1. Quy trình quản lý rủi ro bao gồm: Xác định RR, đánh giá RR, kiểm soát RR
1.1. Quản lý rủi ro hiệu quả nhất: Biết bản thân, biết đối thủ
1.2. Nhận biết vai trò của các bên có lợi ích liên quan gồm:
1.2.1. Cộng đồng an ninh thông tin
1.2.2. Nhà quản lý
1.2.3. Người sử dụng và cộng đồng CNTT
1.3. Mức độ chấp nhận rủi ro: số lượng và bản chất rủi ro mà các tổ chức sẵn sàng chấp nhận
1.4. Rủi ro còn lại: là sự kết hợp của
1.4.1. (1): Người sử dụng và cộng đồng CNTT
1.4.2. (2): Điểm yếu tiềm ẩn còn lại
1.4.3. (3): Gía trị tài sản không được bảo vệ
1.5. Mục tiêu của an ninh thông tin: Đưa RR còn lại về mức độ chấp nhận rủi ro của tổ chức.
2. Đánh giá rủi ro
2.1. 1. Lập kế hoạch và tổ chức đánh giá rủi ro
2.1.1. Rủi ro = Tần suất tổn thất x Mức độ tổn thất + Sự không chắc chắn của các ước tính của tất cả các giá trị đã trình bày.
2.2. 2. Xác định tần suất tổn thất
2.2.1. Tần suẩt tổn thất
2.2.2. Xác suất xảy ra tấn công (likelihood)
2.2.3. Tỷ lệ thành công của cuộc tấn công (attack success probability)
2.3. 3. Đánh giá mức độ tổn thất
2.3.1. Mức độ tổn thất = Gía trị tài sản x Tổn thất có thể xảy ra
2.4. 4. Tính toán rủi ro
2.4.1. Rủi ro = Tần suất tổn thất x Mức độ tổn thất + Sự không chắc chắn của các ước tính của tất cả các giá trị đã trình bày/Yếu tố không chắc chắn
2.5. 5. Đánh giá sự chấp nhận rủi ro
2.5.1. Xếp hạng rủi ro -> Xác định rủi ro còn lại -> So sánh với mức độ chấp nhận rủi ro
2.5.2. Nếu RR còn lại > Mức độ chấp nhận RR => Chuyển sang giai đoạn kiểm soát RR và tìm kiếm các chiến lược bổ sung để giảm thiểu rủi ro
2.5.3. Nếu RR còn lại < Mức độ chấp nhận RR => Chuyển sang giai đoạn SAU kiểm soát RR và tiếp tục theo dõi và đánh giá các biện pháp kiểm soát và tài sản.
3. Xác định rủi ro
3.1. Lập kế hoạch và tổ chức quy trình
3.2. Xác định, kiểm kê (con người, thủ tục, thành phần dữ liệu, thành phần phần cứng, thành phần phần mềm) và phân loại tài sản (thiếp lập mức độ ưu tiên)
3.3. Phân nhóm, định giá và sắp xếp ưu tiên các tài sản thông tin
3.4. Phân nhóm tài sản thông tin theo 3 mức độ: bảo mật, nội bộ và công khai
3.5. Phân nhóm và quản lý dữ liệu theo 3 nhóm: mật (confidentiality), nội bộ (internal) và bên ngoài (external)
3.5.1. Phân quyền an ninh
3.5.2. Quản lý dữ liệu đã phân nhóm bao gồm lưu trữ, phân phối, truyền tải và hủy dữ liệu
3.5.3. Tiêu chuẩn đánh giá giá trị tài sản thông tin: 6 tiêu chuẩn
3.5.4. Yếu tố cần xem xét khi xác định giá trị thông tin: 8 yếu tố
3.5.5. Xác định và sắp xếp ưu đãi đối phó với các nguy cơ
3.5.6. Đánh giá nguy cơ
3.5.7. Mối nguy hiểm
3.5.8. Xác định các điểm yếu tiềm ẩn: sử dụng Bảng nguy cơ – điểm yếu tiềm ẩn
4. Thực hành quản lý rủi ro: Định tính và Định lượng
4.1. Đánh giá định tính – Chuẩn so sánh và thực hành tốt nhất
4.2. Đo lường dựa trên số liệu và đo lường dựa trên quy trình
4.3. Áp dụng thực hành tốt nhất
4.4. Áp dụng thực hành tốt nhất
4.5. Xác định đường cơ sở - Baselining
4.6. Nghiên cứu khả thi
4.6.1. Khả thi về tổ chức
4.6.2. Khả thi về kỹ thuật
4.6.3. Khả thi về vận hành
4.6.4. Khả thi chính trị
5. Kiểm soát RR:
5.1. 1. Lựa chọn chiến lược kiểm soát: Các chiến lược kiểm soát rủi ro: (1) Phòng thủ, (2) Chuyển giao, (3) Giảm thiểu, (4) Chấp nhận và (5) Né tránh
5.1.1. (1) Chiến lược phòng thủ trong kiểm soát rủi ro gồm 3 phương pháp chủ yếu
5.1.1.1. (1) Áp dụng chính sách
5.1.1.2. (2) Giáo dục và huấn luyện
5.1.1.3. (3) Áp dụng công nghệ
5.1.2. (2) Chiến lược chuyển giao
5.1.3. (3) Chiến lược giảm thiểu gồm 3 kế hoạch:
5.1.3.1. Kế hoạch ứng phó sự cố
5.1.3.2. Kế hoạch khắc phục sau thảm họa
5.1.3.3. Kế hoạch kinh doanh liên tục
5.1.4. (4) Chiến lược chấp nhận
5.1.5. (5) Chiến lược né tránh
5.2. 2. Chứng minh các thủ tục kiểm soát
5.2.1. Có thể thực hiện phân tích chi phí – lợi ích (Cost-benefit analysis – CBA)
5.2.2. CBA = ALE (prior) – ALE (post) – ACS
5.3. 3. Triển khai, theo dõi và đánh giá các kiểm soát rủi ro
5.3.1. Để xác định tính hiệu quả của các kiểm soát và tính toán chính xác rủi ro còn lại