Chuyên gia Quản lý rủi ro Data Center (Certified Data Centre Risk Professionals - CDRP)

  27/06/2016

MỤC TIÊU KHOÁ HỌC
Data Center giữ vai trò rất quan trọng trong một tổ chức, doanh nghiệp. Khi các ứng dụng hay chính data center “downtime”, chắc chắn sẽ ảnh hưởng trực tiếp hoặc gián tiếp đến kết quả kinh doanh của tổ chức/doanh nghiệp. Nếu không có kiến thức và hiểu biết về chi phí tổn thất khi xảy ra downtime, thì tổ chức/doanh nghiệp sẽ không xác định được mức độ cần đầu tư phù hợp, và hay bị đầu tư “dư thừa”, chẳng hạn như tiến hành đầu tư Data Center ở mức tier-4 theo ANSI/TIA-942t trong khi phạm vị hoạt động kinh doanh chỉa cần Data Center mức Tier-3.
Dựa theo tiêu chuẩn quốc tế về an toàn thông tin ISO/IEC27001 : 2005 và các hướng dẫn trong ISO / IEC 27005:2011 , NIST 800-30 , ISO / IEC 31000/31010 , chương trình đào tạo về “Chuyên gia quản lý rủi ro Data Center” – Certified Data Center Risk Professional của hãng EPI được xây dựng nhằm mục đích cung cấp cho học viên các kiến thức và kỹ năng tổng quát về quy trình quản lý rủi ro, từ đó có thể xác định các lỗ hổng , các mối đe dọa, ước tính được các mức độ rủi ro có thể xảy ra cũng như dự đoán được các tác động, ảnh hưởng lên tổ chức khi rủi ro xuất hiện.

Với việc tập trung các kiến thức quản lý rủi ro trong việc xây dựng cơ sở hạ tầng cũng như tính chất vật lý của các trang thiết bị trong Data Center, học viện sẽ học cách xác định và định lượng rủi ro trong tổ chức , xây dựng các chính sách làm giảm nguy cơ rủi ro đến một mức độ chấp nhận được, từ đó đề xuất cho tổ chức, doanh nghiệp các quyết định đầu tư đúng đắn với các số liệu khoa học. Khoá học CDRP cần thiết cho các tổ chức muốn quản lý rủi ro và đầu tư một cách đúng mức.

Sau khi hoàn thành khoá học CDRP, các học viên có khả năng:

 • Hiểu biết về các tiêu chuẩn và phương pháp khác nhau để quản lý rủi ro và đánh giá
 • Thành lập nhóm quản lý rủi ro
 • Thực hiện đánh giá rủi ro, xác định các mối đe dọa hiện tại, các lỗ hổng và định lượng các tác động có thể xảy ra dựa trên các danh mục thống kê về rủi ro
 • Báo cáo về mức độ rủi ro hiện tại của trung tâm dữ liệu cả về định lượng và định chất
 • Dự toán rủi ro và làm giảm thiểu các tác động lên tiềm lực tài chính
 • Hiểu biết về các cách xử lý rủi ro
 • Liên tục theo dõi và xem xét tình trạng nguy cơ rủi ro của Data Center
 • Giảm tần suất và cường độ của sự cố
 • Phát hiện và phản ứng đúng với các sự cố rủi ro khi chúng xảy ra
 • Tuân thủ các yêu cầu và quy định về quản lý rủi ro
 • Hỗ trợ tổ chức trong quá trình đạt chứng nhận ISO / IEC 27001:2005
 • Hỗ trợ tổng thể doanh nghiệp trong hoạt động quản trị CNTT

THỜI LƯỢNG: 2 ngày (16 giờ)

NỘI DUNG KHOÁ HỌC CDRP

 

1. Introduction to Risk Management

 • Risk management concepts
 • Managements’ concern
 • Enterprise Risk Management (ERM)
 • Information technology risk and the business
 • Information security risk management
 • Data center risk
 • Benefits of risk management

2. Data Center Risk and Impact

 • Risk in facility, power-, cooling-, and fire suppression infrastructure and IT services
 • Impact of data center downtime
 • Main causes of downtime
 • Cost factors in downtime

3. Standards, Guidelines and Methodologies

 • ISO/IEC 27001:2005, ISO/IEC 27005:2011, ISO/IEC 27002:2007
 • ISO/IEC 27005 in relation to ISO/IEC 27001 ISMS
 • NIST SP 800-30
 • ISO/IEC 31000:2009
 • SS507:2008 TIA/ANSI-942
 • Other methodologies (CRAMM, EBIOS, OCTAVE, etc.)

4. Risk Management Definitions

 • Asset
 • Availability / Confidentiality / Integrity
 • Control
 • Information processing facility
 • Information security
 • Policy
 • Risk
 • Risk analysis / Risk assessment / Risk evaluation / Risk treatment
 • Threat / Vulnerability
 • Types of risk

5. Risk Assessment Software

 • Risk assessment software
 • Automation
 • Considerations
 • Vendor selection

6. Risk Management Process

 • The risk management process
 • Establishing the context
 • Identification
 • Analysis Evaluation
 • Treatment
 • Communicate and consultation
 • Monitoring and review

7. Project Approach

 • Project management principles
 • Project management methods
 • Scope
 • Time
 • Cost
 • Roles and responsibilities

8. Context Establishment

 • General considerations
 • Basic criteria
 • Risk appetite vs. risk tolerance
 • Scope and boundaries
 • Scope constraints
 • Organization for risk management
 • Training, awareness and competence

9. Risk Assessment - Identification

 • The risk assessment process
 • Identification of assets
 • Identification of threats
 • Identification of existing controls
 • Identification of vulnerabilities
 • Identification of consequences
 • Hands-on exercise: Identification of assets, threats, existing controls, vulnerabilities and consequences

10. Risk Assessment - Analysis and Evaluation

 • Risk estimation
 • Risk estimation methodologies
 • Assessment of consequences
 • Assessment of incident likelihood
 • Level of risk estimation
 • Risk evaluation
 • Hands-on exercise: Assessment of consequences, likelihood and estimating level of risk

11. Risk Treatment

 • The risk treatment process
 • Residual risk
 • Risk reduction
 • Constraints in risk reduction
 • Risk retention
 • Risk avoidance
 • Risk transfer
 • Control categories
 • Cost-benefit analysis
 • Control implementation

12. Communication

 • Effective communication of risk management activities

13. Risk Monitoring and Review

 • Ongoing monitoring and review
 • Criteria for review

14. Risk scenarios

 • Risk assessment approach
 • Data center site and facility
 • Force majeure
 • Organizational shortcomings
 • Human failure
 • Technical failure
 • Deliberate acts

Bình luận