5.1 Quản lý an toàn thông tin

Chỉ bao gồm thông tin số hóa

Chỉ gồm thiết bị phần cứng

Chỉ gồm phần mềm liên quan đến bảo mật

Bao gồm thông tin, thiết bị và các thành phần hỗ trợ hoạt động thông tin

Chỉ bao gồm dữ liệu khách hàng

Những tài sản nào cần được bảo vệ?

Những đe dọa nào có thể xảy ra?

Những biện pháp nào có thể ứng phó?

Ai sẽ chịu trách nhiệm pháp lý khi xảy ra sự cố?

Mức chi phí phù hợp để bảo vệ là bao nhiêu?

Phương pháp đường cơ sở

Phương pháp không chính thức

Phương pháp phân tích chi tiết rủi ro

Phương pháp tổng quan tài chính

Phương pháp giả lập nguy cơ

Không phụ thuộc vào sự đánh giá chủ quan của cá nhân

Giúp giảm chi phí và triển khai biện pháp sớm

Không cần kỹ năng chuyên môn cao

Không cần đánh giá chi tiết sau này

Loại bỏ hoàn toàn mọi rủi ro

Bước 2: Nhận dạng mối đe dọa

Bước 4: Phân tích các kiểm soát

Bước 5: Xác định xác suất

Bước 7: Xác định rủi ro

Bước 8: Đề xuất kiểm soát

Kiểm soát phát hiện và phục hồi

Kiểm soát kỹ thuật

Kiểm soát tài chính

Kiểm soát vận hành

Kiểm soát hỗ trợ

OODA (Observe – Orient – Decide – Act)

SWOT (Strengths – Weaknesses – Opportunities – Threats)

PDCA (Plan – Do – Check – Act)

DMAIC (Define – Measure – Analyze – Improve – Control)

SDLC (System Development Life Cycle)

Không thể áp dụng cho hệ thống nhỏ

Không cho phép phân tích chi tiết rủi ro

Tốn chi phí cao cho chuyên gia bên ngoài

Dễ phụ thuộc vào ý kiến chủ quan cá nhân

Không thể sử dụng dữ liệu lịch sử

Danh sách các mối đe dọa tiềm ẩn

Ranh giới hệ thống, tính trọng yếu và tính nhạy cảm của dữ liệu

Báo cáo kiểm toán hệ thống

Kế hoạch phản ứng sự cố

Danh sách các kiểm soát hiện có

Các rủi ro và kiểm soát được chọn

Nhân sự chịu trách nhiệm thực hiện

Chi tiết về chi phí đầu tư tài chính dài hạn

Ngày bắt đầu và kết thúc thực thi

Các tài nguyên cần thiết cho việc thực hiện kiểm soát