TAILIEUCHUNG - Lecture Note Professional practices in information technology - Lecture No. 31: Risk Management

After studying this chapter you will be able to understand: Information security departments are created primarily to manage IT risk; managing risk is one of the key responsibilities of every manager within the organization; in any well-developed risk management program, two formal processes are at work; Risk identification and assessment, risk control. | Professional Practices in Information Technology HandBook COMSATS Institute of Information Technology (Virtual Campus) Islamabad, Pakistan Lecture 31 Risk Management Threat Identification Vulnerability Assessment Begin to review every information asset for each threat This review leads to the creation of a list of vulnerabilities that remain potential risks to the organization – Vulnerabilities are specific avenues that threat agents can exploit to attack an information asset At the end of the risk identification process, a list of assets and their vulnerabilities has been developed Figure Threat Identification This list serves as the starting point for the next step in the risk management process - risk assessment Figure Threat Identification The TVA Worksheet At the end of the risk identification process, a list of assets and their vulnerabilities has been developed. Another list prioritizes threats facing the organization based on the weighted table discussed earlier. These lists can be combined into a single worksheet. Figure : The TVA Worksheet Introduction to Risk Assessment The goal is to create a method to evaluate the relative risk of each listed vulnerability Figure : Introduction to Risk Assessment Likelihood The overall rating of the probability that a specific vulnerability will be exploited – Often using numerical value on a defined scale (such as – ) Using the information documented during the risk identification process, you can assign weighted scores based on the value of each information asset, . 1-100, low-med-high, etc Assessing Potential Loss Questions to ask when assessing potential loss – Which threats present a danger to this organization’s assets in the given environment? – Which threats represent the most danger to the organization’s information? – How much would it cost to recover from a successful attack? Questions to ask when assessing potential loss (cont’d.) – Which threats would require the greatest expenditure to prevent? – Which of the aforementioned questions is the most important to the protection of information from threats within this organization? Percentage of Risk Mitigated by Current Controls If vulnerability is fully managed by an existing control, it can be set aside. If it is partially controlled, estimate what percentage of the vulnerability has been controlled. Uncertainty It is not possible to know everything about each vulnerability. The degree to which a current control can reduce risk is also subject to estimation error. Uncertainty is an estimate made by the manager using judgment and experience. Professional Practices in Information Technology CSC 110

• Chứng chỉ quốc tế
• World Wide Web
• Risk control
• Information technology
• Professional practices in information technology
• Business data
• Computer technology
• lưu ý về world wide web
• thắc mắc về worl wide web
• công nghệ thông tin
• tin học văn phòng
• thủ thuật tin học
• Bài giảng Cuộc sống trực tuyến
• Cuộc sống trực tuyến
• Các trình duyệt web
• Cấu trúc của URL
• Thành phần của trang web
• Cách xem lịch sử duyệt web
• Bài giảng Internet
• truy cập thông tin toàn cầu
• trình duyệt Web
• Sao lưu trang Web
• công cụ tìm kiếm
• Hệ thống world wide web
• Lập trình web
• Giới thiệu mạng internet
• Hệ thống WWW
• Các lệnh trong HTTP
• Lịch sử về HTML
• bài giảng môn học Internet
• cấu hình trình duyệt Web
• Sao lưu nội dung trang Web
• information architecture
• information architects
• designers
• web site developers
• create interfaces
• tên miền website
• cấu hình domain
• email marketing
• quản trị website
• seo web
• internet marketing
• Discovering computers fundamentals
• Computers fundamentals
• Internet connections
• Internet access
• Web browser
• Bài giảng IC3 GS4
• Global Standard 4
• Mạng Internet
• Discovering Computers
• History of the Internet
• How the Internet Works
• Web Publishing
• Internet Services
• Bài giảng Tin học cơ bản
• Tin học cơ bản
• Sử dụng máy tính
• Sử dụng trình duyệt Web
• Tìm kiếm thông tin trên Internet
• Lecture Introduction to computing
• Bài giảng Nhập môn máy tính
• Introduction to computing
• The World Wide Web
• Web development
• Internet connected computers
• Dịch vụ World Wide Web
• tin học văn phòng chuyên nghiệp
• tài liệu tin học văn phòng
• thủ thuật văn phòng
• TCP IP protocol suite
• Lecture TCP IP protocol suite
• Network layer
• Internet protocol
• Browser architecture
• Automatic Acquisition of Named
• Entity Tagged Corpus
• báo cáo khoa học
• mô hình ngôn ngữ
• xử lý ngôn ngữ tự nhiên
• Bài giảng Thương mại điện tử
• Thương mại điện tử
• Hạ tầng của thương mại điện tử
• Lịch sử phát triển Internet
• Kỹ thuật chuyển mạch gói
• Vấn đề xã hội công nghệ thông tin
• Lợi ích người sử dụng
• Đặc trưng world wide web
• Lợi ích doanh nghiệp
• Bài giảng Tin học căn bản
• Căn bản về Internet
• Khái niệm Internet
• Khai thác dịch vụ World Wide Web
• Object Oriented Programing
• Lecture Object Oriented Programing
• Programming languages
• Computer organization
• Early operating systems
• lập trình HTML
• mạng máy tính
• internet
• thuật ngữ thông dụng
• Di chuyển trên web
• Tìm kiếm các trang web
• Quản lý các địa chỉ web
• Di chuyển trên world wide web
• Công cụ tìm kiếm các trang web
• ICT 5 Web Development
• Introduction to Web Programming
• The Internet
• Uniform Resource Identifier
• Web site or Website
• Web ngữ nghĩa
• Web 2
• Web 3
• kỉ nguyên Internet
• Tổng quan về World wide web
• sự ra đời của Internet