BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG ĐỒ ÁN CUỐI KỲ MƠN HỌC QUẢN LÝ AN TỒN THÔNG TIN Đề tài: “ĐỀ XUẤT TRIỂN KHAI QUẢN LÝ AN TỒN THƠNG TIN TẠI CÁC TỔ CHỨC DOANH NGHIỆP TRONG ĐIỀU KIỆN VIỆT NAM” Người hướng dẫn : ThS NGUYỄN HỮU NGUYÊN Sinh viên thực : TRẦN ĐÌNH CHIẾN Mã số sinh viên : N19DCAT010 Lớp : D19DCAT01-N Hệ : Đại Học Chính Quy NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Lời Cảm Ơn Em xin gửi lời cảm ơn chân thành đến thầy hướng dẫn hỗ trợ quý báu q trình hồn thành đồ án cuối kì Thầy dành thời gian công sức để chia sẻ kiến thức, động viên định hình cho em trình nghiên cứu làm việc Từ bắt đầu đồ án, em gặp nhiều khó khăn thách thức Nhưng nhờ dẫn hỗ trợ từ thầy, em vượt qua khó khăn hồn thành dự án cách thành cơng Thầy khơng cung cấp kiến thức chun mơn mà cịn truyền đạt kỹ quan trọng cho em Những lời khuyên, động viên góp ý từ thầy giúp em phát triển kỹ nghiên cứu, phân tích giải vấn đề cách hiệu Em muốn gửi lời cảm ơn đến thầy kiên nhẫn lòng tận tụy việc giảng dạy Thầy ln sẵn lịng trả lời câu hỏi em tạo điều kiện để em tiến học tập Với hỗ trợ dẫn dắt thầy, em học nhiều áp dụng kiến thức vào sống nghiệp tương lai Em xin chân thành cảm ơn thầy tất điều tuyệt vời mà thầy mang lại cho em Mục Lục Mở đầu I, Xác định mức độ rủi ro trước công doanh nghiệp II, Mơ Hình đánh giá, xác định cấp độ khả tổ chức III, Kế hoạch triển khai quản lý an tồn thơng tin doanh nghiệp 1, Cơ sở hạ tầng (Infrastructure) .9 2, Quản trị môi trường kinh doanh ( Business Enviroment Governance) .9 3, Đánh giá rủi ro (Risk Assessments) 4, Quản lý rủi ro (Risk Management) 10 5, Quản lý rủi ro chuỗi cung ứng (Supply chain Risk Management) 10 6, Đào tạo nhận thức (Awareness and Training) 11 Phụ lục : Bảng câu hỏi khảo sát 15 Mở đầu Kế hoạch triển khai quản lý an tồn thơng tin bước quan trọng việc bảo vệ thông tin quan trọng doanh nghiệp khỏi mối đe dọa rủi ro Trong giới liên kết mạng ngày phức tạp, việc đảm bảo an toàn thông tin trở thành ưu tiên hàng đầu để bảo vệ danh tiếng tin tưởng khách hàng, đối tác nhân viên Chúng ta đối mặt với mối đe dọa an ninh mạng ngày tinh vi phức tạp hết Các công mạng, việc lộ thông tin nhạy cảm vụ vi phạm an tồn thơng tin gây thiệt hại khơng mặt tài mà cịn ảnh hưởng đến uy tín danh tiếng doanh nghiệp Chính vậy, việc triển khai kế hoạch quản lý an tồn thơng tin chặt chẽ hiệu cần thiết để bảo vệ doanh nghiệp khỏi mối đe dọa Kế hoạch triển khai quản lý an tồn thơng tin khơng đảm bảo tuân thủ quy định tiêu chuẩn pháp lý liên quan, mà tạo mơi trường làm việc an tồn, đáng tin cậy bảo vệ thông tin Bằng cách triển khai biện pháp an ninh mạng thích hợp, giảm thiểu rủi ro, tăng cường khả phát ứng phó với cố an ninh, đảm bảo bền vững doanh nghiệp thời đại số hóa ngày Trong kế hoạch này, tập trung vào việc xây dựng sở vững cho quản lý an tồn thơng tin doanh nghiệp Chúng ta xác định mục tiêu, phạm vi nguồn lực cần thiết để triển khai quản lý an toàn thông tin Chúng ta xây dựng sách, quy trình biện pháp bảo mật thích hợp, đảm bảo nhân viên đào tạo I, Xác định mức độ rủi ro trước công doanh nghiệp Khả Năng Tác động Mức độ rủi ro Rất cao Đối phương gần chắn bắt đầu công Tai nạn lỗi gần chắn; xảy 100 lần năm Gần chắn có tác động bất lợi Nhiều tác động bất Sự kiện gây lợi nghiêm trọng nhiều tác động bất lợi thảm khốc đến với tổ thảm khốc chức Cao Đối phương bắt đầu Tác động bất lợi, Sự kiện cơng Tai nạn lỗi xảy ra; xảy từ 10-100 lần năm Rất có tác động tiêu cực chí nghiêm cho có tác động bất trọng tổ chức lợi nghiêm trọng đến với tổ chức Trung Bình Đối phương phần có khả bắt đầu cơng Tai nạn sai sót phần có khả xảy ra; từ 1-10 lần năm Hơi có khả có tác động bất lợi Ảnh hưởng xấu Sự kiện nghiêm trọng đến với cho có tác động tiêu tổ chức cực, nghiêm trọng tổ chức Thấp Đối phương khả bắt đầu cơng Tai nạn lỗi khó xảy ra; lần năm, 10 lần năm Không có khả có tác động tiêu cực Hạn chế ảnh hưởng Sự kiện dự kiến xấu đến với tổ chức có tác động bất lợi đến với tổ chức Rất Thấp Đối phương khó có khả công, vấn đề bảo mật lỗi khó để xảy Tỷ lệ xảy 10 năm lần Rất khó để có tác động Tác động không đáng Không gây tác động kể tổ chức đáng kể đến với tổ chức Sự ưu tiên (Priority) 9-10 Rất Cao Kiểm soát tới hạn tảng kiểm soát tới hạn; thiếu kiểm sốt có nhiều tác động bất lợi nghiêm trọng thảm khốc tổ chức 7-8 Cao Rất quan trọng tảng cho kiểm soát quan trọng; thiếu kiểm soát có tác động bất lợi nghiêm trọng thảm khốc tổ chức 4–6 Trung Bình Kiểm sốt quan trọng tảng cho kiểm soát quan trọng; thiếu kiểm sốt có tác động bất lợi nghiêm trọng tổ chức 2-3 Thấp 0-1 Rất Thấp Kiểm sốt có tầm quan trọng thấp sở cho kiểm sốt có tầm quan trọng thấp; thiếu kiểm sốt có tác động bất lợi hạn chế tổ chức Kiểm sốt khơng phải ưu tiên khơng phải kiểm soát bản; thiếu kiểm soát có tác động bất lợi khơng đáng kể tổ chức II, Mơ Hình đánh giá, xác định cấp độ khả tổ chức Thực cải tiến chủ động liên tục để đạt mục tiêu Chủ động cải tiến liên tục Cải tiến quy trình Gắn liền với văn hóa doanh nghiệp Cấp độ 4: Được quản lý Quản lý quy trình kết cách có định lượng hoạt động tiêu chuẩn hóa Các q trình đo lường kiểm sốt Kết dự đốn Kiểm sốt chủ động Cấp độ 3: Được xác định Phát triển quy trình, biện pháp đào tạo tiêu chuẩn cho việc cung cấp sản phẩn dịch vụ Các quy trình chuẩn hóa Có cách tiếp cận quán, chủ động Cấp độ 5: Tối Ưu Hóa Cấp độ 2: Có thể lặp lại Cấp độ 1: Ban Đầu Xây dựng quản lý đơn vị làm việc có kỷ luật để ổn định cơng việc kiểm soát cam kết Thúc đẩy người “Hồn Thành Cơng Việc” =>> phù hợp với tổ chức Thực hành lặp lặp lại Các quy trình xác định lập thành văn Các chức cơng nghệ theo dõi Quy trình đặc biệt Khơng qn khơng thể đốn trước Kiểm sốt phản ứng Thành công phụ thuộc vào nỗ lực cá nhân III, Kế hoạch triển khai quản lý an tồn thơng tin doanh nghiệp 1, Cơ sở hạ tầng (Infrastructure) An ninh vận hành quản lý tài sản: ID.AM-1: Các thiết bị hệ thống vật lý tổ chức kiểm kê ID.AM-2: Nền tảng phần mềm ứng dụng tổ chức kiểm kê ID.AM-3: Cơ cấu tổ chức luồng liệu liên lạc tổ chức ID.AM-4: Lập danh mục sử dụng hệ thống thông tin bên ID.AM-5: Tài nguyên tổ chức ( Ví dụ: Phần cứng, Thiết bị, Dữ liệu, thời gian, nhân phần mềm) ưu tiên dựa mức độ phân loại mức độ quan trọng giá trị kinh doanh chúng ID.AM-6: Thiết lập chặt chẽ vai trò trách nhiệm An ninh mạng toàn lực lượng lao động bên liên quan (bên thứ 3) (ví dụ: Nhà cung cấp, khách hàng, đối tác,…) 2, Quản trị môi trường kinh doanh ( Business Enviroment Governance) An ninh chiến lược môi trường kinh doanh: ID.BE-1: Xác định truyền đạt rõ ràng vai trò tổ chức chuỗi cung ứng dịch vụ ID.BE-2: Xác định rõ ràng vị trí tổ chức sở hạ tầng lĩnh vực hoạt động tổ chức ID.BE-3: Xác định ưu tiên cho nhiệm vụ, mục tiêu hoạt động tổ chức ID.BE-4: Thiết lập thành phần phụ thuộc chức quan trọng để cung cấp dịch vụ ID.BE-5: Hỗ trợ cung cấp yêu cầu khả phục hồi dịch vụ quan trọng thiết lập cho toàn trạng thái vận hành cảu tổ chức (Ví dụ: Bị cưỡng bức/bị cơng, q trình phục hồi, hoạt động bình thường) An ninh chiến lược – quản trị tuân thủ: ID.GV-1: Thiết lập chia sẻ sử dụng rộng rãi tổ chức sách an ninh mạng tổ chức ID.GV-2: Các vai trò trách nhiệm An ninh mạng điều phối liên kết với vai trị nội đối tác bên ngồi ID.GV-3: Các yêu cầu pháp lý quy định liên quan đến an ninh mạng, bao gồm nghĩa vụ quyền riêng tư quyền tự dân sự, hiểu quản lý ID.GV-4: Quy trình quản trị quản lý rủi ro giải rủi ro an ninh mạng 3, Đánh giá rủi ro (Risk Assessments) An ninh chiến lược – quản lý rủi ro: ID.RA-1: Xác định ghi lại lỗ hổng nội dung ID.RA-2: Thơng tin tình báo Mối đe dọa mạng nhận từ nguồn diễn đàn chia sẻ thông tin ID.RA-3: Các mối đe dọa, bên bên ngoài, xác định ghi lại ID.RA-4: Xác định tác động khả kinh doanh tiềm ẩn ID.RA-5: Các mối đe dọa, lỗ hổng, khả xảy tác động sử dụng để xác định rủi ro ID.RA-6: Các phản hồi rủi ro xác định ưu tiên 4, Quản lý rủi ro (Risk Management) An ninh chiến lược – Quản lý rủi ro: ID.RM-1: Các quy trình quản lý rủi ro thiết lập, quản lý đồng ý bên liên quan tổ chức ID.RM-2: Xác định thể rõ ràng mức độ chấp nhận rủi ro tổ chức ID.RM-3: Việc xác định mức độ chấp nhận rủi ro tổ chức xác định người đóng vai trị trách nhiệm sở hạ tầng phân tích rủi ro 5, Quản lý rủi ro chuỗi cung ứng (Supply chain Risk Management) Bí mật chiến lược – Quản lý rủi ro chuỗi cung ứng: ID.SC-1: Các quy trình quản lý rủi ro chuỗi cung ứng không gian mạng bên liên quan tổ chức xác định thiết lập, đánh giá, quản lý đồng ý ID.SC-2: Các nhà cung cấp đối tác bên thứ ba hệ thống thông tin, thành phần dịch vụ xác định, ưu tiên đánh giá quy trình đánh giá rủi ro chuỗi cung ứng không gian mạng ID.SC-3: Hợp đồng với nhà cung cấp đối tác bên thứ sử dụng để thực biện pháp thích hợp thiết kế nhằm đáp ứng mục tiêu chương trình an ninh mạng kế hoạch quản lý rủi ro chuỗi cung ứng mạng tổ chức ID.SC-4: Các nhà cung cấp đối tác bên thứ đánh giá thường xuyên cách sử dụng kiểm toán, kết kiểm tra hình thức đánh giá khác để xác nhận họ đáp ứng nghĩa vụ theo hợp đồng ID.SC-5: Thử nghiệm lập kế hoạch để phản hồi phục hồi tiến hành với nhà cung cấp đối tác bên thứ Quản lý danh tính kiểm sốt lượng truy cập: PR.AC-1: Danh tính thơng tin đăng nhập cấp, quản lý, xác minh, thu hồi kiểm tra cho thiết bị, người dùng quy trình ủy quyền PR.AC-2: Quyền truy cập vật lý vào tài sản quản lý bảo vệ PR.AC-3: Quản lý truy cập từ xa PR.AC-4: Quyền truy cập ủy quyền quản lý, kết hợp nguyên tắc đặc quyền tối thiểu phân chia nhiệm vụ PR.AC-5: Tính tồn vẹn mạng bảo vệ (ví dụ: phân tách mạng, phân đoạn mạng) PR.AC-6: Danh tính xác minh ràng buộc với thông tin đăng nhập khẳng định lần tương tác với hệ thống PR.AC-7: Người dùng, thiết bị tài sản khác xác thực (ví dụ: hay nhiều yếu tố) Tương xứng với rủi ro giao dịch (ví dụ: rủi ro bảo mật quyền riêng tư cá nhân rủi ro khác tổ chức) 6, Đào tạo nhận thức (Awareness and Training) An ninh chiến lược – nhận thức đào tạo: PR.AT-1: Đảm bảo tất người dùng nắm đầy đủ thông tin đào tạo PR.AT-2: Những người dùng đặc quyền phải hiểu vai trò trách nhiệm họ PR.AT-3: Các bên liên quan thứ (ví dụ: nhà cung cấp dịch vụ, khách hàng, đối tác) hiểu vaiu trò trách nhiệm họ PR.AT-4: Các nhà quản lý cấp cao hiểu rõ vai trò trách nhiệm họ PT.AT-5: Các nhân viên vận hành nhân viên an ninh mạng hiểu rõ vai trò trách nhiệm họ Bảo mật liệu – Mã hóa tàon vẹn liệu: PR.DS-1: Dữ liệu lưu trữ bảo vệ PR.DS-2: Dữ liệu truyền bảo vệ PR.DS-3: Tài sản quản lý thức suốt q trình di dời, chuyển nhượng định đoạt PR.DS-4: Năng lượng đầy đủ để đảm bảo trì tính khả dụng PR.DS-5: Triển khai biện pháp bảo vệ chống rò rỉ liệu PR.DS-6: Cơ sở kiểm tra tính tồn vẹn sử dụng để xác minh tính tồn vẹn phần mềm, chương trình sở thơng tin PR.DS-7: Các mơi trường thử nghiệm phát triển tách biệt với môi trường sản xuất PR.DS-8: Cơ chế kiểm tra tính tồn vẹn sử dụng để xác minh tính tồn vẹn phần cứng Quy trình thủ tục bảo vệ thơng tin: PR.IP-1: Cấu hình hệ thống cơng nghệ thơng tin tạo trì kết hợp với nguyên tắc bảo mật PR.IP-2: Hệ thống phải triển khai kiểm sốt vịng đời phát triển hệ thống quản lý PR.IP-3: Áp dụng quy trình kiểm sốt thay đổi cấu hình PR.IP-4: Sao lưu lại thơng tin tiến hành trì kiểm tra PR.IP-5: Đáp ứng sách quy định liên quan đến môi trường vận hành vật lý tài sản tổ chức PR.IP-6: Những liệu không quán bị hủy theo sách PR.IP-7: Cải thiện quy trình, vịng bảo vệ hệ thống thông tin tổ chức PR.IP-8: Chia sẻ hiệu hệ thống bảo vệ công nghệ thông tin PR.IP-9: Quản lý đưa kế hoạch ứng phó (ứng phó cố tính liên tục kinh doanh) kế hoạch khôi phục (khắc phục cố khắc phục thảm họa) PR.IP-10: Thử nghiệm kế hoạch phản hồi khôi phục liệu cho tổ chức PR.IP-11: Cyber Security bao gồm tất hoạt động nhân (Ví dụ: hủy cấp phép, sàng lọc nhân sự) PR.IP-12: Phát triển triển khai kế hoạch quản lý lỗ hổng thông tin cho hệ thống Bảo Mật hoạt động - Bảo trì tài sản tổ chức (quản lý vòng đời): PR.MA-1: Thực ghi lại cơng việc bảo trì sửa chữa tài sản tổ chức công cụ phê duyệt kiểm soát chặt chẽ tổ chức PR.MA-2: Phê duyệt bảo trì từ xa tài sản tổ chức, ghi nhật kí thực cách ngăn chặn truy cập trái phép Bảo mật vận hành – Bảo vệ tài sản : PR.PT-1: Xác định hồ sơ, nhật kí / kiểm toán lập thành văn bản, triển trai xem xét theo sách tổ chức PR.PT-2: Bảo vệ phương tiện di động việc sử dụng phương tiện di động bị hạn chế theo sách tổ chức PR.PT-3: Hệ thống cung cấp khả cần thiết cho nguyên tắc sử dụng chức áp dụng cách cấu hình hệ thống PR.PT-4: Mạng truyền thơng điều khiển bảo vệ PR.PT-5: Các chế (ví dụ: an tồn dự phịng, cân tải, trao đổi nóng) triển khai để đạt yêu cầu khả phục hồi tất tình bình thường bất lợi Bảo mật hoạt động – Giám sát, phân tích phát kiện: DE.AE-1: Thiết lập quản lý đường sở hoạt động mạng luồng liệu dự kiến dành cho người dùng hệ thống DE.AE-2: Các cơng phát phân tích liệu để hiểu mục tiêu phương pháp công DE.AE-3: Thu thập liệu từ công so sánh tương quan từ nhiều nguồn khác DE.AE-4: Xác định nguyên nhân, tác động, tác nhân công mạng DE.AE-5: Thiết lập ngưỡng cảnh báo cố trước công cho tổ chức DE.CM-1: Mạng giám sát để phát công an ninh mạng tiềm ẩn DE.CM-2: Môi trường vật lý giám sát để phát công an ninh mạng tiềm ẩn DE.CM-3: Các hoạt động người, nhân giám sát để phát công an ninh mạng tiềm ẩn DE.CM-4: Phát mã độc công DE.CM-5: Phát mã truy cập di động trái phép DE.CM-6: Các hoạt động nhà cung cấp, dịch vụ bên giám sát để phát công an ninh mạng tiềm ẩn DE.CM-7: Thực giám sát nhân viên, kết nối đến, thiết bị phần mềm trái phép DE.CM-8: Thực quét lỗ hổng công an ninh mạng Bảo mật hoạt động – Quy trình phát hiện: DE.DP-1: Nhân viên có vai trị trách nhiệm phát cơng phải giải trình rõ để đảm bảo trách nhiệm DE.DP-2: Phát công phải tuân thủ tất yêu cầu hành tổ chức DE.DP-3: Thử nghiệm quy trình phát công mạng vào tổ chức DE.DP-4: Truyền đạt thông tin phát từ công nhắm đến tổ chức DE.DP-5: Cải thiện liên tục quy trình phát cơng mạng đến tổ chức An ninh hoạt động – Lập kế hoạch ứng phó: RS.RP-1: Thực kế hoạch ứng phó với cơng sau cố cơng từ bên ngồi Nghiệp vụ an ninh – Truyền thông: RS.CO-1: Nhân viên biết vai trò thứ tự hoạt động họ cố xaỷ cần phản hồi với CEO RS.CO-2: Các cố báo cáo phù hợp với tiêu chí thiết lập RS.CO-3: Các thơng tin chia sẻ phù hợp với kế hoạch ứng phó RS.CO-4: Sự phối hợp với bên liên quan diễn quán với kế hoạch ứng phó xảy cố RS.CO-5: Tự nguyện chia sẻ thông tin xảy với bên liên quan bên để đạt nhận thức tình an ninh mạng Bảo mật hoạt động – Phân tích: RS.AN-1: Phát điều tra thơng báo từ hệ thống xảy công RS.AN-2: Hiểu rõ tác động cố an ninh mạng RS.AN-3: Thực biện pháp pháp y xảy công mạng hướng đến tổ chức RS.AN-4: Phân loại cố phù hợp với loại kế hoạch ứng phó RS.AT-5: Thiết lập quy trình để tiếp nhận, phân tích phản hồi lỗ hổng tiết lộ cho tổ chức từ nguồn từ bên bên ngồi tổ chức (Ví dụ: Thử nghiệm nội bộ, tin bảo mật hàng quý từ nhà ngheien cứu bảo mật) Bảo mật hoạt động – Giảm nhẹ: RS.MI-1: Ngăn chặn cố xảy trước công hướng đến tổ chức RS.MI-2: Giảm thiểu cố xảy trước công hướng đến tổ chức RS.MI-3: Ghi nhận lỗ hổng xác định giảm thiểu ghi nhận rủi ro Bảo mật hoạt động – Cải tiến: RS.IM-1: Kết hợp với kế hoạch ứng phó tổ chức học kinh nghiệm để rút kế hoạch ứng phó tốt RS.IM-2: Cập nhật liên tục chiến lược phản hồi có cơng Bảo mật hoạt động – Lập kế hoạch phục hồi: RC.RP-1: Kế hoạch phục hồi thực thi sau xảy cố an ninh mạng Bảo mật hoạt động – Cải tiến: RC.IM-1: Kết hợp kế hoạch phục hồi học kinh nghiệm RC.IM-2: Cập nhật liên tục chiến lược phục hồi sau công Nghiệp vụ an ninh – Truyền thông: RC.CO-1: Kết hợp kế hoạch phục hồi học kinh nghiệm để đưa kế hoạch tốt phục hồi sau công RC.CO-2: Lấy lại truyền thông, danh tiếng sau cố công RC.CO-3: Các hoạt động khôi phục truyền đạt tới bên liên quan bên bên nhóm điều hành quản lý bao gồm khối vận hành Phụ lục : Bảng câu hỏi khảo sát CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc -CAM KẾT BẢO MẬT THÔNG TIN - Căn vào nội quy lao động công ty……………… - Căn vào Hợp đồng lao động số: …… ký kết vào ngày … tháng … năm … công ty ………… ông/bà …………… - Căn trách nhiệm công việc Nhân viên liên quan đến hoạt động Công ty Tôi là: …………………… Giới tính: …………… Sinh ngày: ………………… Vị trí làm việc: Chức vụ: …………………… Công ty: Theo nội quy lao động điều…: “ Bảo mật thông tin tài liệu công nghệ Kinh doanh Công ty tồn hình thức nào.” Theo quy định việc bàn giao tài liệu, thông tin mật Công ty, làm cam kết xin cam đoan không tiết lộ thơng tin tài liệu có chứa Thông tin bảo mật kể chấm dứt hợp đồng lao động, trừ trường hợp Thông tin mật Công ty phổ biến rộng rãi trước công chúng; Tôi xin cam đoan không phép mua, bán, sử dụng, chuyển giao thu lợi theo cách thức tiết lộ Thơng tin mật mà thu biết trình làm việc Công ty cho bên thứ ba Đặc biệt bàn giao đầy đủ thứ bàn giao tài sản công ty ………., ngày … tháng … năm … Người cam đoan (Ký, ghi rõ họ tên) BỘ CÂU HỎI KHẢO SÁT VỀ HOẠT ĐỘNG ĐẢM BẢO AN TOÀN, BẢO MẬT THÔNG TIN CỦA TỔ CHỨC, DOANH NGHIỆP Doanh nghiệp, Tổ chức bạn có sách bảo mật thơng tin chung dành cho Doanh nghiệp – Tổ chức hay khơng ? A Có B Khơng Mức độ quan tâm Tổ chức/Doanh nghiệp bạn Bảo mật an tồn thơng tin? A Critical B High C Medium D Low Mức độ An toàn Tổ chức/Doanh nghiệp bạn? A Critical B High C Medium D Low Mức độ quan trọng thông tin mà Tổ chức/Doanh nghiệp bạn nắm giữ? A Critical B High C Medium D Low Mức độ rủi ro mang lại thông tin tổ chức bị lộ ? A Critical B High C Medium D Low Nơi lưu trữ thông tin quan trọng nhạy cảm Tổ chức/Doanh nghiệp bạn? Thời gian quản lý vòng đời đảm bảo an tồn, bảo mật thơng tin Tổ chức/Doanh nghiệp bạn? A Hằng ngày B Hằng Tuần C Hằng tháng D Hằng quý E Hằng năm F Khi có u cầu cố xảy G khơng thực Tại việc đảm bảo an toàn, bảo mật thông tin quan trọng tổ chức/doanh nghiệp bạn? A Bảo vệ thông tin quan trọng nhạy cảm khỏi việc truy cập trái phép lợi dụng người khơng có quyền B Ngăn chặn mát thơng tin quan trọng gây hậu lớn tổ chức/doanh nghiệp C Đảm bảo tin tưởng độ tin cậy từ phía khách hàng, đối tác nhà cung cấp D Tuân thủ quy định tiêu chuẩn bảo mật liên quan đến ngành hoạt động tổ chức/doanh nghiệp E Tránh rủi ro pháp lý hình phạt tài liên quan đến việc xâm phạm an ninh thông tin F Bảo vệ danh tiếng hình ảnh tổ chức/doanh nghiệp trước công chúng cộng đồng kinh doanh G Mục khác : Trong tổ chức/doanh nghiệp bạn, hoạt động đảm bảo an tồn, bảo mật thơng tin thực phận nào? A Bộ phận Công nghệ thông tin (IT) B Bộ phận An ninh thông tin (Information Security) C Bộ phận Quản lý rủi ro (Risk Management) D Bộ phận Nhân (Human Resources) E Bộ phận Quản lý hệ thống (System Management) F Mục khác : 10 Tổ chức/doanh nghiệp bạn xác định phân loại rủi ro an toàn, bảo mật thơng tin chưa? A Có B Khơng C Chưa biết 11 Làm tổ chức/doanh nghiệp bạn xác định đánh giá rủi ro an tồn, bảo mật thơng tin? A Đánh giá rủi ro theo kịch (scenario-based risk assessment) B Đánh giá rủi ro dựa tiêu chuẩn quy định (compliance-based risk assessment) C Sử dụng phương pháp định hạng rủi ro (risk rating method) D Sử dụng công cụ/ phần mềm hỗ trợ (vui lịng ghi rõ cơng cụ/ phần mềm) E Mục khác : 12 Tổ chức/doanh nghiệp bạn có kế hoạch quy trình đánh giá rủi ro an tồn, bảo mật thơng tin khơng? A Có B Khơng 13 Tổ chức/doanh nghiệp bạn triển khai biện pháp kiểm soát rủi ro xác định khơng? A Có B Khơng 14 Làm tổ chức/doanh nghiệp đảm bảo biện pháp phịng ngừa kiểm sốt rủi ro triển khai tuân thủ? A Đào tạo định kỳ B Chương trình giáo dục an tồn thơng tin C Chính sách quy định nghiêm ngặt D Sử dụng tài liệu tham khảo E Mục khác : 15 Tổ chức/doanh nghiệp bạn có sử dụng cơng cụ phần mềm hỗ trợ đánh giá quản lý rủi ro khơng? A Có B Khơng 16 Làm tổ chức/doanh nghiệp đảm bảo tính liên tục hoạt động quản lý rủi ro an tồn, bảo mật thơng tin? A Quản lý khẩn cấp phục hồi sau cố B Sao lưu khôi phục liệu thường xuyên C Kiểm tra thường xuyên đánh giá hiệu D Đào tạo nâng cao nhận thức thường xuyên E Mục khác : 17 Làm tổ chức/doanh nghiệp liên kết rủi ro an tồn, bảo mật thơng tin với mục tiêu chiến lược tổ chức? A Quản lý rủi ro tích hợp B Định rõ mục tiêu tiêu an tồn, bảo mật thơng tin C Liên kết với chiến lược tổ chức chung D Đánh giá điều chỉnh định kỳ E Mục khác : 18 Tổ chức/doanh nghiệp bạn xác định tuân thủ quy định pháp luật liên quan đến bảo mật thơng tin khơng? A Có B Khơng 19 Chính sách ISSP tổ chức bạn có đủ thành phần hay khơng? Nếu khơng đủ nêu thành phần cịn thiếu A Có B Khơng C Mục khác : 20 Tổ chức bạn có Danh sách kiểm soát quyền truy cập (ACL) để kiểm soát quyền đặc quyền hay chưa? A Có B Khơng 21 Tổ chức có đảm bảo sách ATTT thực đến tay người dùng cuối? (Bao gồm rào cản ngôn ngữ, học vấn) A Có B Khơng 22 Nếu nhân viên bị trừng phạt, kiểm duyệt bị sa thải từ chối tn theo sách sau có chứng minh sách khơng áp dụng thực thi cách thống nhất, tổ chức phải đối mặt với vấn đề gì?