ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

TRẦN THỊ NGUYỆT

NGHIÊN CỨU XÂY DỰNG KHUNG QUẢN TRỊ DỮ LIỆU CHO VIỆC QUẢN LÝ DỮ LIỆU CỦA TỔNG CÔNG TY MẠNG LƯỚI VIETTEL

Giáo viên hướng dẫn: PGS. TS. Phan Xuân Hiếu

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội - 2019

1

LỜI CẢM ƠN

Tôi xin trân trọng cảm ơn các thầy cô Đại Học Công Nghệ- Đại Học Quốc Gia Hà Nội đã tạo điều kiện cho học viên lớp cao học K24CNTT một môi trường học tập hiệu quả, đồng thời truyền đạt cho các học viên lượng kiến thức và kinh nghiệm quý báu phục vụ cho quá trình học tập và công tác của tôi trong hiện tại và tương lai. Cách thức làm việc, học hỏi của các thầy cô đã truyền cảm hứng cho tôi phát huy tinh thần học hỏi và chủ động tự học để nâng cao kỹ năng, kiến thức cho bản thân.

Tôi xin trân trọng cảm ơn ban lãnh đạo Tổng công ty Mạng lưới Viettel cùng các anh chị phòng Kỹ Thuật Nghiệp vụ của Tổng công ty đã đại diện đứng ra tổ chức lớp học cho các cán bộ nhân viên của trong tổng công ty. Để mọi người có thể vừa làm việc vừa trao đổi, vận dụng các kiến thức được học vào thực tế được hiệu quả hơn.

Đặc biệt, tôi cảm ơn sâu sắc đến PGS.TS. Phan Xuân Hiếu đã chỉ bảo cho tôi trong suốt quá trình học tập và làm luận văn, giúp tôi có thêm quyết tâm để nghiên cứu và hoàn thiện bản luận văn của mình.

Tôi xin gửi lời cảm ơn đến các bạn trong lớp Cao học Hệ thống Thông tin K24CNTT đã giúp đỡ, động viên, khích lệ tôi trong suốt thời gian học tập.

Tôi xin được gửi lời cảm ơn tới gia đình đã động viên, giúp đỡ tôi trong quá trình hoàn thành luận văn.

Với lượng kiến thức và kinh nghiệm còn ít nên luận văn không tránh khỏi những thiếu sót. Tôi xin trân trọng tiếp thu các ý kiến của các thầy, cô, bạn bè để luận văn được hoàn thiện.

Trân trọng cám ơn.

2

MỤC LỤC

LỜI CẢM ƠN ...................................................................................................... 1 MỤC LỤC ........................................................................................................... 2 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT .......................................... 4 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ .............................................................. 5 MỞ ĐẦU ............................................................................................................. 6 CHƯƠNG 1. KHUNG QUẢN LÝ DỮ LIỆU ..................................................... 9

1.1. Khái niệm chung về quản lý dữ liệu .......................................................... 9 1.1.1. Định nghĩa thông tin và dữ liệu ........................................................... 9 1.1.2. Quản lý dữ liệu .................................................................................. 10 1.1.3. Quản trị dữ liệu .................................................................................. 11 1.1.4. Phân biệt quản lý và quản trị dữ liệu ................................................. 12 1.1.5. Lợi ích và tầm quan trọng của quản lý dữ liệu .................................. 13 1.1.6. Nguyên tắc quản lý dữ liệu ................................................................ 14 1.1.7. Các lĩnh vực trọng tâm chính cần được đề cập trong quản lý dữ liệu 15 1.1.8. Các bước cơ bản để thực hiện quản lý dữ liệu ................................... 16

1.2. Khung quản lý dữ liệu ............................................................................ 18 1.3. Khung quản lý dữ liệu viễn thông cho TCT mạng lưới VIettel ............... 22

CHƯƠNG 2. QUẢN LÝ ATTT TRONG DOANH NGHIỆP .......................... 27 2.1. ĐỊNH NGHĨA AN TOÀN THÔNG TIN ................................................ 27 2.2. CÁC PHƯƠNG PHÁP QUẢN LÝ AN TOÀN THÔNG TIN ................ 27

2.2.1 Tiêu chuẩn quản lý an toàn thông tin ISO27001:2013 ....................... 27 2.2.2 Phương pháp tiếp cận ......................................................................... 28 2.2.3 Phương pháp quản lý rủi ro .............................................................. 228

2.3. KHUNG QUẢN LÝ AN TOÀN THÔNG TIN ...................................... 32 CHƯƠNG 3. GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN LÝ AN TOÀN THÔNG TIN DỮ LIỆU VIỄN THÔNG ........................................................... 37

3.1 Phương pháp quản lý rủi ro ...................................................................... 37 Nguyên lý quản lý rủi ro cho tổ chức .............................................. 38 Mô hình tổ chức và phương pháp quản lý rủi ro ............................. 39 Quy trình quản lý rủi ro ................................................................... 41

3

Thực hiện đánh giá rủi ro cho hệ thống dữ liệu viễn thông và xây dựng kế hoạch xử lý rủi ro ........................................................................... 43

3.2 Quản lý an toàn vận hành ......................................................................... 46 3.3 Quản lý tính liền mạch, liên tục kinh doanh ............................................. 47

KẾT LUẬN ........................................................................................................ 49 TÀI LIỆU THAM KHẢO ................................................................................. 51 PHỤ LỤC 1. Danh sách các điểm yếu, đe dọa dùng để phân tích rủi ro an toàn dữ liệu viễn thông .............................................................................................. 53 PHỤ LỤC 2: Checklist khảo sát đánh giá rủi ro cho dữ liệu viễn thông ........... 58 PHỤ LỤC 3. Ma trận đánh giá rủi ro ................................................................. 87 PHỤ LỤC 4. Danh sách phân tích rủi ro cho dữ liệu viễn thông ...................... 90

4

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

STT Ký hiệu/

CFhữ viết tắt Ý nghĩa

1 ANTT An toàn thông tin

2 BCP Kế hoạch đảm bảo tính liên tục kinh doanh – Business Contuinity Plan

3 CNTT Công nghệ thông tin

4 DAMA Hiệp hội quản lý dữ liệu quốc tế

5 DG Data Governance – Quản trị dữ liệu

6 DGI Data Governance Institute - Viện quản trị dữ liệu

7 HMRR Hạng mục rủi ro

8 ISMS Hệ thống quản lý an toàn thông tin – Information Security Management System

9 KVRR Khẩu vị rủi ro

10 QTDL Quản trị dữ liệu

11 QLDL Quản lý dữ liệu

12 QTRR Quản trị rủi ro

13 QLRR Quản lý rủi ro

5

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ

STT Chương Mục Hình Tên hình vẽ

1 1 1.1 Hình 1.1 Hình 1. 1 Tháp dữ liệu

2 1 1.2 Hình 1.2 Hình 1.2 Khung quản lý dữ liệu DAMAOK

3 1 1.3 Hình 1.3 Hình 1.3 Khung quản lý dữ liệu viễn thông

4 2 2.1 Hình 2.1 Hình 2.1 Lộ trình triển khai ISO27001:2013

5 2 2.2 Hình 2.2 Hình 2.2 Mô hình PDCA

6 2 2.2 Hình 2.3 Hình 2.3 Mô hình PDCA ISO27001

7 2 2.3 Hình 2.4 Hình 2.4 Các lĩnh vực chính ATTT

8 3

3.1 Hình 3.1 Hình 3.1 Tháp quản lý rủi ro của tổ chức viễn thông

9 3

3.1 Hình 3.2 Hình 3.2 Mô hình kiểm soát rủi ro dữ liệu

viễn thông 3 lớp

10 3 3.1 Hình 3.3 Hình 3.3 Quy trình quản lý rủi ro

11 3 3.1 Hình 3.4 Hình 3.4 Quy trình đánh giá rủi ro

12 3 3.1 Hình 3.5 Hình 3.5. Quy trình xử lý rủi ro

13 3

3.1 Hình 3.6 Hình 3.6 Bảng đánh giá rủi ro dữ liệu viễn

thông

14 3

3.1 Hình 3.7 Hình 3.7 Công cụ quản lý rủi ro dữ liệu viễn

thông

15 3

3.2 Hình 3.8 Hình 3.8 Khung quy trình vận hành khai

thác hệ thống thông tin viễn thông

16 3

3.3 Hình 3.9 Hình 3.9 Kế hoạch đảm bảo tính liên tục cho

hệ thống viễn thông

MỞ ĐẦU

Ngày nay dữ liệu được coi là tài sản quan trọng, việc quản lý dữ liệu cũng như đảm bảo an toàn thông tin cho dữ liệu là nhu cầu sống còn của đơn vị. Kết quả phân tích dữ liệu đóng vai trò then chốt cho các quyết định của ban lãnh đạo, để tăng tính tin cậy của kết quả phân tích dữ liệu thì yêu cầu bắt buộc đơn vị phải có phương pháp quản lý dữ liệu cho đơn vị mình hiệu quả và đảm bảo chất lượng [3].

Việc thu thập, khai thác và sử dụng dữ liệu một cách hiệu quả là một trong những yếu tố quan trọng, quyết định sự phát triển của tổ chức. Tổ chức không thể khai thác được dữ liệu nếu không biết rõ giá trị của dữ liệu mình đang sở hữu: dữ liệu ở đâu, làm thế nào để sử dụng, dữ liệu được tích hợp với các ứng dụng nào, ở đâu, thời gian nào, v.v. Chất lượng dữ liệu kém có thể dẫn tới gia tăng rủi ro hoạt động, chiến lược, ảnh hưởng đến việc hỗ trợ ra quyết định, các hoạt động và kế hoạch hàng ngày từ lãnh đạo đơn vị do đó sẽ ảnh hưởng tới hoạt động, sự phát triển bền vững của tổ chức. Chất lượng dữ liệu và khai thác dữ liệu hiệu quả nhưng cần đi đôi việc đảm bảo An toàn thông tin (ATTT) cho dữ liệu [1] ,[3].

Quản lý dữ liệu là sự kết hợp giữa con người, quy trình và kỹ thuật cho phép một tổ chức có thể tối ưu hóa, bảo vệ và sử dụng các nguồn dữ liệu (cấu trúc và phi cấu trúc) một cách hiệu quả như một tài sản của doanh nghiệp.

Khung quản lý dữ liệu gồm có các hợp phần về: Quản trị dữ liệu, cấu trúc dữ liệu, mô hình và thiết kế dữ liệu, lưu trữ và vận hành dữ liệu, an toàn dữ liệu, tích hợp dữ liệu, quản lý văn bản và nội dung, công cụ báo cáo quản trị, siêu dữ liệu (metadata) và chất lượng dữ liệu [3].

Sau khi nhận thấy được tầm quan trọng trong việc quản lý dữ liệu, đánh giá khảo sát hiện trạng tổ chức gặp phải nhiều vấn đề trong việc quản lý dữ liệu như quản lý dữ liệu phân tán, không tập trung. Với mỗi dữ án liên quan đến dữ liệu thì thời gian để thu thập, làm sạch dữ liệu tốn đa số thời gian của dự án.Việc quản lý an toàn thông tin dữ liệu trong tổ chức chưa được triển khai theo phương pháp tổng thể. Khi lãnh đạo thấy vấn đề, sự cố phát sinh hay có vấn đề nổi cộm lên thì chỉ đạo dồn nguồn lực vào xử lý, mà không có biện pháp quản lý tổng thể. Hoạt động vận hành trong tổ chức ưu tiên vấn đề “chữa cháy” hơn là việc ưu tiên “phòng cháy”. Nguồn lực nhân sự vận hành trong tổ chức dồn sự tập trung vào việc xử lý vụ việc, sự cố, vấn đề hơn là ưu tiên việc đưa ra phương pháp quản lý tổng thể, quản lý rủi ro để dần dần giảm vấn đề sự vụ và cải tiến liên tục hệ thống. Các

7

công việc mang tính bị động, xảy ra thì xử lý. Ngoài ra, tổ chức hoạt động trên lĩnh vực viễn thông, các hệ thống lõi cần đảm bảo tính sẵn sàng liên tục cao, tuy nhiên các phương án dự phòng, đảm bảo tính liền mạch, ứng cứu khi xảy ra gián đoạn chưa có tính chủ động hoặc chưa được thử nghiệm định kỳ các phương án.

Song song với các vấn đề thực tại trên của tổ chức thì trên thế giới, các giải pháp về quản lý dữ liệu và an ninh dữ liệu luôn được cập nhật các phương pháp giải pháp mới như ISO27001:2013, ISO31000:2018.

Từ các vấn đề trên, luận văn thực hiện nghiên cứu về:

NGHIÊN CỨU XÂY DỰNG KHUNG QUẢN TRỊ DỮ LIỆU CHO VIỆC QUẢN LÝ DỮ LIỆU CỦA TỔNG CÔNG TY MẠNG LƯỚI VIETTEL.

Mục đích nghiên cứu: Mục đích luận văn nghiên cứu để đưa ra cách thức và phương pháp quản lý để giải quyết được các vấn đề bất cập trên của tổ chức.

Xây dựng khung quản lý dữ liệu cho dữ liệu viễn thông. Các hợp phần quan trọng tổ chức cần thực hiện quản lý khi muốn tăng chất lượng dữ liệu và khả năng tin cậy dữ liệu bao gồm: quản trị, thu thập/ lưu trữ, chất lượng, truy cập và cung cấp, phân tích, an ninh dữ liệu.

Tuy nhiên, thời gian nghiên cứu, triển khai còn hạn hẹp, luận văn chưa đủ thời gian để nghiên cứu triển khai hết tất cả các hợp phần trên. Nên trong phạm vi luận văn này em xin phép được tập trung nghiên cứu sâu và xây dựng và triển khai các giải pháp về một trong các hợp phần trong khung quản lý là phần quản lý an toàn thông tin. Tập trung đề xuất các giải pháp để nâng cao năng lực an toàn thông tin cho dữ liệu viễn thông.

8

Mục đích của việc triển khai các giải pháp quản lý an toàn thông tin toàn diện cho dữ liệu viễn thông nhằm đảm bảo cho các hệ thống công nghệ thông tin, viễn thông trong tổng công ty đạt các yêu cầu về an toàn, bảo mật. Các thông tin sẽ được quản lý đảm bảo tính bí mật, toàn vẹn, xác thực và sẵn sàng. Đồng thời nâng cao tính liên tục không bị gián đoạn giúp hệ thống thông tin được vận hành liên tục, chống lại các sự cố an toàn thông tin, các cuộc tấn công từ nội bộ hoặc từ bên ngoài. Qua đó sẽ nâng cao mức độ tin cậy đối với các đối tác và khách hàng khi làm việc tại đơn vị. Bên cạnh việc tăng cường hoạt động, quản lý, phòng ngừa, phát hiện sớm các điểm rủi ro để có hành động xử lý sớm sẽ giảm khả năng rủi ro xuất hiện. Qua đó giảm tỷ lệ sự cố phát sinh cần xử lý hàng ngày.

Sau khi nghiên cứu triển khai, áp dụng thực tế các giải pháp đưa ra trong luận văn vào các hoạt động đơn vị. Giúp đơn vị thấy được khung quản lý dữ liệu đầy đủ, các hợp phần đơn vị cần thiết cho việc quản lý đặc thù cho dữ liệu viễn thông. Trong các hợp phần của khung quản lý dữ liệu, luận văn tập trung nghiên cứu sâu về khung quản lý an toàn thông tin. Nghiên cứu xây dựng các giải pháp an toàn thông tin phù hợp cho đơn vị sau khi khảo sát nắm được các điểm mạnh, điểm chưa tốt trong hoạt động quản lý an toàn. Những điểm mạnh tổ chức đã thực hiện triển khai trước đó sẽ được duy trì. Và luận văn tập trung triển khai vào ba giải pháp chính mà trước đó đơn vị chưa có hoặc triển khai đưa đầy đủ hiện quả đó là: hoạt động liên quan tới quản lý rủi ro, quản lý công tác vận hành khai thác và cac hoạt động nhằm nâng cao tính liên tục các hệ thống công nghệ thông tin và viễn thông.

Phương pháp nghiên cứu: Nghiên cứu phương pháp về quản lý dữ liệu. Khảo sát, đánh giá hiện trạng hệ thống và cách thức quản lý hiện tại của đơn vị để đề xuất khung quản lý dữ liệu cho viễn thông. Sau đó đi vào nghiên cứu sâu các giải pháp cho mảng quản lý an tòan thông tin dữ liệu. Triển khai các phương pháp quản lý vào thực tế trong đơn vị để nâng cao năng lực quản lý an toàn thông tin cho dữ liệu viễn thông.

Phương pháp thực nghiệm: Xây dựng hệ thống văn bản, tài liệu, công cụ quản lý và đưa vào triển khai áp dụng trong thực tế.

Luận văn sẽ được cấu trúc với ba chương. Chương 1 Khung quản lý dữ liệu đưa ra khái niệm chung về quản trị, quản lý dữ liệu. Mô tả các thành phần chính trong khung quản lý dữ liệu chung. Sau khi khảo sát hoạt động đơn vị thì đưa ra khung quản lý dữ liệu cho dữ liệu viễn thông. Các vấn đề, vướng mắc hay gặp phải trong việc quản lý dữ liệu. Chương hai bắt đầu đi sâu hơn vào trong một những hợp

9

phần quan trọng nhất trong việc quản lý dữ liệu và quản lý an toàn thông tin. Đưa ra các khái niệm chính về an toàn thông tin dữ liệu. Đưa ra các phương pháp trong việc quản lý an toàn thông tin, mô tả chi tiết các hợp phần cần thực hiện khi thiết lập hệ thống quản lý an toàn thông tin tại đơn vị. Sau khi nghiên cứu phương pháp và đưa ra các phần chính cần thực hiện khi quản lý an toàn thông tin, dựa vào kết quả khảo sát tại đơn vị, luận văn tập trung đưa ra các giải pháp chính mà chưa được xây dựng, triển khai tại đơn vị hoặc việc triển khai tại đơn vị chưa được đầy đủ, hiệu quả. Các giải pháp chi tiết này sẽ được đưa ra tại chương ba và đánh giá kết quả triển khai.

CHƯƠNG 1. KHUNG QUẢN LÝ DỮ LIỆU

1.1. KHÁI NIỆM CHUNG VỀ QUẢN LÝ DỮ LIỆU

1.1.1. Định nghĩa thông tin và dữ liệu

Ngày nay, nhiều tổ chức nhận ra rằng dữ liệu là tài sản vô cùng quan trọng của doanh nghiệp. Dữ liệu và thông tin có thể cung cấp cái nhìn sâu sắc về khách hàng, sản phẩm và dịch vụ của họ qua đó giúp doanh nghiệp đổi mới và đạt được mục tiêu chiến lược [1], [3]. Mặc dù thừa nhận là vậy nhưng rất ít tổ chức chủ động quản lý dữ liệu như một tài sản để khai thác giá trị liên tục từ dữ liệu của mình. Giá trị mang lại từ dữ liệu không phải một cách ngẫu nhiên mà nó là cả một quá trình xây dựng mục tiêu, chiến lược, kế hoạch, điều phối và có sự cam kết. Đòi hỏi cả việc quản trị và lãnh đạo. Dữ liệu và thông tin không chỉ là tài sản của tổ chức mà tổ chức cần đầu tư vào việc quản trị dữ liệu, thông tin để có thể thu lợi trong tương lai. Dữ liệu và thông tin quan trọng thiết yếu đối với các tổ chức trong các hoạt động hàng ngày, được coi như “dòng máu của cuộc sống”, thậm chí là “dầu mỏ mới” của nền kinh tế thông tin. Do đó tổ chức phải quản trị nguồn dữ liệu để qua đó tăng khả năng ra các quyết định đúng căn cứ trên kết quả phân tích dữ liệu [3], [9]. Dữ liệu được hiểu là thông tin được lưu trữ dưới dạng số (mặc dù dữ liệu không giới hạn thông tin được số hóa hay được quản lý trên giấy hay trong các cơ sở dữ liệu). Tuy nhiên, do ngày nay chúng ta có thể nắm bắt được rất nhiều thông tin điện tử, chúng ta gọi nhiều thứ là “dữ liệu”, những thứ mà trước đó không được coi là dữ liệu như: tên, địa chỉ, ngày sinh, những gì mọi người ăn trong bữa tối thứ bảy, cuốn sách hay được mua nhiều nhất [3], [9].

10

Những sự kiện về hành vi con người được tổng hợp, phân tích và sử dụng để tạo ra lợi nhuận, cải thiện sức khỏe hoặc ảnh hưởng đến chính sách công. Thực tế tốn nhiều giấy mực để định nghĩa mối quan hệ giữa dữ liệu và thông tin. Dữ liệu được gọi “Nguyên liệu của thông tin – Raw material of information” và thông tin được gọi là “Dữ liệu trong một bối cảnh – Data in context”. Hình 1.1 biểu diễn tháp dữ liệu từ đáy tới đỉnh lần lượt sẽ là “Dữ liệu, Thông tin, Kiến thức và trên cùng là Trí tuệ - Data, Information, Knowledge and Wisdom)1.

Hình 1.1 Tháp dữ liệu

Qua hình tháp ta có thể thấy dưới cùng là dữ liệu, dữ liệu là nền tảng cho thông tin, kiến thức và trí tuệ của tổ chức. Việc tổ chức có khai thác, sử dụng tối đa tri quản lý dữ liệu cho tốt. Tuy nhiên trong việc quản lý dữ liệu cho tổ chức còn tồn tại rất nhiều thách thức như dữ liệu được giả định đơn giản chỉ là tồn tại. Nhưng dữ liệu không chỉ tồn tại, dữ liệu được tạo ra.Dữ liệu và thông tin là hai khái niệm đan xen và phụ thuộc với nhau. Dữ liệu là một dạng của thông tin và thông tin là một dạng của dữ liệu.

Cả dữ liệu và thông tin đều cần phải được quản lý để đảm bảo có được chất lượng cao nâng cao tính tin cậy trong các kết quả phân tích dữ liệu.

1.1.2. Quản lý dữ liệu

Quản lý dữ liệu là sự phát triển, thực hiện và giám sát các kế hoạch, chính sách, chương trình và thực hành cung cấp, kiểm soát, bảo vệ và nâng cao giá trị của dữ liệu và tài sản thông tin trong suốt vòng đời của họ.

Quản lý dữ liệu chuyên nghiệp là bất kỳ người nào làm việc trong bất kỳ khía cạnh của quản lý dữ liệu (từ quản lý kỹ thuật của dữ liệu trong suốt vòng đời của nó để đảm bảo rằng dữ liệu được sử dụng đúng cách) để đáp ứng mục tiêu chiến 1https://en.wikipedia.org/wiki/DIKW_pyramid

Wisdom

Knowledge

Information

Data

11

lược của tổ chức. Các chuyên gia quản lý dữ liệu đảm nhận nhiều vai trò, từ kỹ thuật (ví dụ, các quản trị cơ sở dữ liệu, quản trị mạng, lập trình viên) đến kinh doanh chiến lược (ví dụ, nhà chiến lược dữ liệu, cán bộ quản lý dữ liệu).

Hoạt động quản lý dữ liệu trên phạm vi rộng bao gồm mọi thứ, từ khả năng đưa ra quyết định phù hợp về cách để có được giá trị chiến lược từ dữ liệu, để việc triển khai kỹ thuật và hiệu suất của cơ sở dữ liệu. Do đó quản lý dữ liệu đòi hỏi cả hai kỹ năng kỹ thuật và phi kỹ thuật. Trách nhiệm quản lý dữ liệu phải được chia sẻ giữa các vai trò các bộ phận nghiệp vụ và bộ phận công nghệ thông tin để đảm bảo một tổ chức có dữ liệu chất lượng cao đáp ứng nhu cầu chiến lược của mình.

1.1.3. Quản trị dữ liệu

Quản trị dữ liệu là một khái niệm của quản lý dữ liệu liên quan đến khả năng cho phép một cơ quan, tổ chức bảo đảm rẳng chất lượng dữ liệu cao tồn tại trong suốt vòng đời hoàn chỉnh của dữ liệu. Các lĩnh vực trọng tâm của quản trị dữ liệu bao gồm tính khả dụng, khả năng sử dụng, tính nhất quán, tính toàn vẹn dữ liệu, bảo mật dữ liệu, thiết lập các quy trình để bảo đảm quản lý dữ liệu hiệu quả trong toàn bộ cơ quan, tổ chức. Người quản lý dữ liệu đóng vai trò bảo đảm các quy trình quản trị dữ liệu được tuân thủ, các hướng dẫn được thi hành và khuyến nghị cải tiến các quy trình quản trị dữ liệu [10].

Quản trị dữ liệu là tập hợp các quy trình, vai trò, chính sách, tiêu chuẩn và số liệu bảo đảm việc sử dụng thông tin hiệu lực và hiệu quả trong việc cho phép một tổ chức đạt được mục tiêu của mình. Nó thiết lập các quy trình và trách nhiệm bảo đảm chất lượng và bảo mật của dữ liệu được sử dụng trên toàn doanh nghiệp hoặc tổ chức. Quản trị dữ liệu xác định ai có thể thực hiện hành động nào, dựa trên dữ liệu nào, trong tình huống nào, sử dụng phương pháp nào [10], [11].

Quản trị dữ liệu xác định các quy tắc, ảnh hưởng và quy định cho dữ liệu để thiết lập xây dựng chính sách. Các quy tắc và chính sách này thiết lập quyền quyết định cũng như các biện pháp kiểm soát đảm bảo an ninh, trách nhiệm và sự tin cậy. Quản trị không phải là hoạt động giám sát hàng ngày, mà là nền tảng vững chắc cho một hệ thống quản lý dữ liệu khả thi2.

Quản trị dữ liệu có thể được định nghĩa là một cách tiếp cận có tổ chức để quản lý dữ liệu và thông tin được chính thức hóa thành một tập hợp các chính sách và

2http://aita.gov.vn/quan-tri-du-lieu-yeu-cau-can-thiet-trong-xay-dung-co-so-du-lieu

12

quy trình bao gồm toàn bộ vòng đời của dữ liệu, từ thu thập đến sử dụng, xử lý. Các bước chính để tạo ra một chương trình quản trị dữ liệu mạnh mẽ bao gồm: Xác định thẩm quyền ra quyết định mang tính tổ chức; xác định các tiêu chuẩn, chính sách dữ liệu và thủ tục để hướng dẫn các quy trình quản lý dữ liệu khác nhau, bao gồm an ninh dữ liệu và bảo vệ quyền riêng tư, kiểm soát chất lượng dữ liệu và các hoạt động phổ biến dữ liệu; thực thi các chính sách và thủ tục sau khi xây dựng; giám sát việc tuân thủ các tiêu chuẩn, chính sách và thủ tục đã được thiết lập.

Một chương trình quản trị dữ liệu bao gồm: Bảo vệ dữ liệu nhạy cảm; đánh giá lỗ hổng và quản lý rủi ro; thực thi các yêu cầu tuân thủ pháp luật, quy định, hợp đồng; xác định các bên liên quan cùng với các vai trò và trách nhiệm của họ và quản lý truy cập.

Quản trị dữ liệu (Data Governance- DG) được định nghĩa là việc thực hiện các quyền và kiểm soát (hoạch định, giám sát và thực thi) trong việc quản lý dữ liệu. Tất cả các tổ chức đưa ra quyết định dựa trên dữ liệu, bất kể họ có chức năng quản trị dữ liệu chính thức hay không. Do vậy việc thiết lập mô hình quản lý dữ liệu trong tổ chức sẽ giúp cho tổ chức khai thác được tốt hơn, làm tăng lợi nhuận đem lại từ dữ liệu cho tổ chức đó. Mục đích của quản trị dữ liệu là đảm bảo dữ liệu được quản lý đúng cách, theo các chính sách và thông lệ tốt nhất về quản lý dữ liệu. Nếu như quá trình quản lý dữ liệu là để đảm bảo tổ chức khai thác được giá trị từ các nguồn dữ liệu của mình thì việc quản trị dữ liệu tập trung vào làm thế nào để đưa ra quyết định dựa trên dữ liệu. Quản trị dữ liệu tập trung vào các phạm vi: Chiến lược; Chính sách; Tiêu chuẩn và chất lượng; Giám sát; Tuân thủ; Quản lý vấn đề; Các dự án quản lý dữ liệu; Định giá tài sản dữ liệu.3

1.1.4. Phân biệt quản lý và quản trị dữ liệu

Quản trị dữ liệu thường bị nhầm lẫn với các thuật ngữ và khái niệm liên quan khác, bao gồm quản lý dữ liệu. Quản lý dữ liệu đề cập đến việc quản lý các nhu cầu vòng đời dữ liệu đầy đủ của một tổ chức. Quản trị dữ liệu là thành phần cốt lõi của quản lý dữ liệu, liên kết các lĩnh vực khác như chất lượng dữ liệu, quản lý dữ liệu tham chiếu và dữ liệu gốc, bảo mật dữ liệu, hoạt động cơ sở dữ liệu, quản lý siêu dữ liệu và lưu trữ dữ liệu [3], [12], [13].

3https://en.wikipedia.org/wiki/DIKW_pyramid

13

Từ điển quản lý dữ liệu định nghĩa quản trị dữ liệu là việc thực thi quyền lực, kiểm soát và ra quyết định chung (lập kế hoạch, giám sát và thi hành) đối với việc quản lý tài sản dữ liệu. Các sáng kiến quản trị dữ liệu cung cấp nền tảng để phát triển các giao thức và thủ tục quản lý dữ liệu phù hợp.

Mặt khác, quản lý dữ liệu là quá trình đưa các chính sách quản trị vào hoạt động. Quản trị cung cấp một khuôn khổ; sau đó, cơ quan, tổ chức có thể xác định các khu vực để quản lý (như bảo mật, cơ sở dữ liệu và kiểm soát tài liệu) và quản lý cơ sở hạ tầng hoặc kiến trúc. “Quản trị” thiết lập lý do tại sao và ai cho khả năng truy cập và kiểm soát dữ liệu, trong khi “Quản lý” thiết lập nơi truy cập và cách thức truy cập [3], [19].

1.1.5. Lợi ích và tầm quan trọng của quản lý dữ liệu

Quản lý dữ liệu quan trọng bởi vì quản lý dữ liệu chủ động là cần thiết để bảo đảm tính bảo mật, tính toàn vẹn, khả năng truy cập, tính sẵn có và chất lượng của dữ liệu. Thiết lập quản lý dữ liệu là một nhiệm vụ quan trọng đối với bất kỳ tổ chức nào. Nó đòi hỏi xác định tầm nhìn tổ chức, chính sách và thực tiễn; giành được sự ủng hộ của các bên liên quan; thực hiện chương trình; và theo dõi sự thành công của nó. Bằng cách phác thảo rõ ràng các chính sách, thủ tục chuẩn, trách nhiệm và kiểm soát các hoạt động dữ liệu xung quanh, chương trình quản lý dữ liệu giúp bảo đảm thông tin được thu thập, duy trì, sử dụng và phổ biến theo cách bảo vệ quyền riêng tư, bảo mật và an ninh của cá nhân, trong khi tạo ra dữ liệu thống kê kịp thời và chính xác [1], [3].

Quản lý dữ liệu là một yếu tố quan trọng để quản lý thành công các hệ thống dữ liệu phức tạp. Nó cho phép các tổ chức giải quyết hiệu quả hơn các thách thức liên quan đến chia sẻ dữ liệu, thay đổi theo thời gian và đáp ứng nhu cầu của các nhóm bên liên quan khác nhau trong và ngoài cơ quan. Những lợi ích của cách tiếp cận chủ động đối với quản trị dữ liệu bao gồm: Cải thiện độ chính xác của dữ liệu, đạt được bằng cách lập lịch kiểm toán chất lượng dữ liệu thường xuyên và sử dụng các tiêu chuẩn dữ liệu nhất quán trong việc đặt tên biến và phân loại siêu dữ liệu. Cải thiện khả năng sử dụng dữ liệu, xuất phát từ việc giám sát nội dung dữ liệu về tính nhất quán với tầm nhìn của tổ chức và nhu cầu của các bên liên quan. Cải thiện tính kịp thời của dữ liệu, được thực hiện bằng cách tránh trùng lặp các nỗ lực thu thập dữ liệu không cần thiết và giảm công việc cần thiết để đối chiếu các lỗi hoặc sai lệch khi hợp nhất hoặc chia sẻ dữ liệu. Tăng cường an ninh dữ liệu, có được bằng cách thiết kế một kế hoạch an ninh toàn diện và áp dụng các mức bảo vệ phù hợp cho dữ liệu dựa trên mức độ nhạy cảm của chúng.

14

Chức năng của quản trị dữ liệu bao gồm việc thực thi thẩm quyền, kiểm soát và ra quyết định chung (lập kế hoạch, giám sát và thực thi) đối với việc quản lý tài sản dữ liệu. Quản trị dữ liệu đóng vai trò rất quan trọng trong việc đạt được chất lượng dữ liệu cao. Quản trị dữ liệu tạo ra một cấu trúc có tổ chức nhằm phát triển và thực thi các chính sách, quy tắc, quy trình và thủ tục để bảo đảm và cải thiện chất lượng dữ liệu trong một tổ chức [3], [9].

1.1.6. Nguyên tắc quản lý dữ liệu

Mục tiêu của quản lý dữ liệu để cho phép tổ chức quản lý dữ liệu như một tài sản. Quản lý dữ liệu cung cấp các nguyên tắc, chính sách, quy trình, khung, ma trận số liệu và giám sát để quản lý dữ liệu như một tài sản và hướng dẫn các hoạt động quản lý dữ liệu ở tất cả các mức độ. Để đạt được mục tiêu tổng thể này, quản lý dữ liệu cần phải đạt được tính bền vững tức là quản lý dữ liệu cần phải được ưu tiên, nó không phải là một dự án có thời gian kết thúc, nó là một quá trình liên tục, đòi hỏi phải kiên trì thực hiện lâu dài, thường xuyên và liên tục cải tiến trong tổ chức. Bên cạnh đó, quản lý dữ liệu cần tích hợp vào trong các hoạt động quản lý của đơn vị. Các hoạt động quản lý dữ liệu cần được đưa vào trong phương pháp phát triển phần mềm, sử dụng dữ liệu để phân tích, quản lý dữ liệu master và quản lý rủi ro. Quản lý dữ liệu cần đảm bảo đo lường được. Quản lý dữ liệu làm tốt sẽ có tác động tốt tới tài chính tổ chức, nhưng chứng minh được tác động này cần có sự hiểu biết thời gian, điểm bắt đầu và lập kế hoạch để cải thiện [3], [12].

Việc triển khai chương trình quản lý dữ liệu yêu cầu cần có sự cam kết trong toàn tổ chức từ cấp lãnh đạo cao nhất của đơn vị. Có sự cam kết triển khai từ các cấp lãnh đạo, từ đó đưa vào các hoạt động chiến lược, định hướng kinh doanh. Và chia sẻ trách nhiệm, có ma trận phân tách trách nhiệm rõ ràng giữa các đơn vị trong tổ chức về hoạt động quản lý dữ liệu. Quản lý dữ liệu cần dựa trên khung và có nguyên tắc quản lý cụ thể.

Nguyên tắc quản lý dữ liệu cần đảm bảo tính toàn vẹn những người tham gia quản lý dữ liệu sẽ thực hiện toàn vẹn các giao dịch của họ. Tiếp theo là tính minh bạch quy trình quản lý dữ liệu và quản lý dữ liệu sẽ thể hiện tính minh bạch; cần phải rõ ràng cho tất cả những người tham gia và kiểm toán viên về cách thức và thời điểm các quyết định và kiểm soát liên quan đến dữ liệu được đưa vào các quy trình. Có khả năng đánh giá được các quyết định, quy trình và kiểm soát liên quan đến quản lý dữ liệu sẽ có thể kiểm toán được; chúng sẽ được kèm theo tài liệu để hỗ trợ các yêu cầu kiểm toán dựa trên hoạt động và tuân thủ. Quản lý dữ liệu sẽ xác định trách nhiệm cho các quyết định, quy trình và kiểm soát liên quan đến dữ

15

liệu chức năng chéo. Quản lý dữ liệu sẽ xác định trách nhiệm đối với các hoạt động quản lý là trách nhiệm của từng người đóng góp, cũng như trách nhiệm đối với các nhóm quản lý dữ liệu. Quản lý dữ liệu sẽ xác định trách nhiệm theo cách giới thiệu kiểm tra và cân bằng giữa các nhóm kinh doanh và công nghệ cũng như giữa những người tạo/thu thập thông tin, những người quản lý nó, những người sử dụng nó và những người giới thiệu các tiêu chuẩn và yêu cầu tuân thủ. Quản lý dữ liệu sẽ hỗ trợ tốt chuẩn hóa dữ liệu doanh nghiệp. Cuối cùng, quản lý dữ liệu sẽ hỗ trợ các hoạt động quản lý thay đổi chủ động và phản ứng cho các giá trị dữ liệu tham chiếu và cấu trúc/ sử dụng dữ liệu gốc và siêu dữ liệu [10].

1.1.7. Các lĩnh vực trọng tâm chính cần được đề cập trong quản lý dữ liệu

An ninh dữ liệu và quản lý rủi ro: Bảo đảm an ninh cho dữ liệu nhạy cảm (dữ liệu có nguy cơ bị tổn hại do tiết lộ trái phép hoặc vô ý) và thông tin nhận dạng cá nhân bằng cách bảo vệ chống lại rủi ro tiết lộ trái phép là ưu tiên hàng đầu đối với chương trình quản lý dữ liệu hiệu quả. Mục tiêu này đạt được bằng cách thiết lập một kế hoạch quản lý an ninh dữ liệu toàn diện với hệ thống kiểm tra và kiểm soát để giảm thiểu rủi ro an ninh dữ liệu. Các chính sách và hướng dẫn phải xác định các quy tắc cho việc sử dụng cá nhân và sử dụng liên quan đến công việc đối với tất cả hệ thống máy tính và dữ liệu của tổ chức, bao gồm các thủ tục sử dụng dữ liệu, đánh giá rủi ro dữ liệu để xác định lỗ hổng và xử lý các vi phạm an ninh dữ liệu và giải thích cách giám sát việc tuân thủ các chính sách này. Điều quan trọng là phải tiến hành đào tạo nhân viên và kiểm toán thường xuyên để bảo đảm tuân thủ các chính sách và thủ tục của tổ chức. Kế hoạch bảo mật và an ninh dữ liệu nên được xem xét và sửa đổi thường xuyên để cập nhật các mối đe dọa mới nhất [13].

Kiểm kê dữ liệu và quản lý nội dung dữ liệu: Duy trì kiểm kê cập nhật đầy đủ tất cả các bản ghi và hệ thống dữ liệu bao gồm cả dữ liệu được sử dụng để lưu trữ và xử lý dữ liệu, cho phép tổ chức nhắm mục tiêu an ninh dữ liệu và quản lý quyền riêng tư để bảo vệ dữ liệu nhạy cảm. Bản kiểm kê dữ liệu cần chỉ định những phần tử dữ liệu nào được thu thập, cung cấp lý do cho việc thu thập chúng và giải thích các mục đích dự định cho việc sử dụng chúng. Một tổ chức nên thường xuyên xem xét việc kiểm kê của mình và sửa đổi các chính sách quản lý dữ liệu để bảo đảm rằng chỉ những dữ liệu cần thiết để đáp ứng bộ chính sách, hoạt động và nhu cầu nghiên cứu chính đáng mới được thu thập và duy trì. Tất cả các phần tử dữ liệu nên được phân loại theo mức độ nhạy cảm của chúng (ví dụ: bằng cách đánh giá rủi ro tiết lộ thông tin nhận dạng cá nhân; khả năng gây ảnh hưởng xấu cho cá nhân, nếu dữ liệu bị xâm phạm; yêu cầu pháp lý để bảo vệ dữ

16

liệu, v.v.) bảo đảm phù hợp với những nỗ lực an ninh được áp dụng để bảo vệ dữ liệu [3], [11].

Quản lý hồ sơ dữ liệu và truy cập dữ liệu: Bảo đảm tuân thủ các chính sách an ninh được thực hiện bằng cách chỉ định rõ ràng tất cả các hoạt động liên quan đến xử lý dữ liệu của người quản lý dữ liệu cũng như người dùng. Điều này bao gồm nêu rõ ai có thể truy cập dữ liệu nào, cho mục đích gì, truy cập khi nào và truy cập như thế nào. Một kế hoạch quản trị cần cung cấp hướng dẫn về các hoạt động dữ liệu người dùng và người quản lý phù hợp để xử lý các bản ghi trong tất cả các giai đoạn của vòng đời dữ liệu bao gồm thu thập, duy trì, sử dụng và lưu trữ hoặc hủy dữ liệu một cách an toàn. Ngoài ra, kế hoạch nên xác định các yêu cầu và cơ chế cho việc hủy thông tin nhận dạng cá nhân để bảo vệ quyền riêng tư cá nhân (ví dụ: bằng cách xóa tất cả các định danh trực tiếp và gián tiếp khỏi dữ liệu liên quan đến thông tin nhận dạng cá nhân) [3], [12].

Chất lượng dữ liệu: Xây dựng các phương pháp để ngăn chặn, phát hiện, sửa lỗi và lạm dụng dữ liệu là điều cần thiết để duy trì dữ liệu chất lượng cao. Cách tiếp cận chủ động đối với quản lý dữ liệu đòi hỏi phải thiết lập các tiêu chuẩn chất lượng dữ liệu và giám sát, cập nhật thường xuyên các chiến lược quản lý dữ liệu để bảo đảm dữ liệu chính xác, phù hợp, kịp thời và hoàn chỉnh cho các mục đích mà chúng dự định sẽ được sử dụng. Một kế hoạch quản lý dữ liệu mạnh mẽ nên phác thảo việc sử dụng dữ liệu có thể chấp nhận để cân bằng giữa quyền riêng tư và an ninh với nhu cầu dữ liệu chất lượng cao cần thiết cho các phân tích thống kê. Việc kiểm toán chất lượng định kỳ nên được xây dựng trong tất cả các chu trình quản lý dữ liệu, bao gồm thu thập, báo cáo và phát hành [3].

Chia sẻ dữ liệu và báo cáo: Bảo đảm các hoạt động phổ biến dữ liệu tuân thủ luật pháp là trách nhiệm chính của cơ quan, tổ chức. Việc phát hành hoặc chia sẻ bất kỳ dữ liệu nào mà không có sự đồng ý bằng văn bản (ví dụ: dưới dạng hồ sơ cá nhân hoặc báo cáo tổng hợp) phải tuân thủ các chính sách và quy định do tổ chức thiết lập bao gồm các thủ tục bảo vệ thông tin nhận dạng cá nhân khi chia sẻ với các cơ quan khác và thủ tục tránh tiết lộ để bảo vệ thông tin nhận dạng cá nhân không bị tiết lộ trong các báo cáo công khai. (Bảo đảm rằng mọi thỏa thuận chia sẻ dữ liệu đều được cho phép theo luật và quy định về quyền riêng tư). Hơn nữa, kế hoạch quản lý dữ liệu nên xác định các thủ tục để thông báo cho các bên liên quan thường xuyên về các quyền của họ theo luật và quy định điều chỉnh quyền riêng tư của dữ liệu.

1.1.8. Các bước cơ bản để thực hiện quản lý dữ liệu

Thành lập ủy ban quản lý dữ liệu: Trong một hệ thống dữ liệu phức tạp với nhiều mục đích sử dụng, thiết lập nhiệm vụ, ban hành các chính sách và thủ tục

17

quản lý dữ liệu được giao cho một ủy ban quản lý dữ liệu. Ủy ban này phải có “chức năng chéo” và bao gồm đại diện bộ phận, tư vấn pháp lý, quản trị viên hệ thống dữ liệu, nhà cung cấp dữ liệu, quản lý dữ liệu, chuyên gia an ninh và quyền riêng tư, người dùng dữ liệu từ khắp tổ chức. Các thành viên ủy ban đại diện cho các văn phòng khác nhau này (ví dụ: các văn phòng liên quan đến việc cung cấp hoặc sử dụng dữ liệu) nên được bổ nhiệm bởi các khu vực (hoặc một nhóm cá nhân) khác với cơ quan quản lý điều hành.

Xác định chính sách và thủ tục quản lý dữ liệu: Ủy ban quản lý dữ liệu phát triển các chính sách, thủ tục và tiêu chuẩn cho một chương trình bảo vệ dữ liệu và quyền riêng tư. Các chính sách và thủ tục này phải khả thi ở các cấp khác nhau trong cấu trúc quản lý dữ liệu của tổ chức. Ủy ban quản trị có trách nhiệm chính thức hóa các chính sách và thủ tục quản lý dữ liệu bằng văn bản sau khi lấy ý kiến phản hồi của các bên liên quan và bảo đảm sự hỗ trợ từ lãnh đạo điều hành.

Triển khai chương trình quản lý dữ liệu: Các chính sách và quy trình cụ thể được nêu trong chương trình quản lý dữ liệu được những người quản lý dữ liệu triển khai thông qua việc quản lý dữ liệu liên tục bao gồm thu thập, xử lý, lưu trữ, bảo trì và sử dụng. Bất kỳ thay đổi nào đối với chương trình quản trị phải được sự chấp thuận của các lãnh đạo có thẩm quyền điều hành, người ban đầu chỉ định các thành viên của Ủy ban quản lý dữ liệu.

Theo dõi và báo cáo tiến độ chương trình: Người quản lý dữ liệu có trách nhiệm tích cực theo dõi các hoạt động liên quan đến dữ liệu để bảo đảm tuân thủ các tiêu chuẩn, chính sách và thủ tục đã được thiết lập. Ủy ban quản lý dữ liệu nên theo dõi tiến độ thực hiện chương trình với các số liệu chính (ví dụ: thống kê chất lượng dữ liệu) và báo cáo định kỳ về tiến độ cho nhóm lãnh đạo và các bên liên quan khác.

18

1.2. KHUNG QUẢN LÝ DỮ LIỆU

Khung quản lý dữ liệu đang đặt quản trị dữ liệu ở vị trí trung tâm, vì quản trị là cần thiết cho sự nhất quán và cân bằng giữa các chứ năng. Tất cả các thành phần trong khung quản lý dữ liệu đều là cần thiết cho tổ chức trong việc quản lý thông tin, tuy nhiên chúng có thể sẽ được triển khai tại các thời điểm khác nhau phụ thuộc vào mức độ ưu tiên và yêu cầu của tổ chức [3].

Quản trị dữ liệu là lập kế hoạch, triển khai, giám sát toàn bộ hoạt động, các quy trình, chức năng có trong quản lý dữ liệu, kiểm soát hệ thống Quản lý dữ liệu (Data Management). DAMA đã đặt Quản trị dữ liệu vào trung tâm cửa khung quản lý dữ liệu, vì quản trị dữ liệu đóng vai trò như “trái tim”, thành phần cốt lõi, ổn định, cân bằng giữa tất cả các chức năng trong Quản lý dữ liệu [3], [19].

Hình 1.2. Khung quản lý dữ liệu

Theo hiệp hội quản lý dữ liệu quốc tế (Data management Association- DAMA), khung quản lý dữ liệu bao gồm các lĩnh vực sau [3], [19]:

Quản lý kiến trúc dữ liệu (Data Architechture) là thành phần thứ hai trong khung quản lý dữ liệu, sau thành phần trung tâm là quản trị dữ liệu đã được giới thiệu trong nội dung trước.

Quản lý kiến trúc dữ liệu liên quan đến các việc: xác định nhu cầu, tiến hành thiết kế, duy trì và phát triển hệ thống kiến trúc dữ liệu bao gồm các mô hình, chính

19

sách, quy tắc hoặc tiêu chuẩn tác động đến các cách thức dữ liệu được thu thập, lưu trữ, sắp xếp, tích hợp và đưa vào phân tích, sử dụng.

Quản lý kiến trúc dữ liệu là quá trình xây dựng các yêu cầu trung về quản lý dữ liệu cho tổ chức. Giúp cung cấp một tiêu chuẩn chung, các yêu cầu chiến lược về dữ liệu. Đưa ra được các thiết kế tích hợp mức tổng quan để đáp ứng được các yêu cầu của tổ chức và phù hợp với chiến lược cũng như kiến trúc của doanh nghiệp.

Thiết kế và mô hình hóa dữ liệu (Data Modeling & Design) là quá trình khám phá, nghiên cứu, phân tích dữ liệu. Xác định, tìm hiểu các nhu cầu, mục đích khai thác dữ liệu, thể hiện những nhu cầu, mục đích đó của tổ chức vào các mô hình dữ liệu thống nhất, chuẩn tắc và có thể được sử dụng nhiều lần, lặp đi lặp lại trong tương lai. Mô hình hóa dữ liệu đại diện cho đối tượng dữ liệu, thể hiện mối liên hệ, sự kết hợp giữa các đối tượng dữ liệu khác nhau và các quy tắc có thể có giữa các đối tượng dữ liệu đó.

Lưu trữ và vận hành dữ liệu (Data Storage & Operations) các hoạt động bao gồm việc thiết kế, thực hiện, và hỗ trợ lưu trữ dữ liệu, mục đích để tối đa hóa giá trị trong suốt vòng đời dữ liệu, từ việc tiếp cận, thu thập, tích hợp đến xử lý. Lưu trữ và vận hành dữ liệu bao gồm hai hoạt động là cơ sở dữ liệu hỗ trợ tập trung và cơ sở dữ liệu kỹ thuật hỗ trợ.

Cơ sở dữ liệu hỗ trợ (Database support): tập trung vào các hoạt động liên quan đến vòng đời dữ liệu, từ việc triển khai xây dựng môi trường cơ sở dữ liệu ban đầu, đến việc thu thập, lưu trữ hay hủy bỏ dữ liệu, bảo đảm cơ sở dữ liệu được hoạt động tốt thông qua giám sát và điều chỉnh.

Cơ sở dữ liệu kỹ thuật hỗ trợ (Database technology support): xác định nhu cầu, yêu cầu của hệ thống lưu trữ dữ liệu, xem xét với khả năng, nguồn lực hiện tại của tổ chức, xác định các phần mềm kỹ thuật, kết cấu kiến trúc sẽ áp dụng, sau đó tiến hành xây dựng, cài đặt và quản trị các phần mềm và giải quyết các vấn đề phát sinh liên quan đến kỹ thuật trong tương lai.

Quản trị cơ sở dữ liệu (DBA) đóng vai trò quan trọng trong cả hai khía cạnh dung lượng lưu trữ dữ liệu và các hoạt động. Vai trò của DBA là thực hiện quản lý có uy tín nhất và thông qua hầu hết các dữ liệu rộng rãi vai trò chuyên nghiệp, và cơ sở dữ liệu có lẽ là trưởng thành hầu hết tất cả các biện pháp quản lý dữ liệu. DBA cũng đóng vai trò chủ đạo trong hoạt động dữ liệu và bảo mật dữ liệu.

20

Bảo mật dữ liệu (Data security) bao gồm việc lập kế hoạch, phát triển và thực hiện các chính sách, quy trình bảo mật, cung cấp cách thức xác thực, ủy quyền, truy cập, kiểm soát, thống kê, báo cáo về dữ liệu và tài sản thông tin. Chi tiết các yêu cầu về bảo mật cho từng loại dữ liệu là khác nhau giữa các công ty, ngành nghề, lĩnh vực thậm chí là giữa các quốc gia. Tuy nhiên, mục tiêu của hoạt động bảo mật dữ liệu là như nhau: bảo vệ tài sản thông tin, dữ liệu, tuân thủ các quy định về quyền riêng tư, bảo mật, các yêu cầu, thỏa thuận khác trong kinh doanh.

Tích hợp dữ liệu và khả năng tương tác (Data Integration & Interoperability) mô tả quá trình liên quan đến sự di chuyển và hợp nhất dữ liệu bên trong và giữa các hệ thống lưu trữ, các ứng dụng và tổ chức. Tích hợp dữ liệu theo các biểu mẫu cấu trúc nhất quán để dữ liệu giữa nhiều hệ thống có thể giao tiếp được với nhau. Đây là tính năng rất cơ bản mà hầu hết các doanh nghiệp cần thực hiện để: chuyển đổi dữ liệu, tích hợp các gói giải pháp của đối tác vào hệ sinh thái ứng dụng chung của tổ chức; chia sẻ dữ liệu giữa các ứng dụng trong tổ chức; phân phối dữ liệu giữa các cơ sở lưu trữ dữ liệu và trung tâm dữ liệu; lưu trữ dữ liệu; quản lý giao diện dữ liệu; tích hợp dữ liệu có cấu trúc và phi cấu trúc.

Quản lý tài liệu, nội dung (Document & content management) liên quan đến kiểm soát quá trình thu thập, lưu trữ, truy cập và sử dụng các tài liệu, thông tin ở bên ngoài cơ sở dữ liệu. Mục đích là duy trì tính toàn vẹn và cho phép người dùng truy cập và sử dụng dữ liệu và thông tin phi cấu trúc hoặc bán cấu trúc. Trong nhiều tổ chức, dữ liệu phi cấu trúc có môi quan hệ trực tiếp với dữ liệu có cấu trúc do đó cần thiết lập các kế hoạch hành động cụ thể, triển khai và giám sát. Ngoài ra, cũng như các loại dữ liệu khác, tài liệu và nội dung phi cấu trúc cần được kiểm tra về chất lượng và bảo mật.

Dữ liệu chủ và dữ liệu tham chiếu (References and master data): Các phòng ban, bộ phận, các quy trình, hệ thống trong một tổ chúc đều có nhu cầu về chia sẻ dữ liệu để sử dụng cho mục đích công việc của đơn vị mình. Mặc dù lợi ích của việc chia sẻ dữ liệu đem lại là rất nhiều, nhưng luôn luôn tiềm ẩn rất nhiều rủi ro và có nhiều vấn đề phát sinh như dữ liệu có thể bị trùng lặp, dư thừa, chất lượng dữ liệu không đảm bảo dẫn dến chi phí liên quan bị gia tăng. Đó là lý do vì sao tổ chức cần có sự quản lý dữ liệu tham chiếu và dữ liệu gốc (reference and master data) một cách hiệu quả. Dữ liệu tham chiếu là các bảng mã, mô tả dữ liệu, phân loại dữ liệu khác bên trong tổ chức hoặc liên quan đến dữ liệu, thông tin khác ngoài phạm vi tổ chức.

21

Kho dữ liệu tập trung và báo cáo quản trị dữ liệu (Data warehousing and Business Intelliengence) liên quan đến việc lập kế hoạch, thực hiện và kiểm soát các quy trình để cung cấp dữ liệu hỗ trợ ra các quyết định và hỗ trợ công tác lập báo cáo, truy vấn, phân tích dữ liệu để ra quyết định. Data warehousing mô tả các quá trình trích xuất, làm sạch, chuyển đổi, kiểm soát và truyền tải dữ liệu trong kho dữ liêu. Business Intelligence (BI) là các quá trình, cách thức sử dụng dữ liệu để hỗ trợ lãnh đạo của công ty đưa ra các quyết định về kinh doanh một cách chính xác tại mỗi thời điểm. BI dược coi là thuật ngữ phổ biến để miêu tả các cách sử dụng dữ liệu phục vụ cho việc dự báo môi trường kinh doanh thông qua các bước phân tích để nắm bắt, phát hiện ra các vấn đề kinh doanh trong dữ liệu. Từ đó các nhà lãnh đạo sẽ tiến hành đưa ra các hành động, giải pháp cụ thể.

Quản lý siêu dữ liệu (Metadata) liên quan đến việc lập kế hoạch, triển khai và kiểm soát các hoạt động truy cập, sử dụng metadata. Metadata – Siêu dữ liệu là loại dữ liệu dùng để mô tả các dữ liệu khác, như mô tả tính chất, loại biến dữ liệu, thông tin mà dữ liệu đó cung cấp. Cùng với reference data và master data, metadata hỗ trợ các quá trình xử lý, tích hợp, bảo mật, kiểm soát, chia sẻ dữ liệu diễn ra hiệu quả và chính xác hơn. Ngoài ra, metadata còn giúp chúng ta hiểu rõ hơn về dữ liệu, đánh giá chất lượng dữ liệu, quản lý các cơ sở dữ liệu, các ứng dụng tốt hơn.

Quản lý chất lượng dữ liệu: Việc lập kế hoạch, thực hiện và kiểm soát các hoạt động áp dụng những kỹ thuật quản lý chất lượng vào dữ liệu để đảm bảo nó phù hợp để phân tích và đáp ứng nhu cầu của người dùng. Quản lý chất lượng dữ liệu (Data Quality Management - DQM) là một quá trình hỗ trợ quan trọng trong quản lý thay đổi tổ chức. Thay đổi tập trung kinh doanh, chiến lược hội nhập kinh doanh của công ty, và sáp nhập, mua lại, và đối tác có thể uỷ quyền cho rằng chức năng CNTT nguồn pha trộn dữ liệu, tạo ra dữ liệu, truy cập dữ liệu, hoặc tích hợp dữ liệu.

Chất lượng dữ liệu là đồng nghĩa với chất lượng thông tin, nếu chất lượng dữ liệu kém sẽ tạo ra thông tin không chính xác và hiệu quả kinh doanh kém. Làm sạch dữ liệu là giải pháp cải tiến ngắn hạn và tốn kém mà không giải quyết các nguyên nhân gốc rễ của các vấn đề về chất lượng của dữ liệu. Một chương trình quản lý chất lượng dữ liệu chặt chẽ và tổng thể là cần thiết để cung cấp một giải pháp kinh tế để cải thiện chất lượng dữ liệu toàn vẹn.

Quản lý chất lượng dữ liệu tập trung vào quản lý vòng đời để tạo dữ liệu, chuyển đổi, và truyền tải để đảm bảo rằng những thông tin kết quả đáp ứng nhu cầu của

22

tất cả người tiêu dùng dữ liệu trong tổ chức.Thể chế hóa quy trình giám sát chất lượng dữ liệu, quản lý và cải thiện bản lề vào việc xác định nhu cầu kinh doanh cho dữ liệu chất lượng và xác định những cách tốt nhất để đo lường, giám sát, kiểm soát và báo cáo về chất lượng của dữ liệu. Sau khi xác định các vấn đề trong các dòng xử lý dữ liệu, thông báo cho người quản lý dữ liệu thích hợp để có hành động khắc phục nhằm giải quyết các vấn đề cấp tính, trong khi đồng thời cho phép loại bỏ các nguyên nhân gốc rễ của nó.

DQM cũng là một quá trình liên tục để xác định các thông số để xác định mức độ cho phép chất lượng dữ liệu để đáp ứng nhu cầu kinh doanh, và đảm bảo rằng chất lượng dữ liệu đáp ứng được yêu cầu của tổ chức. DQM liên quan phân tích chất lượng của dữ liệu, xác định điểm bất thường dữ liệu, và xác định yêu cầu kinh doanh và tương ứng với quy tắc kinh doanh cho khẳng định chất lượng dữ liệu cần thiết. DQM liên quan đến việc khi tiến hành các quy trình kiểm tra, kiểm soát theo dõi phù hợp với các quy tắc chất lượng dữ liệu được xác định, Cũng như khi tiến hành phân tích dữ liệu, tiêu chuẩn hóa, làm sạch, và củng cố, khi cần thiết.

1.3 KHUNG QUẢN LÝ DỮ LIỆU VIỄN THÔNG CHO TCT MẠNG LƯỚI VIETTEL

Dựa trên các thành phần khung quản lý dữ liệu chung của DAMA và quá trình khảo sát thực tế hiện trạng quản lý dữ liệu tại đơn vị để đưa ra khung quản lý dữ liệu, các hợp phần quan trọng bắt buộc tổ chức cần thực hiện quản lý khi muốn nâng cao công tác quản lý dữ liệu của đơn vị mình. Do mô hình thực tế tại tập đoàn Công nghiệp viễn thông quân đội cho sự phân công rõ ràng vai trò trách nhiệm về đơn vị ví dụ, các hoạt động định hướng quản trị thì thuộc các phòng ban trên tập đoàn, các hoạt động phát sinh, thu thập và lưu trữ dữ liệu thì rải rác trong tất cả hoạt động của đơn vị thành viên trong tập đoàn. Sau đó việc quản trị, quy cập, phân quyền nằm tập trung tại Tổng công ty mạng lưới Viettel. Từ đây là cung cấp dịch vụ cho các công ty thành viên sử dụng và phân tích dữ liệu. Song song với các hoạt động trên thì công tác quản lý an toàn thông tin được thực hiện bởi chính giải pháp từ các công ty thành viên và bởi công ty An ninh mạng chuyên trách.

Từ mô hình tổ chức hiện tại của cả tập đoàn, việc đưa ra mô hình khung quản lý dữ liệu như hình 1.3. Khung quản lý dữ liệu viễn thông được cho là phù hợp vì sắp xếp các phân hệ, cấu phần hợp lý cho từng đơn vị, tổng công ty theo đúng chức năng hiện tại.

23

Hình 1.3 Khung quản lý dữ liệu viễn thông

Như vậy khung quản lý dữ liệu viễn thông sẽ bao gồm: quản trị dữ liệu gồm có: quản lý dữ liệu, quản lý lưu trữ, quản lý vòng đời, quản lý dữ liệu chủ, quản lý siêu dữ liệu. Hợp phần này chủ yếu sẽ thuộc trách nhiệm định hướng bởi phòng ban Tập đoàn, đưa ra chỉ đạo, định hướng, nguyên tắc chung cho các đơn vị trực thuộc thực hiện.

Hợp phần thứ hai là thu thập/ lưu trữ thông tin gồm quản lý các nguồn tạo dữ liệu, dữ liệu được nhập vào như thế nào, quản lý về thời gian lưu trữ ra sao và cách tổ chức và tích hợp thông tin.

Sau đó khi thu thập và lưu trữ, dữ liệu sẽ được quản lý, xử lý để đảm bảo chất lượng, dữ liệu được chuẩn hoá, đảm bảo chất lượng, đo lường và kiểm thử được.

Việc quản lý truy cập dữ liệu rất cần thiết để đảm bảo dữ liệu được truy cập đúng theo quyền của các đơn vị. Sau đó là hợp phần quan trọng về việc phân tích dữ liệu, sử dụng các giải pháp bài toán cho việc phân tích dữ liệu, dự đoán tiềm năng cho việc phát triển, xây dựng sản phẩm và mô hình kinh doanh trong tương lai của doanh nghiệp.

Cuối cùng là hợp phần về quản lý an ninh thông tin. Hợp phần này được thực hiện bởi hai lớp tại chính các đơn vị thành viên trong tập đoàn và bởi công ty an ninh mạng có trách nhiệm rà soát, giám sát lại việc thực hiện tại đơn vị.

Hợp phần quản trị gồm: Công tác quản lý để lập kế hoạch, thực hiện và giám sát các chính sách, thông lệ và dự án tạo ra, kiểm soát, bảo vệ và tăng cường giá trị của tài sản thông tin. Tiếp theo là quản lý kiến trúc: quy trình xác định và duy trì

24

các thông số kỹ thuật cung cấp từ vựng nghiệp vụ phổ biến, thể hiện các yêu cầu về dữ liệu chiến lược, phác thảo các thiết kế tích hợp cấp cao và phù hợp với chiến lược doanh nghiệp và kiến trúc kinh doanh.

Quản lý vòng đời: quy trình xác định các giải pháp dữ liệu đầu cuối trong toàn bộ vòng đời dữ liệu. Bao gồm việc tạo ra dữ liệu thông qua các hoạt động phân tích cho đến triển khai các giải pháp.

Quản lý dữ liệu chủ: quy trình kiểm soát các hoạt động để đảm bảo các định nghĩa thống nhất của các đơn vị kinh doanh trên nhiều hệ thống nội bộ và mở rộng cho các đối tác khi thích hợp.

Quản lý metadata: quy trình đầu cuối để tạo, kiểm soát, tăng cường, xác định và quản lý dữ liệu để cho phép truy cập thông tin tích hợp chất lượng cao.

Hợp phần thu thập/ lưu trữ gồm: Nguồn phát sinh dữ liệu, xác định và quản lý dữ liệu để cho phép truy cập kinh doanh trên nhiều hệ thống nội bộ và bên ngoài.

Nhập: khả năng thu thập và sắp xếp thông tin từ tầng tạo dữ liệu cho quá trình xử lý thông tin.

Thời gian lưu: lưu trữ tài sản thông tin tại một địa điểm đã chọn và xác định loại cấu trúc. Tổ chức và lưu trữ thông tin lịch sử.

Lưu trữ: các hệ thống lưu trữ các loại dữ liệu khác nhau (cấu trúc, bán cấu trúc và không có cấu trúc) bao gồm các hoạt động của cơ sở dữ liệu.

Chuyển đổi: giá trị dữ liệu được chuyển đổi từ định dạng dữ liệu của một hệ thống dữ liệu nguồn sang định dạng dữ liệu của một hệ thống dữ liệu đích.

Tổ chức và tích hợp: quản lý, tập hợp, tích hợp và cung cấp các tài sản dữ liệu cần thiết cho doanh nghiệp yêu cầu để phân tích và ra quyết định.

Hợp phần chất lượng dữ liệu gồm: Chuẩn hóa: định dạng tài sản thông tin thành các giá trị theo cấu trúc nhất quán. Đảm bảo chất lượng: các tiêu chuẩn thông tin được tạo ra và áp dụng cho thông tin (về định dạng, ngữ nghĩa và mức độ chất lượng), để xác định và thông báo nếu có sự khác biệt so với tiêu chuẩn đó.

Đo lường: quy trình và giám sát để đảm bảo thông tin hoàn chỉnh, chính xác, nhất quán và cập nhật để đáp ứng nhu cầu của tổ chức.

Kiểm thử: cho phép hiển thị các thay đổi được thực hiện để hiểu và ngăn chặn các tác động tiêu cực đến thông tin.

25

Hợp phần truy cập và cung cấp dữ liệu gồm: Khám phá dữ liệu: cho phép người dùng truy cập dữ liệu thô để kiểm thử giả thuyết nhanh chóng và dễ dàng trên nhiều nguồn dữ liệu bao gồm cả nội bộ và bên ngoài. Công bố, trích xuất: tài sản thông tin được tiếp xúc với các ứng dụng và những người sử dụng thông tin khác, bao gồm việc truyền tải tới các bên thứ ba bên ngoài. Sau đó sẽ quản lý phân bổ: chuyển giao nội dung thông tin theo mẫu quy định cho người nhận.

Tìm kiếm: khả năng xác định mối quan hệ của tài sản thông tin với một khái niệm mục tiêu hoặc các khái niệm.

Tự truy cập: khả năng cung cấp dữ liệu để cho phép người dùng sử dụng thông tin theo yêu cầu.

Ảo hóa: nhiều kỹ thuật, phương pháp hoặc phương pháp tiếp cận để kết hợp các nguồn dữ liệu/loại dữ liệu khác nhau bất kể nơi dữ liệu được đặt trong một môi trường ảo.

Tương tác hiển thị hóa: việc minh hoạ các đối tượng thông tin và mối quan hệ của chúng được kích hoạt bằng cách khai thác dữ liệu bằng cách thao tác các hình ảnh biểu đồ với các đối tượng hiển thị thể hiện các khía cạnh của bộ dữ liệu đang được phân tích.

eDiscovery: các hệ thống và quy trình kiểm tra dữ liệu để phân tích được nguyên nhân gốc của vấn đề.

Hợp phần phân tích dữ liệu gồm: Phân tích chẩn đoán: phân tích và trả lời các câu hỏi nghiệp vụ cụ thể và đào sâu vào các báo cáo tĩnh để biết chi tiết về tài khoản, giao dịch hoặc hồ sơ.

Phân tích dự báo: phân tích các sự kiện hiện tại và lịch sử bằng cách khai thác các mẫu để đưa ra dự đoán về cơ hội tương lai và nhận diện rủi ro.

Phân tích, chỉ thị: tìm cách xác định giải pháp hoặc kết quả tốt nhất trong số các lựa chọn khác nhau, dựa trên các thông số đã biết. Đề xuất các lựa chọn để quyết định về cách tận dụng cơ hội tương lai hoặc giảm nhẹ rủi ro tương lai.

Phân tích mô tả: phân tích các sự kiện trong quá khứ để có nhận thức nhằm xác định phương pháp tiếp cận đối với các tình huống tương lai tương tự.

Phân tích văn bản: phân tích và khai thác các mô hình và xu hướng bằng văn bản để cấu trúc, đánh giá và giải thích kết quả với sự trợ giúp của các công cụ xử lý ngôn ngữ tự nhiên và các công cụ phân tích.

26

Phân tích cảm tính: phân tích và rút ra kết luận cảm tính và tình cảm từ các nguồn (xã hội, giọng nói-văn bản, web, v.v.).

Hợp phần an ninh dữ liệu gồm: Bảo vệ: kiểm soát truy cập nguồn thông tin để xác minh rằng việc yêu cầu ứng dụng hoặc cá nhân là được phép.

Giám sát: mức độ mà tất cả các tài sản thông tin đạt được tuân thủ nhờ các chính sách quản trị liên quan đến tiêu chuẩn, chất lượng, an ninh, quyền riêng tư và quản lý vòng đời. Tính riêng tư: có chính sách bảo mật và các biện pháp kiểm soát để đảm bảo thông tin (khi cần) được ẩn danh hoặc thông tin nhạy cảm được soạn lập.

Các hợp phần trong quản lý dữ liệu đều rất quan trọng trong việc quản lý, đảm bảo chất lượng dữ liệu qua đó để nâng cao chất lượng việc ra quyết định dựa trên dữ liệu. Trong phạm vi khảo sát và đi sâu vào thực tế triển khai vào các bước triển khai tiếp theo, luận văn đi sâu vào nghiên cứu và triển khai cho hợp phần quản lý an ninh thông tin.

27

CHƯƠNG 2. QUẢN LÝ AN TOÀN THÔNG TIN TRONG DOANH NGHIỆP

2.1. ĐỊNH NGHĨA AN TOÀN THÔNG TIN

An toàn thông tin đang và sẽ tiếp tục là một điểm nóng trong ngành viễn thông, các nguy cơ rủi ro được tiềm ẩn trên nhiều khía cạnh, con người, quy trình và công nghệ. Để giải quyết vấn đề này cần xây dựng các hệ thống quản lý đảm bảo an toàn thông tin cho các hệ thống dữ liệu của tổ chức dựa trên các quy định hiện hành của pháp luật và các tiêu chuẩn kỹ thuật an toàn thông tin trên thế giới.

Bên cạnh việc trang bị các giải pháp kỹ thuật thì cần xây dựng chính sách An toàn thông tin để đưa ra các chiến lược, cam kết trong hoạt động quản lý cũng như thiết lập các chuẩn mực ATTT đảm bảo tính bảo mật, toàn vẹn và sẵn sàng cho tất cả các dữ liệu viễn thông.

Theo thống kê “Hơn 80% số sự cố là do yếu tố quản lý và con người song lại không có thống kê nào cho thấy việc đầu tư nâng cao nhận thức cho nhân viên về an toàn thông tin được chú trọng thực hiện. Hầu hết tập trung triển khai các giải pháp kỹ thuật, phần mềm ANTT…”

An toàn thông tin là đảm bảo tính bảo mật để dữ liệu chỉ được truy cập bởi những người được phép truy cập. Thứ hai là tính toàn vẹn để đảm bảo dữ liệu có tính chính xác và toàn vẹn của dữ liệu và các phương pháp xử lý dữ liệu. Tiếp theo là tính sẵn sàng để đảm bảo rằng những người được phép có thể truy cập dữ liệu và các tài sản liên quan khi có yêu cầu [4], [5].

2.2. CÁC PHƯƠNG PHÁP QUẢN LÝ AN TOÀN THÔNG TIN

2.2.1 Tiêu chuẩn quản lý an toàn thông tin ISO27001:2013

Để triển khai hệ thống quản lý an toàn dữ liệu trong tổ chức có nhiều phương pháp tiếp cận quản lý như áp dụng các tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin ISO27001:2013; bộ tiêu chuẩn an toàn thông tin của Mỹ - NIST; Tiêu chuẩn an toàn bảo vệ dữ liệu cá nhân GDPR.

Tiêu chuẩn quản lý an toàn thông tin ISO27001:2013 là tiêu chuẩn quốc tế được chuẩn bị để đưa ra một mô hình cho việc thiết lập, triển khai, vận hành, giám sát, xem xét, duy trì và nâng cấp hệ thống quản lý an ninh thông tin (ISMS – Information Security Management System) [4], [5].

Việc chấp nhận một hệ thống ISMS là một quyết định chiến lược của tổ chức. Thiết kế và triển khai hệ thống quản lý an ninh thông tin của một tổ chức phụ

28

thuộc vào nhu cầu và mục tiêu, các yêu cầu về an toàn phải đạt được, các quy trình đang được sử dụng, quy mô và cấu trúc của tổ chức. Kết hợp với các hệ thống hỗ trợ sẽ luôn cần được cập nhập và thay đổi. Việc đầu tư và triển khai hệ thống ISMS cần phải có tỷ trọng phù hợp với nhu cầu của tổ chức.

Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng như các bộ phận liên quan bên ngoài tổ chức.

Nó còn là công cụ để cho các nhà lãnh đạo thực hiện việc giám sát, quản lý hệ thống thông tin, tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệ thống thông tin- “đáp ứng được mục tiêu của doanh nghiệp, tổ chức”.

ISO 27001 đặc tả các yêu cầu cần thiết cho việc thiết lập, vận hành và ghi lại họat động của ISMS. Nó đưa ra các nguyên tắc cơ bản cho việc khởi tạo, thực thi, duy trì và cải tiến ISMS. Chuẩn quốc tế này được thống nhất cung cấp một mô hình để xây dựng, triển khai, điều hành, giám sát, xem xét, duy trì và cải tiến một hệ thống quản lí bảo mật thông tin ISMS. Chuẩn này bao gồm cả việc hướng dẫn, thực hành cho việc phát triển các quy định bảo mật thông tin, các thực tiễn quản lý bảo mật hiệu quả để xây dựng một hệ thống thông tin cho doanh nghiệp một cách an toàn và tin cậy. Việc tuân thủ của một hệ thống quản lí bảo mật thông tin ISMS phải là một quyết định chiến lược của một tổ chức. Việc thiết kế và triển khai hệ thống ISMS của một tổ chức phụ thuộc vào nhu cầu và mục tiêu của họ [5], [6].

Hình 2.1. Lộ trình triển khai ISO27001:2013

2.2.2 Phương pháp tiếp cận PCDA

Tiêu chuẩn quốc tế này chấp nhận việc tiếp cận theo quy trình để thiết lập, triển

29

khai, vận hành, giám sát, xem xét, duy trì và cải tiến hệ thống ISMS của tổ chức.

Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cách hiệu quả. Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý để chuyển đổi các đầu vào thành đầu ra thì đều được coi là một quy trình. Thông thường đầu ra từ quy trình này là đầu vào của quy trình tiếp theo.

Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết và tương tác giữa các quy trình và sự quản lý chúng, có thể coi là “cách tiếp cận theo quy trình”.

Tiêu chuẩn quốc tế này thông qua mô hình “Lập kế hoạch- Thực hiện – Kiểm tra và Hành Động- PDCA” để áp dụng cho tất cả các quy trình trong hệ thống ISMS. Mô hình dưới giải thích cách hệ thống ISMS lấy đầu vào là các yêu cầu và kỳ vọng về bảo mật thông tin của các bên thứ ba, sau khi tiến hành các quy trình xử lý cần thiết sẽ đáp ứng an ninh thông tin theo như các yêu cầu và kỳ vọng đặt ra. Hình 2.2 chỉ ra các liên hệ giữa các quy trình được biểu diễn trong các điều khoản của ISO27001:2013 [4], [5], [6].

Hình 2.2 Mô hình PDCA

Quá trình lập kế hoạch (thiết lập hệ thống ISMS) là quá trình thiết lập chính sách, mục tiêu, các quá trình và quy trình liên quan tới việc quản lý rủi ro và cải tiến an ninh thông tin nhằm đem lại các kết quả phù hợp với chính sách và mục tiêu chung của tổ chức. Sau khi có kế hoạch thì cần triển khai thực hiện hệ thống theo kế hoạch đã hoạch định ra. Triển khai và vận hành các chính sách ISMS, các biện pháp thực hiện kiểm soát, các quá trình và quy trình của hệ thống ISMS. Xác định hiệu quả việc thực hiện quy trình dựa trên chính sách, các mục tiêu của ISMS; báo cáo lại kết quả cho việc xem xét của lãnh đạo. Cuối cùng là tiến hành các hành động khắc phục và phòng ngừa dựa trên kết quả của việc đánh giá nội

30

bộ và xem xét của lãnh đạo về hệ thống ISMS hoặc dựa trên các thông tin liên quan Khi vận dụng mô hình PDCA vào việc triển khai tiêu chuẩn ISO27001:2013 vào tổ chức cần thực hiện các công việc chi tiết gì được mô tả chi tiết trong hình 2.3. Mô hình PDCA ISO27001.

Hình 2.3. Mô hình PDCA ISO27001

Ngay ở giai đoạn “Lập kế hoạch” đầu tiên cần triển khai thực hiện khảo sát, đo lường để đánh giá hiệu quả các giải pháp an toàn thông tin hiện tại tổ chức đang thực hiện. Các giải pháp hiện tại đã đủ để đảm bảo an toàn thông tin cho tổ chức chưa, có điểm mạnh điểm yếu như thế nào. Ở bước này sẽ giúp ta nhìn thấy bức tranh hiện tại về hệ thống quản lý an toàn thông tin doanh nghiệp. Tổ chức khi khảo sát thực trạng an toàn thông tin cho các hệ thống công nghệ thông tin, viễn thông của doanh nghiệp cần xây dựng danh sách các câu hỏi, kịch bản khảo sát đầy đủ. Trong phạm vi luận văn đã nghiên cứu xây dựng danh sách câu hỏi khảo sát đánh giá an toàn thông tin cho tổ chức chi tiết theo Phụ lục 02. Checklist khảo sát đánh giá rủi ro cho dữ liệu viễn thông. Sau khi khảo sát, chúng ta cần cập nhật lại cơ sở dữ liệu tài sản của tổ chức. Mục đích hệ thống an toàn thông tin là để kiểm soát an toàn cho tài sản, tài sản ở đây hiểu là tài sản thông tin, vật lý, phần mềm hay thương hiệu của doanh nghiệp. Do đó việc cập nhật thường xuyên đầy đủ danh mục tài sản của tổ chức là rất cần thiết. Từ danh mục tài sản, ta tiếp tục thực hiện đánh giá rủi ro. Để đánh giá rủi ro đầy đủ cho tài sản này luận văn đã nghiên cứu đưa ra danh mục ánh xạ giữa các điểm yếu và đe doạ chi tiết theo Phụ

31

lục 01. Danh sách các điểm yếu, đe doạ dùng để phân tích rủi ro an toàn cho dữ liệu viễn thông.

Ở giai đoạn “Thực hiện” các công việc chính cần thực hiện bao gồm đào tạo An toàn thông tin, xây dựng hệ thống tài liệu quy định, quy trình nội bộ đơn vị liên quan ATTT, tích hợp các yêu cầu ATTT trong hệ thống tài liệu hiện tại của tổ chức. Và thực hiện triển khai các giải pháp kiểm soát an toàn tổ chức còn chưa thực hiện hoặc thực hiện chưa tốt sau kết quả đánh giá khảo sát ở giai đoạn “Lập kế hoạch”.

Giai đoạn thứ ba “Kiểm tra” các giải pháp sau khi được thực hiện, ta cần thực hiện đo lường, đánh giá hiệu quả các giải pháp đã thực hiện triển khai. Đánh giá việc tuân thủ của các đơn vị khi áp dụng các giải pháp này để báo cáo kết quả tới lãnh đạo xem xét và ra quyết định cho hướng cải tiến tiếp theo.

Và giai đoạn cuối “Hành động” thực hiện các hành động cải tiến các giải pháp, cách thức đã thực hiện trong giai đoạn trước để mang lại hiệu quả ngày càng tốt hơn nữa.

2.2.3 Phương pháp quản lý rủi ro

Phương pháp quản lý rủi ro chính là “sợi chỉ đỏ” xuyên suốt trong quá trình xây dựng, triển khai, giám sát hệ thống quản lý an toàn thông tin.

Quản lý rủi ro bao gồm ba hoạt động chính: xác định rủi ro, đánh giá rủi ro và kiểm soát rủi ro. Ban đầu, tổ chức phải xác định, đánh giá nhận diện ra rủi ro hiện tại của tổ chức mình là gì. Để đánh giá, nhận diện được rủi ro một cách đầy đủ nhất thì tổ chức cần cập nhật đầy đủ cơ sở dữ liệu các tài sản của mình đang quản lý, đặc biệt là tài sản thông tin cùng với các đặc điểm, nơi lưu trữ, mức độ quan trọng và giá trị, đặc thù của tài sản. Sau khi rủi ro được nhận diện thì tổ chức cần thực hiện đánh giá, đo lường, xác định rủi ro ở mức độ ưu tiên như thế nào dựa trên mức độ ảnh hưởng của rủi ro nếu xảy ra và khả năng hay tần xuất rủi ro đó có thể xảy ra trên thực tế dựa trên các yếu tố bên ngoài, dữ liệu trong lịch sử để đánh giá xác nhận. Việc quyết định rủi ro có những hành động xử lý như thế nào cho phù hợp sẽ được cân nhắc dựa trên chi phí phải bỏ ra để xử lý rủi ro và mức độ ảnh hưởng nếu rủi ro xảy ra cho tổ chức ở mức độ nào. Để từ đó tổ chức có kế hoạch xử lý rủi ro cho phù hợp nhất với đặc điểm tình hình của đơn vị mình.

Sau khi có kế hoạch xử lý rủi ro, kế hoạch đó phải tiếp tục được giám sát kết quả thực hiện để đảm bảo việc thực hiện đúng tiến độ và triển khai biện pháp kiểm soát phù hợp và hiệu quả [16], [17], [18].

32

Trong quá trình xử lý rủi ro, tổ chức cần xác định mức độ chấp nhận rủi ro (Risk Appetite) là mức độ rủi ro mà tổ chức sẵn sàng chấp nhận. Mục tiêu của việc xử lý rủi ro là đảm bảo tất cả các rủi ro sau khi xử lý sẽ đạt về mức rủi ro có thể chấp nhận được. Còn sau khi áp dụng các biện pháp kiểm soát nhằm giảm rủi ro, đánh giá lại vẫn còn rủi ro dư (Residual Risk) là lượng rủi ro tồn động đối với tài sản thông tin ngay cả khi tổ chức đã áp dụng mức kiểm soát mong muốn thì tổ chức cần tiếp tục kiểm soát, áp dụng bổ sung biện pháp kiểm soát khác nếu cần để rủi ro về mức độ chấp nhận được [6].

Mô hình nhận diện rủi ro cho tổ chức thông thường hay được áp dụng gồm các giai đoạn chính sau: trước tiên tổ chức cần lên kế hoạch và quy trình với các bước phù hợp để nhận diện ra rủi ro, tiếp theo là nhậ diện, lên danh mục và phân loại tài sản. Sau khi có đầy đủ danh mục tài sản của tổ chức, phân nhóm tài sản phù hợp theo đặc thù (thông thường được chia thành các nhóm tài sản thông tin, tài sản vật lý, tài sản phần mềm, tài sản dịch vụ, hình ảnh) thì tổ chức cần tính giá trị để phân loại mức độ quan trọng, mức độ ưu tiên, đánh giá các điểm yếu của tài sản đó và các đe doạ bên ngoài có khả năng tấn công khai thác gây ra ảnh hưởng đến tài sản của tổ chức [18], [20].

Khi áp dụng mô hình quản lý rủi ro này cho hoạt động quản lý rủi ro an toàn thông tin cho các tài sản của tổ chức sẽ giúp ta có một bức tranh đầy đủ về các rủi ro ATTT mà tổ chức có khả năng gặp phải, đánh giá sắp xếp mức độ ưu tiên và xây dựng hệ thống các biện pháp kiểm soát một cách đầy đủ, bài bản để giảm thiểu rủi ro.

Chi tiết các biện pháp kiểm soát có khả năng áp dụng nhằm giảm thiểu rủi ro ATTT được trình bày chi tiết trong mục 2.3. Khung quản lý an toàn thông tin.

2.3. KHUNG QUẢN LÝ AN TOÀN THÔNG TIN

Tiêu chuẩn và các yêu cầu về an toàn thông tin được nói rất nhiều trong các tiêu chuẩn quản lý khác nhau như ISO27001, NIST, GDPR v.v. Tuy nhiên theo kinh nghiệm của bản thân và qua quá trình khảo sát tại đơn vị thì để triển khai hệ thống quản lý an toàn thông tin hiệu quả cần có sự phối hợp chặt chẽ giữa ba yếu tố là Quy trình, Công cụ và Con người. Ba yếu tố song hành kết hợp lại mới có được hệ thống quản lý tốt. Ví như nếu xây dựng hệ thống Quy trình có chuẩn, tốt đến đâu đi nữa nhưng không có hệ thống công cụ hỗ trợ để việc áp dụng được nhanh chóng hoặc con người không nhận thức được tầm quan trọng của việc áp dụng các quy trình vào hoạt động hàng ngày trong công việc của mình thì hệ thống

33

quản lý cũng không bao giờ tốt được. Do đó xây dựng quy trình xong và để quy trình đi vào cuộc sống cần chú ý xây dựng công cụ quản lý và chú trọng công tác đào tạo, truyền thông nâng cao nhận thức cho cán bộ nhân viên.

Sau khảo sát trên cả ba phương diện quy trình, công cụ và con người tại tổng công ty mạng lưới cộng với nhận biết được các giải pháp tổng công ty đã thực hiện thì đánh giá khung quản lý an toàn thông tin theo tiêu chuẩn quản lý ISO27001 là phù hợp, hiệu quả nhất cho đơn vị hiện tại.

Khung quản lý an toàn thông tin được mô tả chi tiết trong hình 2.4. Các lĩnh vực chính trong quản lý ATTT [4], [5], [6], [7].

Hình 2.4 Các lĩnh vực chính trong quản lý ATTT

Để có hệ thống quản lý ATTT toàn diện tổ chức cần thực hiện đầy đủ các vấn đề về quản lý chính sách ATTT, quản lý an ninh tổ chức, quản lý an ninh nguồn lực con người, quản lý tài sản, kiểm soát nguồn lực, quản lý mã hoá, quản lý bảo mật môi trường vật lý, quản lý bảo mật vận hành, quản lý bảo mật truyền thông, Quản lý nhà cung ứng và quản lý xây dựng, phát triển duy trì hệ thống [5], [6].

Việc xây dựng chính sách an toàn thông tin là cung cấp định hướng và hỗ trợ của lãnh đạo đối với hệ thống bảo mật thông tin phù hợp với những yêu cầu kinh doanh, luật pháp và chế định liên quan. Chính sách ATTT sau khi xây dựng cần được truyền thông đào tạo đầy đủ trong nội bộ cũng như cho các đối tác làm việc với đơn vị hiểu và nắm được nguyên tắc chung về ATTT với tổ chức. Và chính

34

sách này cần được định kỳ xem xét cập nhật nội dung, thay đổi phù hợp với thực tế tổ chức nếu cần.

Quản lý an ninh trong tổ chức là việc quản lý bảo mật thông tin của tổ chức và những phương tiện xử lý thông tin cần được tiếp cận, quy trình, thông tin hoặc được điều hành trong nội bộ và với các tổ chức bên ngoài. Trong nội bộ đơn vị cần có phân công vai trò trách nhiệm đơn vị rõ ràng liên quan như thế nào tới việc quản lý an toàn thông tin.

Quản lý bảo mật vấn đề nhân sự để đảm bảo rằng tất cả các nhân viên, người cung cấp nhân lực và người dùng của bên thứ ba hiểu được trách nhiệm của họ, và phù hợp với những vai trò họ thể hiện, và để giảm thiểu rủi ro về thất thoát, gian lận hoặc lạm dụng thiết bị của công. Tổ chức đưa ra các giải pháp, các chương trình đào tạo nhằm đảm bảo rằng tất cả các nhân viên, người cung cấp nhân lực và những người dùng của bên thứ ba nhận biết được các mối đe doạ và vấn đề liên quan về bảo mật thông tin, trách nhiệm và nghĩa vụ của họ, và được trang bị để hỗ trợ chính sách bảo mật thông tin của tổ chức trong phạm vi công việc bình thường của họ, và để giảm thiểu các rủi ro về lỗi con người. Nhân viên, người cung cấp nhân lực và người dùng bên thứ ba rời khỏi tổ chức hoặc thay đổi vị trí tuân thủ những quy định về bàn giao đầy đủ tài sản, quyền truy cập và cam kết bảo mật thông tin cho tổ chức kể cả khi đã nghỉ hoặc thôi không làm việc với đơn vị.

Tổ chức cần thực hiện quản lý, phân loại, kiểm kê tài sản định kỳ để duy trì những sự bảo mật cần thiết đối với tài sản của tổ chức và đảm bảo rằng rất cả các tài sản đều có các biện pháp bảo mật an toàn phù hợp. Các tài sản đánh giá phân loại các mức độ quan trọng khác nhau sẽ được ưu tiên các biện pháp kiểm soát khác nhau, ưu tiên và phù hợp theo mức độ quan trọng của tài sản đó.

Khi đơn vị thực hiện các biện pháp quản lý truy cập tức là triển khai các biện pháp quản lý truy cập cả về mặt logic và vật lý. Kiểm soát truy cập lôgic cho các quyền truy cập trên hệ thống, kiểm soát nhóm quyền ưu tiên có đặc quyền cao thì cần phải đảm bảo có đầy đủ biện pháp xác nhận bảo vệ phù hợp.

Một trong những biện pháp kiểm soát ATTT quan trọng không thể thiếu hiện nay là quản lý mã hóa. Mã hoá thông tin khi lưu trữ, vận chuyển nhằm bảo vệ an toàn dữ liệu không bị sử dụng, xâm phạm bởi người không được phép. Sử dụng mã hóa để bảo vệ thông tin nhạy cảm được truyền bởi các thiết bị, phương tiện di động hoặc phương tiện có thể di dời, hoặc qua các đường truyền thông.

35

Các biện pháp quản lý an toàn môi trường, vật lý là các biện pháp liên quan tới kiểm soát an ninh, an toàn về vành đai vật lý ngăn chặn những sự thâm nhập trái phép làm tổn hại về mặt vật lý trái phép trong tổ chức. Tổ chức cần triển khai các cách kiểm soát ra vào, các vòng an ninh bảo vệ, cửa an ninh, thẻ từ, camera giám sát v.v. Để ngăn ngừa những sự mất mát, tổn hại đến tài sản và làm gián đoạn những hoạt động của tổ chức.

Các hoạt động quản lý an toàn vận hành nhằm giảm thiểu rủi ro về những lỗi hệ thống. Nhằm ngăn ngừa những sự lộ tin, sự vi phạm, sửa đổi, di dời hoặc phá huỷ không được phép của tài sản và sự làm gián đoạn các hoạt động kinh doanh. Nhằm phát hiện ra những hành động xử lý thông tin không được phép. Cần xây dựng quy trình quản lý sự cố an toàn bảo mật để bảo đảm những sự kiện bảo mật thông tin và những điểm yếu liên quan đến hệ thống thông tin được truyền đạt để có thể có những hành động khắc phục hợp lý và đúng lúc. Bên cạnh đó quản lý tính liền mạch kinh doanh để tối thiểu thời gian gián đoạn trong những hoạt động kinh doanh để bảo vệ những hoạt động kinh doanh quan trọng không bị ảnh hưởng gián đoạn bởi các sự cố lớn hoặc thảm hoạ từ hệ thống thông tin và để đảm bảo sự hoạt động lại kịp thời.

Quản lý an toàn truyền thông là các biện pháp kiểm soát để đảm bảo các hệ thống cần được quản lý và kiểm soát để bảo vệ thông tin trong các hệ thống và ứng dụng. Các thông tin được thông báo ra ngoài sẽ được xem xét phê duyệt theo quy trình kiểm soát cụ thể để đảm bảo các thông tin được cung cấp đúng đến các đối tượng một cách phù hợp.

Các biện pháp để quản lý yêu cầu, phát triển và duy trì hệ thống thông tin để bảo đảm rằng bảo mật là một phần không thể thiếu trong hệ thống thông tin. Các giải pháp về ATTT được đưa ra, chú trọng ngay từ khi xây dựng hệ thống. Để ngăn ngừa lỗi, mất mát, thay đổi và lạm dụng trái phép các thông tin ứng dụng. Bảo vệ sự bảo mật, sự xác thực, hay toàn vẹn của thông tin bởi những mật mã. Hạn chế rủi ro xuất phát từ việc lợi dụng những điểm yếu kỹ thuật.

Bên cạnh đó, tổ chức cần đặc biệt lưu ý tới các vấn đề về quản lý mối quan hệ nhà cung ứng để đảm bảo việc bảo vệ tài sản của tổ chức có thể bị truy cập bởi các nhà cung cấp bên ngoài hay không. Tổ chức cần xác định và đưa ra chính sách kiểm soát an toàn thông tin đối với các nhà cung cấp đặc thù có quyền truy cập đến thông tin của tổ chức. Những kiểm soát này cần đề cập tới các quy trình và thủ tục cần được thực hiện bởi tổ chức, cũng như những quy trình và thủ tục mà tổ chức cần yêu cầu các nhà cung cấp thực hiện.

36

Từ khung các lĩnh vực chính mà đơn vị cần thực hiện kiểm soát một cách đầy đủ khi xây dựng hệ thống quản lý ANTT như hình 2.4. Em đã thực hiện khảo sát đánh giá hoạt đông quản lý ANTT theo các đầy đủ các yêu cầu trên chi tiết theo checklist đã được xây dựng theo Phụ lục 02. Checklist khảo sát đánh giá rủi ro cho dữ liệu viễn thông. Qua đó thấy được điểm mạnh, điểm yếu của tổ chức hiện tại, các biện pháp kiểm soát đã và đang làm tốt sẽ tiếp tục duy trì. Các biện pháp còn thiếu chưa triển khai hoặc triển khai chưa đầy đủ thì cần được triển khai bổ sung và tăng cường. Do vậy dựa vào kết quả đánh giá khảo sát tại Tổng công ty mạng lưới, em xin được đề xuất ba giải pháp chính triển khai cho Tổng công tý về Quản lý rủi ro an toàn thông tin đây là phương pháp xuyên suốt giúp cho tổ chức sớm nhận ra các điểm rủi ro về ATTT mình ở đâu từ đó sẽ có lựa chọn biện pháp kiểm soát ATTT. Từ việc sớm đánh giá nhìn nhận ra rủi ro sẽ giúp tổ chức chủ động có biện pháp phù hợp giảm thiểu rủi ro xảy ra. Tuy nhiên phương pháp này chưa được thực hiện triển khai cho nội bộ tổng công ty mà chỉ khi xảy ra rủi ro mới thực hiện hành động xử lý sự cố, vấn đề. Nghiên cứu xây dựng phương pháp luận, công cụ, mô hình tổ chức để thực hiện việc quản lý rủi ro ATTT cho đơn vị.

Rủi ro được hiểu là sự không chắc chắn và là khả năng xảy ra kết qur không mong muốn. Trong các khả năng xảy ra có ít nhất một khả năng là kết quả không mong muốn có thể đem lại tổn thất hay thiệt hại cho đơn vị.4 Quản lý rủi ro an toàn thông tin là quản lý các khả năng xảy ra kết quả không mong muốn liên quan tới ATTT.

Nhóm biện pháp thứ hai cần đẩy mạnh triển khai và công tác ATTT cho hoạt động công tác vận hành. Xây dựng bộ quy trình, công cụ trong công tác quản lý vận hành đảm bảo bảo mật, tin cậy và sẵn sàng.

Nhóm biện pháp thứ ba nhằm tăng cường tính sẵn sàng, liên tục của hệ thống giảm thời gian gián đoạn khi xảy ra sự cố hoặc tình huống bất lợi không mong muốn xảy ra.

Chi tiết việc xây dựng giải pháp triển khai cho ba biện pháp trên được trình bày cụ thể trong chương ba.

4https://www.praxiom.com/iso-27000-definitions.htm#Risk

37

CHƯƠNG 3. GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN LÝ AN TOÀN THÔNG TIN DỮ LIỆU VIỄN THÔNG

Như đã phân tích ở chương hai, để triển khai việc quản trị ATTT dữ liệu, tổ chức xây dựng hệ thống quản trị ATTT, mô hình lựa chọn là phù hợp với đặc thù đơn vị là dựa trên tiêu chuẩn quản lý hệ thống An toàn thông tin theo tiêu chuẩn ISO 27001:2013.

Tiêu chuẩn này đã được chuẩn bị nhằm cung cấp một mô hình để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toàn bảo mật thông tin (ISMS). Việc chấp nhận ISMS phải là quyết định mang tính chiến lược của một tổ chức. Việc thiết kế và thực hiện ISMS của tổ chức chịu ảnh hưởng bới các cần thiết và các mục tiêu, các yêu cầu an toàn bảo mật, các quá trình tuyển dụng và qui mô và cấu trúc của tổ chức. Các yếu tố này cùng với các hệ thống hỗ trợ của chúng có thể xảy ra thay đổi theo thời gian.

Tiêu chuẩn này sử dụng cách tiếp cận theo quá trình để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến ISMS của một tổ chức. Tổ chức cần nhận biết và quản lý nhiều hoạt động nhằm thực hiện chức năng một cách hiệu quả. Bất kỳ hoạt động nào sử dụng các nguồn lực và được quản lý nhằm biến các đầu vào thành các đầu ra được coi như một quá trình. Thông thường các đầu ra của một quá trình hình thành đầu vào trực tiếp cho quá trình tiếp theo. Việc áp dụng một hệ thống các quá trình của một tổ chức, đồng thời với việc nhận biết và tương tác giữa các quá trình đó, và việc quản lý chúng được xem như một cách tiếp cận theo quá trình.

Tiêu chuẩn này có thể áp dụng cho tất cả các loại hình tổ chức (như các doanh nghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận). Tiêu chuẩn này chỉ định rõ các yêu cầu để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến ISMS dạng văn bản trong bối cảnh toàn bộ các rủi ro trong công việc của tổ chức. Nó chỉ định rõ các yêu cầu thực hiện các kiểm soát an toàn bảo mật tuỳ biến cho các cần thiết của từng tổ chức hay các bộ phận riêng rẽ.

ISMS được thiết kế nhằm đảm bảo rằng sự lựa chọn các kiểm soát an toàn bảo mật thích hợp và tương xứng nhằm bảo vệ các tài sản thông tin và đưa bằng chứng tin cậy cho các bên quan tâm.

3.1 PHƯƠNG PHÁP QUẢN LÝ RỦI RO

Để xây dựng và triển khai phương pháp quản lý rủi ro cho tổ chức cần triển khai áp dụng quản lý rủi ro trên cả ba yếu tố quy trình, công cụ và con người.

38

Trong luận văn này em đã nghiên cứu xây dựng phương pháp luận cho việc quản lý đánh giá và xử lý rủi ro, các nguyên tắc khi thực hiện quản lý rủi ro. Khảo sát mô hình hoạt động đơn vị để xây dựng mô hình tổ chức với các đơn vị phòng ban chức năng phù hợp với tổ chức để đi vào vận hành hệ thống quản lý rủi ro. Tiếp đó thực hiện triển khai phương pháp, mô hình quản lý rủi ro vào thực tế để tiếp tục xây dựng công cụ quản lý các rủi ro sau khi đánh giá báo cáo rủi ro phát hiện ra.

Trước tiên cần xác định cách thức đánh giá rủi ro của tổ chức: Nhận biết phương pháp đánh giá rủi ro phù hợp với ISMS, và các yêu cầu đã xác định về an toàn bảo mật thông tin kinh doanh, qui chế, luật định. Xây dựng các tiêu chí chấp nhận rủi ro và nhận biết các mức rủi ro có thể chấp nhận được.5

Nguyên lý quản lý rủi ro cho tổ chức

Xây dựng nguyên tắc về việc quản lý rủi ro cho TCT như sau: Công tác QLRR phải đảm bảo tạo ra và bảo vệ giá trị, duy trì, phát triển kinh doanh bền vững trong dài hạn đối với hoạt động của tổ chức theo các nguyên tắc quản trị sau: Quản trị rủi ro phải nằm trong chiến lược chung của tổ chức, gắn liên với các hoạt động chủ chốt, đi cùng với các hoạt động để tạo ra giá trị phát triển. Tổ chức cần xây dựng nguyên tắc về việc chấp nhận rủi ro cho các hoạt động của mình đó chính là cácrủi ro được phép trong phạm vi khẩu vị rủi ro đã được xác định. Để biết được rủi ro nào là chấp nhận được trong khẩu vị chấp nhận được thì các rủi ro khi phát hiện ra sẽ được đánh giá, đo lường mức độ nghiêm trọng của rủi ro. Việc quyết định các rủi ro được xử lý như thế nào sẽ được đánh giá tính toán dựa trên chi phí tổ chức cần bỏ ra để xử lý rủi ro và ảnh hưởng rủi ro đó đem đến nếu xảy ra. Đảm bảo nguyên tắc hài hòa giữa mức độ rủi ro và lợi nhuận. Tuân thủ và đảm bảo tính độc lập về chức năng giữa ba tuyến phòng thủ, kiểm soát rủi ro. Tuân thủ nguyên tắc phân tán rủi ro (phi tập trung, tránh, chuyển giao, giảm thiểu rủi ro).Tính tới mối tương quan giữa các rủi ro, tức rủi ro này có liên quan đến rủi ro khác. Quy trình quản trị rủi ro phải được duy trì liên tục để phản ứng kịp thời với thay đổi của môi trường kinh doanh. Rủi ro được chấp nhận phải có nguồn được bù đắp đầy đủ. Bảo đảm nguyên tắc kiểm soát rủi ro thận trọng trọng việc triển khai sản phẩm mới. Hệ thống văn bản quản lý QLRR gồm các cấp văn bản.

5 International Organization for Standardization. Risk management – Guideline ISO/IEC 31000:2018

39

Hình 3.1 Tháp quản lý rủi ro của tổ chức viễn thông

Trên cùng là các nguyên tắc về quản trị rủi ro, cơ cấu mô hình tổ chức cho việc vận hành hệ thống quản lý rủi ro. Dưới đó là khung khẩu vị rủi ro, xác định mục tiêu, nguyên tắc chiến lược, nguyên tắc quản lý rủi ro, chỉ số khẩu vị rủi ro của tổ chức. Tiếp theo tầng ba của tháp quản lý rủi ro là xây dựng bộ quy trình về quản lý rủi ro, các bước để nhận biết rủi ro, đo lường và đánh giá rủi ro, xử lý, kiểm soát để giảm thiểu rủi ro xảy ra và các hoạt động báo cáo định kỳ về công tác quản lý rủi ro. Sau khi triển khai áp dụng đánh giá rủi ro thì ta sẽ có danh sách các rủi ro của đơn vị, danh sách rủi ro liên tục được cập nhật thường xuyên theo định kỳ khi có thay đổi trạng thái, kết quả về việc xử lý rủi ro, các rủi ro mới phát sinh. Qua đó để xây dựng mô trường có văn hoá quản lý rủi ro trong mọi hoạt động. Mọi người khi thực hiện cần có đánh giá để lường trước khả năng rủi ro có thể xảy ra để có hành động khắc phục, phòng ngừa [2].

Mô hình tổ chức và phương pháp quản lý rủi ro

Để áp dụng được tháp quản lý rủi ro theo hình 3.1 một cách hiệu quả thì ta cần xây dựng mô hình tổ chức có phân công trách nhiệm rõ ràng liên quan đến công tác quản lý rủi ro. Trong luận văn này, sau khi đánh giá hoạt động của đơn vị, em đánh giá được cần thiết phải xây dựng áp dụng mô hình ba tuyến phòng thủ rủi ro như một số hệ thống quản lý rủi ro đã áp dụng cho ngân hàng. Nhưng tại TCT mạng lưới thì cần tích cực phát huy tối đa và rất mạnh công tác quản lý đánh giá

40

rủi ro tại lớp một là chính tại các đơn vị phòng ban chức năng. Vì hơn ai hết họ chính là người nắm rõ nhất các hệ thống mình đang làm chủ quản vận hành. Việc đánh giá rủi ro ở tuyến này sẽ luôn là nhanh nhất, kịp thời, chính xác nhất. Và cùng góp phần đẩy mạnh văn hoá quản lý rủi ro trong tổng công ty.

TẬPĐOÀN

BANTỔNGGIÁMĐỐC

BPQTRR

TuyếnKiểmsoátthứ1 TuyếnKSthứ2 TuyếnKSthứ3

CÁCĐƠNVỊPHÒNGBANCHỨCNĂNGTRONGTỔCHỨC

BANTHANHTRA&KS

ĐƠNVỊKIỂMTOÁNĐỘCLẬP

TCT

Hình 3.2 Mô hình kiểm soát rủi ro dữ liệu viễn thông 3 lớp

Tuyến kiểm soát thứ nhất

Các bộ phận kinh doanh, phát triển sản phẩm, các bộ phận: Gồm bộ phận Chiến lược, Khách hàng và Marketing, Phát triển và quản lý sản phẩm, Công nghệ thông tin, Điều hành kinh doanh, Kinh doanh thị trường nước ngoài, Chăm sóc khách hàng, Kiểm soát chất lượng, đơn vị vận hành khai thác hệ thống. Hàng ngày tiếp cận với nghiệp vụ của mình, với các am hiểu sâu sắc về chuyên môn, sản phẩm nên tuyến này sẽ là tuyến hiệu quả, tích cực cần đẩy mạnh trong công tác quản lý rủi ro.

Tuyến kiểm soát thứ hai

Xây dựng chính sách, hệ thống và công cụ QLRR phù hợp với quy định của pháp luật, thông lệ quốc tế và thực tiễn kinh doanh.

Triển khai giám sát QLRR: Xây dựng khung quản trị rủi ro, các chính sách, quy định, quy trình cho công tác quản lý rủi ro trong tổ chức. Triển khai công tác QLRR bao gồm nhận diện, đo lường, theo dõi, kiểm soát và báo cáo rủi ro. Xây dựng khẩu vị rủi ro (KVRR), hạng mục rủi ro (HMRR), chỉ số đo lường rủi ro chính KRI đối với hoạt động và định kỳ rà soát theo quy định; độc lập hoặc phối hợp với tuyến kiểm soát thứ nhất để theo dõi chỉ tiêu rủi ro nhằm cảnh báo, nhận

41

biết sớm nguy cơ vi phạm; Độc lập và chủ động phối hợp với các đơn vị giám sát, đánh giá việc thực thi các chính sách QLRR; Trực tiếp giám sát đối với các rủi ro đặc thù được giao phụ trách theo yêu cầu của Ban lãnh đạo; Thực hiện chỉ đạo của Ban tổng giám đốc xử lý, yêu cầu khắc phục về QLRR theo kiến nghị/yêu cầu của Tổ chức kiểm toán độc lập; Đầu mối triển khai giám sát việc thực hiện, khắc phục kiến nghị, yêu cầu theo kết luận thanh tra, kiểm tra, kiểm toán của Tập đoàn, Tổ chức kiểm toán độc lập và các cơ quan chức năng;Báo cáo công tác QLRR theo quy định; Đào tạo về chính sách QLRR đối với toàn bộ các đơn vị, cán bộ nhân viên.

Tuyến kiểm soát thứ ba

Kiểm tra, đánh giá độc lập việc tuân thủ cơ chế, chính sách, quy định nội bộ, quy định của pháp luật về QLRR và đánh giá nhận diện các rủi ro từ đơn vị khác trong cùng tập đoàn.

Quy trình quản lý rủi ro

Sau khi đã xây dựng được nguyên tắc, mô hình tổ chức cho việc quản lý rủi ro thì cần xây dựng quy trình quản lý rủi ro giúp các tuyến phòng thủ rủi ro thực hiện đánh giá và xử lý rủi ro một cách nhất quán, hiệu quả. Quy trình đánh giá rủi ro sẽ gồm có bốn giai đoạn chính là: Nhận diện rủi ro, đo lường rủi ro, kiểm soát rủi ro và giám sát báo cáo rủi ro [2].

Hình 3.3 Quy trình quản lý rủi ro

Nhận diện rủi ro: Rủi ro và tương tác giữa các rủi ro phải được nhận dạng trong tất cả các sản phẩm, dịch vụ, hoạt động kinh doanh, quy định, quy trình nghiệp vụ, hệ thống CNTT.Nhận diện rủi ro phải thực hiện thường xuyên, liên tục ở cấp độ từng giao dịch và cấp độ danh mục; trong tất cả các hoạt động kinh doanh bao

NHẬNDIỆNRỦIRO

-Pháthiện&Môtảrủiro-Nguồngốc-Sựkiện-Nguyênnhân&hậuquả

Mụctiêuquảntrịrủi

ro

ĐOLƯỜNGRỦIRO

-Xácđịnhmứcđộ,tácđộngvàxácsuấtRR-QuyếtđịnhchấpnhậnRRnào?-RRnàoưutiênquảnlý

KIỂMSOÁTRỦIRO

-Ápdụngcácbiệnphápxửlýnhằmgiảmthiểu,tránh,chuyểnhoặcchấpnhậnRR

GIÁMSÁT,BÁOCÁO

-Kiểmtrathườngxuyên,trạngtháiRR-Báocáokịpthời,chínhxác,đầyđủRRchocáccấp

1 2 3 4

42

gồm hoạt động kinh doanh hiện tại và các sản phẩm dịch vụ mới, hoạt động kinh doanh mới, quản lý nghiệp vụ, hệ thống công nghệ thông tin và các hệ thống khác nhằm phản ánh đầy đủ các rủi ro, tính liên kết và tính tương tác giữa các rủi ro. Việc nhận diện rủi ro phải mang tính dự báo và lường trước nhằm quản lý rủi ro một cách chủ động. Lãnh đạo và nhân viên của đơn vị thực hiện cung ứng sản phẩm dịch vụ tới khách hàng đều chịu trách nhiệm trong việc nhận diện rủi ro trong từng tác nghiệp hàng ngày. Tất cả các rủi ro nhận diện được đều cần được ghi nhận lại một cách đầy đủ và có hệ thống.

Đo lường rủi ro được đánh giá bằng phương pháp định tính và định lượng. Mức độ rủi ro được đánh giá/đo lường dựa trên 2 yếu tố: (i) Mức độ ảnh hưởng (ii) Tần suất, khả năng xảy ra rủi ro. Mức độ ảnh hưởng của rủi ro được xét trên 2 khía cạnh gồm: Tác động tài chính: giá trị tổn thất được xác định bằng tiền hoặc chi phí bằng tiền để khắc phục các rủi ro phát sinh. Tác động phi tài chính: là các tác động ảnh hưởng đến hoạt động kinh doanh, danh tiếng hoặc các nghĩa vụ pháp lý phát sinh liên quan trực tiếp đến tổ chức.

Cách thức đánh giá: Trên cơ sở đặc điểm hoạt động và tính chất rủi ro, khả năng đáp ứng về thông tin, dữ liệu, đơn vị thực hiện đánh giá rủi ro sử dụng một trong các phương pháp sau: Sử dụng các phát hiện về rủi ro của đơn vị thông qua các báo cáo của kiểm toán nội bộ, kiểm toán độc lập hoặc các cơ quan thanh kiểm tra.

Sơ đồ hóa các quy trình nghiệp vụ để xác định mức độ rủi ro trong từng quy trình nghiệp vụ. Phân tích kịch bản để phát hiện các nguyên nhân rủi ro các yêu cầu kiểm soát, giảm thiểu rủi ro theo các kịch bản và sự kiện có thể xảy ra.

Chi tiết ma trận đánh giá rủi ro được xây dựng cụ thể trong phụ lục 3. Ma trận đánh giá rủi ro.

Kiểm soát rủi ro trên cơ sở kết quả đo lường rủi ro, đơn vị thực hiện phân loại rủi ro theo cấp độ nghiêm trọng. Các loại rủi ro được giám sát chặt chẽ nhằm đảm bảo rủi ro còn lại sau khi thực hiện các biện pháp kiểm soát nằm trong ngưỡng chấp nhận của đơn vị. Các biện pháp áp dụng gồm: Giảm thiểu rủi ro: xây dựng kế hoạch/hành động, các chốt kiểm soát để giảm thiểu rủi ro từ mức hiện tại tới mức mong muốn để cân bằng rủi ro với các mục tiêu kinh doanh và vận hành. Chấp nhận rủi ro: chấp nhận rủi ro đó phát sinh mà không cần có bất kỳ kế hoạch/hành động hoặc kiểm soát nào khác. Loại bỏ rủi ro: thực hiện các kế hoạch/hành động nhằm loại bỏ rủi ro hoặc dừng các hoạt động/quy trình gây ra rủi ro khi tổ chức không chấp nhận, giảm thiểu, chuyển giao rủi ro.

43

Chuyển giao rủi ro: thực hiện kế hoạch/hành động nhằm chuyển rủi ro cho một bên thứ ba từ đó giảm thiểu rủi ro cho tổ chức khi chi phí cho việc giảm thiểu rủi ro do tổ chức tự thực hiện cao hơn chi phí phải trả khi chuyển giao rủi ro đó.

Công cụ kiểm soát: đơn vị phải thiết lập các chốt kiểm soát phù hợp trong tất cả các quy trình nghiệp vụ khi cung ứng dịch vụ, bao gồm: Chốt kiểm soát mang tính định hướng: thông qua xây dựng các quy trình/thủ tục, chính sách và hướng dẫn nghiệp vụ kèm theo nhằm hạn chế khả năng xảy ra rủi ro. Chốt kiểm soát mang tính chất phòng ngừa: Thông qua các hành động, dự báo nhằm hạn chế rủi ro như phân rõ vai trò trách nhiệm thẩm quyền của từng cá cá nhân/bộ phận khi thực hiện công việc; xây dựng kế hoạch dự phòng, khôi phục khi có rủi ro. Chốt kiểm soát mang tính chất phòng ngừa: Thông qua các hành động, dự báo nhằm hạn chế rủi ro như phân rõ vai trò trách nhiệm thẩm quyền của từng cá cá nhân/bộ phận khi thực hiện công việc; xây dựng kế hoạch dự phòng, khôi phục khi có rủi ro.

Giám sát và báo cáo rủi ro: Tất cả các rủi ro được nhận diện đều phải được ghi nhận đầy đủ và theo rõ sự thay đổi của nó trong quá trình thực hiện các biện pháp kiểm soát rủi ro và tiến độ khắc phục. Các rủi ro tùy vào mức độ nghiêm trọng sẽ được báo cáo lên các cấp quản lý phù hợp theo định kỳ hoặc ngay khi phát sinh.

Thực hiện đánh giá rủi ro cho hệ thống dữ liệu viễn thông và xây dựng kế hoạch xử lý rủi ro

Sau khi hoàn thành xây dựng quy trình quản lý rủi ro, đã thực hiện triển khai đào tạo cho tuyến phòng thủ thứ nhất để áp dụng phương pháp quản lý rủi ro trên vào phân tích đưa ra các rủi ro cho các hệ thống chứa dữ liệu viễn thông, cần thực hiện các bước thực hiện cho hoạt động đánh giá và xử lý rủi ro.

Xây dựng checklist đánh giá khảo sát

Để việc đánh giá rủi ro cho các hệ thống được đầy đủ, toàn diện, tránh việc rà soát thiếu soát các mảng hoạt động liên quan đến quản lý an toàn thông tin, trước khi thực hiện ta nên xây dựng checklist các câu hỏi sẽ thực hiện đánh giá, khảo sát. Checklist đánh giá này dựa trên tiêu chuẩn về quản lý an toàn thông tin ISO27001:2013 với đầy đủ các mảng hoạt động đã đưa ra trong chương 2, mục 2.3. Khung quản lý an toàn thông tin.

Phân tích dữ liệu viễn thông trên hệ thống CNTT

44

Việc phân tích rủi ro được ưu tiên cho các hệ thống chứa dữ liệu nhạy cảm, quan trọng trong viễn thông là các hệ thống chứa thông tin liên quan đến dữ liệu khách hàng và các thông tin tính cước viễn thông.

Sản phẩm sau khi phân tích rủi ro cho từng loại dữ liệu trên các hệ thống viễn thông hoặc công nghệ thống tin được ví dụ như trong hình 3.4. Bảng phân tích đánh giá rủi ro cho dữ liệu viễn thông.

Tài sản

Bộ phận quản lý

Giá trị

Mối đe dọa

Điểm yếu

Dữ liệu thông tin khiếu nại của khách hàng Dữ liệu Lịch sử khiếu nại của khách hàng Dữ liệu báo cáo chăm sóc khách hàng

IT Cao Bị tấn công

Rà quét lỗ hổng, điểm yếu kỹ thuật,kiểm thử tấn công (từ nội bộ và từ bên ngoài) thiếu định kỳ

IT Cao Thiếu dung lượng

Thiếu phần đánh giá capacity định kỳ (cả phần cứng, phần mềm)

IT Cao Thông tin bị sửa, xóa trái phép

Thông tin thiếu backup đầy đủ, định kỳ

IT Cao Chưa backup dữ liệu ra tape

IT Cao Chưa thực hiện DR site

IT Cao Thông tin khiếu nại khách hàng bị lộ lọt thông tin ra ngoài, tiết lộ thông tin cho đối thủ

Gửi thông tin khách hàng qua email ra ngoài

IT Cao Upload thông tin lên mạng/ server bên ngoài

IT Cao Quản lý mật khẩu truy cập App, DB, Server (hiện tại đã là mật khẩu mạnh)

IT Cao Sử dụng đối tác vào công tác CSKH có truy cập được dữ liệu

45

IT Cao Thông tin bị mất không khôi phục lại được

Thiếu việc thử restore dữ liệu

IT Cao Chưa có giám sát log truy cập database tập trung

IT Cao Thiếu diễn tập kịch bản xử lý sự cố theo định kỳ

Hình 3.6 Bảng đánh giá rủi ro dữ liệu viễn thông

Xây dựng phần mềm quản lý rủi ro của tổ chức

Sau khi có kết quả phân tích đánh giá nhận diện ra rủi ro thì cần quản lý việc xử lý rủi ro đó. Do vây cần tiếp tục đưa ra yêu cầu để xây dựng hệ thống quản lý rủi ro được xây dựng để liên tục cập nhật trạng thái xử lý của các rủi ro được phát hiện cũng như cập nhật các rủi ro mới phát sinh. Sản phẩm về công cụ quản lý rủi ro được đưa ra như trong hình 3.5. Công cụ quản lý rủi ro cho dữ liệu viễn thông.

Hình 3.7 Công cụ quản lý rủi ro dữ liệu viễn thông

Bằng công cụ quản lý rủi ro này thì các rủi ro sau khi được người dùng đánh giá phát hiện ra rủi ro sẽ được đưa lên hệ thống. Bộ phận quản lý rủi ro để tiếp nhận rủi ro, phân tích đánh giá mức độ rủi ro và phân công cho đơn vị chủ quản rủi ro thực hiện lên kế hoạch thực hiện xử lý. Sau đó định kỳ hàng tuần, đơn vị tiếp nhận xử lý rủi ro sẽ cập nhật tình trạng xử lý rủi ro lên đó để các đơn vị liên quan nắm được tình trạng rủi ro được xử lý đúng hạn hay không để có hành động kịp thời. Đến khi hoàn thành xử lý rủi ro thì bộ phận quản lý rủi ro sẽ tiếp nhận kết quả, kiểm soát chéo lại đảm bảo chất lượng kết quả rủi ro, rủi ro dư và bổ sung hành động nếu cần.

46

3.2 QUẢN LÝ AN TOÀN VẬN HÀNH

Song song với việc thực hiện giải pháp quản lý rủi ro phía trên để tăng cường tính chủ động trong công tác vận hành khai thác. Nhưng khi hệ thống đưa vào hoạt động thì công tác vận hành khai thác cần có phương pháp vận hành hiệu quả [8]. Tổng công ty hiện tại tập trung vào xây dựng và triển khai sáu luồng quy trình chính trong hình 3.6 Khung quy trình vận hành khai thác hệ thống thông tin viễn thông.

Hình 3.6. Khung quy trình vận hành khai thác hệ thống thông tin viễn thông

Quản lý sự kiện là quy trình nhằm làm rõ bất cứ sự việc nào có ảnh hưởng đến hạ tầng mạng viễn thông và công nghệ thông tin, đánh giá mức độ ảnh hưởng và khởi tạo các hành động kiểm soát thích hợp.

Quản lý sự cố là quy trình xử lý các sự cố phát sinh trên mạng viễn thông hoặc hệ thống CNTT. Sự cố bao gồm bất kỳ sự kiện nào gây gián đoạn hoặc có nguy cơ gián đoạn đến dịch vụ đã cung cấp cho khách hàng đầu cuối và hoạt động sản xuất kinh doanh.

Quy trình quản lý vấn đề thực hiện việc quản lý toàn trình tất các các vấn đề phát sinh. Quy trình được thực hiện để phân tích nguyên nhân của sự cố, chỉ ra giải pháp tạm thời, giải pháp triệt để sau đó điều hành việc triển khai giải pháp tạm thời cũng như giải pháp triệt để.

Quản lý quản lý thay đổi là quy trình chịu trách nhiệm kiểm soát việc tác động lên hạ tầng mạng lưới viễn thông và CNTT của nhà mạng.Bằng cách đảm bảo rằng tất cả tác động trên mạng lưới đều được thực hiện dưới sự kiểm soát tuân

47

theo những thủ tục đã được định nghĩa, và giảm thiểu hoặc không gây ảnh hưởng tới dịch vụ.

Quy trình vận hành hiện trường mô tả các hoạt động khai thác tại hiện trường. Liên quan tới các hoạt động như phát triển mới, bảo dưỡng, cơ sở hạ tầng mạng viễn thông, công nghệ thông tin, , xử lý sự cố vật lý. Bao gồm thiết bị, cơ sở vật chất, và các kế hoạch hiện trường.

Quy trình bảo dưỡng định nghĩa các hành động bảo dưỡng định kỳ được chủ động thực hiện trên mạng viễn thông và cơ sở hạ tầng hệ thống thông tin (IS)/công nghệ thông tin (IT) trên cơ sở định kỳ hoặc liên tục theo hướng dẫn cụ thể.

Quy trình quản lý dung lượng và hiệu năng mô tả các bước để đánh giá, phân tích, lập kế hoạch và tối ưu đảm bảo năng lực, hiệu suất mạng lưới, các sự cố phát sinh liên quan đến hiệu suất trên mạng viễn thông và cơ sở hạ tầng hệ thống thông tin (IS)/công nghệ thông tin (IT) hiện có của nhà mạng.

Quy trình đáp ứng yêu cầu mô tả các bước để ghi chép, đánh giá và thực hiện hoàn thành các yêu cầu thay đổi cấu hình trên mạng viễn thông và cơ sở hạ tầng hệ thống thông tin (IS)/công nghệ thông tin (IT) hiện có của nhà mạng.

Quy trình quản lý phiên bản và triển khai để mô tả các bước để điều phối, kiểm thử và thực hiện việc triển khai mới, nâng cấp, thay đổi trên mạng viễn thông và cơ sở hạ tầng hệ thống thông tin (IS)/công nghệ thông tin (IT) hiện có của nhà mạng.6

3.3 QUẢN LÝ TÍNH LIỀN MẠCH, LIÊN TỤC KINH DOANH

Trong khái niệm về an toàn thông tin thì tính liên tục, sẵn sàng của thông tin quan trọng trong tổ chức.

Tổ chức sẽ xác định các quá trình mang tính quyết định của doanh nghiệp để lập Bản phân tích tác động tới việc kinh doanh - Business Impact Analysis –BIA) [13], [16].

Tiêu chuẩn cho quá trình trọng yếu: Các quá trình có ảnh hưởng rất lớn tới tổ chức. Sự gián đoạn của quá trình này có thể gây ra thiệt hại lớn (mức đặc biệt) cho tổ chức.

6 ITIL 4 Foundation Book detailed practices for IT service management (ITSM), Information Technology Infrastructure Library.

48

Tổ chức xây dựng kế hoạch đầy đủ để đảm bảo tính liền mạch kinh doanh. Thực hiện đánh giá rủi ro cho tổ chức một cách nghiêm túc để xác định ra các yêu cầu cho kế hoạch đảm bảo tính liền mạch kinh doanh của tổ chức – BCP.

Kế hoạch liền mạch kinh doanh (BCP) sẽ bao gồm tất cả các hoạt động quan trọng và mang tính quyết định của doanh nghiệp. Kế hoạch liền mạch kinh doanh (BCP) sẽ được định kỳ kiểm tra hàng năm trong môi trường thử nghiệm để đảm bảo rằng nó sẽ triển khai được trong tình huống khẩn cấp. Và đảm bảo các nhân viên hiểu được việc thực hiện nó ra sao. Tất cả các nhân viên sẽ được đào tạo về kế hoạch liền mạch kinh doanh và trách nhiệm của họ trong kế hoạch này. Kế hoạch liền mạch kinh doanh sẽ được cập nhập phù hợp với những thay đổi của tổ chức.

Hình 3.7 Kế hoạch đảm bảo tính liên tục cho hệ thống viễn thông

49

KẾT LUẬN

Những đóng góp của luận văn:

Với mục tiêu " XÂY DỰNG KHUNG QUẢN LÝ DỮ LIỆU VÀ CÁC BIỆN PHÁP QUẢN TRỊ AN TOÀN THÔNG TIN CHO DỮ LIỆU ". Luận văn đã nghiên cứu tổng quan về Tổng quan hệ thống quản trị, quản lý dữ liệu; các hợp phần cấu hình trong hệ thống quản lý dữ liệu. Xây dựng khung quản lý dữ liệu. Đi sâu nghiên cứu các biện pháp quản trị an toàn thông tin, một trong các hợp phần quan trọng của Quản lý dữ liệu. Xây dựng hệ thống tài liệu, công cụ để triển khai hệ thống quản trị an toàn thông tin của tổ Tổng công ty Mạng lưới Viettel.

Những kết quả chính đã đạt được trong luận văn:

- Xây dựng khung quản lý dữ liệu cho dữ liệu viễn thông. Đưa ra hợp phần tổ chức cần thiết phải thực hiện quản lý để nâng cao chất lượng dữ liệu trong doanh nghiệp của mình.

- Tập trung nghiên cứu vào một trong các hợp phần quan trọng nhất của Quản lý dữ liệu là quản lý an toàn thông tin. Luận văn đã nghiên cứu xây dựng phương pháp tăng cường năng lực quản lý an toàn thông tin cho dữ liệu viễn thông một cách toàn diện. Xây dựng và áp dụng phương pháp giúp tổ chức chủ động, nhìn nhận đầy đủ bức tranh về rủi ro an toàn thông tin cho dữ liệu viễn thông. Từ đó xác định kế hoạch để xử lý sớm trước khi xảy ra sự cố hay có vấn đề phát sinh. Qua đó giúp tăng cường tính liên tục của hệ thống viễn thông của doanh nghiệp.

- Luận văn đã xây dựng được bộ quy trình khung về quản lý rủi ro, đưa vào đào tạo áp dụng thực tế đơn vị. Áp dụng checklist các câu hỏi đánh giá rủi ro để phát hiện ra các rủi ro cho hệ thống viễn thông và công nghệ thống tin. Cũng như xây dựng được yêu cầu cho công cụ quản lý rủi ro hiệu quả tổ chức với việc phát hiện luỹ kế tới tháng 6/2019 lên tới 1403 rủi ro ATTT.

Hiệu quả chính đạt được của luận văn thống kê được sau gần 6 tháng áp dụng cho thực tế tại Tổng công ty, hiệu quả được đánh giá trên kết quả các KPI trong công tác vận hành khai thác và số liệu từ hệ thống quản lý rủi ro thống kê ra:

- Giảm việc xảy ra của các sự cố nghiêm trọng (Năm 2018 thì có 59 sự cố, 2019 có khoảng 40 sự cố.

50

- Cải thiện tỷ lệ sự cố xử lý trọng hạn, giảm thời gian trung bình xử lý sự cố từ 171 phút còn 125 phút.

- Số rủi ro an toàn thông tin phát hiện luỹ kế đến tháng 06/2019 là 1403 rủi ro, trong đó hoàn thành xử lý được 985 rủi ro.

- Nguồn lực chuyên gia vận hành khai thác của tổng công ty có sự chuyển dịch tích cực từ công việc “bị động” là khi có sự cố, vấn đề thì xử lý thì hiện tại theo khảo sát thống kê mô tả công việc nhóm chuyên gia khoảng 60% nguồn lực dành cho công tác “chủ động” đánh giá phát hiện ra rủi ro và xử lý.

Hướng phát triển của luận văn:

- Nghiên cứu các hợp phần khác của hệ thống quản lý dữ liệu như Quản trị dữ liệu, Quản lý thu thập lưu trữ dữ liệu, quản lý chất lượng dữ liệu, Quản lý truy cập và phân tích dữ liệu.

- Phát triển hoàn thiện công cụ quản trị rủi ro Governance – Risk – Compliance trong tổ chức.

51

TÀI LIỆU THAM KHẢO

Tiếng Việt

[1]. Bernard Marr, Huỳnh Hữu Tài dịch, Chiến lược dữ liệu, NXB Tổng hợp thành phố Hồ Chí Minh, năm 2019.

[2]. GS.TS Nguyễn Văn Tiến, Toàn tập quản trị ngân hàng thương mại, NXB lao động, năm 2015.

Tiếng Anh

[3]. Dama International, The Data Management Body of Knowledge (DAMA-DMBOK2), Technics Publications LLC, 15 Aug 2017.

[4]. International Organization for Standardization. Information technology — Security techniques — Information security management systems — Requirements, ISO/IEC 27001:2013, 2013. https://www.iso27001security.com/html/27001.html

[5] International Organization for Standardization. Information technology — Security techniques — Code of practice for information security controls ISO/IEC 27002:2013, 2013. https://www.iso27001security.com/html/27002.html

[6] International Organization for Standardization. Information technology — Security techniques — Information Security Risk Management ISO/IEC 27005:2018, 2018. https://www.iso27001security.com/html/27005.html

[7] International Organization for Standardization. Risk management – Guideline ISO/IEC 31000:2018, 2018. https://www.iso27001security.com/html/27005.html

[8]. ITIL 4 Foundation Book detailed practices for IT service management (ITSM), Information Technology Infrastructure Library, February 18, 2019.

[9]. Michele Goetz, Your business is only as fast as your data, Execution Overview: The management playbook, Forrester, 13 November 2018.

52

[10]. Michele Goetz, Put the business back in your data management business case, Execution Overview: The management playbook, Forrester, 12 November 2018.

[11]. Michele Goetz, Evaluate your data and information management maturity, Execution Overview: The management playbook, Forrester, 16 January 2019.

[12]. Michele Goetz, Data is business; Are you prepared, Execution Overview: The management playbook, Forrester, 14 February, 2018.

[13]. Heidi Shey and Enza Iannopollo, The future of data Security and privacy, The data Security and privacy playbook, Forrester, 15 August 2018.

[14]. Heidi Shey, Rethinking data Discovery and Classification Strategies, The data Security and privacy playbook, Forrester, 10 July 2018.

[15]. Heidi Shey, Rethinking data Discovery and Classification Strategies, The data Security and privacy playbook, Forrester, 10 July 2018.

[16]. Terje Even and Enrico Zio, Knowledge in Risk assessment and management, John Wiley & Sons, 2018.

[17]. Paul Hopkin, Fundamentals of risk management, Kogan Page Limited, 2017.

[18]. The National Institute of Standards and Technology (NIST), Risk Management Guide for Information Technology Systems, Special Publication 800-30, NIST, 2012.

[19]. Gwen Thomas, The DGI Data Governance Framework, The Data Governance Institute, 2006.

[20]. Renee Murphy, Extend Complaince and Risk management to what really matters for your business; Landscape: The governance, Risk and Compiance Playbook, 16 October 2017.

53

PHỤ LỤC 1. Danh sách các điểm yếu, đe dọa dùng để phân tích rủi ro an toàn dữ liệu viễn thông

STT Đe dọa (Nguy cơ) Điểm yếu

1 Những đe dọa ảnh hưởng lớn

1.1 Động đất - Thiếu sự biện pháp bảo vệ khi có thiên tai xảy ra hoặc có một hệ thống Backup ở DR.

1.2 Bão - Thiếu sự biện pháp bảo vệ khi có thiên tai xảy ra hoặc có một hệ thống Backup ở DR.

1.3 Lũ lụt - Thiếu sự biện pháp bảo vệ khi có thiên tai xảy ra hoặc có một hệ thống Backup ở DR.

1.4 Hỏng phần cứng - Thiếu các cơ chế giám sát việc sử dụng hệ thống

- Thiếu kế hoạch bảo trì định kỳ

- Thiếu sự quản lý hiệu năng, dung lượng

- Không có các kế hoạch thay thế định kỳ

- Sử dụng thiết bị không đúng chức năng

1.5 Lỗi các dịch vụ truyền thông

- Thiếu các dịch vụ dự phòng

- Không có đánh giá dịch vụ nhà thầu trước khi sử dụng

1.6 Cháy, hỏa hoạn - Thiếu sự bảo vệ vật lý (không có đủ các thiết bị phòng cháy, chữa cháy trong tòa nhà)

- Giám sát các thiết bị không cẩn thận là nguyên nhân gây ra cháy. Ví dụ: Như dây điện, Server

- Thiếu cơ chế giám sát, kiểm tra định kỳ các thiết bị- Thiếu sự đào tạo cán bộ về PCCC

- Rò rỉ nước

1.7

Sự thay đổi nhiệt độ: Nhiệt độ quá cao hoặc quá thấp

- Ảnh hưởng do sự thay đổi nhiệt độ

- Thiếu điều hòa không khí

54

1.8 Sự thay đổi độ ẩm và nhiều bụi bẩn: Độ ẩm và bụi bẩn cao quá mức cho phép

- Ảnh hưởng do sự thay đổi độ ẩm

- Thiếu điều hòa không khí

- Thiếu vệ sinh định kỳ.

1.9 Cháy đường dây (cable): Đường điện, dây kết nối

- Thiếu sự bảo vệ vật lý cho hệ thống đường dây

- Giám sát thiết bị không cẩn thận là nguyên nhân gây ra cháy. Ví dụ như: Dây điện, Server

- Đường dây quá dài

- Đường dây bị quá tải

- Rò rỉ nước

2 Những đe dọa do lỗi

2.1 Quá tải - Thiếu sự giám sát việc sử dụng hệ thống

- Thiếu sự quản lý hiệu suất, dung lượng

Vi phạm bản quyền - Thiếu sự đào tạo

- Thiếu cơ chế giám sát, kiểm soát

- Việc download và sử dụng các phần mềm không được kiểm soát

Lỗi phần mềm - Thiếu các quy trình kiểm tra và xây dựng phần mềm

- Thiếu cơ chế kiểm soát truy cập

- Các đặc điểm kỹ thuật không hoàn chỉnh hoặc không rõ ràng cho nhà phát triển

3 Các đe dọa do con nguời

3.1 Nhân viên vận hành sai - Thiếu sự đào tạo trước khi làm việc

- Thiếu cơ chế giám sát

- Lỗ hổng phần mềm

- Xử lý các sự cố bảo mật không tốt

- Thiếu sự văn bản hóa tài liệu

55

3.2 Sử dụng password không đúng quy định

- Thiếu sự đào tạo về bảo mật thông tin (BMTT)

- Đào tạo về BMTT không đầy đủ

- Thiếu hiểu biết về bảo mật thông tin

- Quản lý mật khẩu yếu

3.3 Xử lý thông tin không cẩn thận

- Thông tin nhạy cảm không được bảo vệ

- Thiếu sự đào tạo về bảo mật thông tin

- Đào tạo về bảo mật không đầy đủ

- Thiếu hiểu biết về bảo mật thông tin

4 Các đe dọa do lỗi kỹ thuật

4.1 Mất điện - Không có nguồn điện dự trữ

4.2 Nguồn điện không ổn định

- Ảnh hưởng do thay đổi điện áp

- Điện áp không ổn định

4.3 Mất dữ liệu trong một cơ sở dữ liệu do thiếu dung lượng lưu trữ

- Thiếu sự quản lý hiệu năng, dung lượng

- Thiếu cơ chế giám sát việc sử dụng hệ thống

5 Những đe dọa do cố ý

5.1 Ăn trộm - Thiếu các biện pháp kiểm soát truy cập vật lý vào tòa nhà, các phòng

- Thiếu cơ chế kiểm soát truy cập

- Công việc của nhân viên tạp vụ và nhân viên thuê ngoài không được giám sát

- Phân quyền truy cập không đúng

- Quản lý mật khẩu yếu (mât khẩu dễ đoán, độ dài ngắn, không đổi thường xuyên)

- Dữ liệu để tại nơi không được quản lý

- Thiếu nhân viên bảo vệ

- Các thiết bị không được bảo vệ

- Các thiết bị để tại nơi không được quản lý

56

- Các thiết bị lưu trữ khi hủy bỏ hoặc tái sử dụng sang mục địch khác không được xóa dữ liệu.

5.2 Chỉnh sửa hoặc sử dụng dữ liệu trái phép

- Phân quyền truy cập không đúng

- Thiếu cơ chế kiểm soát truy cập

- Quản lý mật khẩu yếu

- Thiếu đào tạo về bảo mật

- Phân tán các bản sao dữ liệu

- Dữ liệu để tại nơi không được quản lý

- Thực thi không đầy đủ các cơ chế bảo mật cơ sở dữ liệu

5.3 Phần mềm độc hại - Thiếu các chương trình ngăn ngừa phần mềm độc hại

- Chương trình ngăn ngừa phần mềm độc hại không được cập nhật thường xuyên

5.4 Phá hoại có chủ tâm (hacker)

- Các thiết bị không được bảo vệ

- Thiếu thiết bị firewall (tường lửa)

- Không thực hiện test lỗ hổng hệ hống mạng (test penetration network)

5.5 Rò rỉ thông tin - Thiếu các điều kiện bảo mật tới các nhà thầu

- Thiếu các buổi đào tạo cho đội ngũ bảo vệ

- Quản lý password yếu

- Các thiết bị lưu trữ khi hủy bỏ hoặc tái sử dụng sang mục địch khác không được xóa dữ liệu.

- Xử lý các sự cố bảo mật không triệt để

- Thực thi thiếu các cơ chế bảo mật cơ sở dữ liệu

5.6 Sử dụng dịch vụ một cách trái phép

- Thiếu chinh sách cho việc sử dụng các dịch vụ

- Thiếu cơ chế giám sát

- Thiếu cơ chế kiểm soát

57

5.7 Sử dụng phần mềm không bản quyền

- Thiếu sự đào tạo

- Phân quyền truy cập không đúng

- Không kiểm soát được việc download và cài đặt phần mềm

5.8 Giả mạo định danh người dùng

- Thiếu các cơ chế nhận dạng và xác thực như xác thực user

- Quản lý mật khẩu yếu

5.9 Sử dụng phần mềm trái phép

- Phân quyền truy cập không đúng

- Lỗ hổng phần mềm

- Không thoát khỏi chương trình làm việc khi rời máy trạm

- Quản lý password yếu

5.10 Nghe lén nghe trộm (nghe lén gói tin trên mạng hoặc nghe trộm qua đường điện thoại)

- Đường truyền thông không được bảo vệ

- Truyền các password dưới dạng không được mã hóa

5.11 Truy cập vào mạng bởi người dùng không được phép

- Những kết nối mạng công cộng không được bảo vệ

- Sự phân tách các mạng không đúng

- Quản lý password yếu

5.12 Mối đe dọa do nhân viên tạp vụ và nhân viên thuê ngoài

- Thiếu sự đạo tạo bảo mật thông tin cho nhân viên tạp vụ, nhân viên thuê ngoài

- Công việc của nhân viên tạp vụ và nhân viên thuê ngoài không được giám sát

- Không ký cam kết bảo mật thông tin

58

PHỤ LỤC 2: Checklist khảo sát đánh giá rủi ro cho dữ liệu viễn thông

Biên bản khảo sát đánh giá Hệ thống quản lý an ninh thông tin ISO27001:2013

Cán bộ được khảo sát: Đơn vị: TT Vận Hành Khai thác toàn cầu

Cán bộ khảo sát: Đơn vị: P.CNTT

Thời gian khảo sát: Hệ thống khảo sát:

Địa điểm thực hiện:

I. Mô tả chức năng chính của hệ thống

Chức năng chính và mức độ quan trọng hệ thống Cán bộ quản trị

- Đơn vị chịu trách nhiệm quản lý công tác vận hành hệ thống (giám sát, sự cố, backup, DRP…): - Đơn vị có quyền thực thi, tác động vào hệ thống: - Đơn vị quản lý user,phân quyền, thuyên chuyển, tạo mới, cắt user:

II. CÁC CÂU HỎI KHẢO SÁT

59

STT Câu hỏi khảo sát Trả lời Tài liệu Điểm

1 Hệ thống có phân tách rõ trách nhiệm phát triển, vận hành, môi trường không?

2 Cán bộ quản trị hệ thống có được kiểm tra thông tin lý lịch đảm bảo trong sạch không?

3 Cán bộ quản trị có ký cam kết ANTT trong tổ chức, các việc được thực hiện/ không được thực hiện đảm bảo ANTT cho tổ chức không?

4 Cán bộ quản trị có được đào tạo định kỳ về ANTT không? Có hiểu được các yêu cầu cơ bản về ANTT không?

5 Việc tạo, xóa, sửa account trên hệ thống đang được thực hiện ntn?

6 Cán bộ quản trị có danh sách các thiết bị (server) của hệ thống không?

7 Hệ thống chứa các thông tin Mật/Tuyệt Mật không?

8 Thiết bị có được dán nhãn/ quy chuẩn đặt tên để đảm bảo dễ nhận biết theo hệ thống không?

9 Hệ thống có quản lý phân quyền không?

10 Có danh sách user quản trị? User sử dụng và quyền tương ứng của user không?

60

STT Câu hỏi khảo sát Trả lời Tài liệu Điểm

11 Hệ thống có được định kỳ review update lại quyền truy cập cho user không?

12 Hệ thống có chức năng bảo mật thông tin xác thực không?

13 Chính sách bảo mật thông tin password của hệ thống ntn?

14 Quản lý bảo mật thông tin source code cho hệ thống ntn?

15 Thông tin trên hệ thống có được mã hóa không?

16 Hệ thống có sử dụng giải pháp mã hóa không?

17 Hệ thống có được kiểm soát khi có tác động, thay đổi không?

18 Hệ thống có tài liệu hướng dẫn vận hành không?

19 Hệ thống có được quản lý, đánh giá dung lượng (capacity) định kỳ để đảm bảo đủ hiệu năng cho tổ chức không?

20 Hệ thống có được phân tách môi trường: phát triển, kiểm thử và vận hành không?

21 Hệ thống có được trang bị giải pháp chống mã độc không?

22 Dữ liệu hệ thống có được định kỳ backup không?

23 Quản lý dữ liệu backup như thế nào?

61

STT Câu hỏi khảo sát Trả lời Tài liệu Điểm

24 Log truy cập, vận hành, lỗi, hoạt động phân quyền, quản trị của hệ thống có được lưu trữ lại và có hoạt động giám sát log này không?

25 Log này được lưu trữ trong bao lâu?

26 Hệ thống có được đồng bộ thời gian với các hệ thống khác trong tổ chức không?

27 Thiết bị của hệ thống có được định kỳ bảo dưỡng không?

28 Việc cài đặt các phần mềm vận hành trên hệ thống được thực hiện ntn?

29 Hệ thống có được đánh giá, rà quét điểm yếu, kiểm thử tấn công từ bên trong, bên ngoài định kỳ vào?

30 Các điểm yếu, lỗ hổng phát hiện ra có kế hoạch xử lý không?

31 Hệ thống có được đặt trong phân vùng mạng bảo mật? (tách riêng phân vùng mạng user không?

32 Đơn vị quản lý kiến trúc mạng trong tổ chức?

33 Các yêu cầu phát triển hệ thống có được đánh giá về ANTT không?

62

STT Câu hỏi khảo sát Trả lời Tài liệu Điểm

34 Trước khi nâng cấp/ phát triển hệ thống có được đánh giá, rà soát lỗ hổng, điểm yếu về ANTT trước khi thay đổi/golive không?

35 Hệ thống này có những đối tác nào liên quan, có thể truy cập thông tin và thực hiện vận hành không?

36 Có quy định quản lý thông tin với đối tác/ bên thức ba không?

37 Account/password mặc định trên thiết bị có được thay đổi sau khi đối tác cung cấp thiết bị không?

38 Hệ thống được quản lý sự cố ntn?

39 Hệ thống có kịch bản UCTT không? Kịch bản có được cập nhật, thử nghiệm định kỳ không? Bao lâu?

40 Hệ thống có hệ thống backup (đảm bảo DRP) không?

0: Non Existent- Chưa tồn tại

Chưa có quy định, tài liệu, chưa thực hiện áp dụng.

63

1: Initial - Khởi đầu Có một vài bằng chứng ghi nhận việc tổ chức có phát hiện ra vấn đề cần thực hiện/ lưu ý, tuy nhiên chưa có một quy trình chuẩn cho việc triển khai áp dụng.

2: Repeatable - Lặp lại/ thói quen

Có quy trình cho một vài giai đoạn, có xác định người làm cụ thể tuy nhiên không có việc đào tạo quy trình chuẩn cho đúng cán bộ liên quan, dẫn đến việc quy trình chưa được thực hiện đúng, xảy ra lỗi.

3: Defined - Đã hình thành

Quy trình/ tài liệu được chuẩn hóa và văn bản hóa, có đào tạo cho các bên liên quan, tuy nhiên chưa có hệ thống đầy đủ.

4: Managed - Quản lý được

Có thể đo đạc và giám sát được hệ thống theo quy trình/ tài liệu đưa ra, xác định được những điểm làm chưa hiệu quả, chưa đúng. Quy trình đã được cải tiến.

5: Optimised - Tối ưu hóa

Quy trình thực hiện đầy đủ, hiệu lực, tối ưu hóa hệ thống đưa ra mô hình hệ thống cải tiến liên tục.

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.5 Chính sách an ninh thông tin

A.5.1 Chính sách quản lý an ninh thông tin

A.5.1.1 Chính sách an ninh thông tin (ANTT)

Có chính sách ANTT không?

Lãnh đạo có phê duyệt chính sách ANTTkhông ?

64

Mục Yêu cầu Câu hỏi chi tiết Kết quả

Có truyền thông chính sách ANTT cho toàn bộ nhân viên?

A.5.1.2 Định kỳ đánh giá tính phù hợp của chính sách ANTT

Có đánh giá chính sách ANTT?

Có thực hiện đánh giá định kỳ?

Có thực hiện đánh giá khi có thay đổi

A.6 Tổ chức đảm bảo an ninh thông tin

A.6.1 Tổ chức nội bộ

A.6.1.1 Vai trò và trách nhiệm đảm bảo ANTT

Có chịu trách nhiệm đảm bảo an toàn cho các tài sản riềng biệt, triển khai các quy trình bảo mật cụ thể, được chỉ định và làm việc với các đối tác về đảm bảo ANTT?

A.6.1.2 Phân tách trách nhiệm nội bộ tổ chức

Có phân trách nhiệm trong từng nhiệm vụ, lĩnh vực để giảm thiểu ảnh hưởng xấu với tổ chức do các điều chỉnh chưa được thông qua, sử dụng không đúng thông tin hoặc dịch vụ?

A.6.1.3 Liên hệ với các cơ quan có thẩm quyền

Có văn bản quy định cụ thể trường hợp nào cần liên hệ với người có thẩm quyền không?

Có quy trình cụ thể về cách thức và khi nào bắt buộc liên hệ với người có thẩm quyền?

65

Mục Yêu cầu Câu hỏi chi tiết Kết quả

Có quy trình cho các liên hệ thường trình và chia sẻ thông tin với người có thẩm quyền?

A.6.1.4 Liên hệ với các nhóm có mối quan tâm cụ thể

Có duy trì các nhóm nhỏ trong tổ chức tập trung các thành viên có chung một sở thích/quan tâm?

A.6.1.5 An ninh thông tin trong quản trị dự án

Tất cả các dự án đều có thực hiện bước đánh giá bảo mật (an ninh) thông tin?

A.6.2 Chính sách cho thiết bị di động và làm việc từ xa

A.6.2.1 Chính sách cho thiết bị di động Có chính sách/quy định cho thiết bị di động?

Quy định cho thiết bị đi động được lãnh đạo thông qua?

Quy định có chỉ rõ nguy cơ từ cho thiết bị di động (ví dụ: mất mát tài sản, sử dụng điểm truy cập không dây..)?

A.6.2 Làm việc từ xa Có quy định cho việc làm việc từ xa?

Quy định cho việc làm việc từ xác được lãnh đạo thông qua?

Có quy trình các bước để nhân viên truy cập từ xa không?

66

Mục Yêu cầu Câu hỏi chi tiết Kết quả

Có khuyến nghị và trang bị thiết bị cần thiết cho nhân viên bảo vệ tài sản không?

A.7 Bảo mật trong việc quản lý nhân sự

A.7.1 Trước khi tuyển dụng

A.7.1.1 Đánh giá phù hợp

Có đánh giá nhận thức nền về bảo mật thông tin đối với tất cả các ứng viên khi tuyển dụng?

Danh mục kiểm tra được thông qua bởi lãnh đạo có thẩm quyền?

Danh mục kiểm tra phù hợp với điều luật, điều khoản và mục hiện hành?

Các mức danh mục kiểm tra được hỗ trợ bởi bộ phận đánh giá rủi ro của tổ chức?

A.7.1.2 Điều khoản hợp đồng tuyển dụng

Có yêu cầu nhân viên, đối tác, người sử dụng ký thỏa thuận bảo vệ bí mật và không tiết lộ thông tin?

Có hợp đồng với nhân viên, hợp đồng dịch vụ?

A.7.2 Trong quá trình làm việc

67

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.7.2.1 Trách nhiệm của nhà quản lý

Tất cả các cấp quản lý có cam kết thực hiện bảo mật trong công việc không?

Đảm bảo chính sách An toàn thông tin được tất cả nhân viên, nhà thầu, bên thứ ba đều nhận thức và tuân thủ thực hiện?

A.7.2.2 Nhận thức và đào tạo bảo mật thông tin

Có đào tạo bảo mật thông tin cho tất cả nhân viên, đối tác (căn cứ theo chức năng, nhiệm vụ) không?

A.7.2.3 Quy định kỷ luật Có quy định kỷ luật cho nhân viên vi phạm bảo mật thông tin?

Có áp dụng quy định kỷ luật cho tất cả nhân viên?

A.7.3 Sa thải và điều chuyển công việc Có quy định trường hợp sa thải hoặc điều chuyển công việc?

Có bộ phận bảo mật thông tin liên hệ với nhân viên, đối tác trong quá trình tuyển dụng?

Tổ chức có quy định bắt buộc ANTT đối với bộ phận chịu trách nhiệm tuyển dụng?

A.8 Quản lý tài sản

A.8.1 Trách nhiệm với tài sản

68

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.8.1.1 Thống kê tài sản

Có thống kê tất cả các tài sản (bao gồm thông tin và các hệ thống xử lý thông tin)?

Bản thống kê chính xác và thường xuyên được cập nhật?

A.8.1.2 Chủ tài sản

Tất cả tài sản thông tin phải được chỉ rõ chủ sở hữu (người nhận thức rõ được trách nhiệm).

A.8.1.3 Sử dụng tài sản Có quy định sử dụng phù hợp với từng loại tài sản thông tin?

Người dùng có hiểu hết các quy định trước khi sử dụng thông tin?

A.8.1.4 Hoàn trả tài sản

Có quy định đảm bảo tất cả nhân viên, người sử dụng hoàn trả tài sản của công ty khi nghỉ việc, kết thúc hợp đồng và thoản thuận?

A.8.2 Phân loại thông tin

A.8.2.1 Phân loại thông tin Có quy định phân loại thông tin?

Có quy trình cụ thể thực hiện phân loại thông tin?

A.8.2.2 Đánh nhãn thông tin Có quy trình hoặc thủ tục phân loại, đánh nhãn thông tin?

A.8.2.3 Xử lý thông tin Có quy định việc xử lý với từng loại thông tin?

69

Mục Yêu cầu Câu hỏi chi tiết Kết quả

Người sử dụng tài sản thông tin nắm rõ quy định việc xử lý?

A.8.3 Thiết bị lưu trữ cầm tay

A.8.3.1 Quản lý thiết bị lưu trữ cầm tay Có chính sách quản lý thiết bị lưu trữ cầm tay không?

Có quy trình kiểm soát thiết bị lưu trữ cầm tay không?

Các chính sách hoặc quy trình có được truyền thông đầy đủ đến nhân viên để tuân thủ thực hiện không?

A.8.3.2 Hủy bỏ thiết bị

Có văn bản chính thống kiểm soát việc xóa bỏ thông tin khi hủy bỏ thiết bị lưu trữ không?

A.8.3.3 Di chuyển thiết bị vật lý

Có quy định hoặc quy trình dạng văn bản về cách thức di chuyển thiết bị lưu trữ vật lý?

Việc di chuyển thiết bị vật lý có đảm bảo chống lại các truy cập trái phép, sử dụng sai mục đích?

A.9 Kiểm soát truy cập

A.9.1 Các yêu cầu của tổ chức về kiểm soát truy cập

A.9.1.1 Chính sách kiểm soát truy cập Có chính sách về kiểm soát truy cập?

70

Mục Yêu cầu Câu hỏi chi tiết Kết quả

Chính sách kiểm soát truy cập có tuân theo yêu cầu của tổ chức?

Chính sách có được truyền thông tới nhân viên để tuân thủ thực hiện?

A.9.1.2 Truy cập hệ thống và dịch vụ của hệ thống

Có thực hiện kiểm soát đảm bảo người dùng chỉ có quyền truy cập tài nguyên hệ thống mà họ được cấp quyền và có nhiệm vụ yêu cầu thực hiện?

A.9.2 Quản lý truy cập người dùng

A.9.2.1 Đăng ký người dùng Có quy định đăng ký truy nhập chuẩn cho người dùng?

A.9.2.2 Quyền truy cập người dùng tối thiểu

Có quy định quyền truy cập tối thiểu áp dụng tất cả người dùng và dịch vụ?

A.9.2.3 Quản lý quyền truy cập ưu tiên

Có quản lý và kiểm soát tất cả các account có quyền truy cập ưu tiên?

A.9.2.4 Quản lý thông tin bảo mật của người dùng

Có quy trình về kiểm soát phân bổ các thông tin xác thực bảo mật?

A.9.2.5 Rà soát quyền truy cập người dùng

Có quy trình cho chủ sở hữu tài sản rà soát quyền truy nhập với tài sản định kỳ?

Có thực hiện xác nhận việc kiểm soát quyền truy nhập?

71

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.9.2.6 Xóa và thay đổi quyền truy cập

Có quy trình đảm bảo xóa quyền truy nhập người dùng khi kết thúc hợp đồng lao động, hợp đồng với đối tác hoặc điều chỉnh quyền truy cập khi vai trò thay đổi?

A.9.3 Trách nhiệm của người dùng

A.9.3.1 Sử dụng thông tin xác thực bảo mật

Có quy định văn bản yêu cầu tổ chức diễn tập xử lý thông tin xác thực bảo mật?

Có áp dụng cho tất cả người dùng?

A.9.4 Kiểm soát truy cập hệ thống và ứng dụng

A.9.4.1 Hạn chế truy cập thông tin

Quy định kiểm soát truy cập có chức năng hạn chế truy cập hệ thống thông tin và ứng dụng?

A.9.4.2 Thủ tục ghi log-on bảo mật Có thực hiện thủ tục ghi log-on bảo mật cho tất cả các truy cập?

A.9.4.3 Hệ thống quản lý mật khẩu Hệ thống mật khẩu tương tác?

Yêu cầu mật khẩu phức tạp?

A.9.4.4 Chương trình sử dụng tiện ích ưu tiên Có hạn chế và kiểm soát chương trình tiện ích ưu tiên?

72

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.9.4.5 Kiểm soát truy cập mã nguồn

Có bảo vệ việc truy cập mã nguồn của hệ thống kiểm soát truy cập?

A.10 Mã hóa

A.10.1 Kiểm soát mã hóa

A.10.1.1 Quy định kiểm soát mã hóa Có quy định về việc sử dụng kiểm soát mã hóa?

A.10.1.2 Quản lý key mã hóa Có quy định kiểm soát chu kỳ của key mã hóa?

A.11 An toàn vật lý và môi trường

A.11.1 Khu vực bảo mật

A.11.1.1 An ninh vật lý Có xác định rõ chu vi an ninh?

Có thực hiện quy định và kiểm soát phạm vi vật lý nhạy cảm trong tổ chức

A.11.1.2 Kiểm soát lối vào vật lý

Khu vực bảo mật có hệ thống kiểm soát lối vào đảm bảo chỉ cho phép nhân sự có thẩm quyền được tiếp cận?

A.11.1.3 Đảm bảo an ninh văn phòng, phòng và trang thiết bị

Văn phòng, phòng và trang thiết bị được thiết kế và áp dụng hệ thống bảo vệ?

Có áp dụng quy trình đảm bảo an ninh vật lý ra vào?

73

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.11.1.4 /Bảo vệ chống lại đe dọa từ bên ngoài và môi trường

Có thiết kế và áp dụng các giải pháp bảo vệ vật lý chống lại thiên tai, tấn công hoặc tai nạn?

A11.1.5 Làm việc trong phạm vi an toàn Có phạm vi an toàn?

Có chính sách/quy định hoặc quy trình phù hợp cho phạm vi an toàn?

Bắt buộc triển khai và giám sát các chính sách/quy trình cho phạm vi an toàn?

A.11.1.6 Khu vực chứa hàng và phân phối Có tách biệt khu vực chứa hàng và phân phối?

Có kiểm soát việc truy nhập?

Truy cập khu vực phân phối thông tin được cô lập với hệ thống xử lý thông tin?

A11.2 Thiết bị

A11.2.1 Chọn địa điểm và bảo vệ thiết bị Chọn địa điểm đặt thiết bị có xem xét hiểm họa môi trường?

Chọn địa điểm đặt thiết bị có xem xét rủi ro truy cập trái phép?

A11.2.2 Tiện ích hỗ trợ Có hệ thống nguồn dự phòng UPS hoặc máy phát điện?

Hệ thống nguồn dự phòng được kiểm tra định kỳ?

74

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A11.2.3 Đặt cáp kết nối an toàn Có đánh giá rủi ro với vị trí đặt cáp nguồn, viễn thông?

Vị trí đặt cáp nguồn, viễn thông được bảo vệ chống nhiễu, nghe trộm và phá hoại?

A11.2.4 Bảo trì thiết bị Có lịch bảo trì thiết bị nghiêm ngặt?

A11.2.5 Di chuyển tài sản Có quy trình kiểm soát việc di chuyển/tháo dỡ tài sản?

Bắt buộc thực hiện quy trình di chuyển tài sản?

Có triển khai danh mục kiểm tra?

A11.2.6 Bảo vệ thiết bị và tài sản ngoài cơ sở

Có quy định bảo vệ tài sản ngoài cơ sở của tổ chức (ngoài chỗ làm việc)?

Quy định bảo vệ được áp dụng rộng rãi?

A11.2.7 Hủy bỏ an toàn hoặc tái sử dụng thiết bị

Có quy định tái sử dụng tài sản thông tin?

Xác nhận việc xóa hoàn toàn dữ liệu trước khi tái sử dụng/hủy bỏ?

A11.2.8 Thiết bị người dùng không giám sát Có quy định bảo vệ các thiết bị người dùng không giám sát?

75

Mục Yêu cầu Câu hỏi chi tiết Kết quả

Có giải pháp kiểm soát về kỹ thuật đảm bảo an ninh cho các thiết bị người dùng không giám sát?

A11.2.9 Chính sách bàn làm việc sạch và màn hình máy tính sạch

Có chính sách bàn làm việc sạch, màn hình máy tính sạch?

Chính sách yêu cầu bắt buộc thực hiện?

A.12 Bảo vệ quá trình vận hành

A.12.1 Quy trình vận hành và trách nhiệm

A.12.1.1 Cung cấp tài liệu vận hành Văn bản hóa các tài liệu vận hành?

Tài liệu vận hành sẵn có cho người dùng có nhu cầu?

A12.1.2 Quản lý thay đổi Triển khai quy trình quản lý thay đổi có kiểm soát?

A.12.1.3 Quản lý năng lực Có triển khai quy trình quản lý năng lực?

A.12.1.4 Sự tách biệt phát triển, thử nghiệm và môi trường hoạt động

Có bắt buộc tách biệt phát triển, thử nghiệm và môi trường hoạt động?

A.12.2 Bảo vệ khỏi phần mềm độc hại

A.12.2.1 Kiểm soát chống lại phần mềm độc hại Có quy trình phát hiện phần mềm độc hại?

76

Mục Yêu cầu Câu hỏi chi tiết Kết quả

Có quy trình ngăn ngừa phát tán phần mềm độc hại?

Có quy trình và năng lực khắc phục nhiễm phần mềm mã độc?

A.12.3 Sao lưu

A.12.3.1 Sao lưu thông tin Có quy định sao lưu thông tin?

Quy định sao lưu có phù hợp với chính sách, quy định pháp luật?

Việc sao lưu được thực hiện theo đúng quy định?

Sao lưu được kiểm tra?

A.12.4 Đăng nhập và kiểm soát

A.12.4.1 Sự kiện đăng nhập Sự kiện đăng nhập được ghi lại và kiểm soát thường xuyên?

A.12.4.2 Bảo vệ thông tin đăng nhập

Phương tiện đăng nhập được bảo vệ chống lại can thiệp và truy nhập trái phép?

A.12.4.3 Người quản trị và vận hành đăng nhập

Đăng nhập của quản trị hệ thống/vận hành hệ thống được duy trì, bảo vệ và thường xuyên kiểm soát?

A.12.4.4 Đồng bộ thời gian

Thời gian hệ thống của tất cả các thiết bị của tổ chức được đồng bộ?

77

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.12.5 Kiểm soát phần mềm hoạt động

A.12.5.1 Cài đặt phần mềm trên hệ thống đang hoạt động

Có quy trình quản lý triển khai để kiểm soát cài đặt phần mềm trên các hệ thống đang hoạt động?

A.12.6 Quản lý điểm yếu kỹ thuật

A.12.6.1 Quản lý điểm yếu kỹ thuật

Tổ chức có xem xét thông tin cập nhật và định kỳ về các lỗ hổng kỹ thuật?

Có quy trình đánh giá rủi ro và phản ứng với các lỗ hổng mới được phát hiện?

A.12.6.2 Hạn chế cài đặt phần mềm Có quy trình hạn chế cài đặt phần mềm?

A.12.7 Xem xét đánh giá hệ thống thông tin

A.12.7.1 Kiểm soát đánh giá hệ thống thông tin

Có thực hiện đánh giá an ninh thông tin cho các hệ thống thông tin?

Quy trình đánh giá có đảm bảo giảm thiểu gián đoạn kinh doanh?

A.13 An ninh truyền thông

A.13.1 Quản lý an ninh mạng

78

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.13.1.1 Kiểm soát mạng Có quy trình quản lý mạng?

A.13.1.2 Bảo vệ dịch vụ mạng

Tổ chức có thực thi quản lý rủi ro theo thoat thuận cho tất cả dịch vụ mạng và dịch vụ?

Bảo vệ dịch vụ mạng được chỉ rõ/tuân theo thỏa thuận hoặc hợp đồng với nhà cung cấp dịch vụ (bao gồm nội bộ tổ chức và thuê ngoài)?

Bảo vệ dịch vụ có liên quan tới SLA đã được ký kết?

A.13.1.3 Sự chia tách mạng

Cấu hình mạnh có bắt buộc chia tách mạng theo các nhiệm vụ khác nhau?

A.13.2 Truyền thông tin

A.13.2.1 Thủ tục và chính sách truyền thông tin Có chính sách về việc truyền thông tin?

Tất cả nhân viên có được đảm bảo sẵn sàng các thủ tục truyền thông tin?

Có kiểm soát kỹ thuật ngăn chặn các phương thức truyền dữ liệu trái phép?

A.13.2.2 Thỏa thuận truyền thông tin

Hợp đồng với đối tác và thỏa thuận nội bộ tổ chức có chỉ rõ yêu cầu đảm bảo an an ninh truyền thông tin kinh doanh?

79

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.13.2.3 Tin nhắn điện tử

Chính sách bảo mật bao gồm cả truyền thông tin qua hệ thống tin nhắn điện tử?

A.13.2.4 /Thỏa thuận bí mật hoặc không tiết lộ

Có ký thỏa thuận bí mật hoặc không tiết lộ với nhân viên, đối tác và đại lý?

Có thường xuyên rà soát các thỏa thuận?

Bản ghi các thỏa thuận được bảo quản, duy trì?

A.14 Tiếp nhận hệ thống, phát triển và bảo trì

A.14.1 Yêu cầu an ninh với hệ thống thông tin

A.14.1.1 Phân tích và tiêu chuẩn hóa yêu cầu bảo mật thông tin

Phải chỉ rõ yêu cầu bảo mật thông tin khi giới thiệu hệ thống mới?

Khi nâng cấp hoặc cập nhật hệ thống, có chỉ rõ yêu cầu về bảo mật thông tin?

A.14.1.2 Bảo mật/bảo vệ dịch vụ ứng dụng trong mạng công cộng

Ứng dụng khi gửi thông tin qua mạng công cộng có bảo vệ thông tin chống lại gian lận, tranh chấp trong hợp đồng, tiết lộ trái phép và chỉnh sửa trái phép?

80

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.14.1.3 Bảo vệ giao dịch dịch vụ ứng dụng

Có kiểm soát chống lại lỗi kênh truyền, định tuyến sai, xác nhận tin nhắn trái phép, tiết lộ trái phép, lặp tin nhắn trái phép và tấn công?

A.14.2 Bảo mật trong quy trình phát triển và hỗ trợ

A.14.2.1 Chính sách phát triển an toàn Tổ chức có phát triển phần mềm hoặc hệ thống?

Có chính sách chỉ rõ việc triển khai và đánh giá kiểm soát bảo mật khi phát triển phần mềm, hệ thống?

A.14.2.2 Thủ tục kiểm soát thay đổi hệ thống

Có quy trình kiểm soát thay đổi?

A.14.2.3 Xem xét công nghệ ứng dụng sau khi thay đổi nền tảng hoạt động

Có quy trình triển khai xem xét công nghệ của ứng dụng khi thay đổi nền tảng hoạt động?

A.14.2.4 Hạn chế thay đổi với gói phần mềm

Có quy định thời điểm và cách thức thay đổi hoặc điều chỉnh gói phần mềm?

A.14.2.5 Nguyên tắc an toàn hệ thống kỹ thuật

Tổ chức có đưa ra nguyên tắc về cách thức đánh giá kỹ thuật hệ thống đảm bảo an toàn?

A.14.2.6 Môi trường phát triển an toàn Có thiết lập môi trường phát triển an toàn?

81

Mục Yêu cầu Câu hỏi chi tiết Kết quả

Tất cả các dự án tận dụng môi trường phát triển an toàn phù hợp trong suốt quá trình phát triển hệ thống?

A.12.2.7 Phát triển thuê ngoài Có thực hiện giám sát khi thuê ngoài phát triển?

Có xem xét an ninh với mã nguồn thuê ngoài phát triển trước khi triển khai?

A.12.2.8 Kiểm tra an ninh hệ thống

Có kiểm tra an ninh trong quá trình phát triển với các hệ thống hoặc ứng dụng?

A.12.2.9 Kiểm tra độ chấp nhận hệ thống

Có quy trình về việc chấp nhận hệ thống mới, ứng dụng mới hoặc phiên bản mới đưa vào sử dụng

A.14.3 Dữ liệu kiểm tra

A.14.3.1 Bảo vệ dữ liệu kiểm tra Có quy trình cho việc lựa chọn dữ liệu kiểm tra?

Dữ liệu kiểm tra được bảo vệ?

A.15 Quan hệ với nhà cung cấp

A.15.1 An toàn thông tin trong quan hệ với nhà cung cấp

A.15.1.1 Chính sách an toàn thông tin cho quan hệ với nhà cung cấp

Hợp đồng với nhà cung cấp, đối tác cung cấp dịch vụ bao gồm điều khoản về bảo mật thông tin?

82

Mục Yêu cầu Câu hỏi chi tiết Kết quả

Có quản lý rủi ro của tổ chức đáp ứng mối quan hệ với nhà cung cấp?

A.15.1.2 Chỉ rõ phạm vi an toàn trong thỏa thuận với nhà cung cấp

Nhà cung cấp được cung cấp văn bản yêu cầu về an toàn?

Nhà cung cấp có được tiếp cận tài sản thông tin và hạ tầng thông tin được kiểm soát và giám sát của tổ chức?

A.15.1.3 Chuỗi cung ứng thông tin và công nghệ truyền thông

Thỏa thuận với nhà cung cấp bao gồm yêu cầu chỉ rõ bảo mật thông tin trong chuỗi cung ứng dịch vụ và sản phẩm?

A.15.2 Quản lý phân phối nhà cung cấp dịch vụ

A.15.2.1 Giám sát và xem xét dịch vụ cung ứng Có đánh giá và xem xét thường xuyên nhà cung cấp?

A.15.2.2 Quản lý thay đổi đến nhà cung cấp dịch vụ

Thay đổi cung cấp dịch vụ có tuân theo quy trình quản lý bao gồm đánh giá bảo mật và rủi ro?

A.16 Quản lý sự cố an toàn thông tin

A.16.1 Quản lý sự cố an toàn thông tin và cải tiến

83

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.16.1.1 Trách nhiệm và thủ tục

Trách nhiệm quản lý được xác định và quy định trong quy trình quản lý sự cố?

A.16.1.2 Báo cáo sự kiện an ninh thông tin Có quy trình báo cáo định kỳ các sự kiện an ninh thông tin?

Có quy trình việc xem xét và hành động với các sự kiện an ninh thông tin?

A.16.1.3 Báo cáo điểm yếu trong an ninh thông tin

Có quy trình việc báo cáo các điểm yếu trong an ninh thông tin tìm được?

Quy trình báo cáo điểm yếu an ninh thông tin được truyền thông rộng rãi?

Có quy trình việc xem xét và xác định báo cáo định kỳ bắt buộc?

A.16.1.4 Đánh giá và quyết định các sự kiện an ninh thông tin

Có quy trình đảm bảo các sự kiện an ninh thông tin được đánh giá và phân loại?

A.16.1.5 Phản hồi với sự cố an ninh thông tin

Có quy trình phản hồi sự cố nhằm đưa ra bảng phân loại và mức độ của sự cố an ninh thông tin?

A.16.1.6 Bài học từ sự cố an ninh thông tin

Có quy trình hoặc framework cho phép tổ chức học hỏi từ sự cố an ninh thông tin và giảm thiểu sự kiện tương tự xảy ra trong tương lai?

84

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.16.1.7 Tập hợp bằng chứng Có chính sách thu thập điều tra?

Khi xảy ra sự cố an ninh thông tin, các dữ liệu liên quan có được thu thập để sử dụng làm bằng chứng?

A.17 Hướng bảo mật thông tin của quản lý doanh nghiệp liên tục

A.17.1 Bảo mật thông tin liên tục

A.17.1.1 Kế hoạch bảo mật thông tin liên tục Kế hoạch liên tục của tổ chức bao gồm việc bảo mật thông tin?

A.17.1.2 Thực thi bảo mật thông tin liên tục

Chức năng bảo mật thông tin của tổ chức bao gồm thiết lập, thực hiện và duy trì các quy trình để đảm bao tính liên tục của dịch vụ trong tình huống bất lợi?

A.17.1.3 Kiểm chứng, xem xét và đánh giá tính liên tục bảo mật thông tin

Kế hoạch đánh giá tính liên tục được thực hiện, kiểm chứng thường trình?

A.17.2 Dư thừa

A.17.2.1 Tính sẵn sàng của công cụ xử lý thông tin

Công cụ xử lý thông tin đảm bảo đáp ứng được yêu cầu tính sẵn sàng của tổ chức?

A.18 Tuân thủ

85

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.18.1 Tuân thủ pháp lý và yêu cầu của hợp đồng

A.18.1.1 Phân biệt điều luật áp dụng và những yêu cầu hợp đồng

Tổ chức có xác định và dẫn chứng tài liệu về luật định, quy định, yêu cầu hợp đồng liên quan tới bảo mật?

Tuân thủ được quy định dạng văn bản?

A.18.1.2 Quyền sở hữu trí tuệ

Tổ chức có lưu giữ các hồ sơ về quyền sở hữu trí tuệ và bản quyền sử dụng các sản phẩm phần mềm tự phát triển?

Tổ chức có giám sát việc sử dụng các phần mềm không được phép?

A.18.1.3 Bảo vệ các hồ sơ

Có bảo vệ hồ sơ tránh mất mất, phá hủy, làm giả, truy cập hoặc công bố trái phép căn cứ theo luât định, quy định, yêu cầu của hợp đồng và kinh doanh?

A.18.1.4 Sự riêng tư và bảo vệ thông tin cá nhân Thông tin cá nhân được xác định và phân loại?

Bảo vệ thông tin cá nhân tuân theo luật định hiện hành?

A.18.1.5 Quy định kiểm soát mật mã

Kiểm soát mật mã có phù hợp với tất cả các thỏa thuận, điều luật và quy định có liên quan?

A.18.2 Xem xét an ninh thông tin

86

Mục Yêu cầu Câu hỏi chi tiết Kết quả

A.18.2.1 Xem xét độc lập an ninh thông tin

Tổ chức tiếp cận đánh giá an ninh thông tin thông qua xem xét độc lập thường xuyên?

Thực thi kiểm soát an ninh qua xem xét độc lập?

A.18.2.2 Tuân thủ chính sách và tiêu chuẩn an ninh

Tổ chức có yêu cầu nhà quản lý thường xuyên xem xét việc tuân thủ chính sách, thủ tục về an ninh thông tin trong phạm vi nhà quản lý chịu trách nhiệm?

Hồ sơ xem xét được duy trì?

A.18.2.3 Xem xét phù hợp về kỹ thuật

Hệ thống thông tin thường xuyên được xem xét phù hợp/tuân thủ về kỹ thuật?

87

PHỤ LỤC 3. Ma trận đánh giá rủi ro

Phân loại tần suất/ khả năng xảy ra (LIKELIHOOD)

Tần suất Khả năng xảy ra Cơ hội

4Rất Cao (Almost Certain)

Nhiều hơn 1 lần/tháng >90%Dự kiến, chắc chắn sẽ xảy ra trong hầu hết các trường hợp

3 Cao (Likely) Nhiều hơn 1 lần/quý nhưngít hơn 1 lần/tháng

>60%Có khả năng xảy ra trong hầu hết cáctrường hợp

2 Trung bình (Possible)

Ít hơn 1 lần/tháng nhưngnhiều hơn 1 lần/năm >=10 % Có khả năng xảy ra một số lần

1Thấp (Unlikely/ Rare)

Ít hơn 1 lần/năm < 10%Chỉ xảy ra trong một số trường hợp đặc biệt

STT Tần suất xảy raCác yếu tố đánh giá

88

Uy tín, danh tiếng Chất lượng dịch vụ Pháp lý Mức độ sự cố có thể gây ra

An toàn về mặt con người

Gián đoạn hoạt động kinh doanh

4Đặc biệt nghiêm trọng (Severe)

Uy tín, danh tiếng của tổ chức bị huỷ hoại nghiêm trọng, khó có khả năng khôi phục. Có khả năng gây ra ảnh hưởng nghiêm trọng về tỷ lệ cán bộ thôi việc tăng cao, tăng >20% so với mức trung bình)

Ảnh hưởng nghiêm trọng tới chất lượng dịch vụ. Số lượng phản ánh của khách hàng phản ánh về chất lượng dịch vụ tăng cao đột biến (khoảng 50% so với mức phản ánh trung bình)

-Bị áp dụng các điều chỉnh chính sách và quyết định có tác động nghiêm trọng đến hoạt động kinh doanh hiện tại và định hướng chiến lược của VDS như mất giấy phép, hạn chế về một mảng kinh doanh quan trọng- Các cơ quan quản lý nhà nước có thẩm quyền tăng cường giám sát hoạt động hoặc ban hành một số cảnh báo, giới hạn bất lợi- Phát sinh tranh chấp cần phải giải quyết theo thủ tục tố tụng hoặc các hành vi vi phạm pháp luật hình sự

Có khả năng gây ra sự cố mức nghiêm trọng

Có nhiều trường hợp tử vong

Đòi hỏi phải phục hồi lại hệ thống, không xác định được chính xác thời gian khôi phụ, có thể gián đoạn hoạt động kinh doanh trên 2 ngày

Lớn hơn 10 tỷ VNĐ

3Nghiêm trọng (Major)

Uy tính, danh tiếng của tổchức bị ảnh hưởng nghiêmtrọng, có khả năng cần rấtnhiều chi phí và nguồn lựccho việc khôi phục lại hìnhảnh. Có khả năng ảnh hưởnglớn tới tỷ lệ thôi việc củacán bộ tới 10-20% so vơimức trung bình)

Ảnh hưởng lớn tới chất lượng dịchvụ. Số lượng phản ánh khách hàngvề chất lượng dịch vụ tăng cao,khoảng từ 20%- 50% so với mứctrung bình.

-Cơ quan quản lý nhà nước có thẩmquyền yêu cầu phải áp dụng thêm cácbiện pháp kiểm soát nhất định trong mộtkhoảng thời gian đã thỏa thuận (khôngcông bố công khai rộng rãi)- Bị phạt hành chính do không tuân thủquy định của pháp luật

Có khả năng gâyra sự cố mức lớn

Có phát hiệntrường hợp tửvong hoặc sốlượng lớn ngườibị thương nặngcần điều trịbệnh viện

Gây gián đoạn hoạt động kinh doanh từ 1 ngày đến dưới 2 ngày

Lớn hơn1 tỷ VNĐ và nhỏ

hơn hoặc bằng 10 tỷ VNĐ

2Trung bình (Moderate)

Có ảnh hưởng nhỏ tới danh tiếng, hình ảnh của tổ chức, cần một khoản chi phí, nguồn lực nhất định có việc khôi phục lại hình ảnh tổ chức nhưng không đáng kể.

Có phát sinh ảnh hưởng tới chất lượng dịch vụ cung cấp cho khách hàng. Số lượng phản ánh khách hàng tăng khoảng 5%- 20% so với mức trung bình

Có khả năng phải báo cáo tới các cơ quan có thẩm quyền, cơ quan quản lý tuy nhiên không không bị các cơ quan áp đặt chế tài hay yêu cầu triển khai khắc phụcChính sách/quyết định pháp lý gây ra rất ít xáo trộn/gián đoạn hoạt động kinh doanh của VDS

Có khả năng gây ra sự cố mức trung bình

Có ảnh hưởng tới sức khoẻ về mặt con người, bị thương có khả năng phải vào bệnh viện điều trị

Gây gián đoạn hoạt động kinh doanh trong vài giờ (không quá 1 ngày làm việc)

Lớn hơn 100 triệu VNĐ và nhỏ hơn hoặc bằng 1 tỷ VNĐ

1Thấp (Insignificant)

Không có ảnh hưởng tới hình ảnh, danh tiếng của tổ chức

Không có ảnh hưởng tới chất lượng dich vụ cung cấp cho khách hàng. Hoặc có ảnh hưởng không đáng kể, không phát sinh phản ánh khách hàng hoặc chỉ có 1 vài phản ánh riêng lẻ

Sự kiện không cần phải báo cáo tới các cơ quan có thẩm quyền, cơ quan quản lý Hầu như không có ảnh hưởng tới hoạt động kinh doanh của VDS

Có khả năng gây ra sự cố mức nhỏ

Không có ảnh hưởng hoặc chỉ bị ảnh hưởng sức khoẻ mức nhẹ hoặc có thể chỉ cần y tá hỗ trợ thuốc chữa thông thường.

Hầu như không ảnh hưởng đến hoạt động kinh doanh

Nhỏ hơn hoặc bằng 100 triệu VNĐ

Phân loại mức độ ảnh hưởng (IMPACT)

Các yếu tố đánh giá phi tài chính Mức độ ảnh hưởng tài

chínhSTT

Mức độ ảnh hưởng

89

Ma trận đánh giá rủi ro

Đặc biệt nghiêm trọng (Severe) (4) Nghiêm trọng (Major) (3) Trung bình (Moderate) (2)

Thấp (Insignificant) (1)

Rất Cao (Almost Certain) (4)

16 (RẤT CAO) 12 (RẤT CAO) 8 (CAO) 4 (TRUNG BÌNH)

Cao (Likely) (3) 12 (RẤT CAO) 9 (CAO) 6 (TRUNG BÌNH) 3 (THẤP)

Trung bình (Possible) (2) 8 (CAO) 6(TRUNG BÌNH ) 4 (TRUNG BÌNH) 2 (THẤP)

Thấp (Unlikely/ Rare) (1)

4 (TRUNG BÌNH) 3 (THẤP) 2 (THẤP) 1 (THẤP)

LIKELIHOOD

IMPACT

90

PHỤ LỤC 4. Danh sách phân tích rủi ro cho dữ liệu viễn thông

Thông tin hệ thống Tính cước viễn thông

STT Chi tiết thông tin Nơi đặt lưu trữ

thông tin Loại thông tin (Khách

hàng/ Nội bộ) Mức độ quan

trọng thông tin

1 Dữ liệu thông tin khiếu nại của khách hàng Hệ thống tính cước viễn thông

khách hàng Rất quan trọng

2 Dữ liệu lịch sử khiếu nại của khách hàng Hệ thống tính cước viễn thông

khách hàng Rất quan trọng

3 Dữ liệu báo cáo chăm sóc khách hàng Hệ thống tính cước viễn thông

khách hàng Rất quan trọng

Tài sản

Người/Bộ phận quản lý

Giá trị

Mối đe dọa

Điểm yếu

91

Dữ liệu thông tin khiếu nại của khách hàng Dữ liệu Lịch sử khiếu nại của khách hàng Dữ liệu báo cáo chăm sóc khách hàng (BCCS CC)

IT Cao Bị tấn công Rà quét lỗ hổng, điểm yếu kỹ thuật, kiểm thử tấn công (từ nội bộ và từ bên ngoài) thiếu định kỳ

IT Cao Thiếu dung lượng Thiếu phần đánh giá capacity định kỳ (cả phần cứng, phần mềm)

IT Cao Thông tin bị sửa, xóa trái phép

Thông tin thiếu backup đầy đủ, định kỳ

IT Cao Chưa backup dữ liệu ra tape

IT Cao Chưa thực hiện DR site

IT Cao

Thông tin khiếu nại khách hàng bị lộ lọt thông tin ra

ngoài, tiết lộ thông tin cho đối thủ

Gửi thông tin khách hàng qua email ra ngoài

IT Cao Upload thông tin lên mạng/ server bên ngoài

IT Cao Quản lý mật khẩu truy cập App, DB, Server (hiện tại đã là mật khẩu mạnh)

IT Cao Sử dụng đối tác vào công tác CSKH có truy cập được dữ liệu

IT Cao Thiếu việc thử restore dữ liệu

IT Cao Chưa có giám sát log truy cập database tập trung

92

IT Cao Thông tin bị mất không khôi phục

lại được

Thiếu diễn tập kịch bản khi có sự cố, thảm họa theo định kỳ