Risk analysis technique (ITLC version)

RISK ANALYSIS TECHNIQUE
Lê Thành Trung
Aug 2014

Strictly Confidential – Do Not Distribute 2
GIỚI THIỆU

Strictly Confidential – Do Not Distribute
VỀ CÁ NHÂN
3
• Lê Thành Trung
– Senior Operation Manager
• Kinh nghiệm:
–13 năm làm việc trong lĩnh vực IT
–8 năm làm việc tại VNG
• 4 năm làm Software Development Manager
• 4 năm làm Operation Manager

VỀ VNG
4
• VNG là công ty hàng đầu Việt Nam trong lĩnh
vực Internet (www.vng.com.vn)
“Phát triển Internet để thay đổi cuộc sống
người Việt Nam”

NỘI DUNG
• Risk và IT Risk
• Phân tích rủi ro
• Phản hồi lại rủi ro
• Đánh giá rủi ro
• Xử lý rủi ro
• Ứng dựng & Template
• Q&A

RISK VÀ IT RISK

RISK – RỦI RO
7
• Risk là khả năng bị mất một giá trị (value)
hoặc là khả năng không đạt đƣợc một giá
trị nào đó.
• Risk là một sự kiện hoặc điều kiện có thể
mà nếu xảy ra hoặc có ảnh hƣởng thì nó
sẽ làm ảnh hƣởng đến ít nhất một mục
tiêu (objectives).

ENTERPRISE RISK
8
• Là rủi ro liên quan đến hoạt động kinh
doanh

IT RISK
9
IT Risk là một phần của rủi ro doanh nghiệp
khi doanh nghiệp sử dụng IT cho hoạt động
kinh doanh của mình

RISK IT FRAMEWORK
Giúp doanh nghiệp hiểu và
quản lý các IT Risk
RISK IT FRAMEWORK
10
BUSINESS (Business Risk)
IT (IT Risk)
Sửdụng

KẾT NỐI RISK IT VỚI BUSINESS
11

PHÂN TÍCH RỦI RO

PHÂN TÍCH RỦI RO THEO KỊCH BẢN
13
• Phân tích các kịch bản rủi ro (Risk
scenario analysis) là một kỹ thuật kết
hợp
–Điều kiện thực tế của tổ chức
–Kỹ năng cấu trúc và phân tích
để xác định rủi ro cho các vấn đề phức
tạp của IT

PHƢƠNG PHÁP TIẾP CẬN
14
• Top-down: Từ mục tiêu của Business, phân
tích các kịch bản rủi ro của IT có thể gây ảnh
hƣởng đến mục tiêu của Busines
• Bottom-up: Liệt kê (toàn bộ) các kịch bản rủi
ro cụ thể có thể xảy ra đối với IT và đánh giá
khả năng ảnh hƣởng đến Business
Khuyến nghị
Nên áp dụng cả 2 để đảm bảo có đánh giá đầy đủ
các rủi ro

PHƢƠNG PHÁP TIẾP CẬN
15

CÁC YẾU TỐ RỦI RO – RISK FACTORS
16
• Là các yếu tố có ảnh hƣởng tới tần xuất
hoặc tác động/ảnh hƣởng đến Business
• Yếu tố môi trƣờng (Environmental factors)
– Yếu tố bên ngoài: không kiểm soát đƣợc
– Yếu tố bên trong: kiểm soát đƣợc
• Yếu tố năng lực (Capabilities)
– Năng lực quản lý rủi ro IT
– Năng lực IT (nói chung)
– Năng lực gắn IT với hoạt động kinh doanh

CÁC YẾU TỐ RỦI RO – RISK FACTORS
17

PHẢN HỒI LẠI RỦI RO

19
• Risk Appetite: Là mức rủi ro mà một tổ
chức có thể chấp nhận

PHẢN HỒI LẠI RỦI RO – RISK RESPONSE
20
• Risk Response: Là sự phản hồi lại rủi ro
theo đúng yêu cầu của Risk Appetite
– Né tránh rủi ro (Risk Avoidance)
– Xử lý rủi ro (Risk Mitigation)
– San sẻ rủi ro (Risk Transfer)
– Chấp nhận rủi ro (Risk Acceptance)
• Residual risk (Rủi ro còn lại): Là rủi ro còn
lại sau khi áp dụng risk response

21

ĐÁNH GIÁ RỦI RO

YẾU TỐ ĐÁNH GIÁ RỦI RO
23
• Tần xuất/Khả năng xảy ra
(Frequence/Likelyhood)
– Số lần có thể xảy ra hoặc xác xuất khả năng
có thể xảy ra của rủi ro
• Ảnh hƣởng (Impact)
– Hậu quả ảnh hƣởng đến business khi rủi ro
xảy ra

XÁC ĐỊNH GIÁ TRỊ CÁC YẾU TỐ
24
• Phƣơng pháp định tính (Qualitative)
– Sử dụng kinh nghiệm chuyên gia để ƣớc
đoán
– Dựa trên thống kê một lƣợng dữ liệu định tính
phản hồi
• Phƣơng pháp định lƣợng (Quantitative)
– Sử dụng phân tích các dữ liệu định lƣợng để
đánh giá các yếu tố

GIÁ TRỊ THAM KHẢO
25

XỬ LÝ RỦI RO – RISK CONTROL

27
• Risk IT Practitioner Guide COBIT 4.1

28

ỨNG DỰNG & TEMPLATE

OPERATIONAL RISK ANALYSIS
30
IT Assets
Risk & Business
Impact
Risk Response
& Control

ISMS RISK ANALYSIS
32
Information IT Assets
Risk & Business
Impact
Risk Response
& Controls

Q&A
33
Q&A

Risk analysis technique (ITLC version)

Recomendados

Recomendados

Mais conteúdo relacionado

Destaque

Destaque (19)

Risk analysis technique (ITLC version)