QUẢN LÝ HỆ THỐNG THÔNG TIN
Chủ đề 16: Risk Management
Nhóm thực hiện:
Lưu Vũ Nam
Nguyễn Minh Phúc
Mục tiêu bài học

Hiểu sự khác biệt giữa rủi ro và vấn đề.

Nhận diện các kiểu rủi ro khác nhau và quá trình giải quyết
các rủi ro trong dự án CNTT.

Mô tả các mục tiêu chính của an toàn thông tin

Liệt kê các loại rủi ro hệ thống thông tin

Mô tả các loại điều khiển cần thiết để đảm bảo tính toàn vẹn
của truy nhập dữ liệu và không bị gián đoạn thương mại điện
tử
Kết quả

Có khả năng nhận diện và quản lí rủi ro cũng như
giảm nhẹ rủi ro trong dự án CNTT.

Hiểu vai trò, trách nhiệm của quản lí rủi ro

Hiểu biết về rủi ro của tổ chức và những rủi ro
tiềm tàng trong một doanh nghiệp toàn cầu .
Thế nào là rủi ro?

Rủi ro là sự không chắc chắn về một kết quả xấu.


Quản lí rủi ro là hình dung ra cái gì có thể đi sai (có thể xảy
ra theo chiều hướng tiêu cực, rồi quyết định bạn có thể
làm gì để ngăn ngừa nó hoặc giảm tác động của nó).
Rủi ro hay hệ quả (issue)

Tuỳ theo tính có thể:
–
Rủi ro là cái còn chưa xảy ra => Yêu cầu hành
động phòng ngừa.
–
Hệ quả là cái đã xảy ra => Yêu cầu hành động
sửa chữa

=> Hành động phòng ngừa rẻ hơn hành động
sửa chữa.
Định nghĩa quản lí rủi ro

Rủi ro là biến cố mà xuất hiện thì gây ra vấn đề.

Quản lí rủi ro là quá trình cho phép người quản lí
CNTT cân bằng chi phí vận hành và chi phí kinh
tế của biện pháp bảo vệ trong hệ thống CNTT để
hỗ trợ cho sứ mệnh của doanh nghiệp.

Quản lí rủi ro là qui trình liên tục, có kỉ luật để
quản lí sự việc không chắc chắn xảy ra.

Rủi ro là mối đe doạ có thể xảy ra và tác động
bất lợi lên tổ chức.

Thế nào là quản lí rủi ro?

Rủi ro là một sản phẩm của sự không chắc chắn
các sự kiện trong tương lai và là một phần của
tất cả các hoạt động.

Mặc dù vậy, rủi ro là cần thiết để tiến bộ. Cơ hội
để thành công cũng như mang nguy cơ thất bại.

Nó là cần thiết để tìm hiểu sự cân bằng giữa tiêu
cực có thể xảy ra của rủi ro với tiềm năng lợi ích
và cơ hội mà nó mang lại.

Rủi ro có thể được định nghĩa là khả năng bị
thiệt hại hoặc mất mát. Khả năng là đặc trưng bởi
ba yếu tố:

Xác suất hay khả năng mà mất hoặc thiệt hại
sẽ xảy ra khi có rủi ro.

Thời gian dự kiến sẽ xảy ra rủi ro.

Độ lớn của những tác động tiêu cực có thể là
kết quả của sự xuất hiện của nó.
Thế nào là quản lí rủi ro? (tiếp)
Quy trình quản lí rủi ro

Nhận diện rủi ro:
–
Phạm vi quản lí rủi ro

–
Nguồn của rủi ro
–
Trên cơ sở đó rủi ro sẽ được đánh giá

Phân tích rủi ro: Kiểm điểm và phân tích rủi ro có trong
qui trình.

Đánh giá rủi ro: Nhận diện tuỳ chọn giải quyết rủi ro.

Giảm nhẹ (giải quyết rủi ro): Phòng ngừa hay làm giảm
rủi ro bằng việc dùng tài nguyên sẵn có.
Qui trình quản lí rủi ro

Nhận diện rủi ro: Cái gì đi sai?

Phân tích rủi ro: Nó có thể thế nào? Hậu quả là gì?

Đánh giá tuỳ chọn giải quyết: Chúng ta có thể làm gì?

Trao đổi và theo dõi rủi ro: Mọi sự diễn ra thế nào?

Lập kế hoạch và thực hiện giảm nhẹ: Cần gì để giảm rủi ro?

Quản lí rủi ro là qui trình liên tục, có kỉ luật để quản lí bất trắc,
và có sự đánh giá lại.
Nguồn của rủi ro

Nhận diện rủi ro có thể bắt đầu với nguồn của vấn

đề. Nguồn rủi ro có thể là bên trong hay bên ngoài
tổ chức hay dự án.

Ví dụ:
–
Khách hàng của dự án có thể quyết định cắt bỏ nó.
–
Nhân viên then chốt của dự án bị tai nạn.
–
Thời tiết tại sân bay có thể làm chậm chuyến bay.
–
Thiên tai, đánh cắp thông tin,…
Đánh giá rủi ro

Một khi rủi ro được nhận diện, nó phải được
đánh giá để xác định mức độ nghiêm trọng tiềm
năng của tổn thất và xác suất xuất hiện.

Mức độ nghiêm trọng có thể đơn giản để tính
toán hay có thể khó dự đoán được.

Người quản lí rủi ro phải đưa ra dự đoán tốt nhất
có thể để sắp ưu tiên tỉ lệ xuất hiện.

Công thức thông thường là:
Rủi ro = Tỉ lệ xuất hiện X Tác động của biến cố
Phân tích rủi ro

Rủi ro yêu cầu các điều kiện sau:
–

Tổn thất
–
Sự không chắc chắn
–
Sự chọn lựa

Rủi ro có 2 loại:
–
Suy đoán (động): Rủi ro có thể đem lại lợi ích và mất mát cùng
với nó.
–
Mạo hiểm(tĩnh): Rủi ro chỉ có mất mát liên kết với nó.
Không rủi ro
Lợi ích
Mất mát
Suy đoán
Mạo hiểm
Phân tích rủi ro

Phân tích rủi ro là một quá trình rất quan trọng trong quá trình
quản lí rủi ro của dự án, trợ giúp quá trình quyết định đầu tư.

Nếu rủi ro bị đánh giá và xếp ưu tiên không đúng, có thể phí thời
gian trong việc giải quyết rủi ro không chắc chắn xuất hiện.

Dành nhiều thời gian vào đánh giá các rủi ro không chắc chắn có
thể xảy ra gây lãng phí tài nguyên và không sử dụng được nguồn
tài nguyên này vào các việc khác. Trong những trường hợp như
vậy thì đơn giản cứ để cho rủi ro đó xảy ra và giải quyết hậu quả
nếu tổn thất xuất hiện.

Nhận diện
yếu tố nguy hiểm
Điều gì có thể?
Xác định
khả năng xảy ra
Có thường xuyên?
Xác định hậu quả
Có nghiêm trọng?
Xác định mức rủi ro
Mức độ nào?
Kiểm soát rủi ro
Nên làm gì ?
Sơ đồ các bước
đánh giá rủi ro
Quản lý rủi ro - Các thuộc tính then chốt

Qui trình quản lý rủi ro tốt bao gồm:
–
Kế hoạch cần được lập tài liệu và tuỳ chỉnh sao cho phù hợp
với nhu cầu.
–
Các qui trình giống nhau được dùng chung giữa các nhóm và
các chức năng.
–
Tiêu chí phân tích được áp dụng nhất quán
–
Tiêu chí leo thang có kỉ luật
–
Kết nối giữa khách hàng và các rủi ro của nhà cung cấp then
chốt.

–
Có kế hoạch giảm nhẹ khi cần, gồm cả thay đổi lịch làm việc
của nhóm.
–
Kế hoạch dự trữ bao gồm cả sự giảm nhẹ cho các rủi ro cao.

Để việc quản lí rủi ro đạt được kết quả cao nhất
cần:
–
Bắt đầu ngay từ đầu.
–
Giám sát và quản lí một cách tích cực
–
Duy trì sự tập trung tới cuối cùng của mục tiêu.
–
Luôn nắm giữ được những sự việc mang tính rủi
ro cao.
Quản lí rủi ro - các thuộc tính then chốt
Rủi ro dự án

Trong dự án, quản lí rủi ro có thể bao gồm:
–
Lập kế hoạch về cách quản lí rủi ro sẽ được tổ chức trong
dự án.
–
Kế hoạch quản lí rủi ro phải bao gồm nhiệm vụ quản lí,
trách nhiệm, hoạt động và ngân sách rủi ro.
–
Kế hoạch quản lí rủi ro có thể bao gồm một thành viên tổ
khác với người quản lí dự án, người này chịu trách nhiệm

quản lí các vấn đề dự án tiềm năng.
Rủi ro dự án (tiếp)
–
Từng rủi ro phải có các thuộc tính sau: ngày mở,
tiêu đề, mô tả ngắn, xác suất và tầm quan trọng.
–
Từng thành viên tổ dự án phải báo cáo rủi ro
trong dự án.
–
Kế hoạch giảm nhẹ rủi ro phải mô tả cách rủi ro
đặc biệt sẽ được giải quyết – cái gì, khi nào, bởi
ai và bằng cách nào nó sẽ được thực hiện để
tránh hay giảm thiểu hậu quả nếu nó trở thành
trách nhiệm pháp lí.
Nhận diện rủi ro dự án

Rủi ro ước lượng (phạm vi, kích cỡ, chức năng)

Rủi ro tác động doanh nghiệp (thị trường, quản
lí)

Rủi ro quan hệ khách hàng (trao đổi)

Rủi ro xác định qui trình (chuẩn, may đo)

Rủi ro môi trường (chất lượng, công cụ)

Rủi ro công nghệ (độ phức tạp & thay đổi)

Rủi ro con người (cán bộ & kinh nghiệm)

Vai trò và trách nhiệm

Việc quản lí rủi ro để đạt được kết quả tốt nhất
cần phải phân công nhiệm vụ cụ thể đến từng bộ
phận tham gia triển khai dự án:
–
Người quản lí dự án
–
Tổ dự án.
–
Tổ nhận diện rủi ro
–
Tổ giảm nhẹ rủi ro
Vai trò và trách nhiệm

Người quản lí dự án:

Xác định rủi ro khi lập dự án

Tham gia vào quá trình nhận diện, giảm thiểu rủi ro và theo dõi tiến trình này
xuyên suốt dự án.

Chấp nhận và bác bỏ mức độ rủi ro trong dự án.

Nhóm dự án: Thực hiện quy trình quản lý rủi ro cho dự án.

Nhóm nhận diện rủi ro

Cung cấp đầu vào cho quy trình nhận diện rủi ro.


Đại diện cho tất cả các nhóm bị ảnh hưởng tham gia vào dự án.

Tổ giảm nhẹ rủi ro: Thực hiện các hành động để giảm thiểu rủi ro, tập
trung vào từng phần hay cả xác suất và hậu quả của rủi ro.
Bảng rủi ro dự án
Rủi ro Hạng mục rủi ro Xác suất Ảnh hưởng Ghi chú
Ước lượng kích cỡ
dự án có thể thấp
Rủi ro dự án 75% Nghiêm trọng
Ngân quỹ có thể bị
gián đoạn
Rủi ro khách hàng 40% Đáng kể (Quan
trọng)
Quay vòng nhân
viên cao
Rủi ro con người 45% Nghiêm trọng