Như tôi đã đề cập trong tài liệu giới thiệu về nhận thức chung an toàn bảo mật thông tin:
1/ AN TOÀN BẢO MẬT là một quá trình chứ không phải chỉ là 1 trạng thái ( không chỉ đơn thuần là có 1 ổ khóa chắc chắn hay có 1 phần mềm tốt - có rất nhiều điểm yếu khiến thôngtin của chúng ta bị rò rỉ..)
2/ Bước thứ ba và thứ tư trong quá trình xây dựng hệ thống ISMS là ĐÁNH GIÁ RỦI RO và QUẢN LÝ RỦI RO

Quản lý rủi ro là việc hết sức phức tạp, Hệ thống ISMS của bạn thực sự có hiệu quả hay không phụ thuộc vào việc QUẢN LÝ RỦI RO của bạn được thực hiện đến mức độ nào, tuy nhiên nói thế không phải là không thực hiện được - các bạn vẫn thấy có rất nhiều ngành kinh doanh trên cơ sở rủi ro ( ví dụ như bảo hiểm...) thực sự các tổ chức đó cũng không tự xây dựng được các bộ chỉ số hay cách thức đánh giá rủi ro đâu mà họ dựa vào vào những bộ chỉ số cũng như cách thức quản lý rủi ro mua của các 1 số tổ chức chuyên về chuyện đó và theo đó thực hiện - kết quả là họ đưa ra phí chào cho chúng ta trên cơ sở rủi ro của chúng ta

Chúng ta đã có tài liệu đó rồi ( trong các tiêu chuẩn tôi đã giới thiệu với các bạn)

Trong thời gian ngắn sắp tới, Tôi sẽ lần lượt giới thiệu với các bạn về:
1/ Cách thức tiếp cận để đánh giá rủi ro Hệ thống ISMS
2/ Cách đánh giá rủi ro ISMS
3/ Cách đưa ra các lựa chọn cho giải quyết các rủi ro tìm thấy được
4/ Cách đưa ra các chính sách an toàn bảo mật
5/ Cách xây dựng và thực hiện kế hoạch An toàn bảo mật
:) :) :)

WOW, hi vọng sớm nhận được sự chỉ giáo

thanks bác, nhưng mình hơi thắc mắc tí "rủi ro" trong IT định nghĩa ra sao? khi nào có rủi ro? khi nào mối đe dọa, nguy cơ -> rủi ro, cho điểm rủi ro như thế nào, khi hiểu kỹ các vấn đề này, thì mình mới tiến đến quản lý ->đánh giá rủi ro
:D

Mình đang bàn về vấn đề "quản lý rủi ro trong hệ thống quản lý an tòan bảo mật thông tin" chứ không phải IT. Nó rộng hơn và bao gồm cả IT trong đó.
Theo mình được biết thì sẽ có các yếu tố trong ISMS: Con người - Văn phòng (nhà xưởng) và hệ thống CN TT.

oh! mình cũng đang đề cập đến vấn đề IT (information technology) nói chung là công nghệ thông tin, thật ra khái niệm rủi ro và quản lý rủi ro đã có mặt trên rất nhiều lĩnh vực như: tài chính, sản xuất, ... nhưng quản lý rủi ro (Risk Management") Information thì ít nghe đến, ngay cả ISO27001 hay 17799 còn ít biết đến nữa là?? vấn đề là quản lý rủi ro và bảo mật thông tin phải gắn lền với mục tiêu kinh tế, và bao gồm các qui trình mà hầu như hiện nay chưa có qui trình chuẩn.

Chắc chắn là sẽ không có quy trình chuẩn, nếu có thể bọn ISO đã không đưa ra tiêu chuẩn mà đưa ngay quy trình chuẩn rồi . Thế nên mới có đất sống cho bọn tư vấn và cần anh em mình chia sẻ và học hỏi .
Mình nghe nói bọn Toyota là số 1 về cái này, có thể nó gọ hơi khác và chẳng quan tâm lắm đến chứng chỉ ISO 27001 nhưng concept thì dựa trên tiêu chuẩn cả . Ai có thông tin gì từ Toyota share cho bà con nhé .

Trích từ báo VNexpress

Thế giới thiếu phương thức giảm thiểu rủi ro CNTT

Theo một nghiên cứu của Symantec kéo dài 12 tháng dựa trên thông tin thu thập từ hơn 500 lãnh đạo CNTT thuộc các tổ chức và doanh nghiệp trên toàn cầu thì đa số thừa nhận chưa có biện pháp kiểm soát lỗ hổng an ninh mạng.

Báo cáo quản lý rủi ro CNTT (IT Risk Management Report - IRMR) cho thấy phần lớn những người được hỏi cho rằng sẽ gặp một vài rắc rối dạng bảo mật hoặc tuân thủ chính sách trong vòng 1 - 5 năm nữa. Cụ thể, 66% trong số 500 CIO dự báo sẽ gặp lỗi lớn về tuân thủ quy định ít nhất 1 lần trong chu kỳ 5 năm. Bên cạnh đó, 58% khẳng định mỗi chu kỳ 5 năm, ít nhất có 1 lần bị mất mát dữ liệu lớn do các vụ việc như sập trung tâm dữ liệu, dữ liệu hỏng, lỗ hổng hệ thống bảo mật.

Quản lý rủi ro CNTT hiệu quả đòi hỏi sự kết hợp hài hòa của kinh nghiệm chuyên sâu và đầu tư trong vấn đề kiểm soát quy trình cũng như kiểm soát công nghệ. Những chương trình quản lý vấn đề này hiệu quả nhất thường sử dụng công cụ là sự kết hợp công nghệ được lựa chọn tốt nhất với các quy trình ưu việt. Những người tham gia cuộc điều tra cho IRMR thuộc mọi cấp độ trong tổ chức, ngành công nghiệp, quy mô, và có vị trí địa lý khác nhau nhưng đều chung quan điểm rằng khả năng tổ chức của họ về kiểm soát công nghệ là hiệu quả hơn so với kiểm soát quy trình.

Chỉ 38% người được hỏi đánh giá tổ chức của họ đạt hiệu quả trên 75% trong việc kiểm soát quy trình kiểm kê, phân loại và quản lý tài sản. Những biện pháp kiểm soát này cực kỳ quan trọng trong việc xây dựng một chương trình quản lý rủi ro CNTT giúp thể hiện những ưu tiên của tổ chức. Nếu không đánh giá rủi ro cẩn thận, tất cả các tài sản có thể được đánh đồng về tầm quan trọng, khi đó sẽ có những tài sản được bảo vệ quá mức cần thiết, trong khi chỗ khác lại không đủ so với yêu cầu.

Jon Oltsik, chuyên gia phân tích cao cấp bộ phận chiến lược doanh nghiệp của Symantec, cho biết: "Các tổ chức bắt đầu nhận thấy giá trị việc sử dụng biện pháp chủ động hơn là bị động đối với quản lý rủi ro CNTT. Để hiệu quả, mỗi đơn vị phải đánh giá cả công nghệ lẫn các quy trình cũng như hiểu rõ về những rủi ro khác nhau có thể ảnh hưởng tới hệ thống".

--> vấn đề ở đây là phải đánh giá rủi ro với các loại tài sản khác nhau, sau đó tiến hành quản lý, với mỗi công ty thì có những
tài sản khác nhau, mục tiêu kinh doanh khác nhau, nên những đánh giá sẽ khác nhau-->qui trình cũng khác nhau.

thanks,bài viết hữu ích