HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÁO CÁO MÔN HỌC

QUẢN LÝ AN TOÀN THÔNG TIN

ĐỀ TÀI
TÌM HIỂU PHƯƠNG PHÁP ĐÁNH GIÁ RỦI RO TRONG QUẢN LÝ AN
TOÀN THÔNG TIN

Sinh viên thực hiện: Nhóm 04

Mạc Bảo Khanh-AT170126
Lê Duy Ngọc-AT170436
Phạm Nhật Lệ-AT170629
Bùi Hữu Linh-AT170630
Nguyễn Tiến Tuấn-AT170454

Giảng viên hướng dẫn: ThS.Nguyễn Thị Thu Thủy

Hà Nội, 2024
 MỤC LỤC

DANH MỤC CHỮ VIẾT TẮT..............................................................................

DANH MỤC HÌNH VẼ..........................................................................................
LỜI CẢM ƠN..........................................................................................................
MỞ ĐẦU..................................................................................................................
Chương 1. Cơ sở lý thuyết......................................................................................
1.1. Giới thiệu về quản lý an toàn thông tin.............................................................
1.1.1. Các khái niệm cơ bản............................................................................
1.1.2. Quản lý an toàn thông tin....................................................................
1.2. Quản lý rủi ro..................................................................................................
1.2.1. Một số vấn đề về quản lý rủi ro...........................................................
1.2.2. Nhận diện rủi ro..................................................................................
1.2.3. Phân tích rủi ro....................................................................................
1.2.4. Xử lý rủi ro..........................................................................................
Chương 2. PHƯƠNG PHÁP ĐÁNH GIÁ RỦI RO TRONG QUẢN
LÝ AN TOÀN THÔNG TIN................................................................................
2.1. Phân tích mô hình sai lỗi và ảnh hưởng (FMEA)...........................................
2.1.1. Khái niệm.............................................................................................
2.1.2. Mối quan hệ giữa FMEA và các phương pháp giải quyết vấn
đề khác.................................................................................................
2.1.3. Các loại FMFA....................................................................................
2.1.4. Lợi ích của FMFA...............................................................................
2.1.5. Các bước triển khai FMFA.................................................................
2.2. SWOT (Strengths – Weakness – Opportunities – Threats).............................
2.2.1. Khái niệm.............................................................................................
2.2.2. Phân tích SWOT..................................................................................
2.2.3. Ý nghĩa của việc sử dụng mô hình SWOT...........................................
2.2.4. Nguyên tắc SWOT cần tuân thủ...........................................................
2.3. Phân tích an toàn công việc (JSA):.................................................................
2.3.1. Khái niệm.............................................................................................
2.3.2. Lợi ích của JSA....................................................................................
2.3.3. Sử dụng JSA.........................................................................................
2.3.4. Trách nhiệm.........................................................................................
2.3.5. Các bước của JSA................................................................................
2.3.6. Những điều cần lưu ý sau khi hoàn thành JSA....................................
Chương 3. CÔNG CỤ TỰ ĐỘNG ĐÁNH GIÁ RỦI RO TRONG
QUẢN LÝ AN TOÀN THÔNG TIN...................................................................
2
3.1. Factor Analysis of Information Risk (FAIR)..................................................
3.1.1. Mô tả....................................................................................................
3.1.2. Phương pháp đánh giá rủi ro FAIR-U................................................
3.1.3. Ưu điểm và nhược điểm của FAIR-U..................................................
3.2. OpenSCAP......................................................................................................
3.2.1. Tính năng chính của OpenSCAP.........................................................
3.2.2. Phương pháp đánh giá rủi ro sử dụng OpenSCAP.............................
3.2.3. Ưu điểm và nhược điểm của OpenSCAP.............................................
3.3. RiskLens..........................................................................................................
3.3.1. Tính năng của RiskLens.......................................................................
3.3.2. Phương pháp đánh giá rủi ro của RiskLens........................................
3.3.3. Ưu điểm và nhược điểm của RiskLens.................................................
3.4. MetricStream Risk Management.....................................................................
3.4.1. Tính năng chính của MetricStream Risk Management.......................
3.4.2. Phương pháp đánh giá rủi ro sử dụng MetricStream Risk
Management........................................................................................
3.4.3. Ưu điểm và nhược điểm của MetricStream Risk
Management........................................................................................
KẾT LUẬN............................................................................................................
TÀI LIỆU THAM KHẢO....................................................................................
BẢNG PHÂN CÔNG CÔNG VIỆC....................................................................

3
 DANH MỤC CHỮ VIẾT TẮT

STT Từ viết tắt Tiếng Anh Tiếng Việt

Information Security Hệ thống quản lý bảo mật
1 ISMS
Management System thông tin
2 ATTT information security An toàn thông tin
3 PDCA Plan-Do-Check-Act Chu trình Deming
Information and Hệ thống Thông tin và Truyền
4 HTTT
Communication Technology thông
Failure Mode and Effects
5 FMEA Phân tích rủi ro và hiệu suất
Analysis
Phân tích nguyên nhân trục
6 FTA Fault Tree Analysis
trặc
Strengths, Weaknesses,
7 SWOT Phân tích SWOT
Opportunities, Threats
8 JSA Job Safety Analysis Phân tích nguy cơ công việc
9 JHA Job Hazard Analysis Phân tích nguy hiểm công việc
Security Content Automation Chương trình Cải tiến Tính
10 SCAP
Protocol năng Hệ thống
Security Information and Quản lý sự kiện và thông báo
11 SIEM
Event Management an ninh

4
 DANH MỤC HÌNH VẼ

Hình 1.1 Thông tin....................................................................................................8

Hình 1.2 Hệ thống thông tin......................................................................................8
Hình 1.3 Ba khía cạnh của an toàn thông tin.............................................................9
Hình 1.4 ISMS - Hệ thống quản lý an toàn thông tin..............................................10
Hình 1.5 Rủi ro........................................................................................................11
Hình 2.1 Phương pháp FMEA.................................................................................15
Hình 2.2 Các bước thực hiện FMEA.......................................................................18
Hình 2.3 Phương pháp SWOT................................................................................19
Hình 3.1 Công cụ RiskLens....................................................................................28

5
 LỜI CẢM ƠN

Chúng em xin chân thành gửi lời cảm ơn đến cô Nguyễn Thị Thu Thủy - khoa
An toàn thông tin trường Học viện Kỹ thuật Mật mã đã tạo điều kiện, cung cấp
kiến thức chuyên sâu, trong thời gian thực hiện đề tài đã tận tình hướng dẫn, giúp
đỡ, chỉ bảo. Đồng thời, chúng em xin gửi lời cảm ơn đến các thầy cô trong Học
viện Kỹ thuật Mật mã đã truyền đạt cho chúng em những kiến thức từ cơ bản đến
nâng cao suốt những năm học qua, giúp chúng em có được những kiến thức cơ bản
để có thể hoàn thành được đề tài này.
Do thời gian nghiên cứu và làm việc trong lĩnh vực An toàn Thông tin còn
hạn chế, vậy nên chắc chắn sẽ không thể tránh khỏi những thiếu sót khi thực hiện
đề tài, chúng em rất mong nhận được sự góp ý từ thầy cô để có thể hoàn thiện tốt
hơn đồ đề của mình.
Chúng em xin chân thành cảm ơn!

6
 MỞ ĐẦU

Trong thời đại số hóa ngày nay, an toàn thông tin đóng vai trò ngày càng quan
trọng trong mọi lĩnh vực của đời sống, từ doanh nghiệp đến cơ quan chính phủ và
cá nhân. Đối mặt với nguy cơ không ngừng gia tăng từ các cuộc tấn công mạng
phức tạp và tinh vi, việc đánh giá rủi ro an toàn thông tin đang trở thành một trong
những nhiệm vụ cấp bách.
Trong bối cảnh này, phương pháp đánh giá rủi ro đóng vai trò quan trọng
nhằm giúp tổ chức định hình, đánh giá và quản lý các nguy cơ tiềm ẩn đối với
thông tin và hệ thống của họ. Điều này đặt ra một thách thức lớn đối với các
chuyên gia an toàn thông tin, khi họ cần phải sử dụng những công cụ hiệu quả để
đảm bảo tính toàn vẹn, bảo mật và sẵn sàng của dữ liệu.
Vì vậy nhóm chúng em đã quyết định tìm hiểu đề tài “Tìm hiểu phương pháp
đánh giá rủi ro trong quản lý an toàn thông tin”. Trong cuộc hành trình này, chúng
em sẽ khám phá không chỉ các phương pháp cũng như các công cụ tự động đánh
giá rủi ro đã tồn tại mà còn các xu hướng mới và tiên tiến trong lĩnh vực này, với
hi vọng mang lại cái nhìn sâu sắc và chi tiết nhất về cách thức chúng có thể hỗ trợ
tổ chức trong việc bảo vệ thông tin và hệ thống của mình.
Mục tiêu đặt ra khi thực hiện báo cáo:
- Chương 1. Giới thiệu tổng quan về quản lý an toàn thông tin đồng thời
cung cấp quy trình về quản lý rủi ro.
- Chương 2. Nêu một số phương pháp cũng như mô hình đánh giá rủi ro
trong quản lý an toàn thông tin.
- Chương 3. Giới thiệu mộy vài công cụ tự động đánh giá rủi ro cho hệ thống
quản lý an toàn thông tin.
Hy vọng rằng nghiên cứu này không chỉ mang lại cái nhìn tổng quan về các
phương pháp cũng như các công cụ tự động đánh giá rủi ro cụ thể mà còn đóng
góp vào sự hiểu biết chung về bảo mật thông tin và phòng tránh các mối đe dọa an
ninh trong cộng đồng công nghệ.

7
 CHƯƠNG 1. CƠ SỞ LÝ THUYẾT

1.1. Giới thiệu về quản lý an toàn thông tin

1.1.1. Các khái niệm cơ bản
a) Thông tin
Thông tin là các yếu tố đem lại hiểu biết, nhận thức cho con người cũng như
các sinh vật khác. Tồn tại khách quan, có thể được tạo ra, truyền đi, lưu trữ, chọn
lọc. Thông tin được hình thành, tồn tại và vận động trong các hệ thống thông tin.

Hình 1.1 Thông tin

Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được
thiết lập phục vụ mục đích tạo lập, cung cấp, truyền, xử lý và lưu trữ thông tin trên
mạng. Các tài nguyên thông tin bao gồm:
 Tài nguyên nhân lực
 Tài nguyên phần mềm
 Tài nguyên phần cứng
 Tài nguyên mạng
 Tài nguyên dữ liệu

Hình 1.2 Hệ thống thông tin

b) An toàn thông tin

8
 An toàn thông tin là sự bảo vệ thông tin và các hệ thống thông tin tránh bị
truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo
đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin [72/2013/NĐ-
CP].
An ninh thông tin là việc bảo đảm thông tin trên mạng không gây phương hại
đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp
pháp của tổ chức, cá nhân [72/2013/NĐ-CP].

Hình 1.3 Ba khía cạnh của an toàn thông tin

c) Quản lý an toàn thông tin
Quản lý an toàn thông tin là các hành động lên các đối tượng tham gia đối với
hệ thống thông tin của một cơ quan tổ chức, nhằm đảm bảo tính bí mật, tính toàn
vẹn, tính sẵn sàng của hệ thống thông tin của cơ quan, tổ chức.
 Lập kế hoạch
 Tổ chức
 Chỉ đạo
 Điều chỉnh
 Kiểm soát
Hệ thống quản lý an toàn thông tin ISMS là phương tiện quản lí cấp cao nhằm
quản lí và kiểm soát mức độ an toàn, giảm thiểu tối đa các rủi ro và đảm bảo mức
độ an toàn tiếp tục đáp ứng được yêu cầu của doanh nghiệp, khách hàng, pháp luật.

9
 Hình 1.4 ISMS - Hệ thống quản lý an toàn thông tin
Chính sách an toàn thông tin là tập hợp những chỉ thị và hướng dẫn về ATTT,
là tập hợp các điều luật, các quy định bảo đảm sự bảo vệ có hiệu quả các hệ thống
xử lý thông tin chống lại các hiểm họa ATTT, là tập hợp các điều luật, các qui định
và các giải pháp thực tế để giám sát sự điều khiển, sự bảo vệ và việc phân phối
các thông tin nhạy cảm trong hệ thống. (“Sách da cam” - 1983).
Điều đó thể hiện ý chí và quyết tâm của các cấp lãnh đạo đối với việc bảo vệ
HTTT, bao gồm đầy đủ các yếu tố: thông tin (Information), hạ tầng thông tin
(phần cứng, phần mềm, mạng và các hệ thống khác,…) và các ứng dụng.
1.1.2. Quản lý an toàn thông tin
Thúc đẩy các biện pháp AT dưới sự lãnh đạo của ban quản lý…
 Xây dựng cấu trúc hoặc quy trình để quản lý rủi ro ATTT
- Nhận biết rủi ro ATTT và phát triển chính sách toàn công ty (CSATTT)
- Xây dựng hệ thống quản lý rủi ro ATTT
- Đảm bảo nguồn lực (ngân sách, lực lượng lao động, v.v.) cho các biện
pháp AT
 Xác định các rủi ro ATTT và thực hiện các biện pháp
- Xác định các rủi ro ATTT và xây dựng kế hoạch giải quyết chúng
- Thiết lập các hệ thống để giải quyết hiệu quả các rủi ro ATTT
- Thực hiện chu trình PDCA cho các biện pháp AT
 Thiết lập một hệ thống để chuẩn bị cho sự cố xảy ra
- Xây dựng nhóm ứng phó sự cố ATTT và các thủ tục liên quan
- Xây dựng nhóm khôi phục và các quy trình liên quan để chuẩn bị cho
thiệt hại do sự cố ATTT.
- Thúc đẩy các biện pháp AT trong chuỗi cung ứng

10
  Hiểu tình trạng ATTT và các biện pháp trong toàn bộ chuỗi cung ứng
bao gồm các đối tác kinh doanh và các công ty gia công. Thúc đẩy giao
tiếp với các bên liên quan và các bên liên quan khác
 Thu thập, sử dụng và cung cấp TT về mối đe dọa ATTT thông qua các
hoạt động chia sẻ TT
Các lĩnh vực:
- Chính sách an toàn thông tin
- Tổ chức an toàn
- Phân loại và kiểm soát tài sản
- An toàn nhân sự
- An toàn môi trường và vật lý
- Quản lý tác nghiệp và truyền thông
- Kiểm soát truy cập
- Duy trì và phát triển hệ thống
- Quản lý sự liên tục trong kinh doanh
- Tuân thủ

1.2. Quản lý rủi ro

1.2.1. Một số vấn đề về quản lý rủi ro
a) Khái niệm
Quản lí rủi ro là quá trình tiếp cận rủi ro một cách khoa học và có hệ thống
nhằm nhận diện, kiểm soát, phòng ngừa và giảm thiểu những tổn thất, mất mát,
những ảnh hưởng bất lợi của rủi ro.

Hình 1.5 Rủi ro

Bao gồm: đánh giá, xử lý và chấp nhận rủi ro.
b) Nguyên tắc
Quản lý rủi ro phải được thực hiện thường xuyên, liên tục theo quy chế, chính
sách quy trình bảo đảm ATTT của tổ chức.
11
 Việc xử lý rủi ro cần được thực hiện trên cơ sở trọng tâm, trọng điểm, bảo
đảm tính khả thi trên cơ sở cân đối giữa nguồn lực thực hiện và giá trị đem lại.
Tuân thủ nguyên tắc phân tán rủi ro thông qua các biện pháp phi tập trung,
tránh, chuyển giao, giảm thiểu rủi ro.
c) Các vai trò chính trong quản lý rủi ro
Giám đốc kinh doanh: Chịu trách nhiệm về hoạt động kinh doanh và quy trình
mua công nghệ.
Cán bộ bảo mật hệ thống thông tin: Người quản lý và có trách nhiệm với
chương trình ATTT.
Chuyên gia về bảo mật thông tin: Cần hiểu rõ quá trình quản lý rủi ro và phát
triển tài liệu hướng dẫn cho người dùng cuối của hệ thống.
d) Tầm quan trọng của quản lý rủi ro
Rủi ro mà một tổ chức gặp phải xuất hiện ở bất cứ đâu, bất cứ phần nào trong
hệ thống thông tin, từ việc nhỏ như vô tình lộ mật khẩu tài khoản công ty hay vô
tình xoá mất dữ liệu.
Để hạn chế tối đa các tác động của rủi ro cần có một phương pháp quản lý rủi
ro trong HTTT một cách hiệu quả.
Người đứng đầu đơn vị tổ chức phải đảm bảo rằng tổ chức có mức hỗ trợ
mong muốn khi đối mặt với các mối đe dọa trong thực tế.
1.2.2. Nhận diện rủi ro
Nhận diện rủi ro là quá trình tìm kiếm, thừa nhận và ghi lại các rủi ro. Bao
gồm:
 Nhận biết về tài sản: để xác định danh mục các tài sản của tổ chức cần
bảo vệ bao gồm TT, HTTT.
 Nhận biết về mối đe dọa: để xác định các mối đe dọa đối với mỗi tài sản.
 Nhận biết về điểm yếu: để xác định các điểm yếu có thể tồn tại đối với
mỗi tài sản.
Phương pháp nhận diện rủi ro
- Thiết lập bảng kê
- Phân tích tài chính
- Phương pháp lưu đồ
- Phân tích công nghệ
- Kiểm tra hiện trường
- Tham khảo các chuyên gia khác trong tổ chức
- Phương pháp thông qua tư vấn
- Phương pháp phân tích hợp đồng
- Nghiên cứu các số liệu tổn thất trong quá khứ
- Nhận diện những mối nguy tiềm năng.
12
 1.2.3. Phân tích rủi ro
Phân tích rủi ro là tạo dựng hiểu biết về rủi ro. Từ đó xác định được các hậu
quả, mức ảnh hưởng mà cơ quan, tổ chức phải xử lý. Bao gồm:
 Đánh giá các hậu quả để xác định mức ảnh hưởng đối với cơ quan, tổ
chức khi tài sản bị khai thác điểm yếu gây ra các mối nguy.
 Đánh giá khả năng xảy ra đối với từng loại sự cố.
Các phương pháp phân tích rủi ro:
- Định tính: xác định hệ quả, xác suất và mức rủi ro bằng các mức như
“cao”, “trung bình” và “thấp”, có thể kết hợp hệ quả và xác suất, và đánh
giá mức rủi ro theo các tiêu chí định tính
- Bán định lượng: sử dụng thang chia bằng số đối với hệ quả và xác suất
kết hợp chúng để đưa ra một mức rủi ro bằng cách sử dụng công thức.
Thang đo có thể là tuyến tính hoặc theo logarit, hay có mối quan hệ khác
nào đó, công thức được sử dụng cũng có thể khác nhau.
- Định lượng: ước tính giá trị thực tế đối với hệ quả và xác suất của chúng,
và đưa ra giá trị về mức rủi ro theo các đơn vị cụ thể được xác định khi
xây dựng bối cảnh.
1.2.4. Xử lý rủi ro
Thay đổi rủi ro…
Đây là phương án thực hiện các biện pháp xử lý, khắc phục nhằm giảm mức
rủi ro đã được xác định nhằm xác định các rủi ro tồn đọng được đánh giá lại ở mức
chấp nhận được.
cần xây dựng một hệ thống các biện pháp kiểm soát phù hợp. Các biện pháp
được lựa chọn căn cứ vào các tiêu chí liên quan đến chi phí, đầu tư và thời gian
triển khai, trên cơ sở cân đối giữa nguồn lực bỏ ra và lợi ích đem lại đối với tổ
chức khi thực hiện xử lý rủi ro đó.
Duy trì rủi ro
Là phương án chấp nhận rủi ro đã xác định mà không đưa ra các phương án
xử lý để giảm thiểu rủi ro. Việc xác định rủi ro nào có thể được chấp nhận dựa vào
mức rủi ro và tiêu chí chấp nhận rủi ro.
Tránh rủi ro
Là phương án xử lý khi phải đối mặt với mức rủi ro quá cao bằng cách làm
thay đổi, loại bỏ hoặc dừng hoạt động của HT, quy trình nghiệp vụ hoặc hoạt động
của cơ quan, tổ chức để không phải phải đối mặt với rủi ro đã xác định.
Thích hợp khi rủi ro được xác định vượt quá khả năng chấp nhận rủi ro của tổ
chức.
Chia sẻ rủi ro

13
 Là phương án chuyển rủi ro, một phần rủi ro phải đối mặt cho cơ quan, tổ
chức khác. Thường được thực hiện khi xác định rằng việc giải quyết rủi ro yêu cầu
chuyên môn hoặc nguồn lực được cung cấp tốt hơn bởi các tổ chức khác.

14
 CHƯƠNG 2. PHƯƠNG PHÁP ĐÁNH GIÁ RỦI RO TRONG QUẢN
LÝ AN TOÀN THÔNG TIN

Đánh giá rủi ro trong quản lý an toàn thông tin là một quy trình quan trọng để
xác định, đánh giá và quản lý các nguy cơ liên quan đến thông tin và hệ thống
thông tin của một tổ chức.

2.1. Phân tích mô hình sai lỗi và ảnh hưởng (FMEA)

2.1.1. Khái niệm
FMEA là viết tắt của Failure Mode, Effects and Criticity Analysis, có nghĩa là
phân tích mô hình sai lỗi và ảnh hưởng. FMEA là một loại đánh giá rủi ro sử dụng
cách tiếp cận từng bước để xác định các lỗi tiềm ẩn trong thiết kế, quy trình hoặc
sản phẩm hoặc dịch vụ.
Nhận dạng này cho phép phân tích để ngăn ngừa hoặc giảm bớt những sai sót
trong tương lai. FMEA là một hành động phòng ngừa, có nghĩa là phải được thực
hiện trước khi một quy trình hoặc sản phẩm được thiết kế, sửa đổi hoặc áp dụng
theo cách mới.

Hình 2.6 Phương pháp FMEA

- Failure (Sai hỏng): Là những thứ chúng ta không mong muốn, là hậu quả
của quy trình. Nhưng sai hỏng được nhấn mạnh trong FMEA là sai hỏng

15
 dưới dạng tiềm ẩn, chứ không phải là sai hỏng đã xảy ra, có nghĩa là
những sai hỏng có thể xảy ra trong tương lai.
- Mode (Cách thức): Failure mode là cách thức gây ra sai hỏng hoặc kiểu
sai hỏng. Chúng ta cũng rất dễ nhầm lẫn giữa từ Failure mode và Defect,
trong khi hai từ này hoàn toàn khác biệt nhau. Failure mode tập trung nói
về cơ chế, nguyên nhân. Còn Defect thì tập trung nói về vật, nói về số
lượng sản phẩm,…
- Effects (Ảnh hưởng, tác động): Có nghĩa là ảnh hưởng hoặc tác động của
sai hỏng lên sản phẩm đầu ra là gì. Ví dụ: Một vết trầy xước, vết cắt trên
bán thành phẩm chỉ là lỗi ngoại quan; Nhưng nếu nó là trên bao bì có thể
gây thủng dẫn đến hư thành phẩm.
- Analysis (Phân tích): Có nghĩa là chúng ta phải tìm hiểu nguyên nhân,
phân tích rủi ro và hậu quả để từ đó phân loại ưu tiên để đưa ra hướng
cải tiến.
2.1.2. Mối quan hệ giữa FMEA và các phương pháp giải quyết vấn đề khác
Về phía FMEA: Hoạt động này chủ yếu tập trung vào việc phân tích các kiểu
lỗi tiềm ẩn, những vấn đề chưa xảy ra. Do đó, ưu điểm lớn nhất của FMEA là khả
năng đối phó kịp thời, có nghĩa là thực hiện biện pháp khắc phục trước khi sự cố
xảy ra.
Còn đối với các phương pháp khác: Thời gian rất xa xỉ khi gặp sự cố xảy ra
với áp lực dừng chuyền, xuất hàng và hủy hàng. Vì vậy, việc áp dụng phương pháp
phân tích FMEA có thể không hiệu quả và các phương pháp khác như A4, 8D, 5
Whys, KT, FTA trở nên hiệu quả hơn. Các phương pháp này đều có những cách
tiếp cận vấn đề chặt chẽ, bao gồm cả việc phong tỏa vấn đề, đưa ra các giải pháp
khắc phục tạm thời trước khi thực hiện quá trình phân tích tìm kiếm nguyên nhân
gốc rễ
2.1.3. Các loại FMFA
Hiên tại, có hai loại FMEA chính là FMEA thiết kế (DFMEA) và FMEA quy
trình (PFMEA), cụ thể:
a) FMEA thiết kế (DFMEA – Design FMEA)
FMEA thiết kế có khả năng tìm ra nguyên nhân gây ra trục trặc của sản phẩm,
giảm tuổi thọ sản phẩm cũng như các mối quan tâm về quy định và an toàn từ:

- Thuộc tính vật liệu

- Dung sai
- Hình học
- Giao diện với các thành phần và hệ thống khác

16
 - Tiếng ồn kỹ thuật như: môi trường, suy thoái, tương tác hệ thống và hồ
sơ người dùng.
b) FMEA quy trình (PFMEA – Process FMEA)
FMEA quy trình (PFMEA) giúp phát hiện các lỗi gây ảnh hưởng trực tiếp đến
chất lượng sản phẩm, sự không hài lòng từ khách hàng, giảm độ tin cậy từ quy
trình và các mối nguy hại về an toàn môi trường bắt đầu từ:
- Yếu tố con người
- Vật liệu sử dụng
- Máy móc thiết bị sử dụng
- Hệ thống đo lường tác động đến sự chấp nhận
- Những phương pháp được theo dõi trong quá trình xử lý
2.1.4. Lợi ích của FMFA
Dưới đây là một số lợi ích khi áp dụng FMEA, cụ thể:
 Việc hợp tác giữa thiết kế sản phẩm và quy trình tốt hơn
 Khả năng xác minh các thay đổi cao hơn
 Thiết kế cải tiến để sản xuất và lắp ráp (DMF/A)
 Xác định các hình thức lỗi sai tiềm tàng có thể xảy ra và mức độ
nghiêm trọng của các lỗi này
 Đánh giá khả năng phát hiện ra các lỗi sai
 Tập trung vào loại trừ các nguyên nhân gây ra lỗi trọng yếu
 Gia tăng kinh nghiệm về rủi ro và những tác động của rủi ro

17
 2.1.5. Các bước triển khai FMFA

Hình 2.7 Các bước thực hiện FMEA

Bước 1: Xác định quá trình hoặc sản phẩm
Bước 2: Xác định yêu cầu thành phẩm/ yêu cầu của quá trình
Bước 3: Liệt kê tất cả các kiểu lỗi sai có thể trong chức năng
Bước 4: Xác định tác động của các kiểu lỗi sai
Bước 5: Đánh giá tính nghiêm trọng
Bước 6: Xác định nguyên nhân hình thành các kiểu lỗi sai
Bước 7: Đánh giá khả năng xuất hiện của các kiểu lỗi sai
Bước 8: Xác định các biện pháp kiểm soát hiện tại
Bước 9: Đánh giá khả năng phát hiện ra lỗi sai
Bước 10: Tính hệ số rủi ro RPN và chọn ra các kiểu lỗi sai trọng yếu

2.2. SWOT (Strengths – Weakness – Opportunities – Threats)

2.2.1. Khái niệm
SWOT là viết tắt của 4 thành phần cấu thành: Strengths (Điểm mạnh),
Weaknesses (Điểm yếu), Opportunities (Cơ hội) và Threats (Thách thức) là mô
hình được sử dụng phổ biến trong việc phân tích kế hoạch kinh doanh của một tổ
chức, doanh nghiệp.

18
 Hình 2.8 Phương pháp SWOT
Ma trận SWOT được thiết kế để thể hiện trực quan những dữ liệu về điểm
mạnh yếu cũng như cơ hội, thách thức trong bối cảnh thực tế.
Điểm mạnh và điểm yếu là yếu tố bên trong doanh nghiệp. Đây là những đặc
điểm mang lại lợi thế tương đối (hoặc bất lợi tương ứng) so với đối thủ cạnh tranh
của tổ chức, doanh nghiệp.
Mặt khác, cơ hội và thách thức là những yếu tố bên ngoài. Cơ hội là các yếu
tố của môi trường bên ngoài mà doanh nghiệp có thể nắm bắt để cải thiện hiệu suất
kinh doanh như tăng trưởng doanh thu hoặc cải thiện tỷ suất lợi nhuận. Thách thức
là các yếu tố có thể gây nguy hiểm cho lợi thế cạnh tranh của doanh nghiệp.
2.2.2. Phân tích SWOT
Phân tích mô hình SWOT (SWOT Analysis) là một phương pháp quan trọng
trong kế hoạch kinh doanh và quản lý, giúp tổ chức hoặc cá nhân đánh giá tổng
quan về tình hình của họ bằng cách xác định các yếu tố nội bộ (Strengths và
Weaknesses) và yếu tố bên ngoài (Opportunities và Threats) ảnh hưởng đến một
dự án, sản phẩm, tổ chức, hoặc quyết định cụ thể.
 Điểm mạnh (Strengths): là những yếu tố vượt trội, tách biệt, độc đáo của
doanh nghiệp so với các đối thủ cạnh tranh, chẳng hạn như lượng khách
hàng trung thành, công nghệ hiện đại, thương hiệu nổi tiếng, sản phẩm
độc đáo...
 Điểm yếu (Weaknesses): là những yếu tố cản trở doanh nghiệp hoạt
động một cách tối ưu nhất. Đây là những điểm mà doanh nghiệp cần
khắc phục, cải tiến nhanh chóng để duy trì tính cạnh tranh trên thị trường
như: giá cao hơn đối thủ, thương hiệu còn nhỏ, chưa có tiếng trên thị
trường, sản phẩm lỗi,...
19
  Cơ hội (Opportunities): là những yếu tố tác động ở ngoài tác động thuận
lợi, tích cực, mang lại cho doanh nghiệp cơ hội phát triển, xây dựng
chiến lược cạnh tranh trên thị trường. Ví dụ: Tiềm năng phát triển
thương hiệu hoặc bán hàng trên các mạng xã hội như Tiktok, nhu cầu
khách hàng ngày càng cao,...
 Thách thức (Threats): đề cập tới các yếu tố ở hiện tại và tương lai có khả
năng tác động tiêu cực đến doanh nghiệp. Chẳng hạn như nguyên vật
liệu tăng, đối thủ cạnh tranh nhiều và mạnh, xu hướng mua sắm của
khách hàng thay đổi liên tục,...
Kỹ thuật phân tích SWOT (Strengths, Weaknesses, Opportunities, Threats)
được dùng để đánh giá và hiểu rõ tình hình của một tổ chức, dự án hoặc cá nhân.
Phân tích mô hình ma trận SWOT giúp doanh nghiệp nhận thức về tình hình
hiện tại và môi trường xung quanh để lập kế hoạch và hoạch định chiến lược, từ đó
giúp doanh nghiệp đưa ra quyết định thông minh hơn và tận dụng cơ hội, đối phó
với rủi ro, tận dụng sức mạnh và khắc phục yếu điểm.
2.2.3. Ý nghĩa của việc sử dụng mô hình SWOT
Việc sử dụng mô hình SWOT (Strengths, Weaknesses, Opportunities,
Threats) có nhiều ý nghĩa quan trọng trong quản lý và kế hoạch kinh doanh, giúp
cải thiện quyết định chiến lược và quản lý tổ chức, giúp tận dụng cơ hội, đối phó
với rủi ro và tối ưu hóa sức mạnh của doanh nghiệp.
 Đánh giá tổng quan: SWOT giúp tổ chức hoặc cá nhân có cái nhìn tổng
quan về tình hình của họ, giúp xem xét các yếu tố nội bộ (sức mạnh và
yếu điểm) và yếu tố bên ngoài (cơ hội và rủi ro) gây ảnh hưởng.
 Xác định điểm mạnh và điểm yếu: SWOT giúp xác định những điểm
mạnh và điểm yếu nội tại của tổ chức hoặc cá nhân, biết được nơi họ
đang đứng và những gì họ có thể tận dụng hoặc cải thiện.
 Tận dụng cơ hội: Bằng việc xác định và đánh giá các cơ hội trong môi
trường, SWOT giúp tổ chức hoặc cá nhân tìm kiếm những cách để phát
triển và mở rộng.
 Đối phó với rủi ro: SWOT giúp nhận biết và đánh giá các rủi ro tiềm ẩn,
có kế hoạch để đối phó với những thách thức và giảm thiểu tác động tiêu
cực.
 Lập kế hoạch chiến lược: SWOT cung cấp cơ sở cho việc phát triển
chiến lược. Dựa trên thông tin từ phân tích SWOT, người quản lý và nhà
kinh doanh có thể xác định chiến lược để tận dụng sức mạnh và cơ hội,
đối phó với điểm yếu và rủi ro.

20
  Hỗ trợ ra quyết định: SWOT cung cấp thông tin hữu ích để ra quyết
định, giúp đưa ra lựa chọn có cơ sở và dựa trên dữ liệu, thay vì dựa vào
cảm tính hoặc quyết định đơn thuần dựa trên trực giác.
 Theo dõi và đánh giá: SWOT không chỉ hữu ích trong việc lập kế hoạch,
mà còn trong việc theo dõi và đánh giá hiệu suất sau khi chiến lược đã
được triển khai., giúp đo lường tiến trình phát triển và điều chỉnh chiến
lược nếu cần.
2.2.4. Nguyên tắc SWOT cần tuân thủ
Nguyên tắc SWOT là một hệ thống nguyên tắc hoặc quy tắc cơ bản cần tuân
theo khi thực hiện phân tích SWOT, giúp đảm bảo rằng kết quả sau phân tích
SWOT sẽ cung cấp thông tin hữu ích để hỗ trợ quá trình ra quyết định và phát triển
chiến lược.
Các nguyên tắc quan trọng khi thực hiện phân tích SWOT:
- Tập trung vào mục tiêu: Hãy xác định rõ mục tiêu hoặc vấn đề cụ thể
đang phân tích, giúp đảm bảo rằng bảng phân tích SWOT sẽ tập trung
vào khía cạnh quan trọng nhất.
- Tích hợp dữ liệu: Sử dụng thông tin và dữ liệu có liên quan để xác định
các điểm mạnh, điểm yếu, cơ hội và rủi ro. Đòi hỏi việc thu thập thông
tin từ nhiều nguồn khác nhau.
- Khách quan: Cố gắng để đánh giá một cách khách quan. Tránh sự thiên
vị hoặc đánh giá dựa trên cảm tính.
- Phân loại rõ ràng: Xác định và phân loại một cách rõ ràng giữa các yếu
điểm mạnh, yếu điểm yếu, cơ hội và rủi ro, giúp hiểu rõ hơn về từng khía
cạnh.
- Tương tác: Xem xét cách mà các khía cạnh của SWOT tương tác với
nhau. Giúp xác định các chiến lược kết hợp điểm mạnh và cơ hội, cũng
như xử lý điểm yếu và rủi ro.
- Sự linh hoạt: SWOT là một công cụ động, nghĩa là có thể điều chỉnh nó
theo thời gian khi tình hình thay đổi. Đòi hỏi sự linh hoạt trong việc thay
đổi và điều chỉnh chiến lược.
- Tạo ra kế hoạch hành động: Dựa trên kết quả của phân tích SWOT, phát
triển kế hoạch hành động cụ thể để tận dụng điểm mạnh, khắc phục yếu
điểm, tận dụng cơ hội và đối phó với rủi ro.

2.3. Phân tích an toàn công việc (JSA):

2.3.1. Khái niệm
Phân tích an toàn công việc (JSA) là một quy trình có hệ thống chia nhỏ từng
công việc / nhiệm vụ thành các chuỗi đào tạo chính, xác định các yếu tố an toàn

21
của từng bước công việc / nhiệm vụ và huấn luyện nhân viên về cách tránh các mối
nguy hiểm an toàn tiềm ẩn. Một thuật ngữ thường được sử dụng cho quá trình này
được gọi là Phân tích nguy cơ công việc hoặc JHA. Cả JSA và JHA đều được coi
là giống nhau.
2.3.2. Lợi ích của JSA
 Đảm bảo phương pháp làm việc nhất quán và an toàn.
 Giảm chấn thương bằng cách giúp nhân viên biết cách thực hiện tốt nhất
một nhiệm vụ mà không có khả năng bị thương.
 Cung cấp một mẫu tài liệu đào tạo liên quan đến kiến thức của nhân viên
về các yêu cầu an toàn lao động.
 Tuân thủ nhiều yêu cầu của OSHA.
2.3.3. Sử dụng JSA
Một công việc / nhiệm vụ có tỷ lệ thương tật cao.
Một công việc / nhiệm vụ có khả năng gây thương tích hoặc bệnh tật nghiêm
trọng hoặc tàn tật, ngay cả khi không có tiền sử về các sự cố trước đó.
Một nhân viên có một mối quan tâm an toàn về một công việc.
Các công việc mới đối với hoạt động của bạn hoặc đã trải qua những thay đổi
trong quy trình và thủ tục.
2.3.4. Trách nhiệm
a) Trách nhiệm của người giám sát JSA
- Viết JSA (với đầu vào từ những người thực hiện nhiệm vụ)
- Đào tạo nhân viên bị ảnh hưởng tại thời điểm thuê, luân chuyển / chuyển
giao công việc, thay đổi công việc / nhiệm vụ hoặc chấn thương
- Thực thi nội quy làm việc
b) Trách nhiệm của nhân viên đối với JSA
- Xem xét tất cả JSA cho công việc của họ
- Tuân thủ các biện pháp an toàn cần thiết cho nhiệm vụ
- Làm theo các bước được đề xuất để thực hiện một tác vụ một cách an
toàn
2.3.5. Các bước của JSA
Xác định rõ công việc cần phân tích
Bước đầu tiên đó chính là xác định được các công việc cần phải phân tích.
Trong một số trường hợp, JSA rất lý tưởng cho mọi công việc được thực hiện tại
doanh nghiệp. Nhưng trên thực tế, đơn vị đó sẽ không thể lo được tất cả công việc
đó cùng một lúc, vì vậy phải ưu tiên nhiệm vụ nào trước tiên. Có thể xem xét dựa
trên một số yếu tố sau:

22
 Tần suất và mức độ nghiêm trọng của tai nạn: Tần suất, mức độ của các
thương tích trong quá khứ có thể sẽ gợi ý nơi bắt đầu cho JSA.
Các công việc, nhiệm vụ nào mới được thành lập.
Tiềm năng cho các chấn thương hoặc bệnh tật nghiêm trọng.
Công việc không được thực hiện thường xuyên trong thời gian dài.
Chia các nhiệm vụ công việc cụ thể
Bước tiếp theo trong quy trình phân tích JSA là gì đó chính là chia các công
việc thành những nhiệm vụ cụ thể để hoàn thành. Việc chia nhỏ công việc thành
từng bước giúp đánh giá được chính xác những rủi ro tổng thể liên quan đến công
việc đó.
Nếu sử dụng các phần mềm phân tích an toàn công việc, bước này sẽ được
thực hiện dễ dàng hơn bằng cách sử dụng các danh mục nhiệm vụ đã nhập trước
đây. Với phần mềm này, doanh nghiệp có thể sao chép các tác vụ của công việc
trước đó và chỉnh sửa cho phù hợp với nhiệm vụ mới. Điều này giúp tiết kiệm
được tối đa thời gian khi tạo JSA cho các công việc.
Xác định rủi ro và mối nguy hiểm trong mỗi nhiệm vụ
Tiếp theo trong quy trình phân tích JSA chính là xác định những mối nguy
hiểm có thể xuất hiện trong các nhiệm vụ. Khi xác định các mối nguy hiểm, cần
phải đánh giá những rủi ro thương tích mà mỗi nguy cơ có thể gây ra. Phần lớn các
chuyên gia an toàn sẽ sử dụng tính toán ma trận rủi ro về xác suất để xác định rủi
ro tổng thể.
Đưa ra các biện pháp phòng ngừa rủi ro tàn dư
Bước cuối cùng trong phân tích JSA là gì đó chính là xác định và đưa ra các
biện pháp kiểm soát có thể thực hiện để ngăn chặn các mối nguy hiểm. Điều này
bao gồm ghi lại các thiết bị bảo vệ cá nhân nào có thể làm giảm thiểu các mối nguy
đã được xác định.
Khi các biện pháp kiểm soát và thiết bị bảo vệ cá nhân được đưa vào các yếu
tố, tiến hành đánh giá rủi ro khác về từng nguy cơ để xác định mức rủi ro tàn dư.
Có thể sử dụng ma trận đánh giá như bước trên, tuy nhiên xác suất và mức độ
nghiêm trọng tìm được sẽ thấp hơn.
Nếu như không thể loại bỏ các nguy cơ, doanh nghiệp cần tìm cách thay đổi
quy trình công việc hoặc hạn chế rủi ro nhiều nhất có thể. Khi tất cả kiểm soát và
rủi ro tàn dư được tính toán, sẽ đi đến bước xác định rủi ro cuối cùng của công
việc.
2.3.6. Những điều cần lưu ý sau khi hoàn thành JSA
Khi quy trình JSA đã được hoàn thành, cần phải xem xét và kiểm tra kỹ lưỡng
trước khi được thông qua. Ở giai đoạn ban đầu, JSA hoàn thành sẽ được xem xét

23
và kiểm tra bởi người giám sát tham khảo ý kiến với các công nhân tham gia. Sau
đó, JSA cũng cần được xem xét và kiểm tra bởi một người độ lập và có trình độ.
Trước khi triển khai phân tích an toàn công việc, tất cả các công nhân sẽ làm
công việc cụ thể đó nên được đào tạo chuyên sâu hơn. Các giám sát viên nên giải
thích nội dung JSA khi phân phối cho công nhân và hỏi ý kiến phản hồi từ họ.
Điều này cho phép xác định liệu những người đó có hiểu và làm theo được quy
trình JSA hay không.
JSA không chỉ hoạt động 1 lần mà phải thực hiện liên tục được xem xét và
cập nhật khi công việc phát triển. Nếu xảy ra sự cố hoặc gần bỏ lỡ, cần xem xét lại
quá trình phân tích an toàn công việc và sửa đổi khi cần thiết.

24
 CHƯƠNG 3. CÔNG CỤ TỰ ĐỘNG ĐÁNH GIÁ RỦI RO TRONG
QUẢN LÝ AN TOÀN THÔNG TIN

3.1. Factor Analysis of Information Risk (FAIR)

3.1.1. Mô tả
Công cụ FAIR-U là một phương pháp đánh giá rủi ro định lượng được sử
dụng để đo lường rủi ro an ninh thông tin một cách khách quan và hiệu quả, giúp
tổ chức đo lường rủi ro một cách khách quan, ưu tiên các hoạt động phòng thủ và
đưa ra quyết định đầu tư an ninh thông tin sáng suốt. Tuy nhiên, để sử dụng FAIR-
U hiệu quả, tổ chức cần đầu tư vào việc thu thập dữ liệu, đào tạo nhân viên và triển
khai quy trình đánh giá rủi ro
FAIR-U dựa trên 5 yếu tố chính:
- Tần suất sự kiện mất mát (Loss Event Frequency - LEF): Mức độ thường
xuyên xảy ra sự cố an ninh thông tin.
- Khả năng khai thác lỗ hổng (Vulnerability x Exploit - Vex): Khả năng lỗ
hổng bảo mật được khai thác thành công.
- Tác động (Impact): Mức độ thiệt hại tiềm ẩn do sự cố gây ra.
- Kiểm soát (Controls): Các biện pháp bảo mật được triển khai để giảm
thiểu rủi ro.
- Tiện ích (Utility): Giá trị kinh doanh của tài sản thông tin.
FAIR-U giúp đo lường rủi ro một cách khách quan và định lượng, ưu tiên các
hoạt động phòng thủ dựa trên mức độ rủi ro, cung cấp thông tin chi tiết để hỗ trợ ra
quyết định về đầu tư an ninh thông tin.
FAIR-U được phát triển từ năm 2011 bởi FAIR Institute, với mục tiêu cung
cấp một phương pháp đánh giá rủi ro an ninh thông tin đơn giản, dễ hiểu và hiệu
quả. FAIR-U đã được áp dụng rộng rãi trong nhiều lĩnh vực khác nhau, bao gồm:
- Doanh nghiệp
- Tổ chức phi lợi nhuận
- Cơ quan chính phủ
3.1.2. Phương pháp đánh giá rủi ro FAIR-U
Phương pháp đánh giá rủi ro FAIR-U bao gồm 4 bước chính:
- Xác định tài sản thông tin: Xác định các tài sản thông tin cần được bảo
vệ.
- Đánh giá LEF: Đánh giá mức độ thường xuyên xảy ra sự cố an ninh
thông tin cho từng tài sản.
- Đánh giá Vex: Đánh giá khả năng lỗ hổng bảo mật được khai thác thành
công cho từng tài sản.
- Đánh giá Impact, Controls và Utility:
25
 Impact: Đánh giá mức độ thiệt hại tiềm ẩn do sự cố gây ra cho từng tài
sản.
Controls: Đánh giá hiệu quả của các biện pháp bảo mật được triển khai
cho từng tài sản.
Utility: Đánh giá giá trị kinh doanh của từng tài sản.
Sau khi hoàn thành 4 bước trên, FAIR-U sẽ cung cấp một số điểm số và tỷ lệ
giúp tổ chức:
- Đo lường mức độ rủi ro cho từng tài sản.
- Ưu tiên các tài sản cần được bảo vệ cao nhất.
- Xác định các khoản đầu tư an ninh thông tin hiệu quả nhất.
3.1.3. Ưu điểm và nhược điểm của FAIR-U
a) Ưu điểm:
- Đơn giản và dễ hiểu: FAIR-U sử dụng ngôn ngữ dễ hiểu đối với cả
người kỹ thuật và phi kỹ thuật.
- Khách quan và định lượng: FAIR-U cung cấp một phương pháp đánh giá
rủi ro khách quan và định lượng.
- Linh hoạt: FAIR-U có thể được áp dụng cho nhiều loại tài sản thông tin
và môi trường khác nhau.
b) Nhược điểm:
- Yêu cầu dữ liệu đầu vào: FAIR-U cần dữ liệu chính xác để có kết quả
đánh giá hiệu quả.
- Có thể tốn thời gian để triển khai: Việc triển khai FAIR-U có thể tốn thời
gian và nguồn lực, đặc biệt là cho các tổ chức lớn.
- Cần đào tạo: Nhân viên cần được đào tạo để sử dụng FAIR-U hiệu quả.

3.2. OpenSCAP
OpenSCAP là một bộ công cụ mã nguồn mở được phát triển bởi Viện Tiêu
chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) nhằm hỗ trợ các tổ chức quản lý rủi
ro an ninh thông tin hiệu quả. OpenSCAP tuân thủ tiêu chuẩn Security Content
Automation Protocol (SCAP) do NIST ban hành.
3.2.1. Tính năng chính của OpenSCAP
- Kiểm tra lỗ hổng: Sử dụng công cụ oscap để quét các lỗ hổng bảo mật
trong hệ thống và ứng dụng. Công cụ này cho phép tải xuống, chạy và
phân tích nội dung SCAP, bao gồm các tệp kiểm tra lỗ hổng được tiêu
chuẩn hóa.
- Xác thực nội dung SCAP: Đảm bảo tính toàn vẹn và tin cậy của nội dung
SCAP được sử dụng.

26
 - Chỉnh sửa nội dung SCAP: Cho phép tổ chức tùy chỉnh nội dung SCAP
để phù hợp với yêu cầu bảo mật cụ thể.
- Báo cáo và Hướng dẫn: Cung cấp công cụ tạo báo cáo chi tiết về kết quả
quét lỗ hổng và đánh giá tuân thủ, cùng hướng dẫn khắc phục các lỗ
hổng được phát hiện.
- SCAP Workbench: Giao diện người dùng đồ họa (GUI) giúp người dùng
dễ dàng thực hiện các tác vụ quản lý rủi ro.
3.2.2. Phương pháp đánh giá rủi ro sử dụng OpenSCAP
OpenSCAP không cung cấp phương pháp đánh giá rủi ro riêng biệt, mà hỗ trợ
các phương pháp hiện có bằng cách:
- Cung cấp dữ liệu đầu vào: Kết quả quét lỗ hổng và đánh giá tuân thủ
được sử dụng để đánh giá mức độ rủi ro của hệ thống.
- Tiêu chuẩn hóa: Nội dung SCAP được tiêu chuẩn hóa giúp so sánh dễ
dàng giữa các hệ thống và tổ chức khác nhau.
- Tự động hóa: Việc tự động hóa các quy trình giúp tiết kiệm thời gian và
nguồn lực cho việc đánh giá rủi ro.
Phương pháp đánh giá rủi ro phổ biến:
- Phân tích HAZOP: Phân tích các mối nguy hiểm và khả năng vận hành
của một hệ thống.
- Phân tích FTA: Xác định các nguyên nhân tiềm ẩn dẫn đến sự cố.
- Phân tích ETA: Phân tích các hậu quả tiềm ẩn của một sự cố.
- Phân tích FMECA: Phân tích các chế độ thất bại tiềm ẩn của một hệ
thống và tác động của chúng.
- Phương pháp định lượng: Sử dụng dữ liệu và mô hình thống kê để tính
toán mức độ rủi ro.
3.2.3. Ưu điểm và nhược điểm của OpenSCAP
a) Ưu điểm:
- Mã nguồn mở: Miễn phí sử dụng và tùy chỉnh.
- Dễ sử dụng: Cung cấp giao diện người dùng đồ họa và hướng dẫn chi
tiết.
- Tiêu chuẩn hóa: Tuân thủ tiêu chuẩn SCAP, giúp so sánh dễ dàng.
- Tự động hóa: Tiết kiệm thời gian và nguồn lực.
- Hỗ trợ đa nền tảng: Hoạt động trên nhiều hệ điều hành và môi trường
khác nhau.
b) Nhược điểm:
- Yêu cầu kiến thức: Cần hiểu biết về SCAP và các phương pháp đánh giá
rủi ro.
- Có thể tốn thời gian: Việc triển khai ban đầu có thể tốn thời gian.
27
 - Cần dữ liệu đầu vào: Yêu cầu dữ liệu chính xác để hoạt động hiệu quả.

3.3. RiskLens

Hình 3.9 Công cụ RiskLens

RiskLens là một nền tảng phần mềm dựa trên đám mây giúp các tổ chức quản
lý rủi ro an ninh thông tin một cách hiệu quả. RiskLens sử dụng phương pháp
FAIR (Factor Analysis of Information Risk) để đánh giá rủi ro định lượng, cung
cấp cho tổ chức thông tin chi tiết về mức độ rủi ro của các tài sản thông tin và hỗ
trợ ra quyết định đầu tư an ninh thông tin sáng suốt.
3.3.1. Tính năng của RiskLens
- Đánh giá rủi ro định lượng: Sử dụng phương pháp FAIR để đo lường rủi
ro một cách khách quan và chính xác.
- Quản lý danh sách rủi ro: Theo dõi và quản lý danh sách các rủi ro được
xác định.
- Phân tích tác động: Đánh giá mức độ ảnh hưởng tiềm ẩn của các rủi ro
đối với hoạt động kinh doanh.
- Tính toán ROI: Xác định lợi nhuận đầu tư (ROI) cho các hoạt động
phòng thủ an ninh thông tin.
- Báo cáo và Hướng dẫn: Cung cấp báo cáo chi tiết về kết quả đánh giá rủi
ro và các đề xuất khắc phục.
- Tích hợp: Tích hợp với các công cụ bảo mật khác để cung cấp một cái
nhìn tổng quan toàn diện về tình trạng an ninh thông tin.
3.3.2. Phương pháp đánh giá rủi ro của RiskLens
RiskLens sử dụng phương pháp FAIR để đánh giá rủi ro định lượng, bao gồm
10 yếu tố chính:
1. Tần suất sự kiện mất mát (Loss Event Frequency - LEF)
2. Khả năng khai thác lỗ hổng (Vulnerability x Exploit - Vex)
3. Tác động (Impact)
4. Kiểm soát (Controls)
5. Tiện ích (Utility)
28
 6. Mức độ chấp nhận rủi ro (Risk Appetite)
7. Khả năng phục hồi (Resilience)
8. Sự phụ thuộc (Dependency)
9. Giá trị phục hồi (Recovery Value)
10. Chi phí kiểm soát (Control Cost)
Bằng cách đánh giá các yếu tố này, RiskLens cung cấp:
- Mức độ rủi ro: Mức độ nghiêm trọng tiềm ẩn của rủi ro đối với tài sản
thông tin.
- Mức độ ưu tiên: Xác định các rủi ro cần được ưu tiên giải quyết.
- Đề xuất khắc phục: Gợi ý các biện pháp phòng thủ để giảm thiểu rủi ro.
3.3.3. Ưu điểm và nhược điểm của RiskLens
a) Ưu điểm:
- Đánh giá rủi ro định lượng: Cung cấp thông tin chi tiết khách quan và
chính xác về rủi ro.
- Dễ sử dụng: Giao diện người dùng trực quan và hướng dẫn sử dụng chi
tiết.
- Tích hợp: Tích hợp với nhiều công cụ bảo mật khác nhau.
- Tự động hóa: Tự động hóa các quy trình đánh giá rủi ro.
- Hỗ trợ đa ngôn ngữ: Hỗ trợ nhiều ngôn ngữ khác nhau.
b) Nhược điểm:
- Chi phí: Có thể tốn kém cho các tổ chức nhỏ.
- Yêu cầu kiến thức: Cần hiểu biết về phương pháp FAIR và các khái
niệm an ninh thông tin.
- Dữ liệu đầu vào: Yêu cầu dữ liệu chính xác để hoạt động hiệu quả.

3.4. MetricStream Risk Management

MetricStream Risk Management là một nền tảng phần mềm toàn diện giúp
các tổ chức quản lý rủi ro hiệu quả. Nền tảng này cung cấp một bộ đầy đủ các tính
năng để xác định các rủi ro tiềm ẩn trong tổ chức, đánh giá mức độ nghiêm trọng
và khả năng xảy ra của rủi ro, phát triển và triển khai các kế hoạch để giảm thiểu
rủi ro và theo dõi và giám sát hiệu quả của các biện pháp kiểm soát rủi ro.
3.4.1. Tính năng chính của MetricStream Risk Management
- Quản lý danh sách rủi ro: Theo dõi và quản lý danh sách các rủi ro được
xác định.
- Phân tích tác động: Đánh giá mức độ ảnh hưởng tiềm ẩn của rủi ro đối
với hoạt động kinh doanh.
- Phân tích nguyên nhân gốc rễ: Xác định nguyên nhân gốc rễ của các sự
cố và rủi ro.

29
 - Lập kế hoạch phản ứng rủi ro: Phát triển các kế hoạch để phòng ngừa,
giảm thiểu và phục hồi sau sự cố.
- Báo cáo và Hướng dẫn: Cung cấp báo cáo chi tiết về kết quả đánh giá rủi
ro và các đề xuất khắc phục.
- Tích hợp: Tích hợp với các hệ thống khác như ERP, CRM và SIEM.
3.4.2. Phương pháp đánh giá rủi ro sử dụng MetricStream Risk
Management
MetricStream Risk Management hỗ trợ nhiều phương pháp đánh giá rủi ro
khác nhau, bao gồm:
- Phân tích HAZOP: Phân tích các mối nguy hiểm và khả năng vận hành
của một hệ thống.
- Phân tích FTA: Xác định các nguyên nhân tiềm ẩn dẫn đến sự cố.
- Phân tích ETA: Phân tích các hậu quả tiềm ẩn của một sự cố.
- Phân tích FMECA: Phân tích các chế độ thất bại tiềm ẩn của một hệ
thống và tác động của chúng.
- Phương pháp định lượng: Sử dụng dữ liệu và mô hình thống kê để tính
toán mức độ rủi ro.
Nền tảng này cung cấp các công cụ và tính năng hỗ trợ:
- Thu thập dữ liệu: Thu thập dữ liệu liên quan đến rủi ro từ nhiều nguồn
khác nhau.
- Phân tích dữ liệu: Phân tích dữ liệu thu thập được để xác định và đánh
giá rủi ro.
- Mô hình hóa rủi ro: Sử dụng các mô hình để dự đoán và mô phỏng rủi
ro.
- Kiểm tra và xác nhận: Kiểm tra và xác nhận kết quả đánh giá rủi ro.
3.4.3. Ưu điểm và nhược điểm của MetricStream Risk Management
a) Ưu điểm:
- Giải pháp toàn diện: Cung cấp một bộ đầy đủ các tính năng cho quản lý
rủi ro.
- Dễ sử dụng: Giao diện người dùng trực quan và hướng dẫn sử dụng chi
tiết.
- Khả năng mở rộng: Có thể mở rộng để đáp ứng nhu cầu của các tổ chức
lớn.
- Tích hợp: Tích hợp với nhiều hệ thống khác nhau.
- Hỗ trợ đa ngôn ngữ: Hỗ trợ nhiều ngôn ngữ khác nhau.
b) Nhược điểm:
- Chi phí: Có thể tốn kém cho các tổ chức nhỏ.

30
- Yêu cầu kiến thức: Cần hiểu biết về quản lý rủi ro và các phương pháp
đánh giá rủi ro.
- Dữ liệu đầu vào: Yêu cầu dữ liệu chính xác để hoạt động hiệu quả.

31
 KẾT LUẬN

Trong quá trình nghiên cứu về các phương pháp đánh giá rủi ro và các công
cụ tự động đánh giá rủi ro, chúng em đã thấy rằng có nhiều phương pháp và công
cụ khác nhau được sử dụng trong các lĩnh vực khác nhau để đo lường và đánh giá
rủi ro. Các phương pháp truyền thống như PESTEL, SWOT, và Ansoff đã trở nên
phổ biến và tiện lợi trong việc đánh giá rủi ro, trong khi các công nghệ mới như
máy học và trí tuệ nhân tạo đã tạo ra các công cụ tự động đánh giá rủi ro mạnh mẽ
hơn.
Một số điểm quan trọng mà chúng em đã nhận thấy trong quá trình nghiên
cứu bao gồm. Đa dạng các phương pháp và công cụ đánh giá rủi ro, từ các phương
pháp truyền thống đến các công nghệ mới. Các công cụ tự động đánh giá rủi ro có
khả năng linh hoạt và có thể tùy chỉnh để phản ánh các yếu tố rủi ro cụ thể của mỗi
tổ chức hoặc dự án.Tính độc lập: Các công cụ tự động đánh giá rủi ro có khả năng
hoạt động độc lập hoặc tích hợp vào các hệ thống quản lý rủi ro hiện có.
Dựa trên những phát hiện này, chúng em đề xuất một số giải pháp và hướng
phát triển sau. Nghiên cứu và phát triển các công cụ tự động đánh giá rủi ro tiên
tiến hơn, có khả năng dự đoán và phản ứng nhanh chóng đối với các rủi ro mới.
Tăng cường sự tích hợp giữa các công cụ tự động và quy trình quản lý rủi ro tổ
chức để tạo ra một hệ thống toàn diện và hiệu quả hơn. Đào tạo nhân viên về cách
sử dụng các công cụ đánh giá rủi ro mới và cải thiện khả năng phân tích và quản lý
rủi ro trong tổ chức.
Như vậy từ việc nghiên cứu các phương pháp đánh giá rủi ro và các công cụ
tự động đánh giá rủi ro đã đem lại cái nhìn sâu sắc về cách các tổ chức có thể tiếp
cận và quản lý rủi ro một cách hiệu quả và hiệu suất.

32
 TÀI LIỆU THAM KHẢO

1. ThS. Trần Thị Xuyên, KS. Nguyễn Thị Thu Thủy, Giáo trình quản lý và xây
dựng chính sách an toàn thông tin, Học viện Kỹ thuật Mật mã, Năm 2013.
2. Management of Information Security (MindTap Course List) 5th Edition,
Michael E. Whitman, Herbert J. Mattord, 2016.
3. https://pms.edu.vn/fmea-mo-hinh-loi-sai-va-anh-huong/#1-fmea-la-gi
4. https://www.pace.edu.vn/tin-kho-tri-thuc/swot-la-gi#swot-la-gi
5. https://meeyland.com/tin-tuc/jsa-la-gi-phan-tich-4-buoc-cua-jsa-376169107
6. https://www.cybersaint.io/blog/a-pocket-guide-to-factor-analysis-of-
information-risk-fair
7. https://www.open-scap.org/
8. https://www.risklens.com/

33
 BẢNG PHÂN CÔNG CÔNG VIỆC

ST Học và tên Nội dung

T
1 Mạc Bảo Khanh Tìm hiểu các phương pháp đánh giá rủi ro
2 Lê Duy Ngọc Làm slide, tìm hiểu lý thuyết
3 Phạm Nhật Lệ Tổng hợp word tìm hiểu lý thuyết chương 1
4 Bùi Hữu Linh Tìm hiểu các công cụ tự động đánh giá rủi ro
5 Nguyễn Tiến Tuấn Tìm hiểu các công cụ tự động đánh giá rủi ro

34