THỜI LƯỢNG: 2 ngày (~16 giờ)
GIỚI THIỆU KHÓA HỌC
Data Center giữ vai trò rất quan trọng trong một tổ chức, doanh nghiệp. Khi các ứng dụng hay data center bị “downtime” chắc chắn sẽ ảnh hưởng trực tiếp hoặc gián tiếp đến kết quả kinh doanh của tổ chức/doanh nghiệp. Nếu không có kiến thức và hiểu biết về chi phí tổn thất khi xảy ra downtime thì tổ chức/doanh nghiệp sẽ không xác định được mức độ cần đầu tư phù hợp hoặc rơi vào tình trạng đầu tư “dư thừa”.
Dựa theo tiêu chuẩn quốc tế về an toàn thông tin ISO/IEC27001:2005 và các hướng dẫn trong ISO/ IEC 27005:2011, NIST 800-30, ISO/IEC 31000/31010, chương trình đào tạo về “Chuyên gia quản lý rủi ro Data Center” – Certified Data Center Risk Professional của hãng EPI được xây dựng nhằm mục đích cung cấp cho học viên các kiến thức và kỹ năng tổng quát về quy trình quản lý rủi ro, từ đó có thể xác định các lỗ hổng, các mối đe dọa, ước tính được các mức độ rủi ro có thể xảy ra cũng như dự đoán được các tác động, ảnh hưởng lên tổ chức khi rủi ro xuất hiện.
Với việc tập trung các kiến thức quản lý rủi ro trong việc xây dựng cơ sở hạ tầng cũng như tính chất vật lý của các trang thiết bị trong Data Center, học viên sẽ nắm bắt các cách thức xác định và định lượng rủi ro, xây dựng các chính sách làm giảm nguy cơ rủi ro đến một mức độ chấp nhận được,... Từ đó đề xuất cho tổ chức, doanh nghiệp các quyết định đầu tư đúng đắn với các số liệu chuẩn.
MỤC TIÊU KHÓA HỌC
Sau khi hoàn tất khóa học, học viên có khả năng:
- Hiểu biết về các tiêu chuẩn và phương pháp khác nhau để quản lý rủi ro và đánh giá
- Thành lập nhóm quản lý rủi ro
- Thực hiện đánh giá rủi ro, xác định các mối đe dọa hiện tại, các lỗ hổng và định lượng các tác động có thể xảy ra dựa trên các danh mục thống kê về rủi ro
- Báo cáo về mức độ rủi ro hiện tại của trung tâm dữ liệu cả bao gồm cả định lượng và định chất
- Dự toán rủi ro và các phương án giảm thiểu các tác động đến tiềm lực tài chính
- Nắm bắt về các cách xử lý rủi ro
- Liên tục theo dõi và xem xét tình trạng nguy cơ rủi ro của Data Center
- Giảm tần suất và cường độ của sự cố
- Phát hiện và phản ứng kịp thời với các sự cố
- Tuân thủ các yêu cầu và quy định về quản lý rủi ro
- Hỗ trợ tổ chức trong quá trình đạt chứng nhận ISO/IEC 27001:2005
- Hỗ trợ tổng thể doanh nghiệp trong hoạt động quản trị CNTT
ĐỐI TƯỢNG THAM GIA
Khoá học được thiết kế cho các học viên là những chuyên gia CNTT đang phụ trách hoạt động quản lý, vận hành hoặc hạ tầng Data Center; hoặc chuyên gia CNTT có trách nhiệm đề xuất phương án cải thiện tính sẵn sàng và tối ưu hóa năng suất hoạt động Data Center như:
- Giám đốc / TP Quản lý vận hành trung tâm dữ liệu
- Chuyên gia quản lý hoạt động, chuyên gia quản lý CNTT, chuyên gia quản lý bảo mật thông tin
- Chuyên gia bảo mật, Kiểm toán viên
- Chuyên gia quản lý rủi ro
ĐIỀU KIỆN THAM GIA
- Học viên nên có tối thiểu 3 năm làm việc trong môi trường Data Center hoặc hạ tầng CNTT.
- Học viên nên có kiến thức tương đương khoá học CDCP.
KHÓA HỌC LIÊN QUAN
CHỨNG NHẬN
- Sau khi hoàn tất khóa học, học viên sẽ được cấp chứng nhận hoàn tất khóa học của EPI.
- Học viên chỉ đạt được chứng chỉ quốc tế sau khi “ĐẠT” ở kỳ thi quốc tế do SmartPro đại diện Trung tâm khảo thí EXIN tổ chức.
NỘI DUNG KHÓA HỌC
1. Introduction to Risk Management
- Risk management concepts
- Senior management and risk
- Enterprise Risk Management (ERM)
- Benefits of risk management
2. Data Centre Risk and Impact
- Risk in facility, power, cooling, fire suppression, infrastructure and IT services
- Impact of data centre downtime
- Main causes of downtime
- Cost factors in downtime
3. Standards, Guidelines and Methodologies
- ISO/IEC 27001:2013, ISO/IEC 27005:2011, ISO/IEC 27002:2013
- NIST SP 800-30
- ISO/IEC 31000:2009
- SS507:2008
- ANSI/TIA-942
- Other methodologies (CRAMM, EBIOS, OCTAVE, etc.)
4. Risk Management Definitions
- Asset
- Availability/Confidentiality/Integrity
- Control
- Information processing facility
- Information security
- Policy
- Risk
- Risk analysis/Risk assessment/Risk evaluation/
- Risk treatment
- Threat/Vulnerability
- Types of risk
5. Risk Assessment Software
- The need for software
- Automation
- Considerations
6. Risk Management Process
- The risk management process
- Establishing the context
- Identification
- Analysis
- Evaluation
- Treatment
- Communication and consultation
- Monitoring and review
7. Project Approach
- Project management principles
- Project management methods
- Scope
- Time
- Cost
- Cost estimate methods
8. Context Establishment
- General considerations
- Risk evaluation, impact and acceptance criteria
- Severity rating of impact
- Occurrence rating of probability
- Scope and boundaries
- Scope constraints
- Roles & responsibilities
- Training, awareness and competence
9. Risk Assessment - Identification
- The risk assessment process
- Identification of assets
- Identification of threats
- Identification of existing controls
- Identification of vulnerabilities
- Identification of consequences
- Hands-on exercise: Identification of assets, threats, existing controls, vulnerabilities and consequences
10. Risk Assessment - Analysis and Evaluation
- Risk estimation
- Risk estimation methodologies
- Assessment of consequences
- Assessment of incident likelihood
- Level of risk estimation
- Risk evaluation
- Hands-on exercise: Assessment of consequences, probability and estimating level of risk
11. Risk Treatment
- The risk treatment process steps
- Risk Treatment Plan (RTP)
- Risk modification
- Risk retention
- Risk avoidance
- Risk sharing
- Constraints in risk modification
- Control categories
- Control examples
- Cost-benefit analysis
- Control implementation
- Residual risk
12. Communication
- Effective communication of risk management activities
- Benefits and concerns of communication
13. Risk Monitoring and Review
- Ongoing monitoring and review
- Criteria for review
14. Risk scenarios
- Risk assessment approach
- Data centre site selection
- Data centre facility
- Cloud computing
- UPS scenarios
- Force majeure
- Organisational shortcomings
- Human failure
- Technical failure
- Deliberate acts
Exam: Certified Data Centre Risk Professional