ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ - - Đỗ Hồng Giang Nghiên cứu phát triển dịch vụ quản lý quy trình nghiệp vụ đánh giá, quản lý rủi ro an tồn thơng tin LUẬN VĂN THẠC SỸ Ngành: Hệ thống thông tin HÀ NỘI – 10/2021 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ - - Đỗ Hồng Giang Nghiên cứu phát triển dịch vụ quản lý quy trình nghiệp vụ đánh giá, quản lý rủi ro an tồn thơng tin LUẬN VĂN THẠC SỸ Ngành: Hệ thống thông tin Cán hướng dẫn: TS Phùng Văn Ổn HÀ NỘI - 10/2021 LỜI CAM ĐOAN Tôi cam đoan luận văn toàn kết q trình nghiên cứu cá nhân tơi Q trình xây dựng nội dung luận văn dựa vào thành nghiên cứu có tham khảo dùng tài liệu, thông tin thu thập trang tạp chí trang web theo danh mục tài liệu tham khảo Tất tài liệu tham khảo cho luận văn liệt kê có xuất xứ rõ ràng, cơng khai trích dẫn hợp pháp Tơi hồn tồn chịu trách nhiệm, hình thức kỷ luật theo quy định lời cam đoan cho luận văn Hà Nội, tháng 10/2021 Tác giả luận văn Đỗ Hồng Giang LỜI CẢM ƠN Học viên xin chân thành cảm ơn Thầy Cô Khoa Công nghệ thông tin, Anh Chị cán Phòng Đào tạo Sau đại học Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội tạo điều kiện thuận lợi cho thời gian học tập Trường nghiên cứu luận văn Học viên xin chân thành cảm ơn Tiến sỹ Phùng Văn Ổn, thầy người trực tiếp tận tình hướng dẫn, định hướng nghiên cứu cho luận văn, ln tạo động lực cho học viên cố gắng hồn thành luận văn Tôi chân thành cảm ơn anh chị quản lý, đồng nghiệp gia đình ln khuyến khích, sát cánh tạo điều kiện giúp học viên có thời gian học tập nghiên cứu để tơi có kết ngày hơm Tác giả luận văn Đỗ Hồng Giang Mục lục LỜI CAM ĐOAN LỜI CẢM ƠN Mục lục Danh mục từ viết tắt Danh mục hình vẽ MỞ ĐẦU Chương thơng tin Nghiên cứu số tiêu chuẩn, quy trình quản lý, đánh giá rủi ro an toàn 1.1 Nghiên cứu tiêu chuẩn quản lý, đánh giá rủi ro an tồn thơng tin ISO/IEC 27005:2011 1.1.1 Khái quát 1.1.2 Thiết lập bối cảnh 10 1.1.3 Đánh giá rủi ro an tồn thơng tin 14 1.1.4 Xử lý rủi ro an tồn thơng tin 23 1.2 Nghiên cứu tiêu chuẩn quản lý, đánh giá rủi ro an tồn thơng tin NIST SP 800-39r1 25 Chương 2.1 Nghiên cứu số phương pháp, kỹ thuật đánh giá rủi ro an tồn thơng tin 30 Phương pháp đánh giá rủi ro an tồn thơng tin CVSS 30 2.1.1 Giới thiệu 30 2.1.2 Số liệu Cơ sở (Base Metrics) 32 2.1.3 Số liệu Tạm thời 37 2.1.4 Số liệu Môi trường 39 2.1.5 Thang đánh giá mức độ nghiêm trọng định tính 41 2.1.6 Thuật tốn tính CVSS v3.1 43 2.2 Phương pháp đánh giá rủi ro an tồn thơng tin OWASP 46 2.2.1 Tiếp cận 46 Chương Xây dựng dịch vụ quản lý quy trình nghiệp vụ đánh giá, quản lý rủi ro an toàn thông tin 54 3.1 Các yêu cầu công cụ phát triển 54 3.2 Đề xuất 54 3.2.1 Đề xuất quy trình quản lý, đánh giá rủi ro cho hệ thống thơng tin 54 3.2.1.1 Quy trình tổng thể dựa tiêu chuẩn ISO 54 3.2.1.2 Quy trình chi tiết 55 3.2.1.3 Thực đánh giá 56 3.2.1.4 Xử lý rủi ro 56 3.2.2 Đề xuất áp dụng phương pháp đánh giá, quản lý rủi ro an tồn hệ thống thơng tin 57 3.2.2.1 Mục đích 57 3.2.2.2 Cải tiến 57 3.2.2.2.1 Cách đánh trọng số 57 3.2.2.2.2 Giá trị 58 3.2.2.2.3 Phương pháp tính: 58 3.2.2.2.4 Nhận xét: 58 3.3 Thiết kế chức ứng dụng 59 3.4 Thiết kế liệu 59 3.5 Cài đặt ứng dụng 61 3.6 Chi tiết ứng dụng 62 3.6.1 Cài đặt thử nghiệm 62 3.6.2 Chi tiết chức năng: 66 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 75 TÀI LIỆU THAM KHẢO 76 Danh mục từ viết tắt Viết tắt Viết đầy đủ ATTT An tồn thơng tin ĐV Đơn vị HT Hệ thống HTTT Hệ thống thông tin Nghĩa tiếng Việt events Sự kiện threats Mối đe dọa vulnerabilities Lỗ hổng bảo mật ISMS Information Security Management Hệ thống quản lý an tồn thơng tin System Danh mục hình vẽ Hình 1.1: Quy trình quản lý rủi ro ATTT theo ISO 27005 Hình 1.2: Hoạt động xử lý rủi ro quy trình quản lý rủi ro an tồn thơng tin 24 Hình 1.3: Các cấp độ quản lý ATTT 25 Hình 1.4: Quy trình quản lý rủi ro luồng thơng tin 26 Hình 1.5: Các thành phần Khung quản lý rủi ro 27 Hình 1.6: Quy trình đánh giá rủi ro 28 Hình 2.1: Các nhóm số liệu CVSS 30 Hình 2.2: Các số liệu phương trình CVSS 32 Hình 3.1: Quy trình Quản lý rủi ro tổng thể 55 Hình 3.2: Quy trình xử lý rủi ro 57 Hình 3.3: Lược đồ Cơ sở liệu 60 Hình 3.4: Danh mục chức 62 Hình 3.5: Màn hình đăng ký tài khoản 63 Hình 3.6: Đăng ký thành cơng, hình trả Mã định danh tài khoản 63 Hình 3.7: Màn hình đăng nhập 64 Hình 3.8: Màn hình thơng báo Thơng tin đăng nhập không tồn 64 Hình 3.9: Màn hình ứng dụng 65 Hình 3.10: Danh sách Chức ứng dụng 66 Hình 3.11: Tính Quản lý tài khoản 66 Hình 3.12: Thơng báo tình trạng cập nhật Tài khoản 67 Hình 3.13: Danh mục Hướng dẫn tiêu chuẩn ISO27005:2011 67 Hình 3.14: Nội dung Hướng dẫn tiêu chuẩn ISO27005:2011 68 Hình 3.15: Hướng dẫn tiêu chuẩn NIST-SP-800-39r 68 Hình 3.16: Nội dung Hướng dẫn tiêu chuẩn NIST-SP-800-39r 69 Hình 3.17: Danh mục Quy trình đề xuất 69 Hình 3.18: Nội dung Quy trình đề xuất 70 Hình 3.19: Danh mục Công cụ đánh giá 70 Hình 3.20: Giao diện công cụ đánh giá 71 Hình 3.21: Thêm kiện hệ thống 71 Hình 3.22: Thêm hệ thống 71 Hình 3.23: Kết thêm hệ thống 71 Hình 3.24: Thêm kiện 72 Hình 3.25: Thêm kiện thành công 72 Hình 3.26: Bảng Nhập giá trị yếu tố 72 Hình 3.27: Bảng Kết tính tốn 72 Hình 3.28: Lựa chọn Sự kiện hệ thống đánh giá 73 Hình 3.29: Lưu kết đánh giá 73 Hình 3.30: Thơng báo kết lưu 73 Hình 3.31: Bảng Nhập giá trị yếu tố tác động 73 Hình 3.32: Kết tính toán Tác động 74 Hình 3.33: Lựa chọn Sự kiện hệ thống đánh giá 74 Hình 3.34: Thơng báo kết lưu 74 Danh mục bảng biểu Bảng 1.1: Các tến trình Hệ thống quản lý an tồn thông tin 22 Bảng 1.2: Quy trình đánh giá rủi ro 28 Bảng 2.1: Vector công 33 Bảng 2.2: Độ phức tạp công 34 Bảng 2.3: Đặc quyền bắt buộc 34 Bảng 2.4: Tương tác người dùng 35 Bảng 2.5: Phạm vi 35 Bảng 2.6: Bảo mật 36 Bảng 2.7: Tính tồn vẹn 36 Bảng 2.8: Tính khả dụng 37 Bảng 2.9: Khai thác mã định hạn 37 Bảng 2.10: Mức khắc phục 38 Bảng 2.11: Báo cáo bảo mật 39 Bảng 2.12: Yêu cầu bảo mật 40 Bảng 2.13: Số liệu Cơ sở sửa đổi (Modified Base Metric) 41 Bảng 2.14: Thang đánh giá mức độ nghiêm trọng định tính 41 Bảng 2.15: Các vectơ Cơ sở, Tạm thời Môi trường 42 Bảng 2.16: Giá trị số liệu 44 Bảng 2.17: Xác định mức độ nghiêm trọng rủi ro 50 Bảng 2.18: Xác định khả xảy (Likelihood) 50 Bảng 2.19: Xác định tác động (Impact) 51 Bảng 2.20: Xác định mức độ nghiêm trọng 51 Bảng 3.1: Thiết kế lưu trữ thông tin người sử dụng 60 Bảng 3.2: Thiết kế lưu trữ hệ thống xác định cố 60 Bảng 3.3: Thiết kế lưu trữ đánh dấu kiện xảy 60 Bảng 3.4: Thiết kế lưu trữ giá khả xảy cố 61 Bảng 3.5: Thiết kế lưu trữ giá trị đánh giá tác động 61 MỞ ĐẦU Công nghệ thông tin từ đời luôn đồng hành phát triển người Công nghệ thông tin truyền thông (CNTT&TT) động lực quan trọng thúc đẩy mạnh mẽ phát triển tất cá nhân, tổ chức, quốc gia hay nói rộng toàn xã hội Trong phát triển thơng tin, liệu cá nhân, tổ chức tài sản đặc biệt quan trọng cần bảo vệ nhằm đảm bảo bền vững cho trình vận hành, trì phát triển tổ chức An tồn thơng tin ln chủ đề nóng giới nói chung Việt Nam nói riêng Thực tế Việt Nam, từ lâu vấn đề an tồn thơng tin nhiều tổ chức quan tâm Tuy nhiên nhiều tổ chức chưa có biện pháp, quy trình hợp lý để đảm bảo an tồn thơng tin trước nguy gây an toàn Mục tiêu luận văn nghiên cứu tiêu chuẩn ATTT để từ xây dựng quy trình hợp lý tường minh việc đảm bảo an tồn an ninh thơng tin đồng thời phát triển dịch vụ quản lý quy trình nghiệp vụ đánh giá, quản lý rủi ro an tồn thơng tin để hỗ trợ cho cán nghiệp vụ trình tác nghiệp, quản trị bảo đảm an toàn cho hệ thống công nghệ thông tin quan, tổ chức Việt Nam Từ mục tiêu trên, luận văn thực nội dung sau: - Nghiên cứu số tiêu chuẩn, quy trình quản lý, đánh giá rủi ro an tồn thơng tin: ISO/IEC 27005, NIST SP 800-39r1 đề xuất quy trình quản lý, đánh giá rủi ro an toàn cho hệ thống thông tin - Nghiên cứu cứu số phương pháp, kỹ thuật đánh giá rủi ro an toàn thông tin: OWASP, CVSS xây dựng công cụ thuật đánh giá rủi ro an tồn thơng tin dựa OWASP - Xây dựng ứng dụng Web với chức cung cấp thông tin tiêu chuẩn, quy trình quản lý, đánh giá rủi ro an tồn thơng tin: ISO/IEC 27005, NIST SP 800-39r1 quy trình quản lý, đánh giá rủi ro an toàn cho hệ thống thông tin đề xuất nêu trên, hỗ trợ cho cán kỹ thuật quản lý vận hành bảo đảm an toàn hệ thống CNTT quan, tổ chức Các nội dung phần đề tài đề tài KC.01.19/16-20 mà học viên Thầy hướng dẫn cho tham gia nghiên cứu Phần trình bày nội dung luận văn, gồm: Chương Nghiên cứu số tiêu chuẩn, quy trình quản lý, đánh giá rủi ro an tồn thông tin Chương Nghiên cứu số phương pháp, kỹ thuật đánh giá rủi ro an tồn thơng tin Chương Xây dựng dịch vụ quản lý quy trình nghiệp vụ đánh giá, quản lý rủi ro an toàn thông tin Cuối Kết luận Tài liệu tham khảo Hình 3.4: Danh mục chức - Hệ thống back-end với số tính năng: + Lưu trữ, quản lý tài khoản khoản + Lưu trữ, quản lý mã hệ thống + Lưu trữ, xử lý giá trị tập liệu kiện đánh giá 3.6 Chi tiết ứng dụng 3.6.1 Cài đặt thử nghiệm 3.6.1.1 Đăng ký tài khoản: Người dùng cần có tài khoản sử dụng ứng dụng Người dùng cần thực đăng ký đăng nhập: - Vào hình đăng ký, nhập thơng tin username, passwords 62 Hình 3.5: Màn hình đăng ký tài khoản - Đăng ký thành công, hệ thống trả lại Mã định danh, sử dụng để đăng nhập với tài khoản vừa đăng ký, tự động chuyển trang đăng nhập Hình 3.6: Đăng ký thành cơng, hình trả Mã định danh tài khoản 3.1.2.2 Đăng nhập: - Truy cập trang Đăng nhập nhập thông tin: + Id: Mã định danh trả lại từ server hoàn tất Đăng ký + Username: Tên tài khoản đăng ký + Password: Mật tài khoản đăng ký 63 Hình 3.7: Màn hình đăng nhập - Trường hợp thông tin đăng nhập không tồn tại, hệ thống chuyển đến trang đăng ký để người dùng thực đăng ký tài khoản Hình 3.8: Màn hình thơng báo Thơng tin đăng nhập khơng tồn 3.1.2.3 Giao diện ứng dụng: - Sau đăng nhập thành cơng, hệ thống chuyển sang hình ứng dụng chính: 64 Hình 3.9: Màn hình ứng dụng 3.1.2.4 Các chức ứng dụng: - Ứng dụng cung cấp cho người dùng chức chính: + Quản lý thơng tin tài khoản + Tài liệu hướng dẫn Tiêu chuẩn quản lý, đánh giá rủi ro theo ISO/IEC 27005:2011 + Tài liệu hướng dẫn Tiêu chuẩn quản lý, đánh giá rủi ro NIST-SP-80039r + Quy trình đề xuất quản lý, đánh giá rủi ro + Công cụ đánh giá rủi ro theo Phương pháp đánh giá rủi ro an tồn thơng tin OWSAP 65 Hình 3.10: Danh sách Chức ứng dụng 3.6.2 Chi tiết chức năng: 3.6.2.1 - Quản lý thông tin tài khoản: Tại menu chức chọn thẻ Tài khoản, bấm Refresh để lấy thông tin tài khoản Hình 3.11: Tính Quản lý tài khoản - Cập nhật thơng tin sau bấm nút UPDATE PROFILE, alert hiển thị thông báo kết cập nhật 66 Hình 3.12: Thơng báo tình trạng cập nhật Tài khoản 3.6.2.2 Hướng dẫn tiêu chuẩn quản lý đánh giá theo tiêu chuẩn ISO/IEC 27005:2011 - Tại menu chương trình, chọn thẻ ISO/IEC 27005:211 Hình 3.13: Danh mục Hướng dẫn tiêu chuẩn ISO27005:2011 - Nội dung Hướng dẫn quản lý đánh giá theo tiêu chuẩn ISO27005:2011 hiển thị 67 Hình 3.14: Nội dung Hướng dẫn tiêu chuẩn ISO27005:2011 3.6.2.3 Hướng dẫn tiêu chuẩn quản lý đánh giá theo tiêu chuẩn NIST-SP-80039r1 - Tại menu ứng dụng, chọn thẻ NIST SP 800-39r Hình 3.15: Hướng dẫn tiêu chuẩn NIST-SP-800-39r - Nội dung Hướng dẫn quản lý đánh giá theo tiêu chuẩn NIST-SP-80039r hiển thị 68 Hình 3.16: Nội dung Hướng dẫn tiêu chuẩn NIST-SP-800-39r 3.6.2.4 - Quy trình quản lý đánh giá đề xuất Tại menu ứng dụng, chọn thẻ Quy trình đề xuất Hình 3.17: Danh mục Quy trình đề xuất - Nội dung quy trình đề xuất hiển thị 69 Hình 3.18: Nội dung Quy trình đề xuất 3.6.2.5 - Công cụ đánh giá rủi ro Công cụ đánh giá rủi ro cho phép người dùng có thể: + Lối tắt thêm kiện cần đánh giá rủi ro + Lối tắt thêm hệ thống cần đánh giá rủi ro + Các vùng nhập giá trị cho việc xác định Khả xảy cố Tác động - + Lưu trữ thông tin tính tốn đánh giá Tại menu ứng dụng, chọn thẻ Đánh giá rủi ro Hình 3.19: Danh mục Cơng cụ đánh giá - Bộ cơng cụ có giao diện sau: 70 Hình 3.20: Giao diện cơng cụ đánh giá 3.6.2.5.1 Thêm kiện, hệ thống - Chọn nút ADD để thêm Sự kiện Hệ thống Hình 3.21: Thêm kiện hệ thống - Thêm Hệ thống mới: Chọn Add system access: + Một dialog hiển thị cho phép nhập tên hệ thống Hình 3.22: Thêm hệ thống + Sau nhập Tên hệ thống, chọn SAVE, alert thông báo kết thêm Hình 3.23: Kết thêm hệ thống 71 - Thêm kiện mới: Một dialog hiển thị cho phép nhập Tên kiện Hệ thống cần đánh giá Hình 3.24: Thêm kiện + Yêu cầu nhập tên Sự kiện mới, Một hệ thống phải lựa chọn kèm (Nếu chưa có hệ thống cần thêm hệ thống trước thêm kiện), sau chọn SAVE, alert thơng báo kết thêm kiện: Hình 3.25: Thêm kiện thành cơng 3.6.2.5.2 Tính tốn Khả xảy cố - Tại khung Xác định khả năng: + Cho phép người dùng nhập giá trị cho yếu tố, giá trị giới hạn đoạn giá trị đặc trưng cho loại khơng để trống: Hình 3.26: Bảng Nhập giá trị yếu tố + Sau nhập giá trị, chọn nút Tính tốn, Kết hiển thị giá trị kèm theo mức độ tương ứng: Hình 3.27: Bảng Kết tính tốn + Có thể lưu lại giá trị chọn nút Lưu, lựa chọn thông tin Sự kiện Hệ thống có thêm để liệu thêm rõ ràng, minh bạch: 72 Hình 3.28: Lựa chọn Sự kiện hệ thống đánh giá Hình 3.29: Lưu kết đánh giá - Một alert hiển thị thông báo kết lưu kết quả: Hình 3.30: Thơng báo kết lưu 3.6.2.5.3 Tính tốn Tác động - Tại khung Xác định tác động: + Cho phép người dùng nhập giá trị cho yếu tố, giá trị giới hạn đoạn giá trị đặc trưng cho loại khơng để trống: Hình 3.31: Bảng Nhập giá trị yếu tố tác động + Sau nhập giá trị, chọn nút Tính tốn, Kết hiển thị giá trị kèm theo mức độ tương ứng: 73 Hình 3.32: Kết tính tốn Tác động + Có thể lưu lại giá trị chọn nút Lưu, lựa chọn thơng tin Sự kiện Hệ thống có thêm để liệu thêm rõ ràng, minh bạch: Hình 3.33: Lựa chọn Sự kiện hệ thống đánh giá + Một alert hiển thị thông báo kết lưu kết quả: Hình 3.34: Thơng báo kết lưu 74 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Về lý thuyết, luận văn tổng hợp đầy đủ qui trình Quản lý, đánh giá xử lý rủi ro dựa sở tiêu chuẩn ISO/IEC 27001, ISO/IEC 27005, NIST SP 800-39r1 Trên sở đó, luận văn đề xuất qui trình Quản lý đánh giá rủi ro an toàn hệ thống CNTT nhằm hỗ trợ hoạt động bảo đảm ATTT quan, tổ chức người quản trị, vận hành bảo đảm an toàn hệ thống CNTT Đồng thời, luận văn tổng hợp hai phương pháp đánh giá ATTT CVSS, OWSAP xây dựng phương pháp đánh giá rủi ro dựa OWSAP Về thực nghiệm, luận văn xây dựng ứng dụng web gồm dịch vụ cung cấp cho người dùng: Các tiêu chuẩn ISO/IEC 27005, NIST-800 Quy trình quản lý rủi ro đề xuất; phương pháp đánh giá rủi ro CVSS, OWASP công cụ hỗ trợ đánh giá rủi ro xây dựng theo OWASP Ngoài ra, chức backend cịn có: Lưu trữ, quản lý tài khoản khoản; Lưu trữ, quản lý mã hệ thống Mặc dù có kết tương đối khả quan, nhiên cịn nhiều thiếu sót hạn chế việc làm súc tích nội dung tiêu chuẩn Quản lý rủi ro ứng dụng xây dựng - Về nội dung lý thuyết, cần làm sáng tỏ súc tích để giúp cho người nào, với chuyên môn trình độ nào, tham gia vào trình Quản lý, Đánh giá, Xử lý rủi ro nhanh chóng nắm bắt Đồng thời cần cập nhật, bổ sung thêm Phương pháp đánh giá rủi ro, ví dụ Tiêu chuẩn ISO 31000, Phân tích chế độ lỗi hiệu ứng (Failure mode and effects analysis - FMEA),v.v, giúp cho người thực hoạt động đánh giá rủi ro có thêm nhiều góc nhìn cho vấn đề rủi ro gặp phải Những nội dung việc bổ sung, cập nhật vào tài liệu cẩm nang cho hoạt động Quản lý rủi ro, tích hợp vào ứng dụng xây dựng - Về ứng dụng, đáp ứng nhu cầu, mục đích người dùng, nhiên chưa đảm bảo đầy đủ nguyên lý UI-UX Với mục tiêu triển khai ứng dụng tất hệ thống cần thiết kế ứng dụng giải pháp hoạt động nhiều tảng, nhiều mơi trường Ngồi ra, ứng dụng cần thiết kế chế để dễ dàng vận hành, bảo trì cập nhật, bổ sung nội dung tính cơng cụ Nhận thức tầm quan trọng Quản lý, đánh giá xử lý rủi ro hoạt động, tiếp tục nghiên cứu cập nhật thêm tiêu chuẩn, phương pháp nhằm chỉnh sửa, bổ sung Quy trình đề xuất ln đảm bảo đầy đủ, chặt chẽ xác áp dụng vào tất bối cảnh Đồng thời phát triển ứng dụng trở nên hoàn thiện, đầy đủ, cập nhật không ngừng 75 TÀI LIỆU THAM KHẢO [1] Common Vulnerability Scoring System v3.1: Specification Document, https://www.first.org/cvss/v3.1/specification-document [2] ISO/IEC 27001, Information technology – Security techniques – Information security management systems – Requirements http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.ht m?csnumber=54534 [3] ISO/IEC 27005:2011, Informatinon technology-Security techniquesInformatinon Security Risk management systems http://www.iso.org/iso/catalogue_detail?csnumber=56742 [4] TCVN ISO/IEC 27001:2009, Công nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Các u cầu [5] TCVN ISO/IEC 27002:2011, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin [6] NIST SP 800-39 (2011), Managing Information Security Risk: Organization, Mission, and Information System View [7] NIST SP 800-30r1 (2012), Guide for Conducting Risk Assessments [8] “OWASP Risk Rating Methodology”, https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology [9] Nguyễn Ngọc Hóa (2021), Báo cáo tổng kết đề tài Nghiên cứu, xây dựng hệ thống đánh giá, quản lý rủi ro hỗ trợ xử lý cố an tồn thơng tin Chính phủ điện tử, mã số KC.01.19/16-20 [10] VueJS: https://vuejs.org/v2/guide/ [11] Databse: MySQL https://dev.mysql.com/doc/relnotes/mysql/8.0/en/news-8-0-27.html [12] Kotlin: https://kotlinlang.org/docs/home.html 76 ... dựng quy trình hợp lý tường minh việc đảm bảo an toàn an ninh thông tin đồng thời phát triển dịch vụ quản lý quy trình nghiệp vụ đánh giá, quản lý rủi ro an tồn thơng tin để hỗ trợ cho cán nghiệp. .. quy trình quản lý, đánh giá rủi ro an tồn thơng tin Chương Nghiên cứu số phương pháp, kỹ thuật đánh giá rủi ro an tồn thơng tin Chương Xây dựng dịch vụ quản lý quy trình nghiệp vụ đánh giá, quản. .. NGHỆ - - Đỗ Hồng Giang Nghiên cứu phát triển dịch vụ quản lý quy trình nghiệp vụ đánh giá, quản lý rủi ro an tồn thơng tin LUẬN VĂN THẠC SỸ Ngành: Hệ thống thông tin Cán hướng dẫn: TS Phùng