Here is the TVA worksheet that is designed by some students for the risk identification stage

The context: ABC company

1. Organizational structure

2. Business characteristics

3. Requirements
Here is the TVA worksheet that is designed by some students for the risk identification stage

The context: ABC company

1. Organizational structure

ABC Company is organized into 8 departments and divisions. Each department and division is managed by department and
heads. Heads of departments and divisions will directly report to the company Board of Directors.
• Board of Directors: includes the CEO, CFO, COO and CIO
• Human Resources - Administration Department
• Finance - Accounting Department
• Procurement Department
• Sales Department
• Service - Technical Department
• Marketing Department
• Inventory and logistics department
• Control Board

2. Business characteristics
ABC company operates mainly in two areas: e-commerce and services.
International transactions are commonly in ABC company

3. Requirements
a. Determine the list of information assets of the company's accounting information system
b. Give your comments for the TVA Worksshet in the "TVA" sheet
Here is the TVA worksheet that is designed by some students for the risk identification stag

Dữ liệu lưu trữ

Tường lửa Máy chủ proxy
trên đám mây

Data dễ bị tấn
công bởi virus, Nếu tắt tường
sâu lửa, các virus và
Tấn công có
Các hoạt động sâu độc hại có Dễ bị tấn công từ
chủ đích
cung cấp thông thể truy cập vào chối dịch vụ
bằng phần
tin cho bên ngoài TS có giá trị
mềm
có thể tiết lộ được tường lửa
thông tin nhạy bảo vệ
cảm
 Nhân viên trong
Dữ liệu có giá trị nội bộ công ty có
Nếu tường lửa bị
cao thường dễ bị thể truy cập trái
Gián điệp, vô hiệu hóa thì
hacker có ý đồ phép vào máy chủ
xâm nhập tin tặc sẽ dễ dàng
hơn trong việc các TS khác được
trái phép truy cập trái phép
thu thập dữ liệu bảo vệ bởi nó sẽ bị
vào dữ liệu
trái phép truy cập trái phép
nếu nó bị tấn công

Mất dữ liệu là
việc thường Hệ thống bảo vệ
xuyên xảy ra nếu của công ty lỏng
Nếu tường lửa bị
tin tặc có thể truy lẻo có thể khiến bị
vô hiệu hóa, tin
cập vào hệ thống mất cắp TS,
Trộm tặc sẽ dễ dàng
giá trị của dữ liệu các TS khác được
hơn trong việc
sẽ bị giảm sút rất bảo vệ bởi nó sẽ bị
đánh cắp dữ liệu
nhiều nếu tên đánh cắp nếu nó bị
trộm che đậy dấu tấn công
vết tốt
 Các TS khác được
Nếu tường lửa bị bảo vệ bởi nó
Mất dữ liệu và
vô hiệu hóa, tin mang giá trị cao sẽ
đòi tiền chuộc về
Cưỡng đoạt tặc xâm nhập vào bị truy cập trái
dữ liệu do tin tặc
thông tin được dữ liệu sẽ phép và dùng các
tấn công vào
dùng dữ liệu TS đó để tống tiền
Cloud
tống tiền công ty nếu máy chủ bị tấn
công

Nếu không có Nếu tường lửa Nếu người không

biện pháp kiểm yếu, tin tặc sẽ được phép và có ý
soát thì tin tặc sẽ nhân cơ hội đột đồ xấu tiếp cận
Phá hoại
phá hoại dữ liệu nhập và phá hoại máy chủ thì sẽ dễ
và làm giảm giá hệ thống máy dàng dẫn đến hành
trị thông tin tính vi phá hoại
 Nếu bên ngoài có Dùng tường lửa
thể truy cập vào không được cấp
Xâm phạm dữ liệu thì có thể bản quyền sẽ dễ
x
tài sản trí tuệ ăn cắp bí mật dàng dẫn virus
thương mại của vào hệ thống
DN máy tính

Gián đoạn việc

Người quản lý
truyền tải và lưu Người quản lý máy
tường lửa không
trữ dữ liệu do chủ không bảo vệ
cẩn thận tắt
Lỗi con nhân viên thao tác kĩ càng máy chủ có
tường lửa thì tin
người sai thể khiến cho máy
tặc sẽ lợi dụng để
hoặc sai sót Nhân viên xử lý chủ nhanh hỏng
đột nhập vào hệ
sai dữ liệu làm hóc và làm mất dữ
thống của công
giá trị của thông liệu trong máy chủ
ty
tin giảm

Nếu không liên tục

Phần mềm ứng liên tục cập nhật
dụng Cloud do phần mềm thì máy
Tường lửa không
nhà cung cấp chủ có thể bị hỏng
Lỗi phần hoạt động do một
cung cấp có thể bị do virus phá hoại
mềm số lỗi về phần
lỗi và các dữ liệu hoặc dữ liệu trong
mềm
lưu trữ sẽ bị gián máy chủ bị gián
đoạn đoạn hoặc không
thể sử dụng.
 Tường lửa lỗi
Có thể mất dữ thời có thể mang Nếu nhà cung cấp
liệu và dễ bị tấn nhiều yếu kém không cập nhật cải
Công nghệ công nếu trình và dễ bị tấn công tiến liên tục thì
lạc hậu duyệt lưu trữ dữ hơn so với các máy chủ sẽ bị lỗi
liệu trên đám mây tường lửa được thời và dễ bị tấn
quá lỗi thời cải tiến hiện công hơn
hành

Phần cứng bị lỗi

Tường lửa không
khiến việc truyền Máy chủ không kết
Lỗi phần hoạt động động
tải dữ liệu lên nối được do lỗi về
cứng được do lỗi phần
đám mây bị gián phần cứng
cứng
đoạn

Nhà cung cấp

Internet cung cấp
không đúng lưu
lượng công ty yêu Sự cung cấp mạng
cầu sẽ làm cho dữ gặp sự cố sẽ khiến
Sai lệch về
liệu được truyền cho máy chủ không
chất lượng x
tải chậm thể kết nối được
dịch vụ
Nếu điện không mạng và dữ liệu bị
được cung cấp ổn gián đoạn
định sẽ khiến dữ
liệu bị lưu trữ
gián đoạn
 Hỏa hoạn, lũ Lũ lụt, hỏa hoạn,...
Những tác
lụt,... có thể khiến sẽ khiến cho máy
động từ x
dữ liệu bị lưu trữ chủ bị hư hỏng
thiên nhiên
gián đoạn nghiêm trọng

Legend:
Priority of 1 2 3
effort

Theo nhóm em thì phần trình bày ở trên gần như là chuẩn chỉnh và chi tiết, trình bày
từ đó mới dễ dàng đi sâu vào phân tích rủi ro.
s for the risk identification stage
CRITEION

Phần mềm quản

Giao thức Phần mềm lưu
lý nội dung Máy tính
Internet (IP) trữ thông tin
(CMS)

Plugin lỗi thời,

không được cập
Thông tin được
nhật bản vá
lưu trữ trong phần
thường xuyên sẽ
mềm có thể bị tấn
tồn tại nhiều lỗ
công nếu xâm
Các tài sản được hổng trong phần
nhập được vào
bảo vệ có thể bị mềm và tin tặc sẽ
phần mềm. Các lỗ Dễ bị tấn công từ
tấn công nếu nó tấn công và xâm
hổng trong việc chối dịch vụ
bị xâm phạm. Dễ nhập để thực hiện
xây dựng phần
bị tấn công từ các hành vi độc
mềm/ cập nhật
chối dịch vụ hại, tấn công từ
phần mềm tạo
chối dịch vụ
điều kiện cho các
(DdoS) hoặc
cuộc tấn công
thậm chí thực thi
bằng phần mềm.
mã để chiếm
quyền
 Giao thức
website không
được cài đặt Nhân viên trong
HTTPS, có thể bị nội bộ công ty có
tấn công sniffing, thể truy cập trái
Tài sản được bảo Thông tin được
nghĩa là các thao phép vào máy
vệ có thể bị tấn lưu trữ trong phần
tác của người sử tính cá nhân của
công nếu nó bị mềm có thể bị tấn
dụng hoặc các nhân viên
xâm phạm. Dễ bị công nếu xâm
thông tin trao đổi các TS khác được
tấn công từ chối nhập được vào
giữa người dùng bảo vệ bởi nó sẽ
dịch vụ phần mềm
và doanh nghiệp bị truy cập trái
sẽ bị hackers đọc phép nếu nó bị
được như thông tấn công"
tin cá nhân,
email,...

Thông tin được Chỉ có ổ khóa ở

Tài sản được bảo lưu trữ trong phần hệ thống cửa
vệ có thể bị tấn mềm có thể bị tấn chính của công ty
x
công nếu nó bị công nếu xâm còn cửa riêng của
xâm phạm nhập được vào từng văn phòng
phần mềm thì không có.
 Cổng thanh toán
chưa được tích
hợp chứng chỉ
SSL/TLS (đóng
vai trò là thẻ định
danh số) thì
Thông tin được thông tin thanh
Tài sản được bảo lưu trữ trong phần toán của khách
vệ có thể bị tấn mềm có thể bị lấy hàng sẽ không
x
công nếu IP bị lộ nếu xâm nhập được mã hóa,
ra ngoài được vào phần hacker dễ dàng
mềm đánh cắp các
thông tin nhạy
cảm của khách
hàng: tên đăng
nhập, mật khẩu,
tài khoản ngân
hàng,...

Thông tin được Nhân viên cố ý

lưu trữ trong phần làm hỏng thiết bị
Rất dễ bị tấn
mềm có thể bị máy tính của
công từ chối dịch x
xóa/thay đổi nếu công ty vì xung
vụ
xâm nhập được đột nội bộ hoặc vì
vào phần mềm mục đích cá nhân.
 Logo công ty trên
website chưa
được đăng ký sở
Nội dung của các hữu trí tuệ
Nội dung của các
tài sản được bảo (quyền bảo hộ
thông tin được
vệ có thể bị lấy thương hiệu,
lưu trữ có thể bị x
để sử dụng. khi nhãn hiệu), hình
lấy cắp và sự
có được giao thức ảnh các sản phẩm
dụng
để truy cập vào chưa được gắn
watermark đánh
dấu quyền sở hữu
của công ty

Các thao tác Nhân viên không

Do nhân viên Lượng thông tin /
không đúng/quá kiểm tra nguồn
quản lý máy chủ content lớn sẽ tốn
nhiều/quá nhanh gốc dữ liệu trước
tiết lộ địa chỉ IP nhiều thời gian
có thể gây ảnh khi đưa vào hệ
tạo điều kiện cho và công sức để
hưởng đến phần thống chung của
tấn công xảy ra thực hiện
mềm. công ty.

Phần mềm đinh Sự tìm ẩn trong

Một số phần mềm
tuyến do nhà quá trình xây
liên tục có phiên
cung cấp cáp có dựng phần mềm,
bản mới, yêu cầu
thể bị lỗi gây nên nâng cấp phần
x cập nhật để không
sự tạm dừng hoạt mềm, xung đột
bị gián đoạn hoặc
động/hoạt động với các phần
không thể sử
ngắt quãng của mềm hoặc hệ điều
dụng.
giao thức. hành.
 CMS không lưu Hoạt động chậm
Dễ trở nên hoạt Hoạt động kém
lại dữ liệu ở local hoặc không hoạt
động kém khi hiệu quả khi
nên nếu bị mất động nếu không
không được cập không được cập
dữ liệu thì rất khó cập nhật kịp thời
nhật nhật liên tục
để phục hồi hệ điều hành mới.

Các bộ phận của

Các thiết bị kết
máy tính như
nối giao thức có
Được cài đặt và CPU, màn hình
thể gặp sự cố gây
hoạt động trên khi sử dụng thời
mất điện ảnh x
các thiết bị điện gian dài có thể bị
hưởng đến hoạt
tử lỗi gián đoạn
động của giao
hoặc ngưng hoạt
thức
động.

Chất lượng dịch

Chất lượng chưa Chất lượng máy
vụ không như
phù hợp với mục tính được cung
cam kết của công
Sự tạm ngưng đích của doanh cấp không đảm
ty trước đó: giao
của nhà cung cấp, nghiệp, có những bảo, bị lỗi màn
diện phức tạp,
chất lượng không lỗ hổng chưa hình hoặc các bộ
khó sử dụng,
đảm bảo được phát hiện phận khác dẫn
không hỗ trợ
khi cung cấp phần đến bị chậm hoặc
nhiều plugin cho
mềm không hoạt động.
người dùng
 Các tác động từ
thiên nhiên đến
dễ bị ảnh hưởng
các thiết bị chưa Ảnh hưởng của
từ thiên nhiên:
phần mềm, hoặc bão lụt, lốc xoáy
mưa, bão, lũ lụt,
nguồn điện sẽ x nếu ví trí địa lý
cháy... gây ảnh
khiến cho các của doanh nghiệp
hưởng đến đường
phầm mềm khó gần biển.
truyển
có thể được hoạt
động.

4 5 6 7

chuẩn chỉnh và chi tiết, trình bày tài sản theo mức độ từ trái qua phải đồng thời trình bày nguy cơ nguy hiểm h
TEION

Bộ chuyển mạch Bộ định tuyến Cáp

Từ các lỗ hổng
trong phần mềm,
tin tặc có thể xâm
nhập vào mạng
Từ các lỗ hổng tồn
doanh nghiệp
tại, tin tặc có thể xâm
thông qua các
nhập vào mạng
thiết bị chuyển
doanh nghiệp để thực
mạch để thực
thi mã độc, bỏ qua x
hiện mã tùy ý,
xác thực, gửi lệnh từ
kiểm soát các
xa đến bộ định tuyến
thiết bị mạng và
hoặc thậm chí vô
ngăn chặn lưu
hiệu hóa thiết bị
lượng truy cập
giữa các thiết bị
kết nối với bộ
chuyển mạch
 Tin tặc lây nhiễm mã
Nếu các thiết bị độc để tấn công vào
chuyển mạch bộ định tuyến, đặc
đang ở chế độ biệt là các mã độc
không hoạt động vẫn có thể tồn tại
thì rất dễ bị tấn ngay cả sau khi đã x
công bảo mật như khôi phục cài đăt
giả mạo địa chỉ IP gốc, từ đó xâm nhập
hoặc bắt giữ các trái phép vào mạng
khung ethernet của người dùng và
doanh nghiệp

Đây là tài sản hữu

Đây là tài sản hữu Đây là tài sản hữu
hình nên khi
hình nên khi không hình nên khi không
không có các bảo
có các bảo vệ về mặt có các bảo vệ về mặt
vệ về mặt vật lý
vật lý sẽ bị mất trộm vật lý sẽ bị mất trộm
sẽ bị mất trộm
 x x x

Nhân viên bất

đồng quan điểm, Nhân viên bất đồng
Nhân viên làm hỏng
chống đối doanh quan điểm, chống đối
dây cáp để ngắt kết
nghiệp có thể có doanh nghiệp có thể
nối hệ thống máy tính
chủ ý phá hoại tài có chủ ý phá hoại tài
của công ty.
sản công của sản công của công ty
công ty
 x x x

Không thay đổi các Nhân viên nối dây

Lỗi về việc lắp cài đặt (bảng điều cáp không đúng cách
đặt, kết nối các khiển, mật khẩu wifi) dẫn tới không hoạt
máy tính với bộ của bộ định tuyến động hoặc bị gián
chuyển mạch thường xuyên nên dễ đoạn trong lúc hoạt
bị tin tặc tấn công động.

Hệ điều hành
Hệ điều hành hoặc
hoặc các thuật
các thuật toán được
toán được cài đặt
cài đặt sẵn trong bộ x
sẵn trong bộ
định tuyến có thể tồn
chuyển mạch có
tại lỗi ẩn
thể tồn tại lỗi ẩn
 Sử dụng bộ Sử dụng bộ định
chuyển mạch cũ tuyến cũ sẽ không thể
sẽ làm giảm băng cập nhật đầy đủ các x
thông và giảm tốc bản vá lỗ hổng mới
độ Internet nhất

Dây cáp cũ nên bị đứt

Bộ chuyển mạch
Bộ định tuyến có lỗi hoặc bị mòn dẫn đến
có lỗi về các linh
về các linh kiện mà các thiết bị không
kiện mạch mà nhà
nhà sản xuất đã biết hoạt động hoặc ảnh
sản xuất đã biết
hoặc chưa biết hưởng hiệu suất hoạt
hoặc chưa biết
động bình thường.

Chất lượng của Bên cung cấp sản

Chất lượng của bộ
bộ chuyển mạch phẩm không đảm bảo
định tuyến không như
không như cam chất lượng sản phẩm
cam kết trong hợp
kết trong hợp được giao, dây cáp cũ
đồng đã ký với nhà
đồng đã ký với hoặc bị lỗi, không sử
sản xuất
nhà sản xuất dụng được.
 Bị ảnh hưởng về Bị ảnh hưởng về mặt
mặt vật lý bởi các vật lý bởi các hiện Ảnh hưởng từ bão
hiện tượng thiên tượng thiên nhiên lụt, lốc xoáy, độ
nhiên như lũ lụt, như lũ lụt, mưa gió, ẩm,...
mưa gió, độ ẩm,... độ ẩm,...

8 9

trình bày nguy cơ nguy hiểm hoặc quan trọng nhất theo trình tự từ trên xuống. Thể hiện mức độ của điểm yếu

Modem Bộ lặp
Tin tặc thiết lập các
phần mềm tấn công
vào đường truyền của
modem, làm cho
x
thông tin bị truyền đi
chậm hơn hoặc bị
mất, không thể truyền
tới người nhận.
Phần mềm ứng
dụng khác (phần
mềm quản lý công
việc, nhân viên..)
Thông tin được lưu
trữ trong phần mềm
có thể bị tấn công từ
chối dịch vụ nếu tin
tặc xâm nhập được
vào phần mềm
 Tin tặc khai thác, lợi
dụng những khe hở Thông tin được lưu
trong quá trình truyền trữ trong phần mềm
thông tin và kiểm có thể bị tấn công từ
x
soát tốc độ truyền để chối dịch vụ nếu tin
gây nhiễu hoặc ngắt tặc xâm nhập được
kết nối với thiết bị vào phần mềm
được truyền.

Đây là tài sản hữu đây là tài sản hữu

hình nên khi không hình khi không có
x
có các bảo vệ về mặt các bảo vệ về mặt vật
vật lý sẽ bị mất trộm lý sẽ bị mất trộm
 Thông tin được lưu
trữ trong phần mềm
có thể bị tấn công từ
x x
chối dịch vụ nếu tin
tặc xâm nhập được
vào phần mềm

Nhân viên cố ý làm

hỏng thiết bị modem Dễ bị nhiễu khi có
làm ngắt đường kết nối với các thiết x
truyền với mục đích bị không cùng tần số
cá nhân.

x x
Sử dụng phần mềm
chưa mua bản quyền
có thể khiến virus dễ
dàng xâm nhập vào
phần mềm

Lắp đặt kết nối với

Nhập sai số liệu,
dây cáp không đúng
thông tin công việc
cách làm thiết bị Lắp đặt bởi con
làm việc quản lý trở
không thể hoạt động người
nên sai lệch, không
hoặc đường truyền
đúng trật tự.
kém.

x x x
 Phiên bản lỗi thời,
Các thiết bị cũ gửi
không có những chức
thông tin với tốc độ Các bộ lặp lạc hậu sẽ
năng đáp ứng nhu
chậm hơn, quá trình làm giảm hiệu quả
cầu công việc,
kiểm soát lưu lượng hoạt động, giới hạn
thường xuyên bị lỗi
kém hơn, có thể bị lỗi về không gian
hoặc ngưng hoạt
hoặc mất dữ liệu.
động.

Thiết bị modem bị lỗi

hoặc hỏng ở bộ điều Bên trong bộ lặp
x
chế tính hiệu hoặc bộ chưa các vi mạch.
giải điều chế.

Nhà cung cấp dịch vụ Nhà cung cấp sản

Internet cung cấp phẩm cung cấp sản
đường dây kém chất phẩm kém chất Cung cấp phần mềm
lượng dẫn đến đường lượng, ẩn chưa các chứa nhiều lỗi, khó
truyền bị gián đoạn lỗi ký thuật mà nhà hiểu và khó sử dụng.
hoặc không hoạt sản xuất ko phát hiện
động. ra
 dễ bị ảnh hưởng bởi
Ảnh hưởng từ bão
các hiện tượng thiên
lụt, lốc xoáy, độ x
nhiên : lũ lụt, động
ẩm,...
đất, độ ẩm, ...

rên xuống. Thể hiện mức độ của điểm yếu qua thang màu sắc