Post on 02-Jul-2015
description
RISK ANALYSIS TECHNIQUE
Lê Thành Trung
Aug 2014
Strictly Confidential – Do Not Distribute 2
GIỚI THIỆU
Strictly Confidential – Do Not Distribute
VỀ CÁ NHÂN
3
• Lê Thành Trung
– Senior Operation Manager
• Kinh nghiệm:
– 13 năm làm việc trong lĩnh vực IT
– 8 năm làm việc tại VNG
• 4 năm làm Software Development Manager
• 4 năm làm Operation Manager
Strictly Confidential – Do Not Distribute
VỀ VNG
4
• VNG là công ty hàng đầu Việt Nam trong lĩnh
vực Internet (www.vng.com.vn)
“Phát triển Internet để thay đổi cuộc sống
người Việt Nam”
NỘI DUNG
• Risk và IT Risk
• Phân tích rủi ro
• Phản hồi lại rủi ro
• Đánh giá rủi ro
• Xử lý rủi ro
• Ứng dựng & Template
• Q&A
Strictly Confidential – Do Not Distribute 6
RISK VÀ IT RISK
Strictly Confidential – Do Not Distribute
RISK – RỦI RO
7
• Risk là khả năng bị mất một giá trị (value)
hoặc là khả năng không đạt đƣợc một giá
trị nào đó.
• Risk là một sự kiện hoặc điều kiện có thể
mà nếu xảy ra hoặc có ảnh hƣởng thì nó
sẽ làm ảnh hƣởng đến ít nhất một mục
tiêu (objectives).
Strictly Confidential – Do Not Distribute
ENTERPRISE RISK
8
• Là rủi ro liên quan đến hoạt động kinh
doanh
Strictly Confidential – Do Not Distribute
IT RISK
9
IT Risk là một phần của rủi ro doanh nghiệp
khi doanh nghiệp sử dụng IT cho hoạt động
kinh doanh của mình
RISK IT FRAMEWORK
Giúp doanh nghiệp hiểu và quản lý các IT Risk
Strictly Confidential – Do Not Distribute
RISK IT FRAMEWORK
10
BUSINESS (Business Risk)
IT (IT Risk)
Sử dụng
Strictly Confidential – Do Not Distribute
KẾT NỐI RISK IT VỚI BUSINESS
11
Strictly Confidential – Do Not Distribute 12
PHÂN TÍCH RỦI RO
Strictly Confidential – Do Not Distribute
PHÂN TÍCH RỦI RO THEO KỊCH BẢN
13
• Phân tích các kịch bản rủi ro (Risk
scenario analysis) là một kỹ thuật kết
hợp
–Điều kiện thực tế của tổ chức
–Kỹ năng cấu trúc và phân tích
để xác định rủi ro cho các vấn đề phức
tạp của IT
Strictly Confidential – Do Not Distribute
PHƢƠNG PHÁP TIẾP CẬN
14
• Top-down: Từ mục tiêu của Business, phân tích các kịch bản rủi ro của IT có thể gây ảnh hƣởng đến mục tiêu của Busines
• Bottom-up: Liệt kê (toàn bộ) các kịch bản rủi ro cụ thể có thể xảy ra đối với IT và đánh giá khả năng ảnh hƣởng đến Business
Khuyến nghị
Nên áp dụng cả 2 để đảm bảo có đánh giá đầy đủ các rủi ro
Strictly Confidential – Do Not Distribute
PHƢƠNG PHÁP TIẾP CẬN
15
Strictly Confidential – Do Not Distribute
CÁC YẾU TỐ RỦI RO – RISK FACTORS
16
• Là các yếu tố có ảnh hƣởng tới tần xuất
hoặc tác động/ảnh hƣởng đến Business
• Yếu tố môi trƣờng (Environmental factors)
– Yếu tố bên ngoài: không kiểm soát đƣợc
– Yếu tố bên trong: kiểm soát đƣợc
• Yếu tố năng lực (Capabilities)
– Năng lực quản lý rủi ro IT
– Năng lực IT (nói chung)
– Năng lực gắn IT với hoạt động kinh doanh
Strictly Confidential – Do Not Distribute
CÁC YẾU TỐ RỦI RO – RISK FACTORS
17
Strictly Confidential – Do Not Distribute 18
PHẢN HỒI LẠI RỦI RO
Strictly Confidential – Do Not Distribute
PHẢN HỒI LẠI RỦI RO
19
• Risk Appetite: Là mức rủi ro mà một tổ
chức có thể chấp nhận
Strictly Confidential – Do Not Distribute
PHẢN HỒI LẠI RỦI RO – RISK RESPONSE
20
• Risk Response: Là sự phản hồi lại rủi ro
theo đúng yêu cầu của Risk Appetite
– Né tránh rủi ro (Risk Avoidance)
– Xử lý rủi ro (Risk Mitigation)
– San sẻ rủi ro (Risk Transfer)
– Chấp nhận rủi ro (Risk Acceptance)
• Residual risk (Rủi ro còn lại): Là rủi ro còn
lại sau khi áp dụng risk response
Strictly Confidential – Do Not Distribute
PHẢN HỒI LẠI RỦI RO
21
Strictly Confidential – Do Not Distribute 22
ĐÁNH GIÁ RỦI RO
Strictly Confidential – Do Not Distribute
YẾU TỐ ĐÁNH GIÁ RỦI RO
23
• Tần xuất/Khả năng xảy ra
(Frequence/Likelyhood)
– Số lần có thể xảy ra hoặc xác xuất khả năng
có thể xảy ra của rủi ro
• Ảnh hƣởng (Impact)
– Hậu quả ảnh hƣởng đến business khi rủi ro
xảy ra
Strictly Confidential – Do Not Distribute
XÁC ĐỊNH GIÁ TRỊ CÁC YẾU TỐ
24
• Phƣơng pháp định tính (Qualitative)
– Sử dụng kinh nghiệm chuyên gia để ƣớc
đoán
– Dựa trên thống kê một lƣợng dữ liệu định tính
phản hồi
• Phƣơng pháp định lƣợng (Quantitative)
– Sử dụng phân tích các dữ liệu định lƣợng để
đánh giá các yếu tố
Strictly Confidential – Do Not Distribute
GIÁ TRỊ THAM KHẢO
25
Strictly Confidential – Do Not Distribute 26
XỬ LÝ RỦI RO – RISK CONTROL
Strictly Confidential – Do Not Distribute
XỬ LÝ RỦI RO – RISK CONTROL
27
• Risk IT Practitioner Guide COBIT 4.1
Strictly Confidential – Do Not Distribute
XỬ LÝ RỦI RO – RISK CONTROL
28
Strictly Confidential – Do Not Distribute 29
ỨNG DỰNG & TEMPLATE
Strictly Confidential – Do Not Distribute
OPERATIONAL RISK ANALYSIS
30
IT Assets Risk & Business
Impact Risk Response
& Control
Strictly Confidential – Do Not Distribute 31
Strictly Confidential – Do Not Distribute
ISMS RISK ANALYSIS
32
Information IT Assets Risk & Business
Impact Risk Response
& Controls
Strictly Confidential – Do Not Distribute
Q&A
33
Q&A