2 ngày (~16 giờ)

Data Center giữ vai trò rất quan trọng trong một tổ chức, doanh nghiệp. Khi các ứng dụng hay data center bị “downtime” chắc chắn sẽ ảnh hưởng trực tiếp hoặc gián tiếp đến kết quả kinh doanh của tổ chức/doanh nghiệp. Nếu không có kiến thức và hiểu biết về chi phí tổn thất khi xảy ra downtime thì tổ chức/doanh nghiệp sẽ không xác định được mức độ cần đầu tư phù hợp hoặc rơi vào tình trạng đầu tư “dư thừa”.

Dựa theo tiêu chuẩn quốc tế về an toàn thông tin ISO/IEC27001:2005 và các hướng dẫn trong ISO/ IEC 27005:2011, NIST 800-30, ISO/IEC 31000/31010, chương trình đào tạo về “Chuyên gia quản lý rủi ro Data Center” – Certified Data Center Risk Professional của hãng EPI được xây dựng nhằm mục đích cung cấp cho học viên các kiến thức và kỹ năng tổng quát về quy trình quản lý rủi ro, từ đó có thể xác định các lỗ hổng, các mối đe dọa, ước tính được các mức độ rủi ro có thể xảy ra cũng như dự đoán được các tác động, ảnh hưởng lên tổ chức khi rủi ro xuất hiện.

Với việc tập trung các kiến thức quản lý rủi ro trong việc xây dựng cơ sở hạ tầng cũng như tính chất vật lý của các trang thiết bị trong Data Center, học viên sẽ nắm bắt các cách thức xác định và định lượng rủi ro, xây dựng các chính sách làm giảm nguy cơ rủi ro đến một mức độ chấp nhận được,… Từ đó đề xuất cho tổ chức, doanh nghiệp các quyết định đầu tư đúng đắn với các số liệu chuẩn.

Sau khi hoàn tất khóa học, học viên có khả năng:

• Hiểu biết về các tiêu chuẩn và phương pháp khác nhau để quản lý rủi ro và đánh giá
• Thành lập nhóm quản lý rủi ro
• Thực hiện đánh giá rủi ro, xác định các mối đe dọa hiện tại, các lỗ hổng và định lượng các tác động có thể xảy ra dựa trên các danh mục thống kê về rủi ro
• Báo cáo về mức độ rủi ro hiện tại của trung tâm dữ liệu cả bao gồm cả định lượng và định chất
• Dự toán rủi ro và các phương án giảm thiểu các tác động đến tiềm lực tài chính
• Nắm bắt về các cách xử lý rủi ro
• Liên tục theo dõi và xem xét tình trạng nguy cơ rủi ro của Data Center
• Giảm tần suất và cường độ của sự cố
• Phát hiện và phản ứng kịp thời với các sự cố 
• Tuân thủ các yêu cầu và quy định về quản lý rủi ro
• Hỗ trợ tổ chức trong quá trình đạt chứng nhận ISO/IEC 27001:2005
• Hỗ trợ tổng thể doanh nghiệp trong hoạt động quản trị CNTT

Khoá học được thiết kế cho các học viên là những chuyên gia CNTT đang phụ trách hoạt động quản lý, vận hành hoặc hạ tầng Data Center; hoặc chuyên gia CNTT có trách nhiệm đề xuất phương án cải thiện tính sẵn sàng và tối ưu hóa năng suất hoạt động Data Center như:

• Giám đốc / TP Quản lý vận hành trung tâm dữ liệu
• Chuyên gia quản lý hoạt động, chuyên gia quản lý CNTT, chuyên gia quản lý bảo mật thông tin
• Chuyên gia bảo mật, Kiểm toán viên
• Chuyên gia quản lý rủi ro

• Học viên nên có tối thiểu 3 năm làm việc trong môi trường Data Center hoặc hạ tầng CNTT.
• Học viên nên có kiến thức tương đương khoá học CDCP.

Sau khi hoàn tất khóa học, học viên sẽ được cấp chứng nhận hoàn tất khóa học theo quy định của Cecomtech.

1. Introduction to Risk Management

• Risk management concepts
• Senior management and risk
• Enterprise Risk Management (ERM)
• Benefits of risk management

2. Data Centre Risk and Impact

• Risk in facility, power, cooling, fire suppression, infrastructure and IT services
• Impact of data centre downtime
• Main causes of downtime
• Cost factors in downtime

3. Standards, Guidelines and Methodologies

• ISO/IEC 27001:2013, ISO/IEC 27005:2011, ISO/IEC 27002:2013
• NIST SP 800-30
• ISO/IEC 31000:2009
• SS507:2008
• ANSI/TIA-942
• Other methodologies (CRAMM, EBIOS, OCTAVE, etc.)

4. Risk Management Definitions

• Asset
• Availability/Confidentiality/Integrity
• Control
• Information processing facility
• Information security
• Policy
• Risk
• Risk analysis/Risk assessment/Risk evaluation/
• Risk treatment
• Threat/Vulnerability
• Types of risk

5. Risk Assessment Software

• The need for software
• Automation
• Considerations

6. Risk Management Process

• The risk management process
• Establishing the context
• Identification
• Analysis
• Evaluation
• Treatment
• Communication and consultation
• Monitoring and review

7. Project Approach

• Project management principles
• Project management methods
• Scope
• Time
• Cost
• Cost estimate methods

8. Context Establishment

• General considerations
• Risk evaluation, impact and acceptance criteria
• Severity rating of impact
• Occurrence rating of probability
• Scope and boundaries
• Scope constraints
• Roles & responsibilities
• Training, awareness and competence

9. Risk Assessment – Identification

• The risk assessment process
• Identification of assets
• Identification of threats
• Identification of existing controls
• Identification of vulnerabilities
• Identification of consequences
• Hands-on exercise: Identification of assets, threats, existing controls, vulnerabilities and consequences

10. Risk Assessment – Analysis and Evaluation

• Risk estimation
• Risk estimation methodologies
• Assessment of consequences
• Assessment of incident likelihood
• Level of risk estimation
• Risk evaluation
• Hands-on exercise: Assessment of consequences, probability and estimating level of risk

11. Risk Treatment

• The risk treatment process steps
• Risk Treatment Plan (RTP)
• Risk modification
• Risk retention
• Risk avoidance
• Risk sharing
• Constraints in risk modification
• Control categories
• Control examples
• Cost-benefit analysis
• Control implementation
• Residual risk

12. Communication

• Effective communication of risk management activities
• Benefits and concerns of communication

13. Risk Monitoring and Review

• Ongoing monitoring and review
• Criteria for review

14. Risk scenarios

• Risk assessment approach
• Data centre site selection
• Data centre facility
• Cloud computing
• UPS scenarios
• Force majeure
• Organisational shortcomings
• Human failure
• Technical failure
• Deliberate acts

Exam: Certified Data Centre Risk Professional