Những thứ cần lưu ý
-
CPO - giám đốc .... thông tin nhận dạng cá nhân
-
CRO - giám độc rủi ro - qly, xem xét mối đe dọa
-
KRI - chỉ số thể hiện giảm thiểu rủi ro khi nâng cấp hệ thống SIEM
-
KGI - chỉ số mục tiêu chính - tỷ lệ hệ thống đã cài đặt phần mềm chống mã độc nâng cao
-
Ủy ban chỉ đạo ATTT mạng
- để đảm bảo sự hợp tác bw các lãnh đạo doanh nghiệp và các trưởng phòng ban
- nhóm người phù hợp nhất để đưa ra quyết định xử lý rủi ro mạng
-
Chỉ báo sớm (leading indicator) - có Thời gian trung bình để cập nhật bản vá
-
Hiệu suất attt - NGOẠI TRỪ: thời gian thực hiện quét an ninh
-
Nhận nhiều cảnh báo lỗi → phân tích tác động kinh doanh
-
Phát hiện nhiều tbi ICS dễ lỗi → Báo cáo lãnh đạo vấp cao
-
Ghi nhận vào sổ rủi ro khi:
- Số lỗi bảo mật tăng dần
- Phát hiện thêm bảo mật quá muộn (giải pháp dài hạn tốt nhất khi thêm bảo mật quá muộn: thêm bảo mật từ giai đoạn đầu phát triển)
-
Lãnh đạo muốn thuê đánh giá theo NIST SP800-53 → đánh giá khoảng cách kiếm soát
-
Tổ chức muốn biết mức độ tổ chức vận hành tốt đến đâu → Độ trưởng thành kiểm soát
-
Tổ chức muốn biết kiểm soát nào quan trọng hơn → Rủi ro kiểm soát
-
Tổ chức muốn biết khung kiểm soát có bảo vệ tốt không → Đánh giá rủi ro
-
Tổ chức gặp sự cố bất ngờ → Đánh giá rủi ro toàn tổ chức
-
Giải pháp nào giúp nhà cung cấp SaaS tài chính hạn chế việc khách hàng yêu cầu kiểm toán → Thực hiện kiểm toán SOC1 Loại 2 đối với các kiểm soát liên quan
-
Cách nào giúp nhà cung cấp SaaS đào tạo giảm số yêu cầu kiểm toán từ khách hàng? → Thực hiện kiểm toán SOC2 Loại 2 hàng năm.