BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KĨ THUẬT MẬT MÃ

QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TỒN THƠNG TIN

ĐỀ TÀI
TÌM HIỂU CÁC PHƯƠNG PHÁP, QUY TRÌNH PHÂN TÍCH RỦI RO

Giảng viên hướng dẫn

: Nguyễn Thị Thu Thủy

Sinh viên thực hiện

: Lê Trung Hiếu
Vũ Tuấn Cảnh
Phạm Trọng Thiện
Nguyễn Quốc Huy
Nguyễn Thiện Đô

Hà Nội, tháng 12 năm 2021



MỤC LỤC
Table of Contents
MỤC LỤC ..................................................................................................................... 2
LỜI CẢM ƠN................................................................................................................ 4
LỜI NĨI ĐẦU ............................................................................................................... 5
CHƯƠNG 1: TỔNG QUẢN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN................ 6

1.1.

Chính sách an tồn thơng tin ........................................................................... 6

1.2.

Quản lý chính sách an tồn thơng tin .............................................................. 7

1.2.1.

Khái niệm an tồn hệ thống thơng tin ...................................................... 7

1.2.2.

Các chính sách an tồn thơng tin và tầm quan trọng của chúng .............. 8

1.2.3.

Vận hành của một tổ chức không có chính sách .................................... 10

1.2.4.

Những nguy hại của việc thực thi các chính sách sai ............................. 10

CHƯƠNG 2: TỔNG QUAN VỀ QUẢN LÝ RỦI RO ............................................... 11
2.1.

Tầm quan trọng của quản lý rủi ro ................................................................ 11

2.2.


Tổng quan về rủi ro ....................................................................................... 12

2.2.1.

Khái niệm rủi ro...................................................................................... 12

2.2.2.

Các loại rủi ro có thể xảy ra ................................................................... 13

2.2.3.

Một số phương pháp cải thiện ................................................................ 13

2.3.

Phân tích rủi ro .............................................................................................. 14

2.3.1.

Định nghĩa .............................................................................................. 14

2.3.2.

Quy trình phân tích rủi ro ....................................................................... 15

2.4.

Quản lý rủi ro ................................................................................................ 21


2.4.1.

Định nghĩa .............................................................................................. 21

2.4.2.

Cơng thức tính rủi ro .............................................................................. 22

2.4.3.

Quy trình quản lý rủi ro .......................................................................... 24

2.4.4.

Những sai lầm phổ biến trong quản lý rủi ro ......................................... 30

CHƯƠNG 3: CÁC PHƯƠNG PHÁP PHÂN TÍCH RỦI RO .................................... 31
3.1. Phân tích rủi ro định tính .................................................................................. 31
2


3.1.1. Khái niệm .................................................................................................. 31
3.1.2. Ưu, nhược điểm ......................................................................................... 31
3.1.3. Các công cụ và kỹ thuật quan trọng .......................................................... 32
3.1.4. Kỹ thuật phân tích rủi ro............................................................................ 35
3.2. Phân tích rủi ro định lượng ............................................................................... 38
3.2.1. Khái niệm .................................................................................................. 38
3.2.2. Các công cụ và kỹ thuật quan trọng .......................................................... 38
3.2.3. Ứng dụng ................................................................................................... 41

3.3. So sánh hai phương pháp ................................................................................. 41
KẾT LUẬN ................................................................................................................. 44
TÀI LIỆU THAM KHẢO ........................................................................................... 45

3


LỜI CẢM ƠN
Sau thời gian tìm hiểu về các phương pháp và quy trình phân tích rủi ro, nhóm 13 chúng
em đã hồn thành báo cáo đề tài của mình. Chúng em xin chân thành cảm ơn cô Nguyễn
Thị Thu Thủy - Giảng viên khoa An tồn thơng tin Học viện Kỹ thuật Mật Mã, đã luôn
hướng dẫn và giải đáp thắc mắc cho chúng em trong quá trình thực hiện đề tài.
Nhóm chúng em xin chân thành cảm ơn!
NHĨM SINH VIÊN THỰC HIỆN ĐỀ TÀI

4


LỜI NÓI ĐẦU
Một tổ chức hay một doanh nghiệp nào đó phát triển ln kèm theo sự phát triển của
cơng nghệ thông tin. Tuy nhiên, nhiều dự án CNTT thất bại vì rủi ro cơng nghệ. Một dự án
phần mềm là một mắt xích quan trọng trong một sự án CNTT lớn. Vì thế một dự án lớn
hay một hệ thống công nghệ vận hành cần phải tập trung vào nghiệp vụ trước thay vì cơng
nghệ.
Một vài dẫn chứng cụ thể. Anderson, một quản lý dự án cho tập đoàn Kaman Sciences,
chia sẻ kinh nghiệm từ một dự án thất bại trên tờ CIO Enterprise Magazine. Sau khi sử
dụng hai năm và vài trăm nghìn đơ la vào một dự án cung cấp một hệ thống thông tin mới
về nhân lực và tài chính client-server cho cơng ty, cuối cùng Anderson và đội của ông ta
nhận ra rằng họ đã thất bại. Anderson phát hiện ra rằng, ông đã quá say mê với việc sử
dụng các công nghệ mới và đã tiếp cận dự án một cách rủi ro cao. Ông nghĩ đơn giản rằng

đó là việc đội dự án cần làm và sau đó nhận ra rằng ơng đã sai. Cuối cùng công ty quyết
định chuyển sang một công nghệ ổn định hơn giải quyết đúng các yêu cầu nghiệp vụ của
cơng ty.
Do đó, chúng ta thấy tầm quan trong của việc phân tích và quản lý rủi ro cho các doanh
nghiệp hay tổ chức là cực kì quan trọng. Sau thời gian tìm hiều về vấn đề này, nhóm chúng
em đã chọn đề tài nghiên cứu: “Tìm hiểu các phương pháp, quy trình phân tích rủi ro.
Đưa ra các đánh giá phương pháp đó”.
Bố cục của đề tài gồm 3 chương
Chương 1: Tổng quan về chính sách an tồn thơng tin
Chương 2: Tổng quan về quản lý rủi ro
Chương 3: Phương pháp phân tích rủi ro

5


CHƯƠNG 1: TỔNG QUẢN VỀ CHÍNH SÁCH AN TỒN
THƠNG TIN
Ở trong chương này sẽ trình bày tổng quan về chính sách an tồn thơng tin. Đưa ra một
cái nhìn tổng quan về việc quản lý chính sách an tồn và cách vận hành một tổ chức doanh
nghiệp ổn định. Đưa ra những nguy hại của về đưa ra một chính sách an tồn khơng chính
xác.

1.1.

Chính sách an tồn thơng tin

Trong trường hợp lý tưởng khi mà các chính sách và thủ tục đầy đủ và chặt chẽ đồng
thời các nhân viên ln ln tn thủ theo đúng quy định thì kết quả đạt được sẽ rất hoàn
hảo. Tuy nhiên, thực tế khó có thẻ tồn tại sự lí tưởng như vậy. Cả các chính sách và các thủ
tục đề khơng phải lúc nào cũng thực sự đúng đắn cũng như các nhân viên cũng không luôn

luôn tuân theo chúng. Hãy xét một ví dụ đơn giản về sinh viên nhận học bổng của học viện.
Thủ tục này bao gồm sự kiểm tra thông tin về sinh viên nhận học bổng. Chính sách của
học viện quy định sinh viên nhận học bổng phải tự đi nhận không nhân hộ. Nếu không tn
thủ đúng chính sách này thì học viện có thể trao nhầm học bổng và thất thốt tài chính của
học viện.
Vậy chính sách là các yêu cầu, các biện pháp cần phải tuân thủ để đạt được mục
đích của chủ thể đề ra chính sách đó. Đối với các tổ chức cần bảo vệ an tồn hệ thống thơng
tin (Information System Security - ISS) cũng cần phải đặt ra và bắt buộc tn thủ những
chính sách an tồn hệ thơng thơng tin hay có thể gọi đơn giản là “Chính sách an tồn” hay
“Chính sách ISS”.
Chính sách an tồn thơng tin là một tập các chính sách do tổ chức đưa ra để đảm
bảo tất cả những nhân viên trong tổ chức phải tuân thủ các luật lệ và các hướng dẫn liên
quan đến sự an tồn của thơng tin được lưu trữ trong tổ chức. Mặc dù khơng có sự tiếp cận
giống nhau nhưng mỗi tổ chức nên có cách riêng để thực thi và bắt buộc tuân thủ các chính
sách. Một trong những thách thức mà các tổ chức phải dối mặt đó là chi phí để giữ vững
sự phát triển trong khi công nghệ luôn luôn thay đổi. Điều này bao gồm thu nhập cần cập
nhật các chính sách kịp thời với việc cập nhật cơng nghệ. Tình trạng thực thi các chính
sách khơng thích hợp có thể tạo nên những điểm yếu trong hệ thống. Những điểm yếu này
có thể ảnh hưởng xấu tới q trình xử lý cơng việc và có thể dẫn đến việc bị mất hoặc bị
cắp thông tin.
Trong việc đưa ra các chính sách an tồn, nhiều tổ chực bắt buộc phải có các u
cầu đối với các chính sách. Các u cầu này bao gồm quy mô của tổ chức, các quả trình xử
6


lý, kiểu thông tin, các luật lệ và các quy tắc. Sau khi có con người để cài đặt chúng. Điều
này phụ thuộc vào sự chấp nhận của các nhân viên và sự quản lý đối với việc bắt buộc tn
thủ các chính sách đó. Rõ ràng chính sách sẽ giảm tính hiệu quả hoặc thậm chí khơng có
giá trị gì nếu khơng tn theo nó.
Một chính sách bảo mật phải khả thi về mặt kinh tế, dễ hiểu, thực tế, nhất quán, có

thể chấp nhận thủ tục và cũng cung cấp sự bảo vệ hợp lý liên quan đến các mục tiêu và
mục tiêu đã nêu của quản lý. Chính sách bảo mật xác định tổng thể mục tiêu an ninh và
kiểm soát rủi ro mà một tổ chức tán thành.
Các đặc điểm chính sách bảo mật tốt là:
 Chúng phải được thực hiện thông qua các thủ tục quản trị hệ thống, xuất bản các
hướng dẫn sử dụng chấp nhận được, hoặc các phương pháp thích hợp khác.
 Chúng phải được thi hành bằng các công cụ bảo mật, khi thích hợp và với xử
phạt, nơi phịng ngừa thực tế là không khả thi về mặt kỹ thuật.
 Họ phải xác định rõ các lĩnh vực trách nhiệm cho người dùng, quản trị viên, và
quản lý.
 Chúng phải được ghi lại, phân phối và truyền đạt

1.2.

Quản lý chính sách an tồn thơng tin

1.2.1. Khái niệm an tồn hệ thống thơng tin
An tồn hệ thống thơng tin là việc bảo vệ thông tin và bảo vệ hệ thống lưu trữ và xử
lý thơng tin đó. Sự bảo vệ có nghĩa là chống lại các rủi ro dẫn tới việc truy cập, sử dụng,
làm lộ, phá vỡ, sửa chữa hay phá hủy thông tin một cách bất hợp pháp. Điều này không chỉ
là bảo vệ thông tin bên trong máy tính mà cịn là bảo vệ thơng tin dưới bất cứ dạng nào,
chẳng hạn như bảo vệ dữ liệu hay bảo vệ thông tin trên các phương tiện truyền thông.
Trong thực tế các chính sách an tồn có cấu trúc chặt chẽ để đảm bảo sự bảo vệ thông tin
ở bất cứ chỗ nào và bất kỳ dạng nào. Có thể thấy đây là những phạm vi rõ ràng và cụ thể
cần phải đảm bảo an tồn. Thơng thường tổ chức sẽ áp đặt sự an toàn nghiêm ngặt hơn đối
với các khu vực có mối đe dọa lớn hơn tới tài nguyên hoặc con người.
Trong bất kỳ quá trình xử lý thơng tin quan trọng nào thì nên có q trình xử lý vịng
đời để giảm thiếu lỗi xảy ra đồng thời cũng đảm bảo rằng quá trình xử lý đã xem xét tất cả
các yêu cầu đặt ra. Một q trình xử lý vịng đời cụ thể chia các nhiệm vụ thành các pha
nhỏ hơn, dễ sử dụng hơn. Hiệp hội kiểm toán và quản lý hệ thống thông tin (Information

Systems Audit and Control Association - ISACA) đã phát triển một khung làm việc rất
thực tiễn được gọi là các đối tượng kiểm sốt đối với thơng tin và cơng nghệ có liên quan
(Control Objects for Information and Related Technology - COBIT). Khung làm việc này
7


có phần ưu điểm hơn một q trình xử lý vòng đời và được quốc tế chấp nhận rộng rãi,
khung làm việc COBIT gồm 4 pha cùng hướng tới vòng đời an tồn hệ thống thơng tin dựa
trên khái niệm:





Lập kế hoạch và Tổ chức
Đạt được và Cài đặt
Phân phối và Hỗ trợ
Giám sát và Quản lý

1.2.2. Các chính sách an tồn thơng tin và tầm quan trọng của chúng
Chính sách có thể được hiểu như một yêu cầu trên các hoạt động hay các quá trình
xử lý mà một tổ chức thực hiện. Các chính sách ISS quy định sự sắp xếp các kiểm sốt
trong các q trình xử lý đặc trưng cho hệ thống thơng tin. Những chính sách này đề cập
tới các loại kiểm soát cần thiết chứ khơng đưa ra cách xây dựng chúng.

Chính sách ISS cần bao quát hiểm họa đối với hệ thống và chúng phải bảo vệ được con
người và thông tin. Chúng cũng phải thiết lập các luật đối với người dùng, xác định những
8



hậu quả của các vi phạm và tối thiểu hóa rủi ro của tổ chức. Do đó, bất cứ quá trình xử lý
nào chứa một trong những yêu cầu của tổ chức đó nên có một chính sách hỗ trợ. Các tài
liệu khác trong khung chính sách cung cấp thêm sự hỗ trợ cho q trình xử lý. Có 4 kiểu
tài liệu khác nhau trong một khung chính sách:
 Chính sách là tài liệu là chỉ đưa ra cách thức thực hiện và quản lý các chức năng
công việc và các giao dịch với một tác động mong muốn của tổ chức.
 Chuẩn là một quy tắc hoặc phương pháp được thiết lập và được chứng minh quy
tắc này có thể là một tiêu chuẩn về thủ tục hay một kỹ thuật đã được cài đặt rộng
rãi trong tổ chức.
 Thủ tục làm báo cáo được viết ra nhằm mô tả các bước cần có để cài đặt một
q trình xử lý.
 Hướng dẫn là một tài liệu bên trong một chính sách, chuẩn hay thủ tục mà được
đề nghị nhưng khơng bắt buộc.
Theo hình vẽ trên, các thủ tục và các hướng dẫn hỗ trợ các chính sách có các chuẩn
ảnh hưởng tới các chính sách. Bốn tài liệu này được chia thành hai nhóm: Tài liệu bên
trong và bên ngoài. Các chuẩn là những tài liệu bên ngoài, cịn chính sách, thủ tục và hướng
dẫn là tài liệu bên trong. Chuẩn có thể là một q trình xử lý hay một phương pháp để cài
đặt một giải pháp. Chuẩn bao gồm kỹ thuật phần cứng hay phần mềm đã có hồ sơ chứng
minh về sự thực hiện. Đây có thể là chuẩn về thủ tục hoặc chuẩn cài đặt hoặc chuẩn triển
khai kỹ thuật đã được thực thi rộng rãi trong tổ chức. Vì mục đích của ISS:
Chuẩn là một tập hợp các tiêu chuẩn để một hệ thống thông tin dựa vào vận hành
theo. Các chuẩn áp dụng sự ảnh hưởng bên ngoài đối với việc tạo ra các chính sách. Một
tổ chức có thể có những chuẩn nội bộ. Thường thì chuẩn này được biến đổi cho phù hợp
với tổ chức dựa trên thực tiễn từ các tổ chức khác.
Chính sách là một tài liệu chỉ ra cách thực hiện của tổ chức. Tài liệu này mô tả cách
quản lý các chức năng và các giao dịch đối với mỗi tác động và tổ chức mong muốn. Chính
sách làm cho sự kiểm sốt an tồn thơng tin trở lên dễ dàng vì đây là tài liệu về “Ai làm
cái gì cho ai và khi nào”. Chính sách phản ánh việc bảo vệ thông tin từ ban lãnh đạo.
Thủ tục là báo cáo được viết ra nhằm mô tả các bước cần thiết để cài đặt một quá
trình xử lý. Mục tiêu của các thủ tục là hỗ trợ các chính sách và các chuẩn. Các thủ tục cho

biết cách thực hiện những nhiệm vụ cụ thể. Thủ tục cài chi tiết thì càng hiệu quả và càng ít
có lỗi xảy ra.
Hướng dẫn đặt ra những thơng số bên trong một chính sách, chuẩn hay thủ tục mà
có thể được sử dụng. Hướng dẫn khơng phải là tài liệu bắt buộc mà chỉ là hỗ trợ cho chính
9


sách. Giống như các thủ tục các hướng dẫn giúp cho các tổ chức hoạt động nhịp nhàng
hơn.
Một số lý do cho thấy cần phải sử dụng và bắt buộc tn thủ các chính sách an tồn:
 Bảo vệ hệ thống khỏi mối đe dọa từ nội bộ.
 Bảo vệ thông tin tĩnh và thông tin trên đường truyền.
 Kiểm soát sự thay đổi cơ sở hạ thầng CNTT.
1.2.3. Vận hành của một tổ chức khơng có chính sách
Nếu khơng sử dụng chính sách thì một tổ chức có thể gặp phải nhiều khó khăn sau:
 Chi phí cao hơn: vì lãng phí vào những hoạt động vơ ích và tốn cơng để chỉnh
sửa lại.
 Khách hàng khơng hài lịng: tổ chức hoạt động khơng hiệu quả vì các cá nhân
đưa ra những đánh giá riêng theo suy nghĩ của họ nên khơng có sự thống nhất.
 Thiếu sự tn thủ quy định: tự bản thân cá nhân quyết định về sự tuân thủ những
sự ủy quyền hợp pháp nên cũng có thể dẫn đến sự khơng đồng nhất.
Ví dụ về quản lý lương của nhân viên trong Công ty thì cơng ty đó cũng phải vận
hành dựa trên những chính sách phù hợp. Khi hệ thống lương của nhân viên bị phá hoại
hoặc khơng thể truy nhập được thì rõ ràng tổ chức không thể nhập, xem, sửa bảng lương.
Nhưng nếu Cơng ty có một chính sách khi hệ thống quản lý lương bị ngừng hoạt động thì
sẽ thực hiện phục hồi hệ thống. Như vậy Công ty vẫn có thể tương tác với hệ thống quản
lý điểm như thường.
Tóm lại, nếu thiếu các chính sách an tồn và khơng có những sự quản lý rủi ro một
cách hợp lý thì tổ chức khơng thể phát hiện ra các điểm yếu của hệ thống.
1.2.4. Những nguy hại của việc thực thi các chính sách sai

Việc thực thi các chính sách sai cũng giống như khơng thực thi các chính sách. Khi
tạo ra các chính sách thì cần phải chỉ rõ các quá trình xử lý phù hợp hoặc các hậu quả xấu
có thể xảy ra.
Ví dụ hệ thống quản lý lương của Cơng ty nào đó: Tất cả các user đăng nhập đều
trao đặc quyền admin. Theo chính sách này, các nguyên lý cơ bản của việc bảo vệ thơng
tin khơng thể được đảm bảo. Ngun nhân là có thể có những người dùng có quyền truy
cập tới thơng tin và chỉnh sửa thông tin trái phép và đây không phải là điều mong đợi cũng
không phải là sự thực thi an tồn tốt nhất. Vì chính sách an tồn thường là một họ của các
chính sách nên cần phải đảm bảo chúng khơng mâu thuẫn với những chính sách khác.
10


CHƯƠNG 2: TỔNG QUAN VỀ QUẢN LÝ RỦI RO
Từ chương 1 cho chúng ta một cái nhìn tổng quan về chính sách an tồn thơng tin.
Chương 2 này sẽ đưa ra cái nhìn tổng quan về viêc quản lý rủi ro của một tổ chức hay
doanh nghiệp để tránh khỏi những sai sót hay gặp phải khó khăn khi có một dự án hay là
vận hành một hệ thống nào đó cho tổ chức, doanh nghiệp.

2.1.

Tầm quan trọng của quản lý rủi ro

Rủi ro có ở khắp nơi xung quanh cuộc, từ việc chúng ta lái xe đến việc nhảy dù, rủi ro
luôn tiềm ẩn trong các hoạt động mà chúng ta lựa chọn. Bên trong một dự án hay hệ thống,
rủi ro là những sự kiện không được lập kế hoạch hoặc những điều kiện làm ảnh hưởng đến
sự thành cơng của nó. Khơng phải tất cả mọi rủi ro đều xấu, nhưng chúng hầu như cho thấy
một sự đe dọa. Những rủi ro làm thay đổi lợi ích mà chúng ta có từ việc chấp nhận nó hay
khơng.
Nếu một người nhảy ra khỏi máy bay và cánh dù bật mở thì anh ta sẽ tìm thấy cảm giác
sung sướng khi nhìn thấy trái đất ở bên dưới, nhưng nếu dù khơng mở thì sao?

Những người quản lý theo một nghĩa nào đó là những người thích tìm kiếm những cảm
giác mạnh, họ có khả năng chịu đựng rủi ro cao hơn những người khác. Những người nhảy
dù đã hoàn thành xong bài huấn luyện, gấp dù lại, kiểm tra rất kỹ lưỡng các thiết bị của họ
và chắc chắn rằng đã có một tình huống phải nhảy dù cấp cứu trong trường hợp này.
Các nhà quản lý, nhất là những người quản trị tốt cũng có một cách tiếp cận tương tự.
Quản lý rủi ro là một nghệ thuật và khoa học về xác định, phân tích và xử lý rủi ro trong
suốt vòng đời của dự án, và là một trong nhưng hoạt động quan trọng nhất để đạt được mục
tiêu của dự án. Quản lý rủi ro thường không được chú ý tới trong các dự án, nhưng nó có
thể làm cho dự án thành cơng hơn bằng việc giúp chọn ra các dự án tốt, xác định phạm vi
đưa ra những đánh giá thực tế.
Một nghiên cứu của Ibbs và Kwak chỉ ra sự cẩu thả trong quản lý rủi ro, nhất là trong
các dự án công nghệ thông tin. Nghiên cứu của KPMG cho thấy 55% các dự án ngắn ngày
(Runaway Projects) thậm chí cịn khơng có quản lý rủi ro
Khơng có bất kỳ sự đảm bảo rằng một công việc, một dự án nào đó sẽ hồn thành đúng
thời gian, đúng ngân sách, đúng chất lượng đã được lên kế hoạch từ ban đầu. Ngay cả hoạt
động đơn giản nhất cũng có thể gặp sự cố không mong muốn. Bất cứ lúc nào cũng có thể
xảy ra những điều ngồi kế hoạch trong quá trình thực hiện dự án và làm thay đổi kết quả
và mục tiêu của dự án, chúng ta gọi đó là rủi ro. Có những rủi ro tốt và không tốt
11


Thực hiện quản lý rủi ro (Risk Management) giúp ngăn ngừa nhiều vấn đề gặp trong
dự án và giúp các vấn đề khác ít xảy ra hơn hoặc giảm mức độ ảnh hưởng của nó đối với
dự án, đối với mối nguy hay rủi ro xấu. Đồng thời, quản lý rủi ro hiệu quả giúp tăng khả
năng hoặc tác động của nó tới dự án, đối với cơ hội hay rủi ro tốt. Và khi chúng ta loại bỏ
các mối nguy và gia tăng cơ hội, thì tiến độ, chi phí của dự án có thể được giảm xuống,
phản ánh kết quả của nỗ lực quản lý rủi ro. Đây là những lợi ích của quản lý rủi ro và lý do
quản lý rủi ro là một phần bắt buộc của quản lý dự án hay một hệ thống vận hành.

2.2.


Tổng quan về rủi ro

2.2.1. Khái niệm rủi ro
Rủi ro là một sự việc khơng mong muốn xảy ra. Nó gây ra hậu quả, để lại thiệt hại mà
chúng ta không biết, không lường trước được về không gian, thời gian, cũng như mức độ
nghiêm trọng.

Rủi có thể là một sự kiện như hỏa hoạn, dịch covid, tai nạn..., hoặc nó có thể là một
điều kiện được xác định trước nhưng chưa xảy ra có thể xảy ra hoặc khơng xảy ra. Nếu nó
xảy ra, nó có thể tác động tích cực hoặc tiêu cực đến một hoặc nhiều mục tiêu của dự án.
Quản lý dự án cần tập trung vào các mối nguy hại – đó là những gì có thể xảy ra sai sót và
tác động tiêu cực đến dự án, các mối nguy khi xảy ra sẽ gây ra nhiều sự cố, vấn đề cho dự
12


án. Và cũng có thể có những tác động tích cực được gọi là cơ hội khi xảy ra sẽ đem lại lợi
ích cho dự án. Cơ hội có thể bao gồm những thứ như:
 Nếu chúng ta có thể kết hợp các đơn đặt hàng thiết bị ABC để mua hơn 20 mặt
hàng cùng một lúc, chi phí cho mỗi mặt hàng sẽ thấp hơn 20% so với kế hoạch.
 Nếu chúng ta tổ chức một lớp đào tạo nâng cao hiệu suất làm việc, gói cơng việc
số 3, 4 có thể hồn thành nhanh hơn hai ngày so với dự kiến.
2.2.2. Các loại rủi ro có thể xảy ra
Các mối đe dọa đối với các doanh nghiệp như sau:
 Con người: Những tác động từ cá nhân hay tổ chức như đau bệnh, tử vong...
 Tác nghiệp: Những sự kiện dẫn đến sự đình trệ trong hoạt động, mất tài sản
quan trọng, xáo trộn trong hệ thống phân phối.
 Uy tín: Mất các đối tác kinh doanh, lịng tin của nhân viên sụt giảm, người tiêu
dùng hay khách hàng khơng cịn trung thành.
 Quy trình: Những sai lầm, thất bại trong hệ thống tổ chức của nội bộ, cách phân

chia trách nhiệm và quyền hạn, các quy trình, thủ tục xử lý cơng việc.
 Tài chính:Thua lỗ trong kinh doanh, thị trường chứng khoán biến động, lãi suất
tăng, tình trạng thất nghiệp.
 Cơng nghệ: Cơng nghệ đang sử dụng trở nên lạc hậu, lỗi thời hay thường xuyên
bị các lỗi kỹ thuật.
 Môi trường tự nhiên: Những mối đe dọa do thiên tai, thời tiết xấu, bệnh dịch...
 Chính trị: Những thay đổi trong các chính sách của chính phủ, sự ảnh hưởng
của nước ngồi.
 Những rủi ro khác: Cạnh tranh trong nội bộ ngành, sự xuất hiện của các sản
phẩm thay thế, thay đổi nhu cầu khách hàng, khả năng thâm nhập thị trường của
các đối thủ cạnh tranh mới.
2.2.3. Một số phương pháp cải thiện
Xác định những nhóm rủi ro có liên quan đến hoạt động của mình.
 Xem xét lại các hệ thống, cơ cấu tổ chức mà doanh nghiệp đang vận hành và
phân tích rủi ro có liên quan. Tìm hiểu xem có những điểm dễ bị "tổn thương"
nào khác trong các hệ thống này.
 Tham khảo ý kiến của người khác để có cái nhìn tồn diện.
 Ước tính rủi ro: Sau khi đã nhận diện tất cả những mối nguy mà doanh nghiệp
đang gặp phải, ở bước tiếp theo, phải tính tốn khả năng (xác suất) xảy ra những
nguy cơ này và đánh giá tác động của nó. Tác động của rủi ro được lượng hóa
13











2.3.

bằng cách lấy chi phí phát sinh khi xảy ra một sự kiện nhân với xác suất xảy ra
sự kiện đó.
Quản lý rủi ro: Sau khi đã ước tính được rủi ro, phải nghiên cứu những cách
để quản lý các rủi ro này. Khi làm việc này, doanh nghiệp phải cố gắng chọn lựa
những cách quản lý rủi ro đỡ tốn chi phí nhất. Rủi ro có thể được quản lý bằng
một số cách sau đây:
Cải tiến nguồn lực hiện tại: Phương pháp này có thể liên quan đến một số việc
như cải tiến các hệ thống, quy trình làm việc hiện tại, thay đổi trách nhiệm, cải
tiến các hoạt động kiểm soát nội bộ...
Lên kế hoạch giảm thiểu tác động của rủi ro: Có thể quyết định chấp nhận
một loạt rủi ro nào đó nhưng xây dựng một kế hoạch để giảm thiểu những tác
động của rủi ro đó khi nó xảy ra. Kế hoạch ấy bao gồm những hành động mà
doanh nghiệp cần thực hiện ngay khi xảy ra rủi ro và là một phần của kế hoạch
duy trì hoạt động kinh doanh liên tục.
Đầu tư vào những nguồn lực mới: Việc phân tích rủi ro sẽ là cơ sở để doanh
nghiệp quyết định có nên đầu tư thêm vào những nguồn lực mới để phòng tránh
rủi ro hay khơng. Phương pháp này có thể bao gồm bảo hiểm rủi ro, nghĩa là
doanh nghiệp trả cho một người khác một số tiền để họ cùng chia sẻ một phần
rủi ro của doanh nghiệp. Bảo hiểm thường được áp dụng cho những rủi ro lớn,
đe dọa sự sống còn của doanh nghiệp.

Phân tích rủi ro

2.3.1. Định nghĩa
Phân tích rủi ro đảm bảo việc phân tích có hệ thống mức độ rủi ro gắn với các dự án.
Rủi ro phản án khả năng thay đổi dòng lợi nhuận tương lai có thể thu được từ dự án đầu
tư.

Phân tích rủi ro là chuỗi các quá trình lập kế hoạch quản lý rủi ro, phân tích rủi ro, xác
định và kiểm soát rủi ro trong một dự án. Và phải được xem là một phần trong quy trình
hoạt động của doanh nghiệp:
 Phải bảo đảm cho quá trình quản lý rủi ro hỗ trợ trực tiếp cho các mục tiêu và
nhiệm vụ của doanh nghiệp.
 Phân tích rủi ro hiệu quả phải tìm ra được các nhu cầu hoạt động của doanh
nghiệp và đưa ra các biện pháp bảo vệ để có thể đạt được các nhu cầu đó.

14


Và một điều quan trong là quy trình phân tích rủi ro cần phải được hồn thành trước
bất kì các hoạt động nào khác của doanh nghiệp. Tất cả các quy trình phân tích rủi ro đều
có ý tưởng hồn toàn giống nhau:
 Nhận diện các tài nguyên sử dụng
 Xác định các rủi ro, các hiểm họa, các mối quan tâm và các vấn đề liên quan
đến tài nguyên thơng tin đó
 Phân cấp rủi ro, tìm ra các điểm yếu gây ra các hiểm họa cho tài nguyên thông
tin
 Triển khai các biện pháp đo lường, quản lý, bảo vệ hoặc là phải chấp nhận với
rủi ro đó
 Theo dõi hiệu quả của các biện pháp quản lý và đánh giá hiệu quả của nó
2.3.2. Quy trình phân tích rủi ro
Từ những điều ta đã phân tích ở trên có thể thấy rõ tầm quan trọng của việc quản lý,
phân tích và đánh giá rủi ro là quan trọng như thế nào. Vậy nên việc phân tích rủi ro ta cần
thực hiện một cách bài bản theo một quy trình chuẩn nhất định để ngăn chặn cũng như
giảm thiểu được tối đa những rủi ro khơng đáng có.
2.3.2.1. Lập danh mục các hiểm họa rủi ro
Đầu tiên ta cần tìm ra các nguồn có thể tạo ra các mối đe dọa đến hệ thống. Những
nguồn này có thể đến từ bên trong như nội gián, các chính sách không hợp lý của tổ chức,

các lỗi hệ thống, kỹ thuật, các vấn đề liên quan đến nhân viên,… chúng cũng có thể đến từ
bên ngồi như tội phạm mạng, các tổ chức cạnh tranh, khách hàng,… hoặc thậm chí là có
thể đến từ mơi trường.
Sau khi lập ra được danh mục các nguồn hiểm họa, ta sẽ tiến hành xác định các hành
động đe dọa đến từ những nguồn đó đến hệ thống.
Mơ tả ngắn gọn các rủi ro có thể gây ảnh hưởng tiêu cực đến hoạt động của tổ chức,
từ vi phạm bảo mật và sai sót kỹ thuật đến lỗi con người và cơ sở hạ tầng:
Nguồn đe dọa

Hành động đe dọa
-

Tội phạm mạng

Nội gián độc hại
15

Web defacemant
Kỹ thuật xã hội
Xâm nhập hệ thống trái phép
Trộm cắp thông tin
Spam
Duyệt thông tin nhận dạng cá
nhân


Người lao động

-


Uy tín

-

Tổ chức

-

Kỹ thuật

-

Mơi trường

-

Pháp lý và hành chính

-

Truy cập hệ thống trái phép
Các hành động tự phép của nhân
viên gây ra thiệt hại cho hệ
thống, tài nguyên.
Sức khỏe không đảm bảo: bệnh
tật, tử vong,thương tật.
Mất niềm tin từ nhân viên, đối
tác
Thiệt hại danh tiếng của công ty
Các hành động chấm dứt hợp

đồng nhân viên hoặc bổ nhiệm
các vị trí khơng theo quy định.
Các hình phạt theo quy định
Tố tụng hình sự và dân sự
Mã độc hại
Lỗi hệ thống
Lỗi các thiết bị phần cứng: máy
tính, thiết bị mạng hoặc các
công nghệ bảo vệ và điều khiển
bị gián đoạn
Thảm họa tự nhiên: Bão, lũ, sấm
sét,…
Thảm họa nhân tạo: Sập nhà, đổ
cột điện,…

Các nguồn đe dọa và các rủi ro được liệt kê càng chi tiết sẽ càng thuận lợi cho việc
tính tốn, phân tích và đưa ra giải pháp khắc phục.
2.3.2.2. Nhận dạng điểm yếu
Các điểm yếu, lỗ hổng trong dự án, tập đoàn tạo điều kiện cho các rủi ro xuất hiện
nhiều hơn và đặc biệt những rủi ro do các lỗ hổng và điểm yếu tạo nên sẽ gây ra nhiều tổn
thất hơn và việc khắc phục hậu quả sẽ khó khăn hơn rất nhiều. Nhận dạng các diểm yếu, lỗ
hổng giúp tìm ra những điểm mạnh, yếu, những điểm dễ bị tấn công, điều khiển từ bên
ngồi, những điểm có khả năng gây ra những hiểm họa khơng đáng có từu đó đưa ra biện
pháp nâng cao, khắc phục những điểm yếu đó.
Ví dụ:

16


Điểm yếu, lỗ hổng


Mô tả

Mật khẩu không đủ mạnh

Mật khẩu dùng để trùy nhập vào các
kho dữ liệu quan trọng không đủ mạnh sẽ
giúp cho những kẻ tấn công dễ dàng tìm ra
và truy nhập trái phép vào hệ thống

Bảo mật căn bản không đạt.

Kiến thức tự bảo mật thông tin cơ bản
của các nhân viên không đảm bảo dễ gây ra
các rủi ro, tạo điều kiện cho những kẻ tấn
công lợi dụng.

Khả năng khắc phục kém.

Nhân lực phục vụ cho công việc xử lý,
khắc phục hậu quả không đủ dẫn đến việc
xử lý và khắc phục hậu quả không kịp thời
gây gián đoạn các cơng việc của tập đồn.

2.3.2.3. Xác định các tài nguyên quan trọng cần được bảo vệ
Các thông tin nhạy cảm, các tài nguyên quan trọng luôn là ưu tiên hàng đầu của mọi
cuộc tấn công hệ thống. Vậy nên việc xác định, lọc ra những tài nguyên quan trọng và đưa
chúng vào danh mục ưu tiên cần được theo dõi và bảo vệ là cực kỳ quan trọng đối với bất
kểcơng ty, doanh nghiệp nào.
Ví dụ về các tài nguyên quna trọng của 1 tập đồn nghiên cứu, sản xuất điện thoại di

động:
Tài ngun

Mơ tả

Thơng tin quan trọng.

Các thông tin quan
trọng liên quan đến nhân
viên, quản lý.
Các hợp đồng nhân
viên, hợp đồng với các đối
tác
Thông tin các sản phẩm
mới, chiến lược mới,…
Máy chủ và hệ thống
Quản lý, điều hành và
mạng
duy trì các máy tính làm
việc của nhân viên
17

Các rủi ro có thể xảy đến
Tấn cơng đánh cắp
thông tin từ các tội phạm
thông tin
Truy nhập tái phép từ
các nhân viên khơng được
cấp quyền
Rị rỉ thơng tin từ các

bên thứ 3.
Mã độc hại
Lỗi kỹ thuật


Hệ thống điều khiển
Trung tâm quản lý, điều
máy móc
khiển va duy trì hoạt động
của các máy móc phục vụ
cơng việc sản xuất, sửa
chữa,lắp ghép thiết bị

Các hỏng hóc, hư hại do
tác động của con người (vơ
tình hoặc cố tình )
Lỗi kỹ thuật
Hư hỏng do tác động
của con người.
Bảo trì khơng đúng
cách, không đúng thời gian

2.3.2.4. Xác định các xác suất rủi ro và phân tích hậu quả
Sau khi xác định được các rủi ro, các điểm yếu và các tài nguyên quan trọng ta sẽ tiến
hành phân cấp các rủi ro, điểm yếu có thể gây ra thiệt hại bằng cách tính tốn xác suất rủi
ro và phân tích những hậu quả mà nó có thể gây ra. Việc tính toán xác suất cần dựa vào
những con số cụ thể để đưa ra được kết quả chính xác nhất. Việc phân tích hậu quả phải.
Tính tốn,phân tích rủi ro dựa trên 2 phương pháp chính đó là định lượng và định
tính.
Dựa vào bảng phân cấp các rủi ro, ta sẽ xác định được những rủi ro cần ưu tiên được

xử lý, những rủi ro chưa cần xử lý và xác định được phương án để khắc phục những hậu
quả do nó gây ra.
Phân cấp rủi ro:
Cấp độ

Định nghĩa xác suất

Ví dụ rủi ro

Cao

Nguồn đe dọa có động
Tấn cơng, đánh cắp, tiết
cơ cao, tinh vi, các biện lộ hoặc sửa đồi thơng tin trái
pháp ngăn chặn và kiểm phép.
sốt khó có thể ngăn chặn.

Trung bình

Nguồn đe dọa có động
Lỗi kỹ thuật và các sai
cơ hoặc có khả năng, nhưng sót khơng cố ý.
các biện pháp kiểm sốt
được áp dụng có thể cản trở
việc thực hiện thành công lỗ
hổng.

18



Thấp

Nguồn đe dọa thiếu
Sự gián đoạn doa các
động cơ hoặc khả năng, hiểm họa tự nhiên hoặc
hoặc các biện pháp kiểm nhân tạo.
sốt được thực hiện để ngăn
chặn, hoặc ít nhất là cản trở
đáng kể, lỗ hổng bảo mật
được thực hiện.

Phân tích tác động:
Rủi ro

Tác động

Mức độ

Rị rỉ, bị đánh cắp thơng
Việc mất bí mật với
thiệt hại lớn đối với tài sản
tin nhạy cảm
của tổ chức.
Sự cố có thể dẫn đến tổn
thất tốn kém các tài sản
hoặc nguồn lực hữu hình
lớn, và có thể vi phạm, gây
tổn hại hoặc cản trở đáng kể
đến sứ mệnh, danh tiếng
hoặc lợi ích của tổ chức.

Gián đoạn do những
Việc mất khả năng sẵn
thay đổi trái phép của hệ sàng có ảnh hưởng bất lợi
thống
nghiêm trọng đến hoạt động
của tổ chức.
Tổ chức có thể thực hiện
các chức năng chính của
mình, nhưng hiệu quả của
các chức năng bị giảm đáng
kể.

Cao

Các dữ liệu khơng nhạy
Mất tính tồn vẹn có
cảm bị rị rỉ hoặc bị thay đổi ảnh hưởng hạn chế đến tài
trái phép.
sản hoạt động của tổ chức
hoặc cá nhân.
Tổ chức có thể thực hiện
các chức năng chính của
mình, nhưng hiệu quả của

Thấp

19

Trung bình



các chức năng bị giảm sút rõ
rệt.
Kết quả phân tích được sẽ được so sánh với tiêu chí đánh giá và sắp xếp theo thứu
tự ưu tiên được xử lý.
 Mức độ tác động cao: Cần có những biện pháp khắc phục mạnh mẽ. Hệ thống
có thể tiếp tục hoạt động, nhưng phải đưa ra kế hoạch hành động khắc phục
càng sớm càng tốt.
 Mức độ tác động trung bình: Các hành động khắc phục là cần thiết và phải
xây dựng một kế hoạch để kết hợp các hành động này trong một khoảng thời
gian hợp lý.
 Mức độ tác động thấp: Chủ sở hữu của hệ thống phải xác định xem các hành
động khắc phục vẫn được yêu cầu hoặc quyết định chấp nhận rủi ro.
2.3.2.5. Tính tốn tổn thất, đưa ra biện pháp khắc phục, quản lý và chấp nhận rủi ro
Ở bước này ta cần tính tốn những tổn thất mà rủi ro có khả năng gây nên. Phải xác
định được chi phí cần thiết cho việc thay thế những dữ liệu và hệ thống bị đánh cắp, thay
đổi, chi phí cho thời gian ngừng do lỗi hệ thống, hay tất cả những gì mà ta có thể tưởng
tượng ra được đối với các rủi ro.
Khi đã tính tốn xong các tổn thất có thể xảy ra, ta sẽ bắt đầu tiến hành tìm cách
kiểm sốt những rủi ro này. Khi đó, việc quan trọng là lựa chọn được cách tiếp cận hiệu
quả về chi phí, thơng thường người ta không chi tiêu, đầu tư quá nhiều cho việc giảm thiểu
một rủi ro bằng tính phí tổn rủi ro. Thông thường việc chấp nhận rủi ro sẽ tối ưu hơn là
lãng phí nhwuxng nguồn lực để loại bỏ nó.
Có thể quản lý rủi ro theo một số cách:
 Sử dụng tài nguyên có sẵn: Những nguồn lực có sẵn này có thể sử dụng để
chống lại và khắc phục rủi ro gồm: cải tiến phương pháp và hệ thống hiện
hành, thay đổi chức vụ, kiểm soát trách nhiệm nội bộ
 Lập kế hoạch dự phịng: Có thể quyết định chấp nhận rủi ro, nhưng hãy chọn
một kế hoạch để giảm thieru ảnh hưởng khi rủi ro xảy ra. Với một kế hoạch
được dự phòng trước sẽ giúp ta hành động được nagy lập tức khi xảy ra bất

kỳ rủi ro,sự cố nào.
 Đầu tư vào các tài nguyên, ngồn lực mới: Phân tích rủi ro sẽ là cơ sở để quyết
định nên hay không nên đưa vào những nguồn lực mới bổ sung để chống lại
các nguy cơ, điều này bao gồm cả bảo hiểm rủi ro.
20


Ví dụ về kết quả phân tích và một số biện pháp khắc phục hậu quả:
Mối đe dọa

Lỗ hổng

Biện pháp

Khả năng
xảy ra

Mức độ
tác động

Mức độ
rủi ro

Bão

Cúp điện

Lắp đặt máy phát
điện dự phịng


Thấp

Trung
bình

Thấp

Thiếu kế
hoạch khắc
phục hậu
quả

Khơi phục
hiểm họa

Phát triển và thử
nghiệm kế hoạch
khắc phục hậu
quả.

Trung bình

Cao

Trung
bình

Truy cập
trái phép
vào các

thơng tin
nhạy cảm.

Kiểm soát
quyền truy
cập.

Thực hiện giám
sát và kiểm tra
bảo mật hệ thống
thường xun.

Trung bình

Cao

Trung
bình

Chiếm
quyền sử
dụng tài
khoản

Mật khẩu
khơng đủ
mạnh

Sử dụng mật khẩu Thấp
mạnh, thay đổi

mật khẩu định kỳ
và kiểm soát truy
cập của các nhân
viên.

Trung
bình

Thấp

Kết luận: Phân tích rủi ro cho phép bạn biết rủi ro nào là ưu tiên hàng đầu của
bạn. Bằng cách liên tục xem xét các lĩnh vực chính, chẳng hạn như quyền, chính sách, dữ
liệu và người dùng, bạn có thể xác định mối đe dọa nào có nguy cơ cao nhất đối với hệ
sinh thái CNTT của bạn và điều chỉnh các biện pháp kiểm soát cần thiết để cải thiện tính
bảo mật và tuân thủ.

2.4.

Quản lý rủi ro

2.4.1. Định nghĩa
Quản lý rủi ro là quá trình xác định, đánh giá, lập kế hoạch phản ứng và phản ứng với
các sự kiện, cả tích cực và tiêu cực, có thể xảy ra trong suốt q trình của một dự án hay
một hệ thống vận hành nào đó. Mục tiêu của quản lý rủi ro là gia tăng khả năng tác động
của rủi ro tích cực và giảm khả năng tác động của rủi ro tiêu cực, để tối ưu hóa cơ hội thành
21


công của dự án hay hệ thống vận hành. Rủi ro cần được xác định và quản lý ngay từ khi
bắt đầu dự án và được cập nhật thường xuyên trong khi dự án đang được tiến hành. Người

quản lý rủi ro và nhóm xem xét những gì đã xảy ra trong dự án, tình trạng hiện tại của dự
án và những gì chưa xảy ra, sau đó đánh giá lại các mối nguy và cơ hội tiềm ẩn

Quản lý rủi ro sẽ kiểm sốt các sự kiện có thể xảy ra trong tương lai có thể ảnh hưởng
tiêu cực đến dự án tổng thể. Nó là q trình phản ứng chủ động hơn. Quản lý rủi ro thường
không được chú ý tới trong các dự án, nhưng nó có thể làm cho dự án thành công hơn bằng
việc giúp chọn ra các dự án tốt, xác định phạm vi dự án và đưa ra những đánh giá thực tế.
2.4.2. Cơng thức tính rủi ro
Rủi ro = P x V – R + U
Trong đó:





P: khả năng xuất hiện 1 điểm yếu
V: giá trị của tài sản
R: tỉ lệ phần trăm của rủi ro đã được các kiểm soát hiện có giảm thiểu(%)
U: sự khơng chắc chắn của tri thức hiện tại về điểm yếu(%)

22


Ví dụ: Tính mức độ rủi ro cho tài sản A, B, C, D. Đề xuất chiến lược quản lí rủi ro cho
tổ chức.
Cho bốn tài sản A, B, C, D có giá trị lần lượt là 80, 75, 85, 65. Tài sản A tồn tại hai
điểm yếu 1 và 2. Xác suất xảy ra đối với hai điểm yếu lần lượt là 0.5 và 0.7. Điểm yếu 1
đã có một sự kiểm sốt với mức độ khơng đạt được là 60% rủi ro của nó. Kiểm sốt đối
với điểm yếu 2 đặt được hiệu quả là 60% mức độ rủi ro. Tài sản B tồn tại 1 điểm yếu (điểm
yếu 3) với khả năng xảy ra là 0.6 và mức độ kiểm soát đạt được 70% rủi ro của nó. Tài sản

C tồn tại hai điểm yếu 4 và 5. Xác xuất xảy ra đối với hai điểm yếu lần lượt là 0.4 và 0.5.
Điểm yếu 4 khơng có một sự kiểm soát nào. Kiểm soát đối với điểm yếu 5 đạt được hiệu
quả là 50% mức độ rủi ro. Tài sản D tồn tại hai điểm yếu 6 và 7. Xác xuất xảy ra đối với
hai điểm yếu lần lượt là 0.3 và 0.7. Điểm yếu 6 không có một sự kiểm sốt nào. Kiểm sốt
đối với điểm yếu 7 đạt được hiệu quả là 35% mức độ rủi ro. Các dữ liệu và giả thiết có độ
ước lượng chắc chắn là 75%.
Trình bày:
 Tài sản A:
+ Điểm yếu 1: P1 = 0.5, V1 = 80
 R1(40%) => R1 = 80 x 0.5 x 40% = 16
 U1(25%) => U1 = 80 x 0.5 x 25% = 10
 RRđiểm yếu 1 = P1 x V1 – R1 + U1 = 34
+ Điểm yếu 2: P2 = 0.7, V2 = 80





R2(60%) => R2 = 80 x 0.7 x 60% = 33,6
U2(25%) => U2 = 80 x 0.7 x 25% = 14
RRđiểm yếu 2 = P2 x V2 – R2 + U2 = 36,4
Tài sản B:
+ Điểm yếu 3: P3 = 0.6, V3 = 75






R3(70%) => R3 = 75 x 0.6 x 70% = 31,5

U3(25%) => U3 = 75 x 0.6 x 25% = 11,25
RRđiểm yếu 3 = P3 x V3 – R3 + U3 = 24,75
Tài sản C:
+ Điểm yếu 4: P4 = 0.4, V4 = 85

 R4(0%) => R4 = 0
 U4(25%) => U4 = 85 x 0.4 x 25% = 8,5
23


 RRđiểm yếu 4 = P4 x V4 – R4 + U4 = 42,5
+ Điểm yếu 5: P5 = 0.5, V5 = 85





R5(50%) => R5 = 85 x 0.5 x 50% = 21,25
U5(25%) => U5 = 80 x 0.7 x 25% = 10,625
RRđiểm yếu 5 = P5 x V5 – R5 + U5 = 31,875
Tài sản D:
+ Điểm yếu 6: P6 = 0.3, V6 = 65

 R6(0%) => R6 = 0
 U6(25%) => U6 = 65 x 0.3 x 25% = 4,875
 RRđiểm yếu 6 = P6 x V6 – R6 + U6 = 24,375
+ Điểm yếu 7: P7 = 0.7, V7 = 65
 R7(35%) => R2 = 65 x 0.7 x 35% = 15,925
 U7(25%) => U2 = 65 x 0.7 x 25% = 11,375
 RRđiểm yếu 7 = P7 x V7 – R7 + U7 = 40,95

-

Đề xuất chiến lược quản lý rủi ro cho tổ chức dựa vào mức độ rủi ro các điểm
yếu ta thấy:
RRđiểm yếu 4 > RRđiểm yếu 7 > RRđiểm yếu 2 > RRđiểm yếu 1 > RRđiểm yếu 5 > RRđiểm
yếu 3 > RRđiểm yếu 6
 Chiến lược quản lý rủi ro được ưu tiên là:

Điểm yếu 4(tài sản C) > điểm yếu 7 (tài sản D) > điểm yếu 2 (tài sản A) > điểm yếu 1
(tài sản A) > điểm yếu 5 (tài sản C) > điểm yếu 3 (tài sản B) > điểm yếu 6 (tài sản D).
2.4.3. Quy trình quản lý rủi ro
Phải ln biết rằng quy trình quản lý rủi ro là điều rất quan trọng trong quản lý dự án
hay là vận hành hệ thống. Chúng ta phải biết điều gì sẽ xảy ra, xảy ra vào lúc nào và hiểu
rằng quản lý rủi ro có thể thay đổi cách quản lý dự án hay hệ thống. Đối với các dự án hay
hệ thống lớn, quản lý rủi ro đúng cách là một phần không thể thiếu trong quá trình lập kế
hoạch.
Mặc dù các quy trình lập kế hoạch có nhiều khả năng được thực hiện theo trình tự,
nhưng thường được lặp lại trong suốt quá trình của dự án hay hệ thống khi vận hành. Rủi
ro có thể được xác định bất cứ lúc nào và chúng ta phải thực hiện ứng phó với những rủi
ro mới đó. Nếu một rủi ro được phát hiện sau q trình xác định rủi ro ban đầu, nó vẫn phải

24