HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN  QUẢN LÝ AN TỒN THƠNG TIN ĐỒ ÁN MƠN HỌC ĐỀ XUẤT TRIỂN KHAI QUẢN LÝ AN TỒN THƠNG TIN TẠI CÁC TỔ CHỨC, DOANH NGHIỆP TRONG ĐIỀU KIỆN VIỆT NAM Giảng viên hướng dẫn: Ths Nguyễn Hữu Nguyên Sinh viên thực : Võ Tiến Đạt - N19DCAT016 TP.HCM, tháng 6/2023 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN  QUẢN LÝ AN TỒN THƠNG TIN ĐỒ ÁN MƠN HỌC ĐỀ XUẤT TRIỂN KHAI QUẢN LÝ AN TỒN THƠNG TIN TẠI CÁC TỔ CHỨC, DOANH NGHIỆP TRONG ĐIỀU KIỆN VIỆT NAM Giảng viên hướng dẫn: Ths Nguyễn Hữu Nguyên Sinh viên thực : Võ Tiến Đạt - N19DCAT016 TP.HCM, tháng 6/2023 LỜI MỞ ĐẦU Đề tài "Đề xuất triển khai quản lý an tồn thơng tin tổ chức, doanh nghiệp điều kiện Việt Nam" chủ đề vô quan trọng thời đại mà thơng tin cơng nghệ thơng tin đóng vai trò quan trọng kinh tế xã hội Việc bảo vệ an tồn thơng tin ưu tiên hàng đầu tổ chức doanh nghiệp để đảm bảo tin cậy đáng tin cậy khách hàng đối tác kinh doanh Đề tài nhằm đề xuất giải pháp hướng dẫn cụ thể để triển khai quản lý an toàn thông tin tổ chức doanh nghiệp điều kiện Việt Nam Nó bao gồm nội dung như: tình hình an tồn thông tin tổ chức doanh nghiệp Việt Nam, đánh giá rủi ro thách thức triển khai quản lý an tồn thơng tin, đề xuất giải pháp để đảm bảo an toàn thông tin tổ chức doanh nghiệp Đề tài tài liệu tham khảo hữu ích cho tổ chức doanh nghiệp Việt Nam việc triển khai quản lý an tồn thơng tin, giúp họ nâng cao nhận thức vấn đề đưa giải pháp phù hợp để bảo vệ thơng tin liệu Bài báo cáo gồm có chương sau: Chương I: Cở sở lý thuyết Chương II: Tình hình thách thức triển khai quản lý an tồn thơng tin tổ chức doanh nghiệp Việt Nam Chương III: Đề xuất giải pháp triển khai quản lý an tồn thơng tin tổ chức doanh nghiệp Việt Nam MỤC LỤC CHƯƠNG I: CỞ SỞ LÝ THUYẾT 1.1 Định nghĩa lợi ích quản lý an tồn thơng tin 1.2 Các tiêu chuẩn khung pháp lý liên quan đến An tồn thơng tin 1.3 Tầm quan trọng việc triển khai An tồn thơng tin tổ chức, doanh nghiệp Việt Nam CHƯƠNG II: TÌNH HÌNH VÀ THÁCH THỨC QUẢN LÝ THÔNG TIN TẠI CÁC TỔ CHỨC DOANH NGHIỆP VIỆT NAM 2.1 Tình hình triển khai quản lý An tồn thơng tin tổ chức, doanh nghiệp Việt Nam 2.2 Các thách thức liên quan đến việc triển khai An tồn thơng tin Việt Nam CHƯƠNG III: ĐỀ XUẤT GIẢI PHÁP TRIỂN KHAI QUẢN LÝ AN TỒN THƠNG TIN TẠI CÁC TỔ CHỨC DOANH NGHIỆP TẠI VIỆT NAM 3.1 Xác định u cầu tiêu chuẩn quản lý an tồn thơng tin 3.2 Đề xuất biện pháp bảo mật quy trình quản lý an tồn thơng tin 3.3 Xây dựng mơ hình quản lý rủi ro phản ứng cố an tồn thơng tin 3.3.1 Đánh giả rủi ro mơ hình quản lý 3.3.2 Ứng phó cố an tồn thơng tin 3.4 Đề xuất hoạt động quản lý an tồn thơng tin dành cho nhân viên Chương IV: Kết luận CHƯƠNG I: CỞ SỞ LÝ THUYẾT 1.1 Định nghĩa lợi ích quản lý an tồn thơng tin 1.1.1 Định nghĩa Hệ thống quản lý an tồn thơng tin tập hợp sách thủ tục quản lý liệu nhảy cảm, bảo mật tổ chức cách có hệ thống 1.1.2 Lợi ích quản lý an tồn thơng tin - Bảo vệ liệu nhảy cảm: ISMS có khả bảo vệ loại tài sản thơng tin độc quyền dù hình thức giấy hay bảo quản kỹ thuật số, chí đám mây Những tài sản chứa liệu cá nhân, tài sản trí tuệ, liệu tài chính, liệu khách hàng hay liệu ủy thác cho công ty thông qua bên thứ ba - Đáp ứng tuân thủ quy định: Hệ thống ISMS mang lại lợi ích cho tổ chức việc giúp đỡ yêu cầu tuân thủ quy định hợp đồng, đồng thời cung cấp hiểu biết tốt tính pháp lý xung quanh hệ thống thơng tin Bởi vi phạm pháp luật kèm với tiền phạt nặng, mà sở hữu ISMS đặc biệt có lợi cho ngành quản lý cao với sở hạ tầng quan trọng tài chình hay chăm sóc sức khỏe - Đảm bảo tính liên tục: Khi mơt doanh nghiệp áp dụng hệ thống vào hoạt động kinh doanh họ tự động gia tăng mực độ phòng thù trước mối đe dọa Điều làm giảm bớt cố bảo mật cơng mạng dẫn đến gián đoạn hơn, … yếu tố quan trọng việc đảm bảo tính liên tục hoạt động kinh doanh - Giảm chi phí: Hệ thơng ISMS cung cấp đánh giá rủi ro kỹ lưỡng tất tái sản, nhằm giúp tổ chức nhận biết đâu tài sản có rủi ro cao để thực biện pháp ngăn chặn chi tiêu bừa bãi cho biện pháp phòng thủ khơng cần thiết Nhờ cách tiếp cận có cấu trúc kết hợp với thời gian ngừng hoạt động giảm cố bảo mật, doanh nghiệp cắt giảm đáng kể mặt chi tiêu thừa - Thích ứng với mối đe dọa tiềm năng: Các mối đe dọa bảo mật không ngừng sinh Hệ thống ISMS giúp doanh nghiệp việc chuẩn bị 1.2 thích ứng với mối đe dọa nhu cầu thay đổi không ngừng bối cảnh an ninh Các tiêu chuẩn khung pháp lý liên quan đến An toàn thơng tin Mục đích tiêu chuẩn TCVN 9801 (ISO/IEC 27033) nhằm cung cấp hướng dẫn chi tiết khia cạnh an toàn việc quản lý, vận hành sử dụng magnj hệ thống thông tin kết nối chúng Các cá nhân tổ chức chịu trách nhiệm an tồn thơng tin nói chung tồn thơng tin mạng nói riêng, phải thích ứng tài luận theo tiêu chuẩn để đáp ứng yêu cầu cụ thể Mục tiêu sau: - TCVN 9801-1: định nghĩa mổ tả khái niệm liên quan cung cấp hướng dẫn quản lý, an toàn mạng Tiêu chuẩn bao gồm việc cung cấp tổng quan an toàn mạng định nghĩa liên quan hướng dẫn cách xác định phân tích rủi ro an tồn mạng, sau xác định yêu cầu an toàn mạng Tiêu chuẩn giới thiệu cách đạt kiến trúc an toàn kỹ thuật chất lượng tốt khía cạnh rủi ro thiết kế kiểm soát đến kịch mạng điển hình lĩnh vực “cơng nghệ” mạng - TCVN 9801-2: định nghĩa làm nòa để tổ chức đạt kiến trúc an toàn kỹ thuật mạng chất lượng, thiết kế triển khai đảm bảo an tồn mạng phù hợp với mơi trường nghiệp vụ, sử dụng cách tiếp cận cách quán để lập kế hoạch, thiết kế triển khai an toàn mạng, hỗ trợ việc sử dụng mơ hình/ khung (trong bối cảnh, mơ hình/ khung sử dụng để phác thảo, mô tả cấu trúc hoạt động tổng thể loại kiến trúc/ thiết kế an tồn kĩ thuật) có liên quan đến tất nhân viên tham gia vào việc lập kế hoạch, thiết kế triển khải khía cạnh kiến trúc an tồn mạng ( ví dụ: kỹ sư nhà thiết kế mạng, quản trị mạng nhân viên an ninh mạng) - ISO/IEC 27033-4, định nghĩa rủi ro, kỹ thuật thiết kế vấn đề kiếm soát cụ thể để bảo mật luồng thông tin mạng sử dụng cổng bảo mật Tiêu chuẩn liên quan đến tất nhân viên tham gia việc lập kế hoạch chi tiết, thiết kế triển khai cổng bảo mật - ISO/IEC 27033-5: định nghĩa rủi ro, kỹ thuật thiết kế vấn để kiểm soát cụ thể để bảo mật kết nối thiết lập sử dụng mạng riêng ảo (VPN) Tiêu chuẩn liên quan đến tất nhân viên tham gia việc lập kế hoạch chi tiết, thiết kế triển khai mạng VPN bảo mật - ISO/IEC 27033-6: định nghĩa rủi ro, ký thuật thiết kế vf vấn đề kiếm soát cụ thể để bảo mật mạng không dây IP Tiêu chuẩn liên quan đến tất Document continues below Discover more from: lý dự án quản 2021 Học viện Công ng… 421 documents Go to course BÀI TẬP LỚN CÁ 14 NHÂN MẪU VỀ DỰ… quản lý dự án 94% (52) Bai nhom Qun ly d 35 an D an xay dn quản lý dự án 100% (4) Bài-tập-lớn-môn83 Quản-lý-dự-án-… quản lý dự án 100% (3) QLDA v1 - Giáo trình 130 47 quản lý dự án phần… quản lý dự án 100% (2) HỆ THỐNG CÂU HỎI TRẮC NghiệM… quản lý dự án 100% (2) 179 Quản trị dự án viện nhân viên tham gia việc lập kế hoạch chi tiết thiết kế vàctriển khaiCơng an tồnnghệ… cho 143 mạng không dây quản lý dự án 1.3 100% (2) Tầm quan trọng việc triển khai An tồn thơng tin tổ chức, doanh nghiệp Việt Nam - Bảo vệ thơng tin quan trọng: an tồn thơng tin giúp bảo vệ thông tin quan trọng tổ chức, doanh nghiệp khỏi công mạng, virus, mã độc mối đe dọa khác - Đảm bảo tin cậy khách hàng: Việc triển an toàn thông tin giúp tổ chức, doanh nghiệp đảm bảo tin cậy khách hàng, tăng cường lòng tin tạo mối quan hệ tốt với khách hàng - Đáp ứng yêu cầu pháp ý: Các quy định pháp lý An tồn thơng tin phủ Việt Nam đảy mạnh thực thi, vậy, việc triển khai An tồn thơng tin giúp tổ chức, doanh nghiệp đáp ứng yêu cầu pháp lý tránh rủi ro pháp lý - Giảm thiểu rủi ro chi phí: Việc triển khai An tồn thơng tin giúp giảm thiểu rui ro thông tin tiết kiện chi phí cho việc phục hồi liệu, khác phụ cố bảo mật - Nâng cao uy tín hiệu kinh doanh: An tồn thơng tin yếu tổ quan trọng góp phần nâng cao uy tín hiệu kinh doanh tổ chức doanh nghiệp Việc triển khai An tồn thơng tin giúp tăng cường đáng tin giảm thiểu rủi ro cho hoạt động kinh doanh CHƯƠNG II: TÌNH HÌNH VÀ THÁCH THỨC QUẢN LÝ THÔNG TIN TẠI CÁC TỔ CHỨC DOANH NGHIỆP VIỆT NAM 2.1 Tình hình triển khai quản lý An tồn thơng tin tổ chức, doanh nghiệp Việt Nam - Một số tổ chức doanh nghiệp triển khai sách quy trình quản lý an tồn thơng tin, đồng thời đào tạo nhân viên, nhiên khung pháp lý quản lý an tồn thơng tin đầy đủ hiệu - Nhiểu tổ chức doanh nghiệp chưa nhận thức đầy đủ tầm quan trọng an tồn thơng tin hoạt động kinh doanh mình, họ thường đầu tư vào bảo mật thơng tin không đưa kế hoạch quản lý rủi ro bảo mật thơng tin - 2.2 Việc tìm kiếm th chun gia bảo mật thơng tin cịn gặp nhiều khó khăn thiếu nhân lực chất lượng kinh nghiệm lĩnh vực thiếu Các thách thức liên quan đến việc triển khai An tồn thơng tin Việt Nam - Thiếu nhận thức kiến thức: Một số tổ chức cá nhân Việt Nam thiếu nhận thức kiến thức An tồn thơng tin Điều dẫn đến việc thiếu ý thức bảo mật thiếu khả nhận biết, đánh giá đối phó với mối đe dọa bảo mật - Sự gia tăng công mạng: Việt Nam chứng kiến gia tăng đáng kể công mạng, bao gồm công mạng mục tiêu, công mạng xã hội công phần mềm độc hại Điều đặt mối đe dọa lớn an toàn thông tin tổ chức cá nhân Việt Nam - Thiếu hạ tầng công nghệ bảo mật: Một số tổ chức hệ thống Việt Nam chưa đủ cung cấp hạ tầng công nghệ bảo mật đại Điều gây lỗ hổng bảo mật làm tăng nguy xâm nhập lạm dụng thông tin - Sự tăng trưởng dịch vụ trực tuyến: Việt Nam chứng kiến tăng trưởng nhanh chóng dịch vụ trực tuyến, bao gồm giao dịch tài trực tuyến, mua sắm trực tuyến chia sẻ thông tin cá nhân qua mạng Điều tạo môi trường mở tăng nguy việc xâm nhập, lừa đảo vi phạm quyền riêng tư - Quy định pháp lý chưa hồn thiện: Mặc dù có số quy định pháp lý An tồn thơng tin Việt Nam, nhiên, hệ thống quy định chưa hoàn thiện không đáp ứng đầy đủ yêu cầu bảo mật Điều gây khó khăn việc thực tuân thủ biện pháp bảo mật cần thiết CHƯƠNG III: ĐỀ XUẤT GIẢI PHÁP TRIỂN KHAI QUẢN LÝ AN TỒN THƠNG TIN TẠI CÁC TỔ CHỨC DOANH NGHIỆP TẠI VIỆT NAM 3.1 Xác định yêu cầu tiêu chuẩn quản lý an tồn thơng tin 3.1.1 Xác định yêu cầu Xác định thông tin cần bảo vệ: Các tổ chức cần xác định thông tin quan trọng nhạy cảm cần bảo vệ để đảm bảo tính bảo mật tồn vẹn liệu sau: - Đánh giá quản lý rủi ro: Các tổ chức cần đánh giá rủi ro bảo mật thông tin triển khai biện pháp phòng ngừa giảm thiểu rủi ro - Thiết lập sách An tồn thơng tin: Các tổ chức cần thiết lập sách An tồn thơng tin rõ ràng cập nhật định kỳ để đảm bảo tính qn quản lý An tồn thơng tin - Quản lý truy cập đăng nhập: Các tổ chức cần kiểm soát quyền truy cập vào hệ thống, giới hạn quyền truy cập cho người dùng theo dõi hoạt động truy cập để đảm bảo tính bảo mật tồn vẹn liệu - Xây dựng triển khai giải pháp bảo mật: Các tổ chức cần xây dựng triển khai giải pháp bảo mật tường lửa, phần mềm diệt virus, mã hóa thơng tin, kiểm tra định kỳ phát công để bảo vệ hệ thống CNTT - Đào tạo nhân viên An toàn thông tin: Các tổ chức cần đào tạo nhân viên An tồn thơng tin để nâng cao nhận thức kỹ họ việc đảm bảo tính bảo mật toàn vẹn liệu - Đăng ký quản lý thiết bị: Các tổ chức cần đăng ký quản lý thiết bị kết nối với hệ thống CNTT để đảm bảo tính bảo mật toàn vẹn liệu Quản lý cố bảo mật: Các tổ chức cần có kế hoạch phục hồi cố bảo mật để đảm bảo tính sẵn sàng hệ thống liệu trường hợp xảy cố Đánh giá cải thiện liên tục: Các tổ chức cần đánh giá cải thiện liên tục biện pháp An tồn thơng tin để đảm bảo tính hiệu phù hợp với tình hình bảo mật thay đổi Với yêu cầu xác định chi tiêt trên, thấy với tiêu chuẩn tiêu chí tiểu chuẩn tiêu chuẩn ISO/ IEC 27001 xem tiểu chuản phù hợp để xây dựng với yêu cầu tiêu chí 20 Theo ý kiến bạn, yếu tố cần quan tâm phát triển chương trình bảo mật? A Đáp ứng yêu cầu bảo mật tổ chức B Đảm bảo tính bảo mật an toàn liệu C Đảm bảo tính khả dụng tính liên tục hệ thống D Tạo sách bảo mật hợp lý hiệu E Đảm bảo tính khả thi hiệu mặt kinh tế F Khác: 21 Quản trị an tồn thơng tin gồm trách nhiệm phương pháp nào? A Định hướng chiến lược B Thiết lập mục tiêu C Đo lường tiến mục tiêu D Xác minh thực hành quản lý rủi ro phù hợp E Xác nhận tài sản sử dụng cách 22 ITGI khuyến nghị Hội đồng quản trị giám sát mục tiêu chiến lược an tồn thơng tin cách nào? A Tạo lập thúc đẩy văn hóa cơng nhận tầm quan trọng thơng tin an tồn thông tin tổ chức B Xác nhận đầu tư vào an tồn thơng tin điều chỉnh phù hợp với chiến lược môi trường rủi ro tổ chức C Ủy quyền đảm bảo chương trình bảo đảm an tồn thơng tin tồn diện phát triển thực 15 D Yêu cầu báo cáo từ cấp quản lý khác hiệu đầy đủ chương trình bảo đảm an tồn thơng tin E Tất phương án 23 Tổ chức/doanh nghiệp áp dụng biện pháp bảo mật email mã hóa, chữ ký số chưa? A Có, triển khai cho tồn email B Có, triển khai cho số email C Chưa áp dụng biện pháp bảo mật email 24 Tổ chức/doanh nghiệp có sách việc sử dụng thiết bị di động cá nhân (như điện thoại di động, máy tính bảng) mơi trường cơng việc chưa? A Có, có sách cụ thể B Có, chưa có sách cụ thể C Chưa áp dụng sách 25 Tổ chức/doanh nghiệp có thực kiểm tra thâm nhập (penetration testing) định kỳ khơng? A Có, định kiểm tra thâm nhập thường xuyên B Có, định kiểm tra thâm nhập không thường xuyên C Chưa áp dụng sách 26 Phương pháp khuyến nghị để giảm thiểu hội sử dụng sai mục đích thơng tin nhân viên? A Kiểm sốt người B Chun mơn hóa cơng việc C Nguyên tắc đặc quyền (Least privilege) D Bắt buộc làm thêm 16 27 Tổ chức/doanh nghiệp có Danh sách kiểm soát quyền truy cập (ACL) để kiểm sốt quyền đặc quyền hay khơng? A Có B Khơng 28 Tổ chức/doanh nghiệp có sử dụng cơng cụ phần mềm hỗ trợ đánh giá quản lý rủi ro khơng? A Có B Khơng 29 Làm tổ chức/doanh nghiệp đảm bảo tính liên tục hoạt động quản lý rủi ro an toàn, bảo mật thông tin? A Quản lý khẩn cấp phục hồi sau cố B Sao lưu khôi phục liệu thường xuyên C Kiểm tra thường xuyên đánh giá hiệu D Đào tạo nâng cao nhận thức thường xuyên E Khác: 30 Làm tổ chức/doanh nghiệp liên kết rủi ro an tồn, bảo mật thơng tin với mục tiêu chiến lược tổ chức? A Quản lý rủi ro tích hợp B Định rõ mục tiêu tiêu an tồn, bảo mật thơng tin C Liên kết với chiến lược tổ chức chung D Đánh giá điều chỉnh định kỳ E Khác: 17 KẾT QUẢ KHẢO SÁT 18 19 20 21 22 23 24 25 26 27 28 29