi ro” thay cho thuật ngữ “duy trì rủi ro”.

Hình 3 minh họa hoạt động xử lý rủi ro trong quy trình quản lý rủi ro an toàn thông tin như đã được trình bày trong Hình 2.

...

...

...

Những lựa chọn xử lý rủi ro cần phải được chọn lựa dựa trên kết quả của đánh giá rủi ro, chi phí mong muốn cho triển khai các lựa chọn này và các lợi ích mong muốn xuất phát từ những lựa chọn đó.

Cần phải triển khai những lựa chọn khi đạt được những giảm thiểu lớn về rủi ro với chi phí tương đối thấp. Những lựa chọn bổ sung để nâng cấp có thể không mang lại giá trị kinh tế và cần thiết phải thực hiện việc đánh giá để xem xét liệu những lựa chọn đó có hợp lý hay không.

Nhìn chung, những hậu quả tiêu cực của rủi ro cần phải làm thấp đến mức thích hợp và không phân biệt bất kỳ tiêu chí tuyệt đối nào. Những người quản lý cũng cần phải xem xét những rủi ro ít khi xảy ra nhưng lại là những rủi ro nghiêm trọng. Trong những trường hợp này, các biện pháp kiểm soát mà không hoàn toàn phù hợp với hoàn cảnh kinh tế vẫn cần được triển khai (ví dụ như các biện pháp kiểm soát liên tục trong nghiệp vụ được xem xét để biện pháp kiểm soát các rủi ro mức cao).

Bốn lựa chọn cho việc xử lý rủi ro không loại trừ lẫn nhau. Đôi khi tổ chức có thể được lợi chắc chắn bởi sự kết hợp những lựa chọn như giảm thiểu khả năng xảy ra rủi ro, giảm thiểu hậu quả rủi ro và chia sẻ hoặc duy trì bất kì rủi ro tồn đọng nào.

Một vài xử lý rủi ro có thể giải quyết một cách hiệu quả nhiều rủi ro (ví dụ như đào tạo và nhận thức an toàn thông tin). Một kế hoạch xử lý rủi ro cần phải nhận biết rõ ràng thứ tự ưu tiên để triển khai xử lý rủi ro theo thời gian định sẵn. Các ưu tiên có thể được thiết lập bằng việc sử dụng các kỹ thuật khác nhau, bao gồm xếp loại các rủi ro và phân tích chi phí - lợi nhuận. Đó là trách nhiệm của những người quản lý của tổ chức để quyết định sự cân đối giữa chi phí triển khai các biện pháp kiểm soát với phân bổ ngân sách.

Việc nhận biết các biện pháp kiểm soát hiện có có thể xác định được các biện pháp kiểm soát đó có vượt quá nhu cầu hiện tại hay không, về mặt đối chiếu chi phí, bao gồm cả duy trì. Nếu có xem xét loại bỏ những biện pháp kiểm soát dư thừa hoặc không cần thiết (đặc biệt nếu những biện pháp kiểm soát này có chi phí duy trì cao), những yếu tố về chi phí và an toàn thông tin cần phải được quan tâm. Do các biện pháp kiểm soát có thể ảnh hưởng lẫn nhau, việc loại bỏ các biện pháp kiểm soát dư thừa có thể làm giảm an toàn tổng thể. Thêm vào đó, chi phí có thể sẽ thấp hơn khi vẫn để lại những biện pháp kiểm soát dư thừa hoặc không cần thiết hơn là loại bỏ chúng.

Những lựa chọn xử lý rủi ro có thể quan tâm đến:

• Các bên bị ảnh hưởng nhận thức rủi ro như thế nào

• Cách thích hợp nhất để truyền thông giữa các bên liên quan

...

...

...

Một khi kế hoạch xử lý rủi ro được vạch rõ, những rủi ro tồn đọng cũng phải được xác định. Điều này liên quan tới việc cập nhật hoặc lặp lại chu trình đánh giá rủi ro, xem xét những tác động mong muốn của việc xử lý rủi ro đã được đề xuất. Nếu những rủi ro tồn đọng vẫn chưa đáp ứng được các tiêu chí chấp nhận rủi ro của tổ chức, cần thiết phải có thêm một chu trình lặp lại của việc đánh giá rủi ro trước khi đi đến quy trình chấp nhận rủi ro. Thông tin chi tiết được trình bày theo 3.2 trong TCVN ISO/IEC 27002:2011.

Đầu ra: Kế hoạch xử lý rủi ro và những rủi ro tồn đọng tùy thuộc vào quyết định chấp nhận của ban quản lý của tổ chức.

9.2. Thay đổi rủi ro

Hành động: Mức rủi ro cần phải được quản lý bằng cách đưa ra, loại bỏ hoặc thay thế các biện pháp kiểm soát sao cho các rủi ro tồn đọng có thể được đánh giá lại là chấp nhận được.

Hướng dẫn triển khai:

Cần phải lựa chọn các biện pháp kiểm soát thích hợp và đã được minh chứng để đáp ứng những yêu cầu đã được nhận biết bằng việc đánh giá và xử lý rủi ro. Lựa chọn này phải chú ý tới các tiêu chí chấp nhận rủi ro cũng như những yêu cầu về luật pháp, quy định và các yêu cầu theo hợp đồng. Lựa chọn này cần phải xem xét tới chi phí và thời gian triển khai các biện pháp kiểm soát, hoặc các khía cạnh kỹ thuật, môi trường và văn hóa. Nếu những biện pháp kiểm soát an toàn thông tin được lựa chọn một cách đúng đắn thì có thể giảm được toàn bộ chi phí cho các bên sở hữu cùng một hệ thống.

Nói chung, các biện pháp kiểm soát có thể cung cấp một hoặc nhiều loại bảo vệ như sau: hiệu chỉnh, loại bỏ, phòng ngừa, giảm thiểu tác động, ngăn chặn, phát hiện, khôi phục, giám sát và nâng cao nhận thức. Trong suốt quá trình lựa chọn biện pháp kiểm soát, điều quan trọng là phải cân nhắc chi phí để có được, triển khai, quản trị, vận hành, giám sát và duy trì các biện pháp kiểm soát so với giá trị tài sản được bảo vệ. Hơn nữa, lợi nhuận đầu tư do giảm thiểu rủi ro và tiềm năng khai thác những cơ hội nghiệp vụ mới được tạo ra bởi những biện pháp kiểm soát cụ thể cũng cần phải được xem xét. Ngoài ra, cần xem xét đến các kĩ năng chuyên môn cần thiết để nhận biết và triển khai những biện pháp kiểm soát mới hoặc sửa đổi những biện pháp kiểm soát hiện có

TCVN ISO/IEC 27002:2011 cung cấp những hướng dẫn và thông tin chi tiết về các biện pháp kiểm soát.

Có nhiều ràng buộc mà có thể ảnh hưởng tới việc lựa chọn những biện pháp kiểm soát. Những ràng buộc về kỹ thuật như các yêu cầu thực hiện, khả năng quản lý (các yêu cầu hỗ trợ vận hành) và các vấn đề về tính tương thích có thể ngăn cản việc sử dụng các biện pháp kiểm soát hoặc gây ra do lỗi của con người hoặc vô hiệu hóa các biện pháp kiểm soát, dẫn đến nhận thức sai về an toàn hoặc thậm chí làm tăng rủi ro cao đến mức vượt quá tầm kiểm soát (ví dụ như yêu cầu những mật khẩu phức tạp mà thiếu hướng dẫn phù hợp cho người dùng khi đặt mật khẩu). Hơn thế nữa, có thể xảy ra trường hợp biện pháp kiểm soát làm ảnh hưởng tới thực hiện. Những người quản lý phải cố gắng nhận biết một giải pháp để làm thỏa đáng các yêu cầu thực hiện thích hợp trong khi vẫn đảm bảo tốt an toàn thông tin. Kết quả của bước này là một danh sách các biện pháp kiểm soát có thể thực hiện được, với chi phí, lợi ích và mức ưu tiên triển khai của những biện pháp kiểm soát đó.

...

...

...

• Ràng buộc về thời gian

• Ràng buộc về tài chính

• Ràng buộc về kỹ thuật

• Ràng buộc về vận hành

• Ràng buộc về văn hóa

• Ràng buộc về đạo đức

• Ràng buộc về môi trường

• Ràng buộc về luật pháp

• Sự dễ dàng sử dụng

...

...

...

• Ràng buộc về khả năng hợp nhất giữa các biện pháp kiểm soát mới và các biện pháp kiểm soát hiện có

Thông tin chi tiết về những ràng buộc để thay đổi rủi ro có thể tìm thấy trong Phụ lục F.

9.3. Duy trì rủi ro

Hành động: Dựa vào ước lượng rủi ro để ra quyết định giữ lại rủi ro mà không cần thêm bất kì hành động nào nữa.

CHÚ THÍCH: xem 4.2.1 f) 2) của TCVN ISO/IEC 27001:2009 “chấp nhận rủi ro một cách khách quan hay chủ quan với điều kiện chúng hoàn toàn đáp ứng các chính sách và tiêu chí chấp nhận rủi ro của tổ chức” mô tả hoạt động tương tự.

Hướng dẫn triển khai:

Nếu mức rủi ro đáp ứng được các tiêu chí chấp nhận rủi ro thì không cần thực hiện thêm bất kì biện pháp kiểm soát nào và rủi ro có thể được giữ lại.

9.4. Tránh rủi ro

Hành động: Cần phải tránh những hoạt động hay hoàn cảnh làm phát sinh các rủi ro.

...

...

...

Khi rủi ro được nhận biết ở mức quá cao, hoặc các chi phí triển khai những lựa chọn xử lý rủi ro vượt quá lợi ích, cần phải đưa ra quyết định để tránh hoàn toàn rủi ro, bằng cách rút lại hoạt động hay những hoạt động hiện có hoặc đã được lập kế hoạch, hoặc thay đổi các điều kiện mà theo đó hoạt động được vận hành. Ví dụ, với những rủi ro mà do tự nhiên gây ra thì phương án thay thế hiệu quả nhất là chuyển những phương tiện xử lý thông tin đến nơi rủi ro không tồn tại hoặc nơi có thể kiểm soát/quản lý được.

9.5. Chia sẻ rủi ro

Hành động: Rủi ro có thể được chia sẻ với các bên khác, các bên mà có thể quản lý một cách hiệu quả nhất những rủi ro cụ thể tùy thuộc vào quy trình ước lượng rủi ro.

Hướng dẫn triển khai:

Chia sẻ rủi ro là quyết định chia sẻ những rủi ro nào đó với các bên bên ngoài tổ chức. Chia sẻ rủi ro có thể tạo ra những rủi ro mới hoặc làm thay đổi những rủi ro hiện có, đã được nhận biết. Do đó, việc xử lý rủi ro bổ sung là cần thiết.

Chia sẻ có thể được thực hiện bởi sự bảo đảm sẽ hỗ trợ giải quyết những hậu quả rủi ro, hoặc bằng hợp đồng phụ với một đối tác khác, đối tác này sẽ có vai trò giám sát hệ thống thông tin và có hành động ngay lập tức để ngăn chặn kẻ tấn công trước khi chúng gây ra một thiệt hại nhất định.

Cần lưu ý có thể chia sẻ trách nhiệm quản lý rủi ro nhưng sẽ không bình thường nếu chia sẻ trách nhiệm pháp lý đối với một tác động. Khách hàng sẽ thường quy cho việc xuất hiện một tác động bất lợi là do lỗi của tổ chức.

10. Chấp nhận rủi ro an toàn thông tin

Đầu vào: Kế hoạch xử lý rủi ro và việc đánh giá rủi ro tồn đọng (tức là rủi ro chưa được xử lý hoàn toàn) tùy thuộc vào quyết định chấp nhận của những người quản lý của tổ chức.

...

...

...

Hướng dẫn triển khai:

Các kế hoạch xử lý rủi ro cần phải mô tả được những rủi ro đã được đánh giá được xử lý thế nào để đáp ứng được các tiêu chí chấp nhận rủi ro (xem 7.2 Tiêu chí chấp nhận rủi ro). Điều quan trọng là những người quản lý có trách nhiệm phải xem xét và phê chuẩn các kế hoạch xử lý rủi ro đã được đề xuất và những rủi ro tồn đọng còn lại và ghi chép lại bất kì điều kiện nào có liên quan đến sự phê chuẩn này.

Tiêu chí chấp nhận rủi ro có thể phức tạp hơn so với chỉ xác định xem liệu một rủi ro tồn đọng có nằm trên hoặc dưới một ngưỡng đơn nào đó không

Trong một số trường hợp, mức rủi ro tồn đọng không phù hợp với các tiêu chí chấp nhận rủi ro bởi vì các tiêu chí đang được áp dụng này không xem xét các hoàn cảnh thông thường. Ví dụ: có thể thảo luận để chấp nhận rủi ro vì những lợi ích đi kèm rủi ro rất hấp dẫn, hoặc vì chi phí để thay đổi rủi ro lại quá cao. Những trường hợp trên có thể kết luận các tiêu chí chấp nhận rủi ro là không đầy đủ và cần được xem xét lại nếu có thể. Tuy nhiên, không phải lúc nào cũng có thể xem xét lại các tiêu chí chấp nhận rủi ro một cách kịp thời. Trong trường hợp này, người đưa ra quyết định có thể phải chấp nhận rủi ro mặc dù chúng không đáp ứng được tiêu chí chấp nhận thông thường. Nếu cần thiết thì người ra quyết định nên giải thích rõ ràng cho mỗi rủi ro và có thể đưa ra những chứng minh cho quyết định đó để loại tiêu chí chấp nhận rủi ro thông thường ra một bên.

Đầu ra: Một danh sách các rủi ro đã được chấp nhận với các chứng minh đi kèm nếu các rủi ro này không đáp ứng được các tiêu chí chấp nhận rủi ro thông thường của tổ chức.

11. Truyền thông và tư vấn rủi ro an toàn thông tin

Đầu vào: Toàn bộ thông tin rủi ro thu được từ các hoạt động quản lý rủi ro (xem Hình 2).

Hoạt động: Thông tin về rủi ro phải được truyền thông và/hoặc chia sẻ giữa người ra quyết định và các bên liên quan khác.

Hướng dẫn triển khai:

...

...

...

Truyền thông hiệu quả giữa các bên liên quan là quan trọng vì truyền thông có thể có một tác động quan trọng vào việc đưa ra các quyết định cần thiết. Truyền thông sẽ đảm bảo người chịu trách nhiệm đã đưa ra triển khai quản lý rủi ro và người có quyền lợi cá nhân sẽ hiểu được cơ sở của các quyết định và tại sao cần thiết phải có các hành động cụ thể. Truyền thông có tính hai chiều.

Nhận thức về rủi ro có thể thay đổi do sự khác nhau trong các giả thiết, khái niệm và nhu cầu, các vấn đề và các mối quan tâm của các bên có liên quan đến rủi ro hoặc các vấn đề đang được thảo luận. Các bên liên quan có thể quyết định chấp nhận rủi ro dựa vào nhận thức của họ về rủi ro. Điều này đặc biệt quan trọng để đảm bảo rằng nhận thức về rủi ro của các bên liên quan, cũng như nhận thức của họ về các lợi ích, có thể được nhận biết và được tài liệu hóa và những lý do cơ bản đã được hiểu và được giải quyết một cách rõ ràng.

Truyền thông rủi ro cần phải được tiến hành để đạt được những điều sau:

• Cung cấp sự đảm bảo cho kết quả quản lý rủi ro của tổ chức

• Thu thập thông tin về rủi ro

• Chia sẻ những kết quả từ hoạt động đánh giá rủi ro và đưa ra kế hoạch xử lý rủi ro

• Ngăn ngừa và giảm thiểu sự cố và hậu quả có thể xảy ra của việc vi phạm an toàn thông tin do sự thiếu hiểu biết lẫn nhau giữa người ra quyết định và các bên liên quan

• Hỗ trợ cho việc ra quyết định

• Thu được những hiểu biết mới về an toàn thông tin

...

...

...

• Đưa ra ý thức trách nhiệm về rủi ro cho người ra quyết định và các bên liên quan

• Nâng cao nhận thức

Một tổ chức cần phải phát triển các kế hoạch truyền thông rủi ro cho các trường hợp vận hành thông thường cũng như cho các trường hợp khẩn cấp. Vì vậy, hoạt động truyền thông rủi ro phải được thực hiện liên tục và thường xuyên.

Sự phối hợp giữa người ra quyết định chính với các bên liên quan có thể đạt được bằng cách thành lập một ủy ban để tranh luận về những rủi ro, thứ tự ưu tiên của chúng và cách xử lý thích hợp và việc chấp nhận có thể xảy ra.

Một điều quan trọng là phải hợp tác với đơn vị quan hệ công chúng hoặc với đơn vị truyền thông thích hợp trong phạm vi của tổ chức nhằm điều phối tất cả các nhiệm vụ liên quan đến truyền thông rủi ro. Điều này rất quan trọng trong hoạt động truyền thông về khủng hoảng, ví dụ như để đáp ứng với các sự cố cụ thể.

Đầu ra: Sự hiểu biết liên tục về quy trình và các kết quả của việc quản lý rủi ro an toàn thông tin của tổ chức.

12. Giám sát và soát xét rủi ro an toàn thông tin

12.1. Giám sát và soát xét các yếu tố rủi ro

Đầu vào: Tất cả các thông tin rủi ro thu được từ những hoạt động quản lý rủi ro (xem Hình 2).

...

...

...

Hướng dẫn triển khai:

Các rủi ro là không ổn định. Các mối đe dọa, những điểm yếu, khả năng xảy ra hoặc những hậu quả có thể thay đổi bất ngờ mà không có bất kì dấu hiệu nào. Do đó, việc kiểm tra liên tục là cần thiết để phát hiện những thay đổi này. Điều này có thể được hỗ trợ bởi các dịch vụ bên ngoài, những dịch vụ mà cung cấp các thông tin về các mối đe dọa mới hay những điểm yếu.

Các tổ chức cần phải đảm bảo những điều sau phải được kiểm tra liên tục:

• Các tài sản mới đã được đưa vào trong phạm vi quản lý rủi ro

• Những sự thay đổi cần thiết đối với giá trị của tài sản, ví dụ như do những yêu cầu về nghiệp vụ bị thay đổi

• Những mối đe dọa mới mà có thể hoạt động cả bên ngoài và nội bộ tổ chức và vẫn chưa được đánh giá

• Khả năng các điểm yếu mới hoặc gia tăng có thể tạo điều kiện cho các mối đe dọa khai thác các điểm yếu mới hoặc gia tăng này

• Các điểm yếu đã được nhận biết để xác định các điểm yếu đang bị phơi bày cho những mối đe dọa mới hoặc tái xuất hiện

• Tác động tăng lên hay các hậu quả gia tăng của các mối đe dọa, các điểm yếu và những rủi ro tích hợp lại dẫn đến một mức rủi ro không thể chấp nhận được.

...

...

...

Những mối đe dọa, các điểm yếu hoặc những thay đổi mới về khả năng xảy ra hay những hậu quả có thể làm tăng những rủi ro mà trước đó được đánh giá là thấp. Soát xét các rủi ro ở mức thấp và đã được chấp nhận cần phải xem xét một cách riêng biệt mỗi rủi ro và tất cả các rủi ro này như là một tập hợp, để đánh giá các tác động được tích lũy tiềm ẩn của những rủi ro này. Nếu các rủi ro không rơi vào loại rủi ro thấp hay rủi ro có thể chấp nhận được thì chúng cần phải được xử lý bằng cách sử dụng một hoặc nhiều tuỳ chọn được xem xét tại điều 9.

Những yếu tố ảnh hưởng đến khả năng xuất hiện và hậu quả của những mối đe dọa xảy ra có thể thay đổi, bởi vì có thể các yếu tố này ảnh hưởng đến tính thích hợp hay chi phí của những lựa chọn xử lý khác nhau. Những thay đổi lớn ảnh hưởng đến tổ chức là lý do để có một sự xem xét cụ thể hơn. Do đó, các hoạt động giám sát rủi ro cần phải được lặp lại một cách thường xuyên và các tùy chọn đã được chọn lọc để xử lý rủi ro phải được xem xét một cách định kỳ.

Kết quả của các hoạt động giám sát rủi ro có thể là đầu vào cho các hoạt động soát xét rủi ro khác. Vì vậy, tổ chức cần phải xem xét tất cả những rủi ro một cách thường xuyên và khi có những thay đổi lớn xảy ra (TCVN ISO/IEC 27001:2009, xem 4.2.3)).

Đầu ra: Sự điều chỉnh liên tục của việc quản lý rủi ro với các mục tiêu nghiệp vụ của tổ chức và với các tiêu chí chấp nhận rủi ro.

12.2. Giám sát soát xét và cải tiến quản lý rủi ro

Đầu vào: Tất cả các thông tin rủi ro thu được từ các hoạt động quản lý rủi ro (xem Hình 2).

Hành động: Cần phải giám sát, soát xét và cải tiến liên tục quy trình quản lý rủi ro an toàn thông tin.

Hướng dẫn triển khai:

Liên tục giám sát và soát xét là cần thiết để đảm bảo bối cảnh, kết quả của việc đánh giá và xử lý rủi ro, cũng như các kế hoạch quản lý rủi ro vẫn còn có thích đáng và phù hợp với hoàn cảnh.

...

...

...

Ngoài ra, tổ chức cần phải thẩm tra thường xuyên các tiêu chí được sử dụng để đo lường mức rủi ro và các yếu tố của tiêu chí có còn phù hợp với mục tiêu, chiến lược và chính sách nghiệp vụ không và cần phải xem xét một cách đầy đủ những thay đổi đối với bối cảnh nghiệp vụ trong suốt quy trình quản lý rủi ro an toàn thông tin. Hoạt động kiểm tra và soát xét cần phải giải quyết (nhưng không giới hạn):

• Bối cảnh môi trường và pháp lý

• Bối cảnh cạnh tranh

• Phương pháp tiếp cận đánh giá rủi ro

• Các loại tài sản và giá trị tài sản

• Tiêu chí tác động

• Tiêu chí ước lượng rủi ro

• Tiêu chí chấp nhận rủi ro

• Tổng chi phí sở hữu

...

...

...

Tổ chức cần phải đảm bảo các nguồn lực đánh giá và xử lý rủi ro luôn luôn liên tục sẵn sàng để soát xét rủi ro, giải quyết các mối đe dọa hoặc điểm yếu mới hoặc đã bị thay đổi và tư vấn quản lý cho phù hợp.

Giám sát quản lý rủi ro có thể dẫn đến kết quả là sửa đổi hay bổ sung phương pháp tiếp cận, phương pháp luận hoặc những công cụ đã được sử dụng và phụ thuộc vào:

• Những thay đổi đã được nhận biết

• Chu trình lặp đi lặp lại của việc đánh giá rủi ro

• Mục đích của quy trình quản lý rủi ro an toàn thông tin (như quy trình liên tục trong nghiệp vụ, khả năng khôi phục sau sự cố, sự tuân thủ)

• Mục tiêu của quy trình quản lý rủi ro an toàn thông tin (như tổ chức, đơn vị nghiệp vụ, quy trình thông tin, triển khai kỹ thuật, ứng dụng, kết nối internet)

Đầu ra: Sự phù hợp liên tục của quy trình quản lý rủi ro an toàn thông tin với mục tiêu nghiệp vụ hoặc sự cập nhật các quy trình của tổ chức.

PHỤ LỤC A

...

...

...

Xác định phạm vi và giới hạn của quy trình quản lý rủi ro an toàn thông tin

A.1. Nghiên cứu về tổ chức

Ước lượng tổ chức: Nghiên cứu về tổ chức là nghiên cứu các yếu tố đặc trưng xác định danh tính của một tổ chức. Đó là: mục đích, nghiệp vụ, nhiệm vụ, giá trị và chiến lược của tổ chức đó. Những vấn đề này phải được nhận biết cùng với các yếu tố đóng góp cho sự phát triển chung (ví dụ như kí kết hợp đồng phụ).

Khó khăn của hoạt động nghiên cứu này là hiểu được một cách chính xác tổ chức được cấu trúc như thế nào. Việc nhận biết cấu trúc thực tế của tổ chức sẽ giúp cho chúng ta hiểu rõ thêm về vai trò và tầm quan trọng của mỗi đơn vị trong việc hoàn thành các mục tiêu của tổ chức.

Ví dụ, trong thực tế việc người quản lý an toàn thông tin báo cáo với người quản lý cấp cao nhất thay vì báo cáo cho những người quản lý công nghệ thông tin có thể thể hiện sự tham gia của người quản lý cấp cao nhất trong an toàn thông tin.

Mục đích chính của tổ chức: Mục đích chính của một tổ chức có thể được xác định như là lý do tại sao tổ chức tồn tại (về Iĩnh vực hoạt động, thị phần...)

Nghiệp vụ của tổ chức: Nghiệp vụ của tổ chức, được xác định bởi các kỹ thuật và hiểu biết của nhân viên, giúp tổ chức hoàn thành các nhiệm vụ của mình. Đây là nét đặc trưng cho lĩnh vực hoạt động của tổ chức và thường tạo nên văn hóa của tổ chức đó.

Nhiệm vụ của tổ chức: Tổ chức đạt được mục đích bằng cách hoàn thành nhiệm vụ của mình. Để nhận biết các nhiệm vụ của tổ chức, các dịch vụ được cung cấp và/hoặc các sản phẩm được sản xuất phải được nhận biết trong mối quan hệ với những người dùng cuối.

Giá trị của tổ chức: Giá trị là các nguyên tắc chính hoặc là một quy tắc quản lý được xác định tốt được áp dụng cho việc thực hiện nghiệp vụ. Các giá trị này có thể liên quan đến nhân sự, các mối quan hệ với các tác nhân bên ngoài (khách hàng...), chất lượng sản phẩm được đáp ứng hoặc dịch vụ được cung cấp.

...

...

...

Cấu trúc của tổ chức: Tổ chức có những kiểu cấu trúc khác nhau như sau:

• Cấu trúc phòng ban: Mỗi phòng ban được đặt dưới sự giám sát của một cán bộ quản lý có trách nhiệm đối với các quyết định về chiến lược, quản trị và vận hành liên quan đến đơn vị.

• Cấu trúc chức năng: Quyền hạn mang tính chức năng được thực thì dựa trên thủ tục, bản chất công việc và đôi khi là các quyết định hoặc kế hoạch (ví dụ: sản phẩm, IT, các nguồn nhân lực, thương mại...).

Chú ý:

• Một phòng ban trong một tổ chức có cấu trúc phòng ban có thể được thiết lập như một cấu trúc chức năng và ngược lại.

• Một tổ chức có thể được nói là có một cấu trúc ma trận nếu tổ chức đó có các yếu tố của cả hai kiểu cấu trúc trên.

• Trong bất kì cấu trúc tổ chức nào đều phải phân biệt các mức sau đây:

o mức ra quyết định (xác định các định hướng chiến lược);

o mức lãnh đạo (điều phối và quản lý);

...

...

...

Biểu đồ của tổ chức: Cấu trúc của tổ chức được trình bày theo mô hình biểu đồ tổ chức. Biểu đồ này cần phải nêu bật được phạm vi quản lý và quyền hạn của người lãnh đạo, nhưng cũng phải bao gồm những mối quan hệ khác, mặc dù những mối quan hệ này không dựa vào bất cứ quyền hạn chính thức nào nhưng vẫn phải thể hiện thông tin rõ ràng.

Chiến lược của tổ chức: Yêu cầu phải có một thể hiện chính thức về các nguyên tắc định hướng của tổ chức. Chiến lược của tổ chức sẽ xác định phương hướng và nhu cầu phát triển để mang lại lợi ích từ những vấn đề đang bấp bênh và những thay đổi chính trong kế hoạch của tổ chức.

A.2. Danh sách các ràng buộc ảnh hưởng đến tổ chức

Cần phải xem xét toàn bộ các ràng buộc ảnh hưởng đến tổ chức và việc xác định định hướng an toàn thông tin của tổ chức đó. Nguồn của các ràng buộc này có thể ở bên trong tổ chức và trong trường hợp này có vài biện pháp kiểm soát vượt quá ràng buộc hoặc ở bên ngoài tổ chức và do đó nói chung là khó có thể thương lượng. Các ràng buộc về nguồn lực (ngân sách, nhân sự) và những ràng buộc khẩn cấp là những ràng buộc quan trọng nhất.

Tổ chức đặt ra các mục tiêu của mình (liên quan đến nghiệp vụ, hành vi của tổ chức...) cam kết theo một đường lối nhất định, có khả năng là trong một thời gian dài. Tổ chức phải xác định mục tiêu mà tổ chức muốn hướng tới và những phương tiện cần thiết để triển khai. Trong quá trình xác định đường lối này, tổ chức cần xem xét đến sự phát triển về kỹ thuật và hiểu biết, những mong muốn được bày tỏ của những người sử dụng, khách hàng... Mục tiêu này có thể được thể hiện dưới dạng vận hành hoặc trong các chiến lược phát triển với mục đích như cắt giảm chi phí vận hành, cải tiến chất lượng dịch vụ…

Các chiến lược này có thể bao gồm cả thông tin và hệ thống thông tin (IS) mà hỗ trợ cho những ứng dụng của hệ thống. Do đó, những đặc điểm liên quan đến danh tính, nhiệm vụ và các chiến lược của tổ chức là những yếu tố cơ bản trong việc phân tích vấn đề bởi vì sự vi phạm của một khía cạnh an toàn thông tin dẫn đến việc xem xét lại các mục tiêu chiến lược này. Ngoài ra, điều quan trọng là những đề xuất cho các yêu cầu an toàn thông tin vẫn còn phù hợp với các quy tắc, tập quán và các biện pháp đang có hiệu lực trong tổ chức.

Danh sách các ràng buộc bao gồm (nhưng không giới hạn):

Ràng buộc về bản chất chính trị

Là những ràng buộc có liên quan đến các cơ quan hành chính thuộc chính phủ, các tổ chức hiệp hội cộng đồng hoặc khái quát hơn là bất kì tổ chức nào phải áp dụng các quyết định của chính phủ. Chúng thường là những quyết định liên quan đến các định hướng chiến lược hay vận hành được ban hành bởi một cơ quan thuộc chính phủ hoặc cơ quan chịu trách nhiệm trong việc đưa ra quyết định và phải được áp dụng.

...

...

...

Ràng buộc về bản chất chiến lược

Các ràng buộc có thể nảy sinh từ những thay đổi có kế hoạch hoặc có thể xảy ra đối với cấu trúc hoặc định hướng của tổ chức. Các ràng buộc này được thể hiện trong các kế hoạch chiến lược hoặc vận hành của tổ chức.

Ví dụ: hoạt động hợp tác quốc tế trong vấn đề chia sẻ những thông tin nhạy cảm có thể đòi hỏi phải có những thỏa thuận liên quan tới sự truyền thông an toàn.

Ràng buộc về lãnh thổ

Cấu trúc và/hoặc mục đích của tổ chức có thể đưa ra các ràng buộc đặc trưng như sự phân bố về vị trí trên toàn bộ lãnh thổ của quốc gia hoặc ở nước ngoài.

Ví dụ bao gồm: các dịch vụ bưu chính, đại sứ quán, ngân hàng, các công ty con của một tập đoàn công nghiệp lớn...

Ràng buộc nảy sinh từ tình hình kinh tế và chính trị

Hoạt động của một tổ chức có thể bị thay đổi sâu sắc bởi những sự kiện cụ thể như các cuộc đình công hoặc các cuộc khủng hoảng trong phạm vi quốc gia và quốc tế.

Ví dụ: một vài dịch vụ cần có thể tiếp tục duy trì thậm chí trong một khủng hoảng nghiêm trọng.

...

...

...

Bản chất cấu trúc của một tổ chức (phân chia theo bộ phận, theo chức năng hay loại khác) có thể dẫn tới một chính sách an toàn thông tin cụ thể và tổ chức an toàn phù hợp với cấu trúc.

Ví dụ: một cấu trúc quốc tế cần phải có khả năng điều hòa các yêu cầu an toàn đặc trưng theo từng nước.

Ràng buộc về chức năng

Các ràng buộc về chức năng phát sinh trực tiếp từ các nhiệm vụ chung hay riêng của tổ chức.

Ví dụ: một tổ chức vận hành theo chu trình cần đảm bảo chắc chắn các nguồn lực của tổ chức đó phải luôn luôn sẵn sàng.

Ràng buộc liên quan đến vấn đề nhân sự

Tính chất của những ràng buộc này thay đổi một cách đáng kể. Chúng bị chi phối bởi: mức trách nhiệm, tuyển dụng, phẩm chất, đào tạo, nhận thức về an toàn, động cơ, sự sẵn sàng...

Ví dụ: toàn bộ nhân viên của một tổ chức bảo vệ cần phải có thẩm quyền xử lý thông tin mật ở mức cao.

Ràng buộc nảy sinh từ lịch công tác (thời gian biểu) của tổ chức:

...

...

...

Ví dụ: việc tạo ra một bộ phận an toàn.

Ràng buộc liên quan tới phương pháp

Các phương pháp phù hợp với tri thức của tổ chức sẽ cần được áp dụng cho khía cạnh như là lập kế hoạch dự án, hướng dẫn kỹ thuật sự phát triển...

Ví dụ: một ràng buộc điển hình thuộc loại này là nhu cầu hợp nhất các nghĩa vụ hợp pháp của tổ chức thành chính sách an toàn.

Ràng buộc mang bản chất văn hóa

Trong một vài tổ chức, các thói quen trong công việc hoặc nghiệp vụ chính đã dẫn đến một “văn hóa” đặc trưng trong tổ chức, “văn hóa” này có thể không phù hợp với các biện pháp kiểm soát an toàn. Văn hóa này là khung tham khảo chung của nhân sự và có thể được quyết định bằng nhiều khía cạnh, bao gồm: giáo dục, học vấn, kinh nghiệm chuyên gia, kinh nghiệm bên ngoài công việc, quan điểm, triết học, lòng tin, địa vị xã hội...

Ràng buộc về ngân sách

Các biện pháp kiểm soát an toàn đã được đề xuất đôi lúc có thể có chi phí áp dụng quá cao. Do đó, cần phải cân nhắc khi áp dụng các biện pháp kiểm soát này vì còn phụ thuộc vào ngân sách của từng tổ chức.

Ví dụ: trong khu vực tư nhân và một vài tổ chức công cộng, tổng chi phí cho các biện pháp kiểm soát an toàn thông tin cần không vượt quá chi phí xử lý các hậu quả tiềm ẩn của những rủi ro. Do đó, ban quản lý cao nhất cần phải đánh giá và chấp nhận các rủi ro đã được tính toán nếu tổ chức muốn tránh những chi phí an toàn vượt trội.

...

...

...

Các yêu cầu quy định áp dụng cho tổ chức cần được nhận biết. Các yêu cầu này có thể là các luật, nghị định, những quy định cụ thể trong lĩnh vực của tổ chức hay các quy định nội bộ và/hoặc bên ngoài. Điều này cũng liên quan đến các hợp đồng, các thỏa thuận và khái quát hơn là bất kì nghĩa vụ nào có tính chất quy phạm pháp lý hoặc quy định.

A.4. Danh sách các ràng buộc ảnh hưởng đến phạm vi

Thông qua việc nhận biết các ràng buộc, có thể liệt kê các ràng buộc có tác động đến phạm vi và xác định được ràng buộc mà chịu ảnh hưởng của hoạt động. Những ràng buộc này thêm vào và có thể điều chỉnh các ràng buộc của tổ chức đã xác định ở trên. Phần dưới đây đưa ra danh sách chưa hoàn chỉnh về những kiểu ràng buộc.

Ràng buộc nảy sinh từ những quy trình đã có

Các dự án ứng dụng không nhất thiết phải được phát triển một cách đồng thời. Một vài dự án ứng dụng phụ thuộc vào những quy trình đã có. Mặc dù một quy trình có thể bị phân ra thành nhiều quy trình con, quy trình này không nhất thiết phải chịu ảnh hưởng bởi toàn bộ các quy trình con của quy trình khác.

Ràng buộc kỹ thuật

Các ràng buộc kỹ thuật, liên quan đến cơ sở hạ tầng của tổ chức, phát sinh khi cài đặt các thiết bị phần cứng hay phần mềm và phát sinh từ phòng hay vị trí diễn ra quy trình:

• Các tập tin (các yêu cầu liên quan đến tổ chức, quản lý phương tiện thông tin, quản lý các quy tắc truy cập...)

• Kiến trúc tổng thể (các yêu cầu liên quan đến kiểu kiến trúc (tập trung, phân tán, khách -            máy chủ), kiểu kiến trúc vật lí...)

...

...

...

• Gói phần mềm (các yêu cầu liên quan đến các tiêu chuẩn, mức đánh giá, chất lượng, tuân thủ quy chuẩn kỹ thuật, an toàn...)

• Phần cứng (các yêu cầu liên quan đến các tiêu chuẩn, chất lượng, tuân thủ quy chuẩn kỹ thuật...)

• Các mạng truyền thông (các yêu cầu liên quan đến phạm vi truyền thông, các tiêu chuẩn, dung lượng, độ tin cậy...)

• Xây dựng cơ sở hạ tầng (các yêu cầu liên quan đến xây dựng dân dụng, công trình, điện áp cao, điện áp thấp...)

Ràng buộc về tài chính

Việc triển khai các biện pháp kiểm soát an toàn thông tin thường bị giới hạn về ngân sách mà tổ chức có thể cam kết. Tuy nhiên, ràng buộc về mặt tài chính vẫn là ràng buộc cuối cùng cần phải được xem xét bởi vì việc cấp ngân sách cho an toàn thông tin có thể được dàn xếp trên cơ sở nghiên cứu về an toàn thông tin.

Ràng buộc về môi trường

Các ràng buộc về môi trường bắt nguồn từ môi trường địa lý hay kinh tế mà ở đó các quy trình đang được triển khai: đất nước, khí hậu, các rủi ro tự nhiên, điều kiện địa lý, môi trường kinh tế...

Ràng buộc về thời gian

...

...

...

Ràng buộc liên quan đến các phương pháp

Các phương pháp thích hợp với hiểu biết của tổ chức phải được sử dụng cho việc lập kế hoạch dự án, xác định đặc tính kỹ thuật, phát triển...

Ràng buộc mang tính tổ chức

Các ràng buộc khác nhau có thể xuất phát từ các yêu cầu của tổ chức:

• Vận hành (các yêu cầu liên quan đến thời gian trễ khởi động, cung cấp dịch vụ, theo dõi, giám sát, kế hoạch ứng cứu khẩn cấp, hoạt động vận hành bị xuống cấp...)

• Duy trì (các yêu cầu đối với việc xử lý sự cố, các hành động phòng ngừa, khắc phục nhanh chóng...)

• Quản lý nguồn nhân lực (các yêu cầu liên quan đến việc đào tạo người vận hành và người sử dụng, năng lực đối với những vị trí công tác như là người quản trị hệ thống và người quản trị dữ liệu...)

• Quản lý hành chính (các yêu cầu liên quan đến trách nhiệm...)

• Quản lý phát triển (các yêu cầu liên quan đến các công cụ phát triển, kĩ sư phần mềm máy tính, các kế hoạch chấp nhận, thiết lập tổ chức...)

...

...

...

PHỤ LỤC B

(Tham khảo)

Nhận biết, định giá tài sản và đánh giá tác động

B.1. Ví dụ về nhận biết tài sản

Để thực hiện định giá tài sản, trước tiên tổ chức cần phải nhận biết được các tài sản của tổ chức đó (ở một mức chi tiết phù hợp). Tài sản có thể được chia thành hai loại:

• Tài sản cơ bản:

• Hoạt động và quy trình nghiệp vụ

• Thông tin

...

...

...

• Phần cứng

• Phần mềm

• Mạng

• Nhân sự

• Vị trí

• Cấu trúc của tổ chức

B.1.1. Nhận biết tài sản cơ bản

Để mô tả phạm vi một cách chính xác hơn, hoạt động này bao gồm việc nhận biết tài sản cơ bản (các quy trình và hoạt động nghiệp vụ, thông tin). Việc nhận biết tài sản này được tiến hành bởi một nhóm người đại diện của quy trình (những người quản lý, các chuyên gia hệ thống thông tin và những người sử dụng).

Tài sản cơ bản thường là những quy trình và thông tin cốt lõi của hoạt động trong phạm vi bối cảnh tổ chức. Những tài sản cơ bản khác như là các quy trình của tổ chức cũng cần phải xem xét, điều này sẽ thích hợp hơn cho việc xây dựng một chính sách an toàn thông tin hay một kế hoạch liên tục trong nghiệp vụ. Tùy thuộc vào từng mục đích, một vài nghiên cứu không yêu cầu một sự phân tích triệt để các yếu tố của phạm vi. Trong những trường hợp này, ranh giới nghiên cứu có thể được giới hạn trong những yếu tố chính của phạm vi.

...

...

...

1- Các quy trình (hoặc quy trình con) và hoạt động nghiệp vụ, ví dụ:

• Các quy trình mà sự mất mát hoặc xuống cấp của chúng làm mất khả năng thực hiện những nhiệm vụ của tổ chức

• Các quy trình chứa các quy trình bí mật hoặc các quy trình liên quan đến công nghệ độc quyền

• Các quy trình mà nếu bị sửa đổi có thể gây ảnh hưởng lớn đến việc hoàn thành nhiệm vụ của tổ chức

• Các quy trình cần thiết cho tổ chức để tuân thủ các yêu cầu hợp đồng, quy định hoặc yêu cầu pháp lý

2- Tài sản thông tin

Một cách tổng quát hơn, tài sản thông tin chủ yếu bao gồm:

• Thông tin cần thiết cho việc thực hiện nhiệm vụ hoặc nghiệp vụ của tổ chức

• Thông tin cá nhân, có thể được định nghĩa một cách cụ thể theo luật pháp quốc gia về quyền riêng tư.

...

...

...

• Thông tin có chi phí cao mà việc thu thập, lưu trữ, xử lý và truyền dẫn những thông tin đó đòi hỏi một khoảng thời gian dài và/hoặc liên quan tới chi phí mua lại cao.

Các quy trình và những thông tin không được xác định là nhạy cảm sau hoạt động này sẽ không có sự phân loại rõ ràng trong phần còn lại của nghiên cứu. Điều đó có nghĩa là ngay cả khi các quy trình hoặc thông tin này bị gây hại thì tổ chức vẫn hoàn thành nhiệm vụ một cách thành công.

Tuy nhiên, tổ chức sẽ thường xuyên kế thừa những biện pháp kiểm soát mà đã được triển khai để bảo vệ các quy trình và thông tin đã được xác định là nhạy cảm.

B.1.2. Danh sách và mô tả những tài sản bổ trợ

Phạm vi bao gồm các tài sản cần được nhận biết và mô tả. Các tài sản này có những điểm yếu dễ bị khai thác bởi những mối đe dọa có mục đích làm hư hại các tài sản cơ bản (các quy trình và thông tin). Tài sản bổ trợ gồm nhiều loại khác nhau:

Phần cứng

Loại phần cứng bao gồm tất cả các phần tử vật lí hỗ trợ các quy trình.

Thiết bị xử lý dữ liệu (tích cực)

Thiết bị xử lý thông tin tự động bao gồm các thiết bị có thể vận hành một cách độc lập.

...

...

...

Thiết bị máy tính xách tay.

Ví dụ: máy tính xách tay, thiết bị hỗ trợ kỹ thuật số cá nhân (PDA).

Thiết bị cố định

Thiết bị máy tính được sử dụng trong phạm vi tổ chức.

Ví dụ: máy chủ, máy vi tính được sử dụng như một máy trạm.

Thiết bị xử lý ngoại vi

Thiết bị được kết nối tới một máy tính thông qua một cổng truyền thông (liên kết nối tiếp, song song...) để nhập dữ liệu, chuyển dữ liệu hoặc truyền dữ liệu.

Ví dụ: máy in, ổ đọc đĩa.

Phương tiện dữ liệu (thụ động)

...

...

...

Phương tiện điện tử

Một phương tiện thông tin mà có thể kết nối với một máy tính hoặc mạng máy tính để lưu trữ dữ liệu. Mặc dù chỉ có kích thước nhỏ gọn nhưng các phương tiện thông tin này có thể chứa được một khối lượng lớn dữ liệu. Các thiết bị này có thể được sử dụng với thiết bị điện toán quy chuẩn.

Ví dụ: đĩa mềm, đĩa CD, băng đĩa từ sao lưu, ổ cứng di động, thẻ nhớ, băng từ.

Các phương tiện khác

Phương tiện tĩnh, phi điện tử chứa dữ liệu.

Ví dụ: giấy, slide, tài liệu văn bản, fax.

Phần mềm

Phần mềm bao gồm toàn bộ chương trình đóng góp vào việc vận hành của một bộ xử lý dữ liệu.

Hệ điều hành

...

...

...

Dịch vụ, phần mềm bảo trì hoặc quản trị

Phần mềm bổ sung trực tiếp cho các dịch vụ hệ điều hành và bổ sung gián tiếp cho các dịch vụ của người dùng hoặc các ứng dụng (mặc dù phần mềm thường là cần thiết hoặc không thể thiếu được đối với toàn bộ hoạt động của hệ thống thông tin).

Gói phần mềm hay phần mềm chuẩn

Phần mềm chuẩn hoặc gói phần mềm được hiểu theo cách thông thường là những sản phẩm trọn vẹn được thương mại hóa (không phải là các phần mềm được phát triển cụ thể hoặc chỉ làm một lần) có phương tiện thông tin, phát hành và duy trì. Các phần mềm này cung cấp các dịch vụ cho người sử dụng và các ứng dụng, nhưng không mang tính cá nhân hoặc cụ thể như các ứng dụng nghiệp vụ.

Ví dụ: phần mềm quản lý cơ sở dữ liệu, phần mềm thư điện tử, phần mềm nhóm, phần mềm danh mục, phần mềm máy chủ web...

Ứng dụng nghiệp vụ

Ứng dụng nghiệp vụ tiêu chuẩn

Đây là phần mềm thương mại được thiết kế để đưa tới cho những người sử dụng sự truy cập trực tiếp đến các dịch vụ và các chức năng mà họ yêu cầu từ hệ thống thông tin trong bối cảnh chuyên môn của họ, có phạm vi rất rộng, không giới hạn về mặt lý thuyết và bao gồm nhiều lĩnh vực.

Ví dụ: phần mềm kế toán, phần mềm điều khiển công cụ máy, phần mềm chăm sóc khách hàng, phần mềm quản lý năng lực cán bộ, phần mềm quản trị...

...

...

...

Đây là phần mềm mà ở đó các khía cạnh khác nhau (ví dụ như: hỗ trợ, bảo trì, nâng cấp...) được phát triển một cách đặc thù để đưa tới cho những người sử dụng sự truy cập trực tiếp đến các dịch vụ và chức năng mà họ yêu cầu từ hệ thống thông tin của họ. Đây là phạm vi rất rộng, không giới hạn về mặt lý thuyết và đa lĩnh vực.

Ví dụ: quản lý hóa đơn của các khác hàng khai thác viễn thông, ứng dụng giám sát thời gian thực cho việc phóng tên lửa.

Mạng

Mạng bao gồm toàn bộ các thiết bị viễn thông được sử dụng để kết nối nhiều máy tính hay nhiều thành phần của một hệ thống thông tin ở cách xa nhau về điều kiện tự nhiên.

Phương tiện thông tin và sự hỗ trợ

Phương tiện hay thiết bị thông tin và viễn thông được mô tả chủ yếu bởi các đặc điểm về vật lí và kỹ thuật của thiết bị (điểm tới điểm, quảng bá) và bằng các giao thức truyền thông (liên kết hoặc mạng - tầng 2 và 3 theo mô hình mạng OSI 7 tầng).

Ví dụ: mạng điện thoại chuyển mạch công cộng (PSTN), chuẩn Ethernet, Gigabit Ethernet, đường dây thuê bao kỹ thuật số không đối xứng (ADSL), đặc tả giao thức không dây (theo chuẩn WiFi 802.11), chuẩn Bluetooth, chuẩn Firewire.

Bộ chuyển tiếp thụ động hoặc chủ động

Kiểu này bao gồm toàn bộ thiết bị mà không phải là thiết bị kết cuối logic (trong hệ thống thông tin) mà là thiết bị trung gian hoặc thiết bị chuyển tiếp. Các thiết bị chuyển tiếp được mô tả bằng các giao thức truyền thông mạng được hỗ trợ. Ngoài chức năng chuyển tiếp cơ bản, các thiết bị này thường có thêm các chức năng, dịch vụ định tuyến và/hoặc lọc, bộ chuyển mạch và bộ định tuyến với các bộ lọc. Chúng có thể được quản lý từ xa và thường có khả năng tạo ra các bản ghi.

...

...

...

Giao diện truyền thông

Các giao diện truyền thông của các bộ xử lý đều được kết nối tới các bộ xử lý nhưng được mô tả bằng phương tiện thông tin và các giao thức hỗ trợ, bằng các chức năng lọc, ghi vết hoặc phát cảnh báo và dung lượng của chúng và bằng khả năng và yêu cầu quản lý từ xa. Ví dụ: dịch vụ vô tuyến gói tổng hợp (GPRS), bộ tương thích Ethernet.

Nhân sự

Nhân sự bao gồm toàn bộ nhóm người liên quan đến hệ thống thông tin.

Người đưa ra quyết định

Người đưa ra quyết định là người chủ sở hữu các tài sản cơ bản (thông tin và chức năng) và là người quản lý tổ chức hoặc dự án cụ thể.

Ví dụ: người quản lý ở cấp cao nhất, người phụ trách dự án.

Người dùng

Người dùng là những người xử lý các thành phần nhạy cảm trong bối cảnh hoạt động của họ và là người có một trách nhiệm đặc biệt ở lĩnh vực này. Người dùng có quyền truy cập đặc biệt đến hệ thống thông tin để thực hiện các nhiệm vụ hàng ngày của họ.

...

...

...

Nhân viên vận hành/bảo trì

Là những người phụ trách việc vận hành và bảo trì hệ thống thông tin. Những nhân viên này có quyền truy cập đặc biệt tới hệ thống thông tin để thực hiện các nhiệm vụ hàng ngày.

Ví dụ: người quản trị hệ thống, người quản trị dữ liệu, văn thư, bộ phận hỗ trợ, người triển khai ứng dụng, các nhân viên bảo vệ.

Nhà phát triển ứng dụng

Người phát triển là người phụ trách phát triển các ứng dụng của tổ chức. Họ có quyền cấp cao để truy cập tới bộ phận của hệ thống thông tin nhưng không đưa ra bất kì hành động nào tới việc sản xuất dữ liệu.

Ví dụ: người phát triển ứng dụng nghiệp vụ.

Trụ sở

Trụ sở bao gồm tất cả các địa điểm chứa toàn bộ phạm vi hoặc một phần của phạm vi và các phương tiện vật chất cần thiết để trụ sở hoạt động.

Địa điểm

...

...

...

Gồm toàn bộ các địa điểm mà ở đó các biện pháp an toàn của tổ chức không thể được áp dụng.

Ví dụ: nhà của nhân viên, cơ sở của các tổ chức khác, môi trường bên ngoài trụ sở (khu vực đô thị, khu vực nguy hiểm).

Cơ sở

Nơi này được giới hạn bởi vành đai của tổ chức và giữ liên hệ trực tiếp với bên ngoài. Cơ sở có thể được bảo vệ bằng việc tạo ra các hàng rào hoặc các phương tiện giám sát xung quanh các tòa nhà.

Ví dụ: cơ sở, các tòa nhà.

Khu vực

Khu vực được hình thành bởi một ranh giới bảo vệ vật lí tạo ra các vách ngăn trong cơ sở của tổ chức. Khu vực có được bằng cách tạo ra các hàng rào vật Lí xung quanh các cơ sở hạ tầng xử lý thông tin của tổ chức.

Ví dụ: các phòng ban, khu vực truy cập riêng tư, khu vực an toàn.

Các dịch vụ thiết yếu

...

...

...

Truyền thông

Các dịch vụ viễn thông và trang thiết bị được cung cấp bởi một doanh nghiệp viễn thông.

Ví dụ: đường dây điện thoại, thiết bị trao đổi PABX, các mạng điện thoại nội bộ.

Các hệ thống tiện ích khác

Các dịch vụ và phương tiện (các nguồn cung cấp và hệ thống mạng dây dẫn) cần thiết cho việc cung cấp điện năng cho các thiết bị công nghệ thông tin và thiết bị ngoại vi.

Ví dụ: nguồn điện áp thấp, bộ biến tần, bảng mạch điện đầu cuối.

Nguồn cung cấp nước

Xử lý chất thải

Các dịch vụ và phương tiện (thiết bị, kiểm soát) cho việc làm mát và lọc không khí.

...

...

...

Tổ chức

Các loại hình tổ chức mô tả cấu trúc tổ chức, bao gồm tất cả các cấu trúc nhân sự của tổ chức đã được phân công nhiệm vụ và các phương pháp quản lý các cấu trúc này.

Cơ quan quyền lực

Đây là những đơn vị có thẩm quyền đối với tổ chức đang xét, có thể là chi nhánh hợp pháp hoặc từ bên ngoài. Các đơn vị này áp đặt những ràng buộc đối với tổ chức đang xét qua các quy định, quyết định và các hành động.

Ví dụ: cơ quan quản trị, văn phòng chính của một tổ chức.

Cấu trúc của tổ chức

Bao gồm nhiều chi nhánh khác nhau của tổ chức, có nhiều chức năng đan xen, hoạt động dưới sự quản lý của ban quản lý của tổ chức đó.

Ví dụ: quản lý các nguồn nhân lực, quản lý công nghệ thông tin, quản lý mua sắm, quản lý kinh doanh, dịch vụ an toàn cho tòa nhà, dịch vụ chữa cháy, quản lý kiểm toán.

Tổ chức dự án hay hệ thống

...

...

...

Ví dụ: dự án phát triển ứng dụng mới, dự án di chuyển hệ thống thông tin.

Nhà thầu phụ / nhà cung cấp / nhà sản xuất

Đây là những đơn vị cung cấp cho tổ chức dịch vụ hoặc các nguồn tài nguyên và bị ràng buộc với tổ chức thông qua hợp đồng.

Ví dụ: công ty quản lý trang thiết bị, công ty thuê ngoài, công ty tư vấn.

B.2. Định giá tài sản

Bước tiếp theo sau khi nhận biết tài sản là thống nhất thang đo được sử dụng và các tiêu chí để xác định giá trị cụ thể trên thang đo đó cho mỗi tài sản, dựa vào việc định giá. Trong hầu hết các tổ chức, vì tài sản là vô cùng đa dạng nên có khả năng một vài tài sản có giá trị tiền tệ đã được nhận biết sẽ được định giá ngay theo đơn vị tiền tệ địa phương. Trong khi đó, những tài sản khác có giá trị định lượng nhiều hơn thì có thể được gắn cho một giá trị trong dải, ví dụ từ “rất thấp” tới “rất cao”. Quyết định sử dụng thang đo định lượng hay thang đo định tính là tùy thuộc vào mỗi tổ chức, nhưng phải thích hợp với những tài sản đang được định giá. Cả hai loại định giá có thể được sử dụng cho cùng một loại tài sản.

Các thuật ngữ điển hình được sử dụng cho việc định giá tài sản theo định tính thường là những từ như: không đáng kể, rất thấp, thấp, trung bình, cao, rất cao và nghiêm trọng. Việc lựa chọn và xếp loại các thuật ngữ cho phù hợp với tổ chức phụ thuộc rất lớn vào nhu cầu an toàn của tổ chức, quy mô của tổ chức và các yếu tố cụ thể khác.

Tiêu chí

Các tiêu chí được sử dụng như là cơ sở cho việc định giá đối với mỗi tài sản cần được viết bằng những thuật ngữ rõ ràng. Đây thường là một trong những khía cạnh khó nhất của việc định giá tài sản, bởi vì giá trị của một số tài sản có thể phải được xác định một cách chủ quan và việc xác định có thể được thực hiện bởi nhiều cá nhân khác nhau. Các tiêu chí thường được sử dụng để xác định giá trị của tài sản bao gồm: chi phí ban đầu, chi phí thay thế hay tạo lập lại hoặc giá trị của tài sản có thể là trừu tượng, ví dụ như: giá trị uy tín của một tổ chức.

...

...

...

Nhiều tài sản trong suốt quy trình định giá có thể được gán nhiều giá trị. Ví dụ: một kế hoạch nghiệp vụ có thể được định giá dựa trên số lao động được sử dụng để phát triển kế hoạch, có thể được định giá dựa trên số lao động nhập dữ liệu và có thể được định giá dựa trên giá trị của kế hoạch nghiệp vụ đó đối với một đối thủ cạnh tranh. Mỗi giá trị được gán sẽ có sự khác nhau một cách đáng kể. Giá trị được gán có thể lớn nhất trong số tất cả các giá trị tồn tại hoặc có thể là tổng của một vài hoặc tất cả các giá trị tồn tại. Trong bản phân tích cuối cùng, giá trị hoặc những giá trị nào mà được gán cho một tài sản phải được quyết định một cách cẩn thận bởi vì giá trị cuối cùng sẽ được dùng vào việc xác định các nguồn lực được sử dụng cho việc bảo vệ tài sản.

Giảm nhẹ tới mức chung

Cuối cùng, toàn bộ định giá tài sản cần phải được giảm nhẹ tới một mức chung. Điều này có thể được thực hiện với sự trợ giúp của các tiêu chí được liệt kê ở dưới. Những tiêu chí có thể được sử dụng để đánh giá hậu quả có thể xảy ra do sự mất đi tính bí mật, tính toàn vẹn, tính sẵn sàng, tính chống chối bỏ, trách nhiệm giải trình, tính xác thực, hoặc độ tin cậy của tài sản là:

• Vi phạm luật pháp và/hoặc quy định

• Làm suy giảm việc thực thi nghiệp vụ

• Mất thiện ý/ảnh hưởng tiêu cực tới uy tín

• Vi phạm liên quan đến thông tin cá nhân

• Gây nguy hiểm đến an toàn cá nhân

• Ảnh hưởng xấu đến việc thi hành pháp luật

...

...

...

• Vi phạm trật tự công cộng

• Thiệt hại tài chính

• Ảnh hưởng đến các hoạt động nghiệp vụ

• Đe dọa an toàn môi trường

Những phương pháp tiếp cận khác để đánh giá các hậu quả có thể là:

• Gián đoạn dịch vụ

o không có khả năng cung cấp dịch vụ

• Đánh mất niềm tin của khách hàng

o đánh mất độ tin cậy trong hệ thống thông tin nội bộ

...

...

...

• Phá vỡ vận hành nội bộ

o phá vỡ ngay trong chính tổ chức

o thêm vào chi phí nội bộ

• Phá vỡ hoạt động của một bên thứ ba

o phá vỡ trong nội bộ của các bên thứ ba có giao dịch với tổ chức

o các loại thiệt hại khác nhau

• Vi phạm pháp luật / quy định

o không có khả năng thực hiện các nghĩa vụ pháp lý

• Vi phạm hợp đồng

...

...

...

• Nguy hiểm đến an toàn của nhân sự / người sử dụng

o nguy hiểm cho nhân sự của tổ chức và/hoặc người sử dụng

• Tấn công vào cuộc sống riêng tư của người sử dụng

• Thiệt hại về tài chính

• Chi phí tài chính trong trường hợp khẩn cấp hoặc sửa chữa

o về mặt nhân sự

o về mặt trang thiết bị

o về mặt nghiên cứu, báo cáo của các chuyên gia

• Thiệt hại hàng hóa / vốn / tài sản

...

...

...

• Thủ tục tố tụng tư pháp và hình phạt

• Đánh mất lợi thế cạnh tranh

• Đánh mất vị trí dẫn đầu về công nghệ / kỹ thuật

• Mất hiệu quả / sự tin tưởng

• Mất uy tín công nghệ

• Suy giảm năng lực đàm phán

• Khủng hoảng công nghiệp (các cuộc đình công)

• Khủng hoảng chính phủ

• Sự giải tán

...

...

...

Các tiêu chí này là những ví dụ về những vấn đề cần được xem xét cho việc định giá tài sản. Để thực hiện việc định giá, tổ chức cần phải lựa chọn các tiêu chí thích hợp với loại hình nghiệp vụ và các yêu cầu an toàn. Điều đó có nghĩa là một vài trong số các tiêu chí được liệt kê ở trên không thể áp dụng được và một số tiêu chí khác có thể cần được thêm vào danh sách.

Thang đo

Sau khi việc thiết lập các tiêu chí được xem xét, tổ chức cần phải thống nhất một thang đo được sử dụng trong toàn bộ tổ chức. Bước đầu tiên là quyết định số lượng mức được sử dụng. Không có quy tắc nào liên quan đến số lượng mức như thế nào thích hợp nhất. Nhiều mức hơn thì sẽ cung cấp một mức chi tiết lớn hơn, nhưng đôi khi một sự phân biệt quá chính xác sẽ làm cho việc gán tiêu chí nhất quán trong tổ chức khó thực hiện. Thông thường, bất kỳ số lượng mức nào nằm giữa 3 (như thấp, trung bình và cao) và 10 có thể được sử dụng miễn là phù hợp với phương pháp tiếp cận mà các tổ chức đang sử dụng cho toàn bộ quy trình đánh giá rủi ro.

Một tổ chức có thể định nghĩa các giới hạn của mình đối với các giá trị tài sản, như là “thấp”, “trung bình”, hoặc “cao”. Các giới hạn này nên được đánh giá căn cứ theo các tiêu chí đã được lựa chọn (ví dụ như đối với thiệt hại tài chính có thể xảy ra, các giới hạn nên được đưa ra theo các giá trị tiền tệ, nhưng để đánh giá cho những nguy hiểm đến an toàn cá nhân thì việc đánh giá theo giá trị tiền tệ có thể phức tạp và không phù hợp với mọi tổ chức). Cuối cùng, việc quyết định hậu quả như thế nào là “nhỏ” hay “lớn’ hoàn toàn phụ thuộc vào tổ chức. Một hậu quả có thể là thảm họa đối với một tổ chức nhỏ nhưng có thể là nhỏ hoặc thậm chí không đáng kể đối với một tổ chức rất lớn.

Sự phụ thuộc

Tài sản càng hỗ trợ thích hợp và nhiều quy trình nghiệp vụ thì giá trị của tài sản càng lớn. Sự phụ thuộc của các tài sản vào các quy trình nghiệp vụ và các tài sản khác cũng cần được nhận biết bởi vì điều này có thể ảnh hưởng đến giá trị tài sản. Ví dụ: tính bí mật của dữ liệu cần được lưu giữ trong suốt vòng đời của dữ liệu, ở tất cả các giai đoạn, bao gồm lưu trữ và xử lý, tức là nhu cầu an toàn của các chương trình xử lý và lưu trữ dữ liệu phải có liên quan trực tiếp đến giá trị đại diện cho tính bí mật của dữ liệu được lưu trữ và xử lý. Cũng như vậy, nếu một quy trình nghiệp vụ dựa vào tính toàn vẹn của dữ liệu được tạo bởi một chương trình thì dữ liệu đầu vào của chương trình này phải đáng tin cậy. Hơn nữa, tính toàn vẹn của thông tin sẽ phụ thuộc vào phần cứng và phần mềm được sử dụng để lưu trữ và xử lý thông tin. Cũng như vậy, phần cứng sẽ phụ thuộc vào việc cung cấp điện năng và điều hòa không khí. Do đó, thông tin về sự phụ thuộc sẽ trợ giúp cho việc nhận biết các mối đe dọa và điểm yếu cụ thể. Thêm vào đó, nó cũng giúp đảm bảo giá trị thực sự của tài sản (thông qua các mối quan hệ phụ thuộc) sẽ được gán cho các tài sản, qua đó chỉ ra mức bảo vệ hợp lý.

Giá trị của tài sản mà các tài sản khác phụ thuộc vào đó có thể được sửa đổi theo cách sau:

• Nếu giá trị của tài sản phụ thuộc (ví dụ: dữ liệu) thấp hơn hoặc bằng giá trị của tài sản được xem xét (ví dụ: phần mềm) thì giá trị của tài sản được xem xét vẫn giữ nguyên

• Nếu giá trị của tài sản phụ thuộc (ví dụ: dữ liệu) lớn hơn thì giá trị của tài sản được xem xét (ví dụ: phần mềm) phải được tăng lên theo tùy thuộc:

...

...

...

o Giá trị của các tài sản khác

Một tổ chức có thể có một vài tài sản với số lượng lớn hơn một, như là các bản sao của các chương trình phần mềm hoặc các máy tính cùng loại được sử dụng trong hầu hết các phòng ban. Thực tế này cần thiết phải được xem xét khi tiến hành định giá tài sản. Một mặt, những tài sản này dễ dàng bị bỏ sót, do đó cần phải chú ý để nhận biết tất cả các tài sản đó; mặt khác, chúng có thể được sử dụng để giảm thiểu các vấn đề có sẵn.

Đầu ra

Kết quả cuối cùng của bước này là một danh sách các tài sản và các giá trị của chúng liên quan đến: sự tiết lộ (duy trì tính bí mật), sự thay đổi (duy trì tính toàn vẹn, tính xác thực, tính chống chối bỏ và trách nhiệm giải trình), tính không sẵn sàng và sự phá hủy (duy trì tính sẵn sàng và độ tin cậy) và chi phí thay thế.

B.3. Đánh giá tác động

Một sự cố an toàn thông tin có thể tác động tới nhiều hơn một tài sản hoặc chỉ một phần tài sản. Tác động có liên quan tới mức thành công của sự cố. Giống như hậu quả, có một sự khác biệt quan trọng giữa giá trị tài sản và tác động được gây ra từ sự cố. Tác động được xem như hoặc có một ảnh hưởng ngay lập tức (về vận hành) hoặc có ảnh hưởng trong tương lai (về nghiệp vụ) mà bao gồm các hậu quả về tài chính và thị trường.

Tác động ngay lập tức (về vận hành) có thể là trực tiếp hoặc gián tiếp.

Trực tiếp: