10 trang 5 lượt tải

Báo cáo Đồ án: Kế hoạch đảm bảo an toàn thông tin cho Công ty TNHH Libra môn Quản lý an toàn thông tin | Học viện Công Nghệ Bưu Chính Viễn Thông

10

Báo cáo Đồ án: Kế hoạch Đảm bảo An toàn Thông tin cho Công ty TNHH Phần mềm Libra (Giai đoạn 2025-2030). Tài liệu được sưu tầm gồm 10 trang, giúp các bạn nắm vững kiến thức, rèn luyện kỹ năng và đạt được kết quả tốt trong học tập. Mời các bạn đón xem!

Môn: Quản lý an toàn thông tin 10 tài liệu

Trường: Học viện Công Nghệ Bưu Chính Viễn Thông 1.2 K tài liệu

Tác giả:

Profile

My Lữ

1 tuần trước
Danh sách Quiz
/10
lOMoARcPSD| 58736390
Báo cáo Đồ án: Kế hoạch Đảm bảo An toàn Thông tin cho Công ty TNHH Phần mềm Libra
(Giai đoạn 2025-2030)
MỤC LỤC
1. Lời mở đầu
2. Giới thiệu chung
2.1. Tổng quan về công ty
2.2. Mục tiêu của báo cáo
3. Khảo sát hiện trạng an toàn thông tin
3.1. Tài sản thông tin
3.2. Hạ tầng công nghệ thông tin
3.3. Quy trình và chính sách an toàn thông tin
3.4. Nhận thức của nhân viên
3.5. Phân tích rủi ro và mối đe dọa
4. Đề xuất kế hoạch an toàn thông tin (5 năm)
4.1. Giai đoạn 1: Thiết lập nền tảng (Năm 1)
4.2. Giai đoạn 2: Tăng cường bảo vệ và đạt ISO 27001 (Năm 2-3)
4.3. Giai đoạn 3: Duy trì và mở rộng (Năm 4-5)
5. Ngân sách và nguồn lực
5.1. Dự kiến chi phí
5.2. Nguồn lực cần thiết
6. Kế hoạch triển khai và giám sát
6.1. Lộ trình triển khai
6.2. Phương pháp giám sát và đánh giá
7. Kết luận và kiến nghị
8. Tài liệu tham khảo
1. Lời mở đầu
Trong bối cảnh ngành công nghệ thông tin phát triển mạnh mẽ, các mối đe dọa an ninh mạng
như ransomware, phishing, và rò rỉ dữ liệu ngày càng gia tăng. Công ty TNHH Phần mềm Libra,
với định hướng trở thành nhà cung cấp phần mềm hàng đầu Việt Nam và mở rộng thị trường
quốc tế, cần một hệ thống an toàn thông tin (ATTT) vững mạnh để bảo vệ tài sản thông tin và
đáp ứng các tiêu chuẩn quốc tế như ISO 27001. Báo cáo này được xây dựng dựa trên quá trình
lOMoARcPSD| 58736390
thực tập 3 tháng, nhằm khảo sát hiện trạng ATTT và đề xuất kế hoạch triển khai các biện pháp
bảo mật trong 5 năm (2025-2030).
Báo cáo trình bày chi tiết kết quả khảo sát, phân tích rủi ro, và kế hoạch hành động theo từng giai
đoạn, tập trung vào việc tích hợp bảo mật vào quy trình DevSecOps, bảo vệ hệ thống bán hàng
trực tuyến, và đạt chứng nhận ISO 27001. Các khuyến nghị được xây dựng dựa trên các tiêu
chuẩn NIST, ISO 27001, và Luật An ninh mạng Việt Nam.
2. Giới thiệu chung
2.1. Tổng quan về công ty
Công ty TNHH Phần mềm Libra hoạt động trong lĩnh vực phát triển phần mềm tùy chỉnh, cung
cấp giải pháp công nghệ thông tin, tư vấn kỹ thuật, và triển khai hệ thống ERP. Công ty phục vụ
các doanh nghiệp vừa và nhỏ trong các ngành tài chính, bán lẻ, logistics tại Việt Nam, đồng thời
xuất khẩu phần mềm cho thị trường Nhật Bản, Hàn Quốc, và đang mở rộng sang Mỹ và Châu
Âu. Với quy mô 150 nhân viên (100 lập trình viên, 20 nhân viên kinh doanh, 15 quản lý dự án,
15 hỗ trợ kỹ thuật và hành chính), Libra vận hành hệ thống CNTT gồm 5 máy chủ nội bộ, mạng
nội bộ 150 máy tính, và các dịch vụ đám mây (FPT Telecom, AWS). Hiện tại, công ty chưa có bộ
phận chuyên trách ATTT, chỉ sử dụng các giải pháp bảo mật cơ bản như tường lửa Fortinet, phần
mềm Kaspersky, và DLP sơ bộ.
Định hướng 5 năm:
Trở thành nhà cung cấp phần mềm hàng đầu Việt Nam và mở rộng thị phần
quốc tế.
Triển khai mô hình DevSecOps và đạt chứng nhận ISO 27001 trong 3 năm.
Phát triển nền tảng thương mại điện tử SaaS với thanh toán không dùng tiền
mặt.
Thiết lập phòng ATTT độc lập với 10 chuyên viên và triển khai cơ chế dự
phòng nóng. 2.2. Mục tiêu của báo cáo Báo cáo nhằm:
Đánh giá hiện trạng ATTT của Libra thông qua khảo sát thực tế.
Xác định lỗ hổng bảo mật và rủi ro tiềm tàng, đặc biệt liên quan đến hệ thống
bán hàng trực tuyến và DevSecOps.
Đề xuất kế hoạch ATTT 5 năm, hỗ trợ đạt ISO 27001 và bảo vệ tài sản thông
tin.
Cung cấp lộ trình triển khai, ngân sách, và phương pháp giám sát hiệu quả.
lOMoARcPSD| 58736390
3. Khảo sát hiện trạng an toàn thông tin
Quá trình khảo sát được thực hiện trong 3 tháng, sử dụng các phương pháp phỏng vấn, kiểm tra
hệ thống, và phân tích tài liệu. Kết quả được trình bày theo các khía cạnh sau.
3.1. Tài sản thông tin
Phương pháp: Phỏng vấn các phòng ban (phát triển, kinh doanh, quản lý dự
án) và kiểm kê hệ thống.
Kết quả:
o Dữ liệu quan trọng: Mã nguồn phần mềm, dữ liệu khách hàng
(500.000 bản ghi), hợp đồng quốc tế, dữ liệu ERP.
o Hệ thống CNTT: 5 máy chủ nội bộ, 150 máy trạm, hệ thống CRM,
GitLab, Jira, website trên đám mây FPT Telecom.
o Phân loại: 40% tài sản thông tin mức độ quan trọng cao, 45% trung
bình, 15% thấp.
Nhận xét: Thiếu quy trình phân loại và đánh giá tài sản thông tin, gây khó
khăn trong việc ưu tiên bảo vệ.
3.2. Hạ tầng công nghệ thông tin
Phương pháp: Quét lỗ hổng bằng Nessus, kiểm tra cấu hình tường lửa
Fortinet, phân tích nhật ký hệ thống.
Kết quả:
o Tường lửa Fortinet hoạt động nhưng thiếu quy tắc chặn nâng cao cho
lưu lượng quốc tế.
o 30% máy trạm chưa cập nhật bản vá bảo mật mới nhất (Windows,
Linux). o Dữ liệu trên máy chủ nội bộ và CRM chưa được mã hóa tại
chỗ.
o Website trên FPT Telecom thiếu cơ chế dự phòng nóng, thời gian khôi
phục ước tính 4-6 giờ.
o Hệ thống GitLab và Jira có DLP sơ bộ nhưng chưa bảo vệ đầy đủ mã
nguồn xuất khẩu.
Nhận xét: Hạ tầng CNTT dễ bị tấn công do thiếu mã hóa, dự phòng, và giám
sát thời gian thực.
3.3. Quy trình và chính sách an toàn thông tin
lOMoARcPSD| 58736390
Phương pháp: Xem xét tài liệu nội bộ, phỏng vấn quản lý CNTT.
Kết quả: o Chính sách mật khẩu yêu cầu 8 ký tự, không bắt buộc ký tự đặc
biệt. o Quy trình phản ứng sự cố chưa được văn bản hóa, phụ thuộc vào kỹ sư
CNTT.
o Sao lưu dữ liệu được thực hiện hàng tuần nhưng chưa kiểm tra khả
năng khôi phục.
o Thiếu chính sách quản lý quyền truy cập (IAM) cho GitLab và CRM.
o Chưa có quy trình tích hợp bảo mật vào phát triển phần mềm
(DevSecOps).
Nhận xét: Quy trình và chính sách hiện tại không đáp ứng yêu cầu ISO
27001.
3.4. Nhận thức của nhân viên
Phương pháp: Khảo sát 100 nhân viên, thực hiện 2 bài kiểm tra giả lập
phishing.
Kết quả: o 50% nhân viên sử dụng mật khẩu yếu hoặc trùng lặp trên nhiều
hệ thống. o 35% nhân viên nhấp vào liên kết trong email lừa đảo giả lập.
o Chỉ 15% nhân viên được đào tạo ATTT trong 12 tháng qua.
Nhận xét: Nhận thức ATTT của nhân viên là lỗ hổng lớn, đặc biệt trong bối
cảnh phát triển phần mềm quốc tế.
3.5. Phân tích rủi ro và mối đe dọa
Phương pháp: Áp dụng NIST SP 800-30 để đánh giá rủi ro.
Kết quả:
o Mối đe dọa chính: Ransomware, phishing, rò rỉ mã nguồn, tấn công
DDoS vào website. o Ma trận rủi ro:
Mối đe dọa Xác suất Tác động Mức độ rủi ro
Ransomware Cao Cao Cao Phishing Cao
Trung Cao
Rò rỉ mã nguồn Trung Cao Cao
lOMoARcPSD| 58736390
DDoS website Trung Trung Trung
o Rủi ro nổi bật: Lỗ hổng phần mềm, thiếu MFA, nhận thức nhân viên
yếu, website thiếu dự phòng.
Nhận xét: Cần ưu tiên bảo vệ mã nguồn, website, và nâng cao nhận thức nhân
viên.
4. Đề xuất kế hoạch an toàn thông tin (5 năm)
Kế hoạch được chia thành 3 giai đoạn, tập trung vào xây dựng nền tảng, đạt ISO 27001, và duy
trì bảo mật cho hệ thống bán hàng trực tuyến và DevSecOps.
4.1. Giai đoạn 1: Thiết lập nền tảng (Năm 1)
Mục tiêu: Xây dựng chính sách, hạ tầng cơ bản, và đội ngũ ATTT để giảm
thiểu rủi ro tức thời.
Công việc:
o Chính sách:
Ban hành chính sách mật khẩu (tối thiểu 12 ký tự, kết hợp chữ
hoa/thường/số/ký tự đặc biệt).
Xây dựng quy trình phản ứng sự cố theo NIST 800-61.
Soạn thảo kế hoạch khôi phục thảm họa (DRP) với thời gian
khôi phục tối đa 1 giờ. o Hạ tầng:
Nâng cấp tường lửa Fortinet với quy tắc chặn lưu lượng quốc
tế đáng ngờ.
Cập nhật toàn bộ phần mềm và áp dụng bản vá bảo mật định
kỳ.
Triển khai mã hóa AES-256 cho dữ liệu trên máy chủ và CRM.
Cài đặt IDS/IPS (Snort) cho mạng nội bộ.
Thiết lập cơ chế dự phòng nóng cho website và CRM (sử dụng
FPT Telecom hoặc AWS).
o Đào tạo:
Tổ chức 4 khóa đào tạo ATTT cho 150 nhân viên, tập trung vào
phishing và bảo vệ mã nguồn.
lOMoARcPSD| 58736390
Thực hiện 3 bài kiểm tra giả lập phishing. o Nhân sự:
Tuyển dụng 3 chuyên viên ATTT để thành lập nhóm bảo mật
ban đầu. o Tuân thủ:
Đảm bảo tuân thủ Luật An ninh mạng và Nghị định
117/2018/NĐ-CP.
4.2. Giai đoạn 2: Tăng cường bảo vệ và đạt ISO 27001 (Năm 2-3)
Mục tiêu: Tích hợp DevSecOps, triển khai hệ thống bán hàng trực tuyến an
toàn, và đạt chứng nhận ISO 27001.
Công việc:
o Hệ thống bảo mật:
Triển khai SIEM (Splunk) để giám sát thời gian thực trên mạng
nội bộ và đám mây.
Sử dụng công cụ AI/ML (Darktrace) để phát hiện bất thường
trong GitLab và CRM.
Triển khai DLP nâng cao (Symantec) để bảo vệ mã nguồn và
dữ liệu khách hàng. o DevSecOps:
Tích hợp công cụ bảo mật (SonarQube, Snyk) vào quy trình
phát triển trên GitLab.
Xây dựng pipeline CI/CD với kiểm tra bảo mật tự động.
o Hệ thống bán hàng trực tuyến:
Triển khai nền tảng SaaS trên AWS với WAF (Web Application
Firewall) và chống DDoS.
Áp dụng thanh toán không dùng tiền mặt qua cổng thanh toán
quốc tế (Stripe, PayPal) với mã hóa PCI DSS.
o Quản lý truy cập:
Triển khai MFA (Duo) cho GitLab, Jira, CRM, và hệ thống
SaaS.
Áp dụng mô hình Zero Trust cho mạng nội bộ và dịch vụ đám
mây. o Sao lưu và khôi phục:
lOMoARcPSD| 58736390
Thiết lập sao lưu off-site (AWS S3) cho website, CRM, và mã
nguồn.
Kiểm tra khôi phục hàng quý, đảm bảo thời gian khôi phục
dưới 1 giờ.
o Kiểm tra bảo mật:
Thực hiện kiểm tra thâm nhập hàng năm bởi VNPT Security.
Quét lỗ hổng hàng tháng bằng Nessus.
o ISO 27001:
Xây dựng ISMS (Hệ thống quản lý ATTT) theo ISO 27001.
Thuê tư vấn (VD: VietCert) để chuẩn bị hồ sơ và đánh giá
chứng nhận vào năm 3. o Nhân sự:
Tuyển dụng thêm 7 chuyên viên ATTT để hoàn thiện phòng
bảo mật (tổng 10 người).
4.3. Giai đoạn 3: Duy trì và mở rộng (Năm 4-5)
Mục tiêu: Duy trì chứng nhận ISO 27001, mở rộng dịch vụ bảo mật, và thích
nghi với mối đe dọa mới.
Công việc:
o Cập nhật:
Đánh giá và cập nhật ISMS hàng năm để duy trì ISO 27001.
Nâng cấp phần cứng/phần mềm (máy chủ, tường lửa) theo tiêu
chuẩn mới.
o Dịch vụ bảo mật:
Cung cấp dịch vụ tư vấn ATTT cho khách hàng ERP và SaaS.
Phát triển sản phẩm bảo mật (VD: công cụ giám sát mã nguồn)
để bán trên nền tảng SaaS. o Ứng phó:
Theo dõi xu hướng tấn công mạng qua báo cáo của Kaspersky,
FireEye.
Tham gia Vietnam Security Summit để cập nhật kiến thức. o
Văn hóa:
lOMoARcPSD| 58736390
Tích hợp đào tạo ATTT vào onboarding nhân viên mới (quy
mô 300 người).
Khuyến khích báo cáo sự cố bảo mật qua chính sách không
trừng phạt. o Đánh giá:
Đo lường KPI: Giảm 60% vụ vi phạm bảo mật, 90% nhân viên
vượt qua bài kiểm tra phishing.
Báo cáo hiệu quả hàng năm cho ban lãnh đạo.
5. Ngân sách và nguồn lực
5.1. Dự kiến chi phí
Năm 1: 800 triệu VNĐ (chính sách, đào tạo, mã hóa, IDS/IPS, dự phòng
nóng).
Năm 2-3: 2 tỷ VNĐ (SIEM, DLP, MFA, DevSecOps, SaaS, kiểm tra thâm
nhập, ISO 27001).
Năm 4-5: 1,2 tỷ VNĐ (duy trì, nâng cấp, dịch vụ bảo mật, đào tạo).
Tổng cộng: Khoảng 4 tỷ VNĐ cho 5 năm.
Lưu ý: Phối hợp với phòng tài chính để điều chỉnh ngân sách theo thực tế.
5.2. Nguồn lực cần thiết
Nhân sự: o 1 quản lý ATTT (CISO). o 10 chuyên viên ATTT (tuyển dần
trong 3 năm).
o Hỗ trợ từ đội CNTT (5-7 nhân viên).
Công cụ:
o Nessus (quét lỗ hổng), Splunk (SIEM), Symantec DLP, Duo (MFA),
SonarQube (DevSecOps).
o AWS (SaaS, sao lưu), FPT Telecom (website, dự phòng nóng).
Đối tác: o VNPT Security (kiểm tra thâm nhập), VietCert (tư vấn ISO
27001). o Đơn vị đào tạo ATTT (FPT Training).
lOMoARcPSD| 58736390
6. Kế hoạch triển khai và giám sát
6.1. Lộ trình triển khai
Tháng 1-3 (Năm 1): Ban hành chính sách, đào tạo, cập nhật phần mềm, triển
khai mã hóa.
Tháng 4-12 (Năm 1): Cài đặt IDS/IPS, dự phòng nóng, kiểm tra phishing,
tuyển 3 chuyên viên ATTT.
Năm 2-3: Triển khai SIEM, DLP, MFA, DevSecOps, SaaS, kiểm tra thâm
nhập, đạt ISO 27001.
Năm 4-5: Duy trì ISMS, phát triển dịch vụ bảo mật, đánh giá hiệu quả.
6.2. Phương pháp giám sát và đánh giá Giám sát: o Sử dụng SIEM để phát hiện sự
cố thời gian thực.
o Báo cáo hàng tháng về tình trạng bảo mật cho ban lãnh đạo.
Đánh giá:
o KPI: Giảm 60% vụ vi phạm vào năm 4, thời gian khôi phục dưới 1
giờ, 90% nhân viên qua bài kiểm tra phishing.
o Báo cáo đánh giá hàng năm để điều chỉnh kế hoạch. o Thu thập phản
hồi từ khách hàng SaaS và nhân viên để cải tiến.
7. Kết luận và kiến nghị
Báo cáo đã đánh giá hiện trạng ATTT của Libra, xác định các lỗ hổng (hạ tầng yếu, thiếu chính
sách, nhận thức thấp), và đề xuất kế hoạch 5 năm để khắc phục. Kế hoạch tập trung vào xây
dựng phòng ATTT, tích hợp DevSecOps, bảo vệ hệ thống SaaS, và đạt ISO 27001, hỗ trợ Libra
mở rộng thị trường quốc tế.
Kiến nghị:
Ban lãnh đạo cam kết đầu tư 4 tỷ VNĐ và tuyển dụng 10 chuyên viên ATTT.
Xây dựng văn hóa ATTT thông qua đào tạo liên tục và chính sách khuyến khích báo cáo
sự cố.
Hợp tác với VNPT Security và VietCert để đảm bảo kiểm tra bảo mật và chứng nhận ISO
27001.
lOMoARcPSD| 58736390
Định kỳ cập nhật kế hoạch để thích nghi với các mối đe dọa mới, đặc biệt liên quan đến
AI và Blockchain.
8. Tài liệu tham khảo
1. NIST SP 800-30: Guide for Conducting Risk Assessments, 2012.
2. ISO/IEC 27001: Information Security Management, 2013.
3. Luật An ninh mạng Việt Nam, 2018.
4. Nghị định 117/2018/NĐ-CP về bảo vệ dữ liệu cá nhân.
5. Báo cáo xu hướng an ninh mạng 2024 – Kaspersky.
6. Tài liệu mẫu: Đề xuất ATTT cho ngân hàng (Studocu).

Tài liệu khác của Học viện Công Nghệ Bưu Chính Viễn Thông

Preview text:

lOMoAR cPSD| 58736390
Báo cáo Đồ án: Kế hoạch Đảm bảo An toàn Thông tin cho Công ty TNHH Phần mềm Libra
(Giai đoạn 2025-2030) MỤC LỤC 1. Lời mở đầu
2. Giới thiệu chung
2.1. Tổng quan về công ty
2.2. Mục tiêu của báo cáo
3. Khảo sát hiện trạng an toàn thông tin 3.1. Tài sản thông tin
3.2. Hạ tầng công nghệ thông tin
3.3. Quy trình và chính sách an toàn thông tin
3.4. Nhận thức của nhân viên
3.5. Phân tích rủi ro và mối đe dọa
4. Đề xuất kế hoạch an toàn thông tin (5 năm)
4.1. Giai đoạn 1: Thiết lập nền tảng (Năm 1)
4.2. Giai đoạn 2: Tăng cường bảo vệ và đạt ISO 27001 (Năm 2-3)
4.3. Giai đoạn 3: Duy trì và mở rộng (Năm 4-5)
5. Ngân sách và nguồn lực 5.1. Dự kiến chi phí
5.2. Nguồn lực cần thiết
6. Kế hoạch triển khai và giám sát 6.1. Lộ trình triển khai
6.2. Phương pháp giám sát và đánh giá
7. Kết luận và kiến nghị
8. Tài liệu tham khảo 1. Lời mở đầu
Trong bối cảnh ngành công nghệ thông tin phát triển mạnh mẽ, các mối đe dọa an ninh mạng
như ransomware, phishing, và rò rỉ dữ liệu ngày càng gia tăng. Công ty TNHH Phần mềm Libra,
với định hướng trở thành nhà cung cấp phần mềm hàng đầu Việt Nam và mở rộng thị trường
quốc tế, cần một hệ thống an toàn thông tin (ATTT) vững mạnh để bảo vệ tài sản thông tin và
đáp ứng các tiêu chuẩn quốc tế như ISO 27001. Báo cáo này được xây dựng dựa trên quá trình lOMoAR cPSD| 58736390
thực tập 3 tháng, nhằm khảo sát hiện trạng ATTT và đề xuất kế hoạch triển khai các biện pháp
bảo mật trong 5 năm (2025-2030).
Báo cáo trình bày chi tiết kết quả khảo sát, phân tích rủi ro, và kế hoạch hành động theo từng giai
đoạn, tập trung vào việc tích hợp bảo mật vào quy trình DevSecOps, bảo vệ hệ thống bán hàng
trực tuyến, và đạt chứng nhận ISO 27001. Các khuyến nghị được xây dựng dựa trên các tiêu
chuẩn NIST, ISO 27001, và Luật An ninh mạng Việt Nam.
2. Giới thiệu chung
2.1. Tổng quan về công ty
Công ty TNHH Phần mềm Libra hoạt động trong lĩnh vực phát triển phần mềm tùy chỉnh, cung
cấp giải pháp công nghệ thông tin, tư vấn kỹ thuật, và triển khai hệ thống ERP. Công ty phục vụ
các doanh nghiệp vừa và nhỏ trong các ngành tài chính, bán lẻ, logistics tại Việt Nam, đồng thời
xuất khẩu phần mềm cho thị trường Nhật Bản, Hàn Quốc, và đang mở rộng sang Mỹ và Châu
Âu. Với quy mô 150 nhân viên (100 lập trình viên, 20 nhân viên kinh doanh, 15 quản lý dự án,
15 hỗ trợ kỹ thuật và hành chính), Libra vận hành hệ thống CNTT gồm 5 máy chủ nội bộ, mạng
nội bộ 150 máy tính, và các dịch vụ đám mây (FPT Telecom, AWS). Hiện tại, công ty chưa có bộ
phận chuyên trách ATTT, chỉ sử dụng các giải pháp bảo mật cơ bản như tường lửa Fortinet, phần
mềm Kaspersky, và DLP sơ bộ.
Định hướng 5 năm: •
Trở thành nhà cung cấp phần mềm hàng đầu Việt Nam và mở rộng thị phần quốc tế. •
Triển khai mô hình DevSecOps và đạt chứng nhận ISO 27001 trong 3 năm. •
Phát triển nền tảng thương mại điện tử SaaS với thanh toán không dùng tiền mặt. •
Thiết lập phòng ATTT độc lập với 10 chuyên viên và triển khai cơ chế dự
phòng nóng. 2.2. Mục tiêu của báo cáo Báo cáo nhằm: •
Đánh giá hiện trạng ATTT của Libra thông qua khảo sát thực tế. •
Xác định lỗ hổng bảo mật và rủi ro tiềm tàng, đặc biệt liên quan đến hệ thống
bán hàng trực tuyến và DevSecOps. •
Đề xuất kế hoạch ATTT 5 năm, hỗ trợ đạt ISO 27001 và bảo vệ tài sản thông tin. •
Cung cấp lộ trình triển khai, ngân sách, và phương pháp giám sát hiệu quả. lOMoAR cPSD| 58736390
3. Khảo sát hiện trạng an toàn thông tin
Quá trình khảo sát được thực hiện trong 3 tháng, sử dụng các phương pháp phỏng vấn, kiểm tra
hệ thống, và phân tích tài liệu. Kết quả được trình bày theo các khía cạnh sau.
3.1. Tài sản thông tin
Phương pháp: Phỏng vấn các phòng ban (phát triển, kinh doanh, quản lý dự
án) và kiểm kê hệ thống. • Kết quả:
o Dữ liệu quan trọng: Mã nguồn phần mềm, dữ liệu khách hàng
(500.000 bản ghi), hợp đồng quốc tế, dữ liệu ERP.
o Hệ thống CNTT: 5 máy chủ nội bộ, 150 máy trạm, hệ thống CRM,
GitLab, Jira, website trên đám mây FPT Telecom.
o Phân loại: 40% tài sản thông tin mức độ quan trọng cao, 45% trung bình, 15% thấp. •
Nhận xét: Thiếu quy trình phân loại và đánh giá tài sản thông tin, gây khó
khăn trong việc ưu tiên bảo vệ.
3.2. Hạ tầng công nghệ thông tin
Phương pháp: Quét lỗ hổng bằng Nessus, kiểm tra cấu hình tường lửa
Fortinet, phân tích nhật ký hệ thống. • Kết quả:
o Tường lửa Fortinet hoạt động nhưng thiếu quy tắc chặn nâng cao cho lưu lượng quốc tế.
o 30% máy trạm chưa cập nhật bản vá bảo mật mới nhất (Windows,
Linux). o Dữ liệu trên máy chủ nội bộ và CRM chưa được mã hóa tại chỗ.
o Website trên FPT Telecom thiếu cơ chế dự phòng nóng, thời gian khôi
phục ước tính 4-6 giờ.
o Hệ thống GitLab và Jira có DLP sơ bộ nhưng chưa bảo vệ đầy đủ mã nguồn xuất khẩu. •
Nhận xét: Hạ tầng CNTT dễ bị tấn công do thiếu mã hóa, dự phòng, và giám sát thời gian thực.
3.3. Quy trình và chính sách an toàn thông tin lOMoAR cPSD| 58736390 •
Phương pháp: Xem xét tài liệu nội bộ, phỏng vấn quản lý CNTT. •
Kết quả: o Chính sách mật khẩu yêu cầu 8 ký tự, không bắt buộc ký tự đặc
biệt. o Quy trình phản ứng sự cố chưa được văn bản hóa, phụ thuộc vào kỹ sư CNTT.
o Sao lưu dữ liệu được thực hiện hàng tuần nhưng chưa kiểm tra khả năng khôi phục.
o Thiếu chính sách quản lý quyền truy cập (IAM) cho GitLab và CRM.
o Chưa có quy trình tích hợp bảo mật vào phát triển phần mềm (DevSecOps). •
Nhận xét: Quy trình và chính sách hiện tại không đáp ứng yêu cầu ISO 27001.
3.4. Nhận thức của nhân viên
Phương pháp: Khảo sát 100 nhân viên, thực hiện 2 bài kiểm tra giả lập phishing. •
Kết quả: o 50% nhân viên sử dụng mật khẩu yếu hoặc trùng lặp trên nhiều
hệ thống. o 35% nhân viên nhấp vào liên kết trong email lừa đảo giả lập.
o Chỉ 15% nhân viên được đào tạo ATTT trong 12 tháng qua. •
Nhận xét: Nhận thức ATTT của nhân viên là lỗ hổng lớn, đặc biệt trong bối
cảnh phát triển phần mềm quốc tế.
3.5. Phân tích rủi ro và mối đe dọa
Phương pháp: Áp dụng NIST SP 800-30 để đánh giá rủi ro. • Kết quả:
o Mối đe dọa chính: Ransomware, phishing, rò rỉ mã nguồn, tấn công
DDoS vào website. o Ma trận rủi ro: Mối đe dọa
Xác suất Tác động Mức độ rủi ro Ransomware Cao Cao Cao Phishing Cao Trung Cao Rò rỉ mã nguồn Trung Cao Cao lOMoAR cPSD| 58736390 DDoS website Trung Trung Trung
o Rủi ro nổi bật: Lỗ hổng phần mềm, thiếu MFA, nhận thức nhân viên
yếu, website thiếu dự phòng. •
Nhận xét: Cần ưu tiên bảo vệ mã nguồn, website, và nâng cao nhận thức nhân viên.
4. Đề xuất kế hoạch an toàn thông tin (5 năm)
Kế hoạch được chia thành 3 giai đoạn, tập trung vào xây dựng nền tảng, đạt ISO 27001, và duy
trì bảo mật cho hệ thống bán hàng trực tuyến và DevSecOps.
4.1. Giai đoạn 1: Thiết lập nền tảng (Năm 1)
Mục tiêu: Xây dựng chính sách, hạ tầng cơ bản, và đội ngũ ATTT để giảm
thiểu rủi ro tức thời. • Công việc: o Chính sách:
Ban hành chính sách mật khẩu (tối thiểu 12 ký tự, kết hợp chữ
hoa/thường/số/ký tự đặc biệt).
Xây dựng quy trình phản ứng sự cố theo NIST 800-61.
Soạn thảo kế hoạch khôi phục thảm họa (DRP) với thời gian
khôi phục tối đa 1 giờ. o Hạ tầng:
Nâng cấp tường lửa Fortinet với quy tắc chặn lưu lượng quốc tế đáng ngờ.
Cập nhật toàn bộ phần mềm và áp dụng bản vá bảo mật định kỳ.
Triển khai mã hóa AES-256 cho dữ liệu trên máy chủ và CRM.
Cài đặt IDS/IPS (Snort) cho mạng nội bộ.
Thiết lập cơ chế dự phòng nóng cho website và CRM (sử dụng FPT Telecom hoặc AWS). o Đào tạo:
Tổ chức 4 khóa đào tạo ATTT cho 150 nhân viên, tập trung vào
phishing và bảo vệ mã nguồn. lOMoAR cPSD| 58736390
Thực hiện 3 bài kiểm tra giả lập phishing. o Nhân sự:
Tuyển dụng 3 chuyên viên ATTT để thành lập nhóm bảo mật
ban đầu. o Tuân thủ:
Đảm bảo tuân thủ Luật An ninh mạng và Nghị định 117/2018/NĐ-CP.
4.2. Giai đoạn 2: Tăng cường bảo vệ và đạt ISO 27001 (Năm 2-3)
Mục tiêu: Tích hợp DevSecOps, triển khai hệ thống bán hàng trực tuyến an
toàn, và đạt chứng nhận ISO 27001. • Công việc:
o Hệ thống bảo mật:
Triển khai SIEM (Splunk) để giám sát thời gian thực trên mạng nội bộ và đám mây.
Sử dụng công cụ AI/ML (Darktrace) để phát hiện bất thường trong GitLab và CRM.
Triển khai DLP nâng cao (Symantec) để bảo vệ mã nguồn và
dữ liệu khách hàng. o DevSecOps:
Tích hợp công cụ bảo mật (SonarQube, Snyk) vào quy trình phát triển trên GitLab.
Xây dựng pipeline CI/CD với kiểm tra bảo mật tự động.
o Hệ thống bán hàng trực tuyến:
Triển khai nền tảng SaaS trên AWS với WAF (Web Application Firewall) và chống DDoS.
Áp dụng thanh toán không dùng tiền mặt qua cổng thanh toán
quốc tế (Stripe, PayPal) với mã hóa PCI DSS.
o Quản lý truy cập:
Triển khai MFA (Duo) cho GitLab, Jira, CRM, và hệ thống SaaS.
Áp dụng mô hình Zero Trust cho mạng nội bộ và dịch vụ đám
mây. o Sao lưu và khôi phục: lOMoAR cPSD| 58736390
Thiết lập sao lưu off-site (AWS S3) cho website, CRM, và mã nguồn.
Kiểm tra khôi phục hàng quý, đảm bảo thời gian khôi phục dưới 1 giờ.
o Kiểm tra bảo mật:
Thực hiện kiểm tra thâm nhập hàng năm bởi VNPT Security.
Quét lỗ hổng hàng tháng bằng Nessus. o ISO 27001:
Xây dựng ISMS (Hệ thống quản lý ATTT) theo ISO 27001.
Thuê tư vấn (VD: VietCert) để chuẩn bị hồ sơ và đánh giá
chứng nhận vào năm 3. o Nhân sự:
Tuyển dụng thêm 7 chuyên viên ATTT để hoàn thiện phòng
bảo mật (tổng 10 người).
4.3. Giai đoạn 3: Duy trì và mở rộng (Năm 4-5)
Mục tiêu: Duy trì chứng nhận ISO 27001, mở rộng dịch vụ bảo mật, và thích
nghi với mối đe dọa mới. • Công việc: o Cập nhật:
Đánh giá và cập nhật ISMS hàng năm để duy trì ISO 27001.
Nâng cấp phần cứng/phần mềm (máy chủ, tường lửa) theo tiêu chuẩn mới.
o Dịch vụ bảo mật:
Cung cấp dịch vụ tư vấn ATTT cho khách hàng ERP và SaaS.
Phát triển sản phẩm bảo mật (VD: công cụ giám sát mã nguồn)
để bán trên nền tảng SaaS. o Ứng phó:
Theo dõi xu hướng tấn công mạng qua báo cáo của Kaspersky, FireEye.
Tham gia Vietnam Security Summit để cập nhật kiến thức. o Văn hóa: lOMoAR cPSD| 58736390
Tích hợp đào tạo ATTT vào onboarding nhân viên mới (quy mô 300 người).
Khuyến khích báo cáo sự cố bảo mật qua chính sách không
trừng phạt. o Đánh giá:
Đo lường KPI: Giảm 60% vụ vi phạm bảo mật, 90% nhân viên
vượt qua bài kiểm tra phishing.
Báo cáo hiệu quả hàng năm cho ban lãnh đạo.
5. Ngân sách và nguồn lực
5.1. Dự kiến chi phí
Năm 1: 800 triệu VNĐ (chính sách, đào tạo, mã hóa, IDS/IPS, dự phòng nóng). •
Năm 2-3: 2 tỷ VNĐ (SIEM, DLP, MFA, DevSecOps, SaaS, kiểm tra thâm nhập, ISO 27001). •
Năm 4-5: 1,2 tỷ VNĐ (duy trì, nâng cấp, dịch vụ bảo mật, đào tạo). •
Tổng cộng: Khoảng 4 tỷ VNĐ cho 5 năm. •
Lưu ý: Phối hợp với phòng tài chính để điều chỉnh ngân sách theo thực tế.
5.2. Nguồn lực cần thiết
Nhân sự: o 1 quản lý ATTT (CISO). o 10 chuyên viên ATTT (tuyển dần trong 3 năm).
o Hỗ trợ từ đội CNTT (5-7 nhân viên). • Công cụ:
o Nessus (quét lỗ hổng), Splunk (SIEM), Symantec DLP, Duo (MFA), SonarQube (DevSecOps).
o AWS (SaaS, sao lưu), FPT Telecom (website, dự phòng nóng). •
Đối tác: o VNPT Security (kiểm tra thâm nhập), VietCert (tư vấn ISO
27001). o Đơn vị đào tạo ATTT (FPT Training). lOMoAR cPSD| 58736390
6. Kế hoạch triển khai và giám sát
6.1. Lộ trình triển khai
Tháng 1-3 (Năm 1): Ban hành chính sách, đào tạo, cập nhật phần mềm, triển khai mã hóa. •
Tháng 4-12 (Năm 1): Cài đặt IDS/IPS, dự phòng nóng, kiểm tra phishing, tuyển 3 chuyên viên ATTT. •
Năm 2-3: Triển khai SIEM, DLP, MFA, DevSecOps, SaaS, kiểm tra thâm nhập, đạt ISO 27001. •
Năm 4-5: Duy trì ISMS, phát triển dịch vụ bảo mật, đánh giá hiệu quả.
6.2. Phương pháp giám sát và đánh giá Giám sát: o Sử dụng SIEM để phát hiện sự cố thời gian thực.
o Báo cáo hàng tháng về tình trạng bảo mật cho ban lãnh đạo. • Đánh giá:
o KPI: Giảm 60% vụ vi phạm vào năm 4, thời gian khôi phục dưới 1
giờ, 90% nhân viên qua bài kiểm tra phishing.
o Báo cáo đánh giá hàng năm để điều chỉnh kế hoạch. o Thu thập phản
hồi từ khách hàng SaaS và nhân viên để cải tiến.
7. Kết luận và kiến nghị
Báo cáo đã đánh giá hiện trạng ATTT của Libra, xác định các lỗ hổng (hạ tầng yếu, thiếu chính
sách, nhận thức thấp), và đề xuất kế hoạch 5 năm để khắc phục. Kế hoạch tập trung vào xây
dựng phòng ATTT, tích hợp DevSecOps, bảo vệ hệ thống SaaS, và đạt ISO 27001, hỗ trợ Libra
mở rộng thị trường quốc tế. Kiến nghị: •
Ban lãnh đạo cam kết đầu tư 4 tỷ VNĐ và tuyển dụng 10 chuyên viên ATTT. •
Xây dựng văn hóa ATTT thông qua đào tạo liên tục và chính sách khuyến khích báo cáo sự cố. •
Hợp tác với VNPT Security và VietCert để đảm bảo kiểm tra bảo mật và chứng nhận ISO 27001. lOMoAR cPSD| 58736390 •
Định kỳ cập nhật kế hoạch để thích nghi với các mối đe dọa mới, đặc biệt liên quan đến AI và Blockchain.
8. Tài liệu tham khảo
1. NIST SP 800-30: Guide for Conducting Risk Assessments, 2012.
2. ISO/IEC 27001: Information Security Management, 2013.
3. Luật An ninh mạng Việt Nam, 2018.
4. Nghị định 117/2018/NĐ-CP về bảo vệ dữ liệu cá nhân.
5. Báo cáo xu hướng an ninh mạng 2024 – Kaspersky.
6. Tài liệu mẫu: Đề xuất ATTT cho ngân hàng (Studocu).

Tài liệu liên quan: