Đồ án Đề xuất triển khai quản lý an toàn thông tin tại các tổ chức, doanh nghiệp môn Quản lý an toàn thông tin | Học viện Công Nghệ Bưu Chính Viễn Thông
ISMS có khả năng bảo vệ các loại tài sản thông tin độc quyền dù là dưới hình thức nào như trên giấy hay được bảo quản bằng kỹ thuật số, thậm chí trong các đám mây. Tài liệu được sưu tầm gồm 32 trang, giúp các bạn nắm vững kiến thức, rèn luyện kỹ năng và đạt được kết quả tốt trong học tập. Mời các bạn đón xem!
Môn: Quản lý an toàn thông tin 10 tài liệu
Trường: Học viện Công Nghệ Bưu Chính Viễn Thông 1.2 K tài liệu
Tác giả:
Preview text:
lOMoAR cPSD| 58736390 lOMoAR cPSD| 58736390 LỜI MỞ ĐẦU
Đề tài "Đề xuất triển khai quản lý an toàn thông tin tại các tổ chức, doanh nghiệp
trong iều kiện Việt Nam" là một chủ ề vô cùng quan trọng trong thời ại hiện nay khi mà
thông tin và công nghệ thông tin óng vai trò quan trọng trong nền kinh tế và xã hội. Việc
bảo vệ an toàn thông tin là một trong những ưu tiên hàng ầu của các tổ chức và doanh
nghiệp ể ảm bảo sự tin cậy và áng tin cậy của khách hàng và ối tác kinh doanh.
Đề tài nhằm ề xuất các giải pháp và hướng dẫn cụ thể ể triển khai quản lý an toàn
thông tin tại các tổ chức và doanh nghiệp trong iều kiện Việt Nam. Nó sẽ bao gồm các
nội dung chính như: tình hình hiện tại của an toàn thông tin tại các tổ chức và doanh
nghiệp tại Việt Nam, ánh giá các rủi ro và thách thức khi triển khai quản lý an toàn thông
tin, và ề xuất các giải pháp ể ảm bảo an toàn thông tin tại các tổ chức và doanh nghiệp.
Đề tài này sẽ là một tài liệu tham khảo hữu ích cho các tổ chức và doanh nghiệp
tại Việt Nam trong việc triển khai quản lý an toàn thông tin, giúp họ nâng cao nhận thức
về vấn ề này và ưa ra các giải pháp phù hợp ể bảo vệ thông tin và dữ liệu của mình.
Bài báo cáo gồm có các chương sau:
Chương I: Cở sở lý thuyết
Chương II: Tình hình và thách thức triển khai quản lý an toàn thông tin trong tổ chức
doanh nghiệp tại Việt Nam
Chương III: Đề xuất giải pháp triển khai quản lý an toàn thông tin tại các tổ chức và
doanh nghiệp tại Việt Nam lOMoAR cPSD| 58736390 MỤC LỤC
CHƯƠNG I: CỞ SỞ LÝ THUYẾT .......................................................................................................... 1
1.1. Định nghĩa và lợi ích của quản lý an toàn thông tin .................................................................... 1
1.2. Các tiêu chuẩn và khung pháp lý liên quan ến An toàn thông tin .............................................. 2
1.3. Tầm quan trọng của việc triển khai An toàn thông tin trong các tổ chức, doanh nghiệp tại
Việt Nam .................................................................................................................................................. 3
CHƯƠNG II: TÌNH HÌNH VÀ THÁCH THỨC QUẢN LÝ THÔNG TIN TẠI CÁC TỔ CHỨC
DOANH NGHIỆP VIỆT NAM .................................................................................................................. 3
2.1. Tình hình triển khai quản lý An toàn thông tin tại các tổ chức, doanh nghiệp tại Việt Nam
hiện nay ................................................................................................................................................... 3
2.2. Các thách thức liên quan ến việc triển khai An toàn thông tin tại Việt Nam ........................... 5
CHƯƠNG III: ĐỀ XUẤT GIẢI PHÁP TRIỂN KHAI QUẢN LÝ AN TOÀN THÔNG TIN TẠI
CÁC TỔ CHỨC DOANH NGHIỆP TẠI VIỆT NAM ............................................................................ 5
3.1. Xác ịnh các yêu cầu và tiêu chuẩn quản lý an toàn thông tin ..................................................... 5
3.2. Đề xuất các biện pháp bảo mật và quy trình quản lý an toàn thông tin .................................... 7
3.3. Xây dựng mô hình quản lý rủi ro và phản ứng sự cố an toàn thông tin .................................... 8
3.3.1. Đánh giả rủi ro mô hình quản lý ............................................................................................. 8
3.3.2. Ứng phó sự cố về an toàn thông tin ........................................................................................ 8
3.4. Đề xuất các hoạt ộng trong quản lý an toàn thông tin dành cho nhân viên ............................... 9
Chương IV: Kết luận ................................................................................................................................ 10 lOMoAR cPSD| 58736390
CHƯƠNG I: CỞ SỞ LÝ THUYẾT
1.1. Định nghĩa và lợi ích của quản lý an toàn thông tin 1.1.1. Định nghĩa
Hệ thống quản lý an toàn thông tin là tập hợp các chính sách và thủ tục quản lý
các dữ liệu nhảy cảm, bảo mật của tổ chức một cách có hệ thống hơn.
1.1.2. Lợi ích quản lý an toàn thông tin
- Bảo vệ ược dữ liệu nhảy cảm: ISMS có khả năng bảo vệ các loại tài sản thông
tin ộc quyền dù là dưới hình thức nào như trên giấy hay ược bảo quản bằng kỹ
thuật số, thậm chí trong các ám mây. Những tài sản có thể chứa các dữ liệu cá
nhân, tài sản trí tuệ, dữ liệu tài chính, dữ liệu khách hàng hay cả những dữ liệu
ược ủy thác cho các công ty thông qua bên thứ ba.
- Đáp ứng tuân thủ quy ịnh: Hệ thống ISMS sẽ mang lại lợi ích cho các tổ chức
trong việc giúp ỡ những yêu cầu về tuân thủ quy ịnh và hợp ồng, ồng thời
cũng cung cấp hiểu biết tốt hơn về tính pháp lý xung quanh hệ thống thông tin.
Bởi vì nếu vi phạm pháp luật sẽ i kèm với tiền phạt nặng, do ó mà sở hữu
ISMS có thể ặc biệt có lợi cho các ngành ược quản lý cao với cơ sở hạ tầng
quan trọng như tài chình hay chăm sóc sức khỏe.
- Đảm bảo tính liên tục: Khi môt doanh nghiệp áp dụng hệ thống vào hoạt ộng
kinh doanh thì họ ang tự ộng gia tăng mực ộ phòng thù trước các mối e dọa.
Điều này cũng làm giảm bớt những sự cố về bảo mật như các cuộc tấn công
mạng dẫn ến ít gián oạn hơn, … ây là những yếu tố quan trọng trong việc ảm
bảo tính liên tục của hoạt ộng kinh doanh.
- Giảm chi phí: Hệ thông ISMS sẽ cung cấp những ánh giá rủi ro kỹ lưỡng của
tất cả các tái sản, nhằm giúp tổ chức nhận biết ược âu là những tài sản ang có
rủi ro cao nhất ể thực hiện các biện pháp ngăn chặn về những chi tiêu bừa bãi
cho các biện pháp phòng thủ không cần thiết. Nhờ cách tiếp cận có cấu trúc
này kết hợp với thời gian ngừng hoạt ộng ít hơn do giảm các sự cố bảo mật,
doanh nghiệp có thể cắt giảm áng kể các mặt chi tiêu thừa. lOMoAR cPSD| 58736390
Thích ứng với các mối e dọa tiềm năng: Các mối e dọa bảo mật sẽ luôn không
ngừng sinh ra. Hệ thống ISMS sẽ giúp doanh nghiệp trong việc chuẩn bị
và thích ứng với những mối e dọa mới cũng như nhu cầu thay ổi không ngừng của bối cảnh an ninh.
1.2. Các tiêu chuẩn và khung pháp lý liên quan ến An toàn thông tin
Mục ích của bộ tiêu chuẩn TCVN 9801 (ISO/IEC 27033) nhằm cung cấp các
hướng dẫn chi tiết về các khia cạnh an toàn trong việc quản lý, vận hành và sử
dụng các magnj của hệ thống thông tin kết nối giữa chúng. Các cá nhân trong tổ
chức chịu trách nhiệm về an toàn thông tin nói chung toàn thông tin mạng nói
riêng, phải thích ứng các tài luận theo tiêu chuẩn này ể áp ứng các yêu cầu cụ thể. Mục tiêu chính như sau:
- TCVN 9801-1: ịnh nghĩa và mổ tả các khái niệm liên quan và cung cấp hướng
dẫn quản lý, an toàn mạng. Tiêu chuẩn bao gồm việc cung cấp tổng quan về an
toàn mạng ịnh nghĩa liên quan và hướng dẫn về cách xác ịnh và phân tích các
rủi ro về an toàn mạng, sau ó xác ịnh các yêu cầu an toàn mạng. Tiêu chuẩn
cũng giới thiệu cách ạt ược kiến trúc an toàn kỹ thuật chất lượng tốt và khía
cạnh về rủi ro thiết kế và kiểm soát ến kịch bản mạng iển hình và các lĩnh vực “công nghệ” mạng
- TCVN 9801-2: ịnh nghĩa làm thế nòa ể tổ chức ạt ược các kiến trúc an toàn kỹ
thuật mạng chất lượng, thiết kế và triển khai sẽ ảm bảo an toàn mạng phù hợp
với môi trường nghiệp vụ, sử dụng cách tiếp cận một cách nhất quán ể lập kế
hoạch, thiết kế và triển khai an toàn mạng, hỗ trợ bằng việc sử dụng các mô
hình/ khung (trong một bối cảnh, một mô hình/ khung ược sử dụng ể phác
thảo, mô tả cấu trúc và hoạt ộng tổng thể của một loại kiến trúc/ thiết kế an
toàn kĩ thuật) và có liên quan ến tất cả nhân viên tham gia vào việc lập kế
hoạch, thiết kế và triển khải các khía cạnh trong kiến trúc của an toàn mạng (
ví dụ: kỹ sư và nhà thiết kế mạng, quản trị mạng và nhân viên an ninh mạng).
- ISO/IEC 27033-4, ịnh nghĩa các rủi ro, kỹ thuật thiết kế và các vấn ề kiếm soát
cụ thể ể bảo mật các luồng thông tin giữa các mạng sử dụng các cổng bảo mật.
Tiêu chuẩn này liên quan ến tất cả nhân viên tham gia việc lập kế hoạch chi
tiết, thiết kế và triển khai các cổng bảo mật.
- ISO/IEC 27033-5: ịnh nghĩa các rủi ro, kỹ thuật thiết kế và vấn ể kiểm soát cụ
thể ể bảo mật các kết nối ược thiết lập sử dụng các mạng riêng ảo (VPN). Tiêu
chuẩn này liên quan ến tất cả nhân viên tham gia việc lập kế hoạch chi tiết,
thiết kế và triển khai mạng VPN bảo mật. lOMoAR cPSD| 58736390
ISO/IEC 27033-6: ịnh nghĩa các rủi ro, ký thuật thiết kế vf các vấn ề kiếm soát
cụ thể ể bảo mật mạng không dây IP. Tiêu chuẩn này liên quan ến tất cả nhân
viên tham gia việc lập kế hoạch chi tiết thiết kế và triển khai an toàn cho mạng không dây.
1.3. Tầm quan trọng của việc triển khai An toàn thông tin trong các tổ chức,
doanh nghiệp tại Việt Nam
- Bảo vệ thông tin quan trọng: an toàn thông tin giúp bảo vệ thông tin quan
trọng của tổ chức, doanh nghiệp khỏi các cuộc tấn công mạng, virus, mã ộc và mối e dọa khác
- Đảm bảo sự tin cậy của khách hàng: Việc triển an toàn thông tin giúp các tổ
chức, doanh nghiệp ảm bảo sự tin cậy các khách hàng, tăng cường lòng tin và
tạo ra mối quan hệ tốt hơn với khách hàng.
- Đáp ứng yêu cầu pháp ý: Các quy ịnh pháp lý về An toàn thông tin ang ược
chính phủ Việt Nam ảy mạnh thực thi, vì vậy, việc triển khai An toàn thông tin
giúp tổ chức, doanh nghiệp áp ứng yêu cầu pháp lý và tránh ược rủi ro pháp lý.
- Giảm thiểu rủi ro và chi phí: Việc triển khai An toàn thông tin giúp giảm thiểu
rui ro mất thông tin và tiết kiện chi phí cho việc phục hồi dữ liệu, khác phụ sự cố bảo mật.
- Nâng cao uy tín và hiệu quả kinh doanh: An toàn thông tin là yếu tổ quan
trọng góp phần nâng cao uy tín và hiệu quả kinh doanh các tổ chức doanh
nghiệp. Việc triển khai An toàn thông tin giúp tăng cường sự áng tin và giảm
thiểu rủi ro cho các hoạt ộng kinh doanh.
CHƯƠNG II: TÌNH HÌNH VÀ THÁCH THỨC QUẢN LÝ THÔNG TIN TẠI CÁC
TỔ CHỨC DOANH NGHIỆP VIỆT NAM
2.1. Tình hình triển khai quản lý An toàn thông tin tại các tổ chức, doanh nghiệp
tại Việt Nam hiện nay
- Một số tổ chức doanh nghiệp ã triển khai chính sách và quy trình quản lý an
toàn thông tin, ồng thời ào tạo nhân viên, tuy nhiên khung pháp lý và quản lý
an toàn thông tin ầy ủ và hiệu quả lOMoAR cPSD| 58736390
Nhiểu tổ chức và doanh nghiệp vẫn chưa nhận thức ầy ủ về tầm quan trọng của
an toàn thông tin trong hoạt ộng kinh doanh của mình, do ó họ thường ít lOMoAR cPSD| 58736390
ầu tư vào bảo mật thông tin và không ưa ra kế hoạch quản lý rủi ro bảo mật thông tin
- Việc tìm kiếm và thuê các chuyên gia bảo mật thông tin còn gặp nhiều khó
khăn do thiếu nhân lực chất lượng và kinh nghiệm lĩnh vực này còn thiếu.
2.2. Các thách thức liên quan ến việc triển khai An toàn thông tin tại Việt Nam
- Thiếu nhận thức và kiến thức: Một số tổ chức và cá nhân tại Việt Nam vẫn
thiếu nhận thức và kiến thức về An toàn thông tin. Điều này có thể dẫn ến việc
thiếu ý thức bảo mật và thiếu khả năng nhận biết, ánh giá và ối phó với các mối e dọa bảo mật.
- Sự gia tăng của các cuộc tấn công mạng: Việt Nam ã chứng kiến sự gia tăng
áng kể về các cuộc tấn công mạng, bao gồm tấn công mạng mục tiêu, tấn công
mạng xã hội và tấn công phần mềm ộc hại. Điều này ặt ra mối e dọa lớn ối với
an toàn thông tin của các tổ chức và cá nhân tại Việt Nam.
- Thiếu hạ tầng và công nghệ bảo mật: Một số tổ chức và hệ thống tại Việt Nam
vẫn chưa ủ cung cấp hạ tầng và công nghệ bảo mật hiện ại. Điều này gây ra lỗ
hổng bảo mật và làm tăng nguy cơ xâm nhập và lạm dụng thông tin.
- Sự tăng trưởng của dịch vụ trực tuyến: Việt Nam ang chứng kiến một sự tăng
trưởng nhanh chóng của dịch vụ trực tuyến, bao gồm giao dịch tài chính trực
tuyến, mua sắm trực tuyến và chia sẻ thông tin cá nhân qua mạng. Điều này tạo
ra môi trường mở và tăng nguy cơ về việc xâm nhập, lừa ảo và vi phạm quyền riêng tư.
- Quy ịnh pháp lý chưa hoàn thiện: Mặc dù ã có một số quy ịnh pháp lý về An
toàn thông tin tại Việt Nam, tuy nhiên, hệ thống quy ịnh vẫn chưa hoàn thiện
và không áp ứng ầy ủ các yêu cầu bảo mật. Điều này gây khó khăn trong việc
thực hiện và tuân thủ các biện pháp bảo mật cần thiết.
CHƯƠNG III: ĐỀ XUẤT GIẢI PHÁP TRIỂN KHAI QUẢN LÝ AN TOÀN
THÔNG TIN TẠI CÁC TỔ CHỨC DOANH NGHIỆP TẠI VIỆT NAM
3.1. Xác ịnh các yêu cầu và tiêu chuẩn quản lý an toàn thông tin 3.1.1. Xác ịnh yêu cầu lOMoAR cPSD| 58736390
Xác ịnh các thông tin cần ược bảo vệ: Các tổ chức cần xác ịnh các thông tin quan
trọng và nhạy cảm cần ược bảo vệ ể ảm bảo tính bảo mật và toàn vẹn của dữ liệu như sau:
- Đánh giá và quản lý rủi ro: Các tổ chức cần ánh giá các rủi ro bảo mật thông
tin và triển khai các biện pháp phòng ngừa và giảm thiểu rủi ro.
- Thiết lập chính sách An toàn thông tin: Các tổ chức cần thiết lập chính sách An
toàn thông tin rõ ràng và cập nhật ịnh kỳ ể ảm bảo tính nhất quán trong quản lý An toàn thông tin.
- Quản lý truy cập và ăng nhập: Các tổ chức cần kiểm soát quyền truy cập vào
hệ thống, giới hạn quyền truy cập cho từng người dùng và theo dõi các hoạt
ộng truy cập ể ảm bảo tính bảo mật và toàn vẹn của dữ liệu.
- Xây dựng và triển khai các giải pháp bảo mật: Các tổ chức cần xây dựng và
triển khai các giải pháp bảo mật như tường lửa, phần mềm diệt virus, mã hóa
thông tin, kiểm tra ịnh kỳ và phát hiện các cuộc tấn công ể bảo vệ hệ thống CNTT.
- Đào tạo nhân viên về An toàn thông tin: Các tổ chức cần ào tạo nhân viên về
An toàn thông tin ể nâng cao nhận thức và kỹ năng của họ trong việc ảm bảo
tính bảo mật và toàn vẹn của dữ liệu.
- Đăng ký và quản lý thiết bị: Các tổ chức cần ăng ký và quản lý các thiết bị ược
kết nối với hệ thống CNTT ể ảm bảo tính bảo mật và toàn vẹn của dữ liệu.
Quản lý sự cố bảo mật: Các tổ chức cần có kế hoạch phục hồi sự cố bảo
mật ể ảm bảo tính sẵn sàng của hệ thống và dữ liệu trong trường hợp xảy ra sự cố.
Đánh giá và cải thiện liên tục: Các tổ chức cần ánh giá và cải thiện liên tục
các biện pháp An toàn thông tin ể ảm bảo tính hiệu quả và phù hợp với tình hình bảo mật thay ổi.
Với những yêu cầu ã ược xác ịnh chi tiêt như trên, chúng ta thấy với các bộ
tiêu chuẩn và những tiêu chí của những bộ tiểu chuẩn thì bộ tiêu chuẩn ISO/ IEC
27001 ược xem là bộ tiểu chuản phù hợp ể xây dựng với những yêu cầu và tiêu chí trên. lOMoAR cPSD| 58736390
3.2. Đề xuất các biện pháp bảo mật và quy trình quản lý an toàn thông tin
- Chính sách bảo mật thông tin: Xây dựng và thực hiện chính sách bảo mật
thông tin chi tiết, ảm bảo rằng tất cả nhân viên và các bên liên quan trong tổ
chức hiểu và tuân thủ các quy ịnh bảo mật.
- Quản lý quyền truy cập: Đảm bảo rằng quyền truy cập vào hệ thống và dữ liệu
chỉ ược cấp cho nhân viên có nhu cầu và có quyền hạn tương ứng. Điều này có
thể ạt ược bằng cách thiết lập các cấp ộ quyền truy cập, xác thực mạnh mẽ (ví
dụ: xác thực hai yếu tố, chứng chỉ số) và giám sát quyền truy cập ịnh kỳ.
- Bảo vệ mạng và hệ thống: Áp dụng các biện pháp bảo mật mạng và hệ thống
như cập nhật hệ iều hành và phần mềm, sử dụng tường lửa (firewall), phát hiện
xâm nhập (IDS/IPS), và sử dụng công nghệ phòng chống tấn công từ chối dịch
vụ (DDoS). Đảm bảo rằng hệ thống và thiết bị mạng ược giám sát liên tục ể
phát hiện và ngăn chặn các mối e dọa.
- Mã hóa dữ liệu: Sử dụng mã hóa ể bảo vệ dữ liệu trong quá trình truyền và lưu
trữ. Mã hóa mạnh nên ược áp dụng cho dữ liệu nhạy cảm, ặc biệt là dữ liệu
khách hàng và thông tin nhận dạng cá nhân.
- Quản lý rủi ro: Thực hiện quá trình quản lý rủi ro ể xác ịnh, ánh giá và giảm
thiểu các rủi ro bảo mật thông tin. Xác ịnh các vùng yếu và lỗ hổng, ề xuất các
biện pháp bảo mật phù hợp và lập kế hoạch triển khai chúng.
- Đào tạo và nhận thức bảo mật: Đảm bảo rằng nhân viên ược ào tạo về các quy
trình bảo mật, nhận biết các mối e dọa bảo mật và thực hiện các biện pháp bảo
mật phù hợp. Nâng cao nhận thức bảo mật trong tổ chức ể nhân viên có thể
phát hiện và báo cáo các vấn ề bảo mật kịp thời.
- Kiểm tra bảo mật: Thực hiện kiểm tra bảo mật ịnh kỳ, bao gồm kiểm tra thâm
nhập, kiểm tra sự tuân thủ chính sách bảo mật và kiểm tra bảo mật ứng dụng.
Điều này giúp xác ịnh các lỗ hổng và ảm bảo rằng hệ thống và ứng dụng của
bạn áp ứng các yêu cầu bảo mật. lOMoAR cPSD| 58736390
- Quản lý sự cố và phục hồi: Thiết lập quy trình phản ứng sự cố và phục hồi dữ
liệu ể ối phó với các sự cố bảo mật và khôi phục dữ liệu trong trường hợp xảy
ra sự cố hoặc tấn công.
3.3. Xây dựng mô hình quản lý rủi ro và phản ứng sự cố an toàn thông tin
3.3.1. Đánh giả rủi ro mô hình quản lý
Quá trình ánh giá rủi ro gồm có 7 bước như sau:
- Xác ịnh tài sản quản trọng: Doanh nghiệp cần xác ịnh các tài sản và thông tin
quan trọng nhất ối với hoạt ộng kinh doanh.
- Xác ịnh mối e dọa tiềm tàng: Các mối e dọa này có thể bao gồm tấn công mạng
và virus máy tính, lỗi phần mềm
- Xác inh lỗ hổng bảo mật: doanh nghiệp cần xác ịnh các lỗ hổng bảo mật trong
hệ thống của mình, bao gồm cả lỗ hổng vật và lỗ hổng kỹ thuật số.
- Đánh giá rủi ro: Xác ịnh múc ộ nghiêm trọng của rủi ro và xác ịnh xem liệu rủi
ro ó có ảnh hưởng ến hoạt ộng kinh doanh hay không.
- Lập kế hoạch chi tiết quản lý rủi ro: kế hoạch này bao gồm các biện pháp bảo
mật như cài ặt phần mềm bảo mật, giám sát hệ thống, ào tạo nhân viên và tạo
ra các chính sách bảo mật.
- Thực hiện và theo dõi kế hoách: Doanh nghiệp cần thực hiện và triển khai ể ảm
bảo rằng các biện pháp bảo mật ã ược triển khai một cách hiệu quả và các rủi ro ược giảm thiểu.
- Đánh giá lại cập nhật kế hoạch: Doanh nghiệp cần ánh giá lại kế hoạch quản lý
rủi ro và cập nhật nó thường xuyên ể ảm bảo rằng nó vẫn phù hợp với môi
trường an toàn thông tin và các thay ổi an toàn thông tin.
3.3.2. Ứng phó sự cố về an toàn thông tin
- Phát hiện và ánh giá sự cố: Doanh nghiệp cần ánh giá sự cố ể xác ịnh tầm ảnh
hưởng của nó ến hoạt ộng kinh doanh.
- Ngừng hoạt ộng và cô lập sự cố: Nếu sự cố ang diễn ra, doanh nghiệp cần
ngừng các hoạt ộng và cô lập sự ố ể ngăn chặn sự cố lan rộng gây ra thiệt hại lớn hơn.
- Xác ịnh nguyên nhân gốc rễ: Sau khi ã cô lập sự cố, doanh nghiệp cần xác ịnh
nguyên nhân gốc rễ của sự cộ ể có thể giải quyết vẫn ể một cách triệt ể và ngăn
chăn sự cố tái diễn.
- Triển khai các biện pháp khắc phục: Doanh nghiệp cần triển khai biện pháp
khắc phục sự cố. Các biện pháp này bao gồm việc sửa chữa phần mềm, thay
thế phần cứng và tái diễn hệ thống.
- Phụ hồi và khôi phục dữ liệu: Doanh nghiệp cần phục hồi và khôi phục dữ liệu
trong trường hợp dữ liệu bị mất mát hoặc hư hỏng. lOMoAR cPSD| 58736390
- Kiểm tra và ánh giá: Sau khi ã khắc phục và phụ hồi sự cố, doanh nghiệp cần
kiểm tra và ánh giá lại hệ thống bình thường và áp ứng ược các tiêu chuẩn an toàn thông tin.
- Tổng kết và học hỏi: Sau khi ã ứng phó thành công với sự cố, doanh nghiệp
cần tổng kết và học hỏi kinh nghiệm ể có thể nâng cao khả năng ứng phỏ với
các sự cố tương lại. Các bài học này có thể bao gồm việc cập nhật các chính
sách bào gồm việc cập nhật các chính sách và ào tạo nhân viên về mặt kĩ thuật
3.4. Đề xuất các hoạt ộng trong quản lý an toàn thông tin dành cho nhân viên
- Đào tạo về an toàn thông tin: Cung cấp ào tạo cho nhân viên về các quy ịnh và
chính sách an toàn thông tin của tổ chức. Đào tạo nên bao gồm các khía cạnh
như xác thực mạnh mẽ, phân loại và xử lý dữ liệu nhạy cảm, sử dụng úng các
công cụ bảo mật, và nhận biết các mối e dọa thông qua các cuộc tấn công mạng
và xử lý sự cố bảo mật.
- Xác thực và quản lý quyền truy cập: Nhân viên cần hiểu về quy trình xác thực
mạnh mẽ và cách quản lý quyền truy cập ối với hệ thống và dữ liệu. Điều này
bao gồm việc sử dụng mật khẩu mạnh, xác thực hai yếu tố và quản lý quyền
truy cập dựa trên nguyên tắc lấy ít nhất, chỉ cấp quyền truy cập cần thiết cho
công việc của từng nhân viên.
- Bảo vệ dữ liệu: Nhân viên cần phải biết cách bảo vệ dữ liệu nhạy cảm và thông
tin quan trọng. Điều này bao gồm việc sử dụng mã hóa dữ liệu, xử lý chính
sách bảo mật khi làm việc với dữ liệu, tránh chia sẻ thông tin quan trọng qua
email không bảo mật và xử lý úng các tài liệu và thiết bị lưu trữ.
- Phát hiện và báo cáo sự cố bảo mật: Nhân viên nên ược ào tạo về việc phát
hiện các dấu hiệu của các sự cố bảo mật như tấn công mạng, vi-rút, phần mềm
ộc hại và hành vi bất thường trên hệ thống. Họ cần biết cách báo cáo những sự
cố này cho nhóm quản lý hoặc các bộ phận liên quan ể ưa ra các biện pháp
phản ứng sự cố kịp thời.
- Tuân thủ chính sách và quy trình: Nhân viên nên tuân thủ chính sách bảo mật
và quy trình ược ặt ra bởi tổ chức. Điều này bao gồm việc sử dụng phần mềm
cập nhật, không chia sẻ thông tin ăng nhập với người khác, không truy
cập vào các trang web không áng tin cậy, và thực hiện các bước kiểm tra an
toàn trước khi truy cập vào các nguồn tài nguyên ngoài. lOMoAR cPSD| 58736390
- Xây dựng nhận thức về an toàn thông tin: Nhân viên nên ược khuyến khích ể
tăng cường nhận thức và hiểu biết về an toàn thông tin. Các hoạt ộng như tổ
chức buổi tập huấn, thảo luận về các vụ việc bảo mật mới nhất và chia sẻ thông
tin về các biện pháp bảo mật là rất hữu ích ể xây dựng một môi trường làm việc an toàn.
Chương IV: Kết luận
Trong quá trình học tập và thực hiện ồ án môn học này, sẽ có những hạn chế về
mặt kinh nghiệm và thực tế, do vậy ồ án có thể có sai sót trong quá trình làm ồ án lần này.
Và em rất mong nhận ược những lời góp ý từ thầy về ồ án môn học của em lần này từ
Th.S Nguyễn Hữu Nguyên ể em có thể cải thiện những thiếu sót và hoàn thiện trong những ồ án tương tự.
Qua quá trình nghiên cứu và thực hiện ồ này, việc triển khai và quản lý an toàn
thông tin rất quan trọng, vấn ề con người cúng là iều áng ể nói ến. Do ứng ở góc nhìn chủ
quan về việc quản lý an toàn thông tin không áng ược ể tâm. Những việc nhỏ nhặt ó có
thể gây những hậu quả không thể lường trước ược nếu không có những chính sách về
quản lý an toàn thông tin. Do vậy, qua ồ án này em ã có những góc nhìn khách quan nhất
và nhìn ược iểm hạn chế mà em cần cải thiện.
Trong suốt quá trình học tập và báo cáo ồ án lần này của giảng viên ThS. Nguyễn
Hữu Nguyên, em ã ược học hỏi rất nhiều kiến thức từ thầy. Em xin chân thành cảm ơn thầy!
Tài liệu tham khảo
[1]. ISO/IEC 27005:2011, Informatinon technology-Security techniques-Informatinon
SecurityRisk management system.
[2]. NIST SP 800-30r1, Guide for Conducting Risk Assessments. lOMoAR cPSD| 58736390 Phụ lục
BỘ CÂU HỎI KHẢO SÁT VỀ HOẠT ĐỘNG ĐẢM BẢO AN TOÀN,
BẢO MẬT THÔNG TIN CỦA TỔ CHỨC, DOANH NGHIỆP
1. Tổ chức/Doanh nghiệp có thiết lập các chính sách và quy trình phù hợp ể tuân thủ
các luật và quy ịnh về an toàn thông tin không?
A. Có, ã thiết lập và triển khai toàn diện
B. Có, nhưng chưa triển khai hoàn chỉnh C. Chưa thiết lập
2. Hãy mô tả ngắn gọn chính sách bảo mật thông tin của tổ chức/doanh nghiệp của bạn.
...............................................................................................................
...............................................................................................................
...............................................................................................................
...............................................................................................................
...............................................................................................................
3. An toàn thông tin là trách nhiệm của ai trong tổ chức/doanh nghiệp?
A. Mọi nhân viên, ặc biệt là các cấp quản lý
B. Chỉ các chuyên gia bảo mật thông tin
C. Không ai, doanh nghiệp thuê dịch vụ bảo mật thông tin từ bên ngoài
D. Không ai, không quan tâm ến vấn ề An toàn thông tin
4. Tổ chức/Doanh nghiệp có triển khai quy trình ào tạo và tăng cường ý thức bảo
mật thông tin cho nhân viên không? lOMoAR cPSD| 58736390
A. Có, thường xuyên tổ chức ào tạo
B. Có, nhưng không ịnh kỳ tổ chức ào tạo C. Không thực hiện
4. Theo bạn, việc ào tạo nhân viên và cấp quản lý về nghĩa vụ pháp lý và ạo ức trong
lĩnh vực bảo mật thông tin, nhằm mục ích gì?
A. Đảm bảo sử dụng công nghệ thông tin và bảo mật thông tin một cách hợp lý
B. Giảm thiểu trách nhiệm pháp lý của tổ chức
C. Tập trung vào các mục tiêu chính của tổ chức
D. Tất cả các phương án trên
5. Bạn nhận thức về hậu quả pháp lý khi vi phạm các luật và quy ịnh về an toàn
thông tin như thế nào? A. Rất tốt B. Tốt C. Trung bình D. Yếu
6. Yếu tố nào sau ây ảnh hưởng ến việc lập kế hoạch của tổ chức/doanh nghiệp? A. Môi trường vật lý
B. Môi trường chính trị và luật pháp
C. Môi trường cạnh tranh
D. Môi trường công nghệ E. Tất cả các phương án trên
7. Tài liệu nào sau ây ược sử dụng làm tiền ề ể hỗ trợ việc lập kế hoạch của tổ
chức/doanh nghiệp? lOMoAR cPSD| 58736390
A. Tuyên bố sứ mệnh (mission statement)
B. Tầm nhìn chiến lược (vision statement)
C. Tuyên bố giá trị (values statement)
D. Tất cả các phương án trên
8. Quản trị an toàn thông tin là trách nhiệm của ai trong tổ chức/doanh nghiệp? A. Đội ngũ quản lý B. Nhân viên IT
C. Bộ phận an toàn thông tin
D. Tất cả nhân viên trong tổ chức.
9. Kế hoạch chiến lược và trách nhiệm tổ chức/doanh nghiệp trong việc Quản trị An
toàn thông tin ược tiếp cận bằng cách nào? A. Quản trị (governance)
B. Quản lý rủi ro (risk manageme) C. Tuân thủ (compliance)
D. Cả 3 phương pháp trên
10. Dữ liệu của tổ chức/doanh nghiệp ược sao lưu với tần suất nào? A. Không sao lưu bao giờ
B. Sao lưu dữ liệu hằng ngày
C. Sao lưu dữ liệu hằng tuần
D. Sao lưu dữ liệu hằng tháng
11. Bạn ã xác ịnh và liệt kê rõ ràng các vai trò và trách nhiệm của các bên liên quan
trong quá trình phát triển chương trình bảo mật không?
A. Có, ã xác ịnh và liệt kê rõ ràng
B. Chưa xác ịnh hoặc liệt kê không rõ ràng lOMoAR cPSD| 58736390
12. Nếu bạn ã sử dụng các tiêu chuẩn hay khung chuẩn ể phát triển chương trình
bảo mật, hãy cho biết tiêu chuẩn hay khung chuẩn ó. A. ISO 27001/27002
B. NIST Cybersecurity Framework C. CIS Controls D. PCI DSS
E. Khác: .............................................................................................................
13. Bạn ã ảm bảo tính tương thích và tuân thủ các quy ịnh pháp luật, quy ịnh, hay
tiêu chuẩn liên quan khi phát triển chương trình bảo mật không? A. Có, ã ảm bảo
tính tương thích và tuân thủ
B. Chưa ảm bảo tính tương thích hoặc tuân thủ
14. Bạn ã chắc chắn rằng thành viên trong tổ chức của ban ã xem xét và làm quen
với chính sách bảo mật thông tin của tổ chức mình chưa?
A. Có, ã ảm bảo và tuân thủ B.
Chưa ảm bảo hoặc tuân thủ C. Không rõ
15. Để các chính sách có hiệu quả, tổ chức bạn ã xây dựng như thế nào?
A. Được xây dựng theo các thông lệ ược chấp nhận của ngành và ược ban lãnh ạo chính thức phê duyệt
B. Được phân phối bằng các phương pháp thích hợp
C. Được tất cả nhân viên ọc
D. Được tất cả nhân viên hiểu rõ
E. Được ồng ý hoặc khẳng ịnh chính thức lOMoAR cPSD| 58736390
F. Được áp dụng và thực thi thống nhất
16. Khi máy tính bị thông dính virus thì bạn sẽ làm gì? (Có thể chọn nhiều phương án)
A. Tiếp tục sử dụng ến khi báo lỗi
B. Ngắt kết nối internet
C. Báo cáo cho bộ phận IT
D. Cài cấp tốc một ứng dụng diệt virus
17. Bạn sẵn sàng ối phó với các sự cố về vật lý như thiên tai, ông ất, cháy nổ các thiết
bị hệ thống, dữ liệu không? A. Chưa sẵn sàng
B. Sẵn sàng, vì ã có kế hoạch cho việc các thiết bị dự phòng sẽ hoạt ộng ở một vị trí khác
18. Trong quá trình ánh giá rủi ro, tổ chức của bạn ã sử dụng hệ thống phân loại rủi ro nào?
A. Ma trận ánh giá rủi ro (ví dụ: ma trận xác suất và ảnh hưởng)
B. Hệ thống ánh giá theo thang iểm (ví dụ: từ 1 ến 5)
C. Sử dụng hệ thống phân loại theo tiêu chuẩn (ví dụ: ISO 31000)
D. Khác: .............................................................................................................
19. Bộ phận nào nên hợp tác với CISO ể tích hợp những quan ngại về InfoSec vào
quá trình tuyển dụng?
A. Bộ phận Nhân sự (HR)
B. Bộ phận Công nghệ thông tin (IT)
C. Bộ phận Pháp lý D. Bộ phận Tài chính
20. Theo ý kiến của bạn, những yếu tố nào cần ược quan tâm khi phát triển một
chương trình bảo mật? lOMoAR cPSD| 58736390
A. Đáp ứng các yêu cầu bảo mật của tổ chức
B. Đảm bảo tính bảo mật và sự an toàn của dữ liệu
C. Đảm bảo tính khả dụng và tính liên tục của hệ thống
D. Tạo ra các chính sách bảo mật hợp lý và hiệu quả E. Đảm bảo tính khả thi và hiệu quả về mặt kinh tế
F. Khác: .............................................................................................................
21. Quản trị an toàn thông tin gồm những trách nhiệm và phương pháp nào?
A. Định hướng chiến lược B. Thiết lập mục tiêu
C. Đo lường sự tiến bộ ối với các mục tiêu
D. Xác minh thực hành quản lý rủi ro phù hợp
E. Xác nhận tài sản ược sử dụng úng cách
22. ITGI khuyến nghị Hội ồng quản trị giám sát mục tiêu chiến lược an toàn thông
tin bằng cách nào?
A. Tạo lập và thúc ẩy văn hóa công nhận tầm quan trọng của thông tin và an toàn thông tin của tổ chức
B. Xác nhận rằng ầu tư vào an toàn thông tin sẽ ược iều chỉnh phù hợp với chiến lược và
môi trường rủi ro của tổ chức
C. Ủy quyền và ảm bảo rằng chương trình bảo ảm an toàn thông tin toàn diện ược phát triển và thực hiện
D. Yêu cầu báo cáo từ các cấp quản lý khác nhau về hiệu quả và ầy ủ của chương trình bảo ảm an toàn thông tin lOMoAR cPSD| 58736390
E. Tất cả các phương án trên
23. Tổ chức/doanh nghiệp ã áp dụng biện pháp bảo mật về email như mã hóa, chữ ký số chưa?
A. Có, ã triển khai cho toàn bộ email
B. Có, nhưng chỉ triển khai cho một số email
C. Chưa áp dụng biện pháp bảo mật về email
24. Tổ chức/doanh nghiệp ã có chính sách về việc sử dụng thiết bị di ộng cá nhân
(như iện thoại di ộng, máy tính bảng) trong môi trường công việc chưa?
A. Có, ã có chính sách cụ thể
B. Có, nhưng chưa có chính sách cụ thể
C. Chưa áp dụng chính sách nào
25. Tổ chức/doanh nghiệp có thực hiện kiểm tra thâm nhập (penetration testing) ịnh kỳ không?
A. Có, ịnh kỳ thực hiện kiểm tra thâm nhập thường xuyên
B. Có, ịnh kỳ thực hiện kiểm tra thâm nhập không thường xuyên
C. Chưa áp dụng chính sách nào
26. Phương pháp nào ược khuyến nghị ể giảm thiểu cơ hội sử dụng sai mục ích thông
tin của nhân viên?
A. Kiểm soát bởi một người duy nhất
B. Chuyên môn hóa công việc
C. Nguyên tắc ít ặc quyền (Least privilege)
D. Bắt buộc làm thêm giờ
27. Tổ chức/doanh nghiệp có Danh sách kiểm soát quyền truy cập (ACL) ể kiểm soát
quyền và ặc quyền hay không?